Informativa sulla Privacy

Versione 2.0 · Ultimo aggiornamento 27 aprile 2026 · In vigore dal 27 aprile 2026

La presente Informativa sulla Privacy descrive come LIA ("noi", "nostro") raccoglie, utilizza, trasferisce e protegge i tuoi dati personali quando utilizzi il servizio LIA su liaplugin.com, inclusa l'applicazione web LIA su app.liaplugin.com, il Bridge LIA per Ableton Live e tutti i servizi correlati (collettivamente, il "Servizio"). È redatta in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

1. Titolare del Trattamento

Il titolare del trattamento è Jacopo Di Loreto, ditta individuale (SRL Innovativa Unipersonale in costituzione, P.IVA in attivazione), Abruzzo, Italia. Contatto: [email protected].

Non è stato designato un Responsabile della Protezione dei Dati (DPO). Le attività descritte in questa informativa non superano le soglie dell'art. 37 GDPR che richiederebbero la nomina obbligatoria di un DPO. Il contatto privacy sopra indicato risponde a tutte le richieste in materia di protezione dei dati.

2. Tipi di Dati Raccolti

2.1 Dati account

• Indirizzo email (sempre)
• Password con hash e token di sessione (gestiti da Supabase Auth, regione UE), non vediamo mai le password in chiaro
• Nome visualizzato (opzionale)
• Piano corrente e stato dell'abbonamento

2.2 Dati di abbonamento e pagamento

I pagamenti sono elaborati dal nostro merchant of record (vedi §4). Riceviamo un ID cliente Polar, lo stato dell'abbonamento e metadati come il codice del piano. Non vediamo mai il numero completo della carta o i dettagli di fatturazione.

2.3 Utilizzo del servizio

• Messaggi di chat che invii all'assistente e relative risposte generate
• Sessioni Bridge (nome DAW, versione, regione derivata da IP, timestamp)
• Contatori giornalieri di messaggi e saldi del wallet
• Preferenze di notifica

2.4 Dati tecnici

• Indirizzo IP (raccolto al momento della richiesta, sottoposto ad hash prima dell'archiviazione nei log di audit, mai conservato in formato grezzo)
• Stringa User-Agent (sottoposta ad hash prima dell'archiviazione)
• Log di accesso Caddy (vedi §7 per la conservazione; le query string vengono rimosse, vedi §8)

3. Base Giuridica del Trattamento (Art. 6 GDPR)

• Esecuzione del contratto (art. 6.1.b): per la fornitura del Servizio
• Obbligo legale (art. 6.1.c): per la conservazione di documenti fiscali e contabili
• Legittimo interesse (art. 6.1.f): per sicurezza, prevenzione frodi, miglioramento del Servizio
• Consenso (art. 6.1.a): per cookie analitici opzionali e comunicazioni di marketing

4. Fornitori di Servizi / Responsabili del Trattamento

• Supabase (Irlanda, regione UE): hosting database e autenticazione
• Polar (Stati Uniti): merchant of record per pagamenti. DPF certified
• Hostinger (Cipro/UE): hosting VPS
• Cloudflare (Stati Uniti, regione UE per Workers): CDN e WAF, DPF certified

5. Fornitori di Inferenza AI

I tuoi messaggi di chat sono inviati a fornitori di inferenza AI per la generazione delle risposte:

• Google Gemini (Google LLC, Stati Uniti): DPF certified
• Anthropic Claude (Stati Uniti): DPF certified

Non utilizziamo fornitori AI in giurisdizioni prive di decisione di adeguatezza UE (nessun fornitore in Cina, Russia o altre giurisdizioni non adeguate).

6. Trasferimenti Internazionali di Dati

Quando i dati vengono trasferiti al di fuori del SEE, applichiamo:

• EU-US Data Privacy Framework (DPF) per fornitori certificati negli USA
• Clausole Contrattuali Standard (SCC), Modulo 2, Decisione UE 2021/914

7. Conservazione dei Dati

• Dati account: per la durata dell'abbonamento + 30 giorni dopo la cancellazione
• Messaggi di chat: 90 giorni dall'invio (poi cancellati automaticamente)
• Log di audit (con IP/UA hash): 12 mesi
• Documenti fiscali: 10 anni (obbligo di legge)

8. Cookie e Analytics

Utilizziamo solo cookie strettamente necessari per il funzionamento del Servizio (sessione, preferenza lingua). Per le analytics di traffico utilizziamo Plausible (auto-ospitato, senza cookie, senza fingerprinting). Le query string sono rimosse dai log Caddy per impedire la perdita di PII tramite parametri URL.

Cookie di marketing (opzionali, soggetti a consenso): utilizziamo il Meta (Facebook) Pixel per l'attribuzione pubblicitaria solo dopo che hai concesso la categoria di consenso "marketing" tramite il banner cookie. Se rifiuti (o non hai ancora interagito con il banner) nessun dato viene inviato a Meta. Puoi revocare il consenso in qualsiasi momento tramite il link "Preferenze cookie" nel footer. Non utilizziamo Google Analytics.

9. I Tuoi Diritti (Art. 15-22 GDPR)

• Accesso: ricevere copia dei tuoi dati (art. 15)
• Rettifica: correggere dati inesatti (art. 16)
• Cancellazione: "diritto all'oblio" (art. 17)
• Limitazione: limitare il trattamento (art. 18)
• Portabilità: ricevere i dati in formato strutturato (art. 20)
• Opposizione: opporsi al trattamento basato su legittimo interesse (art. 21)
• Revoca del consenso: in qualsiasi momento per i trattamenti basati sul consenso (art. 7.3)

Per esercitare i tuoi diritti: [email protected]. Risponderemo entro 30 giorni.

10. Diritto di Accesso alla Lista dei Sub-Processor (Art. 15)

Lista aggiornata dei sub-processor disponibile su /api/legal/subprocessors (endpoint autenticato).

11. Privacy dei Minori

Il Servizio non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se vieni a conoscenza che un minore ci ha fornito dati, contattaci per la cancellazione.

12. Misure di Sicurezza

• Crittografia in transito (TLS 1.3) e a riposo (AES-256)
• Autenticazione multi-fattore per accessi amministrativi
• Isolamento di rete: servizi interni vincolati a loopback o Tailscale
• Trail di audit per tutte le azioni amministrative
• Procedura di risposta a incidenti documentata

13. Reclami

Hai il diritto di proporre reclamo all'autorità di controllo competente: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it.

14. Modifiche alla Presente Informativa

Notificheremo modifiche sostanziali via email e tramite avviso nell'app. La data "Ultimo aggiornamento" in alto indica l'ultima revisione.

15. Contatti

Per domande relative alla privacy: [email protected]