Argo Manager

Legale

Privacy Policy

Ultimo aggiornamento: 24 maggio 2026 (v0.3)

Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) — applicazione Argo (app.argomanager.com).

Premessa — Doppio ruolo di AITAKY

Argo è un'applicazione gestionale erogata in modalità SaaS da AITAKY SRL a propri Clienti professionali (es. studi commerciali, consulenti, agenzie). All'interno dell'applicazione vengono trattati dati personali con due diverse modalità rispetto al GDPR. È importante chiarire fin dall'inizio questa distinzione.

🟢 Dati per i quali AITAKY è Responsabile del trattamento (art. 28 GDPR)

Sono i dati operativi che il Cliente (lo studio o l'azienda titolare del contratto Argo) carica nel proprio Account: anagrafiche di clienti finali, dipendenti, listini, presenze, documenti, ecc.

  • il Titolare è il Cliente (lo studio/l'azienda che ha sottoscritto il contratto)
  • AITAKY opera per conto del Cliente, su sua istruzione documentata, sulla base del Data Processing Agreement (DPA)
  • per esercitare i propri diritti sui dati, l'interessato deve rivolgersi direttamente al Cliente (Titolare)
  • AITAKY supporta tecnicamente il Titolare nell'evasione delle richieste

🔵 Dati per i quali AITAKY è Titolare autonomo del trattamento

Sono i dati relativi all'identità dell'Utente che accede ad Argo (a prescindere dal fatto che operi per uno studio), nonché ai dati tecnici di funzionamento e sicurezza:

  • credenziali e dati di profilo dell'Utente
  • log di accesso e di sicurezza
  • eventuali comunicazioni di sistema rivolte direttamente all'Utente

Per questi dati, AITAKY è Titolare e applica direttamente la presente Privacy Policy.

La presente informativa disciplina i trattamenti per i quali AITAKY è Titolare autonomo (categoria 🔵). Per i trattamenti di categoria 🟢 si rimanda all'informativa fornita dal proprio Cliente (datore di lavoro o studio professionale).

1. Titolare del trattamento

AITAKY SRL

P.IVA / C.F.: 05694750281

Sede legale: Via Germania 7, 35010 Vigonza (PD), Italia

Telefono: +39 02 0061 2285

Email privacy: privacy@aitaky.com

PEC: aitaky@pec.it

2. Categorie di Utenti e di dati trattati

La presente informativa si applica a tre categorie di Utenti dell'applicazione Argo.

2.1 Utenti applicativi del Cliente

Persone fisiche autorizzate dal Cliente AITAKY (es. titolare dello studio, dipendenti, collaboratori) ad accedere ad Argo per svolgere le proprie attività operative.

Dati trattati direttamente da AITAKY come Titolare autonomo:

  • Nome e cognome dell'Utente
  • Indirizzo email (utilizzato come username)
  • Password (conservata esclusivamente in forma di hash crittografico)
  • Ruolo applicativo all'interno dello studio (es. admin, manager, operatore)
  • Eventuale immagine profilo / avatar caricata volontariamente
  • Lingua e preferenze dell'interfaccia
  • Eventuale fattore di autenticazione a più fattori (MFA) configurato
  • Log di accesso: indirizzo IP, data/ora del login, user-agent, esito (riuscito/fallito)
  • Log delle azioni significative compiute nell'applicazione (audit) — in fase di implementazione (vedi §10)
  • Identificativi tecnici di sessione (cookie/token)

2.2 Referenti esterni del modulo Documentale (client_people)

Persone fisiche invitate via email dal Cliente AITAKY ad accedere ai documenti condivisi nel modulo Documentale. Per questi Utenti si rimanda all'informativa specifica per il modulo Documentale (presentata al primo accesso tramite il link di invito).

2.3 Referenti contrattuali del Cliente

Le persone fisiche che hanno sottoscritto il contratto Argo per conto della propria azienda/studio (es. legale rappresentante, amministratore, contatto amministrativo) — anche quando coincidono con un Utente applicativo (§2.1). Per i loro dati di natura contrattuale AITAKY agisce come Titolare autonomo.

Dati trattati direttamente da AITAKY come Titolare autonomo:

  • Nome, cognome, ruolo del firmatario
  • Ragione sociale, P.IVA / Codice Fiscale, sede legale dell'azienda Cliente
  • Indirizzo email del referente contrattuale
  • Eventuale numero di telefono
  • Dati di fatturazione (PEC, codice destinatario SDI, eventuali coordinate bancarie)
  • Storico contrattuale (Piano sottoscritto, versioni MSA/DPA accettate con timestamp, modifiche, recesso)
  • Comunicazioni di servizio inviate/ricevute

Questi dati sono raccolti durante il signup nell'applicazione e nel corso del rapporto contrattuale. Le finalità di trattamento (§3) e il periodo di conservazione (§4) sono indicati di seguito.

3. Finalità del trattamento e base giuridica

I dati di cui al §2.1 (Utenti applicativi) e §2.3 (Referenti contrattuali) sono trattati per le seguenti finalità:

#FinalitàBase giuridicaConferimento
1Creazione e gestione dell'account utenteArt. 6(1)(b) GDPR — esecuzione del contratto sottoscritto dal Cliente, di cui l'Utente è soggetto autorizzatoNecessario per accedere al Servizio
2Autenticazione e gestione della sessioneArt. 6(1)(b) + 6(1)(f) GDPR — sicurezzaNecessario
3Erogazione delle funzionalità applicative (interfaccia, preferenze, MFA)Art. 6(1)(b) GDPRNecessario per le funzionalità che lo richiedono
4Sicurezza, prevenzione frodi e abusi (log accessi, audit log amministratori)Art. 6(1)(f) GDPR — legittimo interesse alla sicurezzaAutomatico
5Comunicazioni di sistema (notifiche di sicurezza, conferme di azioni rilevanti, reset password)Art. 6(1)(b) GDPRAutomatico per la fruizione del Servizio
6Adempimento di obblighi di legge (es. ordini di autorità)Art. 6(1)(c) GDPRAutomatico
7Esecuzione del contratto MSA con il Cliente (firma, gestione abbonamento, rinnovi, recesso) — riguarda Referenti contrattuali (§2.3)Art. 6(1)(b) GDPR — esecuzione contrattoNecessario per sottoscrivere il Servizio
8Fatturazione e adempimenti fiscali/contabili (emissione fatture, comunicazioni IVA, conservazione documenti fiscali)Art. 6(1)(c) GDPR — obbligo legaleNecessario per legge
9Comunicazioni contrattuali al Cliente (modifiche MSA/DPA, modifiche sub-processor, avvisi di rinnovo, comunicazioni di servizio)Art. 6(1)(b) GDPR — esecuzione contrattoNecessario per la gestione del rapporto

Le righe 7-9 (sfondo grigio) si applicano specificamente ai Referenti contrattuali del Cliente (§2.3).

AITAKY non utilizza i dati degli Utenti applicativi per finalità di marketing diretto, né per profilazione commerciale. Eventuali comunicazioni commerciali sono rivolte unicamente al Referente contrattuale del Cliente (§2.3) secondo le condizioni di sua sottoscrizione.

4. Periodo di conservazione

Categoria datiPeriodo di conservazione
Dati di account e profilo UtenteDurata dell'autorizzazione del Cliente all'Utente. Alla disattivazione: cancellati o anonimizzati entro 90 giorni
Log di accesso (login successful/failed)12 mesi
Log di audit amministratori (azioni privilegiate)24 mesi
Backup di sistema contenenti dati personali7 giorni di retention (si rinnovano ciclicamente)
Log tecnici di sicurezza/anti-abuse12 mesi
Dati contrattuali del Referente del Cliente (§2.3): anagrafica firmatario, P.IVA, sede, dati di fatturazione, storico contrattualePer tutta la durata del contratto + 10 anni post-cessazione per obblighi fiscali e civilistici (artt. 2220 c.c., 22 DPR 600/1973)
Documenti fiscali (fatture, ricevute)10 anni dalla data di emissione (normativa fiscale italiana)

Al termine del contratto del Cliente con AITAKY si applicano i termini di conservazione previsti dal MSA e dal DPA, in particolare il periodo di grazia di 90 giorni seguito da cancellazione definitiva.

5. Modalità del trattamento

Il trattamento è effettuato con strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e con misure di sicurezza atte a garantire riservatezza, integrità e disponibilità dei dati (vedi §10).

Possono accedere ai dati, in qualità di Autorizzati al trattamento, esclusivamente:

  • personale interno AITAKY formalmente nominato ai sensi dell'art. 29 GDPR (e, ove applicabile, come Amministratore di Sistema ai sensi del Provvedimento del Garante 27 novembre 2008)
  • i Sub-responsabili (sub-processor) elencati al §6

6. Sub-responsabili (Sub-processor)

L'elenco completo e aggiornato dei sub-processor è disponibile sulla pagina pubblica di trasparenza: Sub-processor.

In sintesi, alla data della presente informativa:

Sub-processorFunzioneLocalizzazione
AWS Europe SARLHosting, S3, Cognito (Documentale), SES (email)UE — Francoforte
Supabase Inc.Database Postgres, autenticazione utenti, storageUE — Francoforte
Stripe Payments Europe LtdElaborazione pagamenti (lato Cliente, non interessa direttamente gli Utenti applicativi)UE
Google Cloud (Vertex AI / Gemini)Funzioni AI in-app: assistente, generazione documenti, estrazione PDF, ricerca semantica, embeddingsUE
Google Ireland Limited (Google Workspace)Email aziendale AITAKY (mailbox @aitaky.com)UE

7. Comunicazione e diffusione dei dati

I dati personali degli Utenti non sono ceduti né venduti a terzi. Possono essere comunicati esclusivamente:

  • ai sub-processor di cui al §6, nei limiti delle rispettive funzioni
  • ad autorità competenti (Garante Privacy, Autorità Giudiziaria, Polizia) su richiesta motivata e nei limiti di legge
  • a consulenti professionali (es. studio legale) di AITAKY in caso di necessità di tutela di un diritto

I dati personali non sono diffusi pubblicamente.

Al Cliente (lo studio/l'azienda che ha autorizzato l'Utente) sono accessibili i dati operativi dell'Utente nell'applicazione (es. azioni svolte, log delle attività) ai sensi del rapporto contrattuale tra Cliente e Utente. Tale rapporto è governato dal contratto di lavoro/collaborazione tra di essi e non è oggetto della presente informativa.

8. Trasferimenti di dati extra-UE

L'intera catena di trattamento dei dati personali degli Utenti — hosting, database, autenticazione, storage documenti, funzioni AI, email — si svolge all'interno dell'Unione Europea:

  • AWS Europe SARL — regione Francoforte (Germania)
  • Supabase — regione UE Central (Francoforte)
  • Google Cloud Vertex AI — regione UE
  • Google Workspace — Irlanda
  • Stripe Payments Europe Ltd — Irlanda

Non sono effettuati trasferimenti sistematici di dati personali al di fuori dell'UE.

Possono verificarsi accessi puntuali da parte del personale di supporto dei sub-processor con sede al di fuori dell'UE (es. supporto Supabase/Stripe/Google da USA). Tali accessi sono coperti dalle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea, incluse nei DPA stipulati con i rispettivi sub-processor, e accompagnati da misure supplementari (cifratura, accesso limitato).

I prompt inviati al sub-processor AI (Vertex AI) sono trattati in regione UE e non vengono utilizzati per l'addestramento dei modelli (impostazione di default di Vertex AI, confermata da AITAKY). L'autenticazione di AITAKY verso Vertex AI avviene tramite Workload Identity Federation, senza credenziali statiche.

9. Diritti dell'Utente (artt. 15-22 GDPR)

L'Utente ha diritto in qualsiasi momento di:

  • Accesso (art. 15): ottenere conferma del trattamento dei propri dati e una copia
  • Rettifica (art. 16): chiedere la correzione di dati inesatti o incompleti
  • Cancellazione (art. 17): chiedere la cancellazione nei casi previsti dal GDPR
  • Limitazione (art. 18): chiedere la limitazione del trattamento
  • Portabilità (art. 20): ottenere i propri dati in formato strutturato e di uso comune
  • Opposizione (art. 21): opporsi al trattamento per motivi connessi alla situazione particolare
  • Non essere sottoposto a decisioni automatizzate (art. 22): AITAKY non effettua decisioni automatizzate aventi effetti giuridici sull'Utente. Le funzioni AI sono strumenti di supporto all'Utente, non meccanismi decisionali

Importante: se la richiesta riguarda i dati operativi caricati nell'applicazione dal Cliente (categoria 🟢 — anagrafiche di terzi, documenti, ecc.), l'interessato deve rivolgersi al Cliente (Titolare del trattamento di quei dati). AITAKY assisterà il Cliente nell'evasione della richiesta come da DPA.

Come esercitare i propri diritti verso AITAKY

L'Utente può scrivere a:

AITAKY risponderà entro 30 giorni dalla richiesta (con possibile proroga di ulteriori 60 giorni in casi complessi, ex art. 12.3 GDPR).

Reclamo all'autorità di controllo

Qualora l'Utente ritenga che il trattamento dei propri dati violi il GDPR, può proporre reclamo al Garante per la Protezione dei Dati Personali:

10. Sicurezza

AITAKY adotta misure tecniche e organizzative adeguate per proteggere i dati degli Utenti ai sensi dell'art. 32 GDPR. Tra le misure principali:

  • Cifratura in transito (TLS 1.2+) su tutti gli endpoint
  • Cifratura at rest sui database e sullo storage
  • Isolamento dei tenant tramite Row Level Security a livello di database
  • Autenticazione robusta con hash password sicuro
  • MFA disponibile per gli Utenti che desiderano abilitarlo
  • Backup automatici giornalieri (retention 7 giorni)
  • Segregazione degli ambienti dev/staging/produzione
  • Accesso ai sistemi di produzione limitato al personale autorizzato e formalmente nominato
  • Audit log degli accessi amministrativi (in fase di implementazione, attivo entro fine 2026)
  • Procedura interna di gestione data breach con notifica al Garante entro 72 ore ove applicabile

Maggiori dettagli sulle misure di sicurezza sono disponibili agli Utenti aventi titolo (es. tramite il Cliente di riferimento, nell'ambito del DPA).

11. Cookie e tecnologie simili

L'applicazione Argo utilizza esclusivamente cookie tecnici necessari al funzionamento del Servizio (es. token di sessione Supabase Auth, cookie AWS Cognito per il modulo Documentale, eventuali cookie tecnici Stripe nelle aree di pagamento). Non sono utilizzati cookie di profilazione, analytics o marketing.

Per il dettaglio completo dei cookie utilizzati dall'applicazione, si rimanda alla Cookie Policy dell'applicazione Argo.

12. Modifiche alla presente informativa

AITAKY si riserva il diritto di aggiornare la presente Privacy Policy in qualsiasi momento per riflettere modifiche normative, organizzative o tecniche. La versione vigente è sempre quella pubblicata su questa pagina con la relativa data di aggiornamento.

In caso di modifiche sostanziali, AITAKY ne darà comunicazione all'Utente tramite:

  • avviso in-app al primo accesso successivo
  • email all'indirizzo registrato

L'Utente prende atto che il proseguimento dell'utilizzo del Servizio dopo l'entrata in vigore delle modifiche costituisce conoscenza delle stesse, fermo restando il suo diritto di opposizione e di esercizio dei diritti previsti dal GDPR.

Contatti

Per qualsiasi richiesta relativa ai propri dati personali, scrivere a privacy@aitaky.com.

Ultimo aggiornamento: 24 maggio 2026 (v0.3)