Vai al contenuto
Documento legale

Privacy Policy

Ultimo aggiornamento: 2026-05-24. La versione italiana è giuridicamente vincolante; le eventuali traduzioni in altre lingue sono fornite a titolo di cortesia.

Ultimo aggiornamento: 24 maggio 2026

La presente versione in lingua italiana costituisce il testo giuridicamente vincolante. La versione in lingua inglese è fornita esclusivamente a titolo di cortesia e non ha valore legale.

1. Titolare del Trattamento

Ai sensi dell’articolo 4, punto 7, del Regolamento (UE) 2016/679 (di seguito “GDPR” o “Regolamento”), il Titolare del trattamento dei dati personali è:

Obsidian Technologies Partita IVA: 02864680414 Sede legale: Via Campania 4, 61032 Fano (PU) Email: support@deepneural.tech

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono le condizioni di cui all’articolo 37 del Regolamento (UE) 2016/679. Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare il Titolare all’indirizzo email sopra indicato.

2. Dati Personali Raccolti

La Piattaforma DeepNeural (di seguito “Piattaforma”) raccoglie le seguenti categorie di dati personali:

2.1 Dati forniti direttamente dall’Utente

  • Dati di registrazione: nome, cognome, indirizzo email, password (conservata esclusivamente in forma di hash crittografico tramite algoritmo bcrypt), lingua preferita.
  • Dati dell’Organizzazione: nome dell’organizzazione, settore di attività, dimensione aziendale, paese, descrizione.
  • Dati di fatturazione: ragione sociale o denominazione, partita IVA, indirizzo di fatturazione, codice destinatario SDI, indirizzo PEC. Tali dati sono gestiti tramite la piattaforma di pagamento Stripe e non vengono conservati sui server di DeepNeural ad eccezione di quanto necessario per la documentazione fiscale.
  • Documenti: file caricati dall’Utente nei formati supportati (PDF, DOCX, XLSX, PPTX, JPG, PNG, WebP). I documenti sono conservati su infrastruttura Supabase Storage situata nell’Unione Europea (Francoforte, Germania).
  • Conversazioni: messaggi inviati dall’Utente e risposte generate dall’intelligenza artificiale nell’ambito dell’utilizzo della Piattaforma.

2.2 Dati raccolti automaticamente

  • Dati tecnici: indirizzo IP, user agent del browser, sistema operativo, tipo di dispositivo.
  • Log di utilizzo: timestamp delle richieste, tipologia di operazione, modello di intelligenza artificiale utilizzato, numero di token elaborati, costo della singola richiesta.
  • Cookie tecnici: esclusivamente cookie di sessione necessari per il funzionamento della Piattaforma (si veda la Sezione 9).

2.3 Dati acquisiti da terze parti

  • Google OAuth: qualora l’Utente scelga di registrarsi o accedere tramite il proprio account Google, vengono acquisiti: indirizzo email, nome e cognome, immagine del profilo. L’acquisizione avviene previo consenso dell’Utente tramite la schermata di autorizzazione di Google.

3. Finalità e Basi Giuridiche del Trattamento

I dati personali sono trattati per le seguenti finalità e sulla base dei seguenti fondamenti giuridici:

Finalità del trattamentoBase giuridica
Registrazione dell’account, accesso alla Piattaforma ed erogazione delle funzionalità del servizioEsecuzione del contratto — art. 6, par. 1, lett. b) GDPR
Elaborazione dei documenti caricati tramite modelli di intelligenza artificiale (estrazione testo, generazione riassunti, risposte alle domande)Esecuzione del contratto — art. 6, par. 1, lett. b) GDPR
Gestione dei pagamenti, emissione di fatture e adempimenti contabiliEsecuzione del contratto e obbligo legale — art. 6, par. 1, lett. b) e c) GDPR
Conservazione della documentazione fiscale e contabile per il periodo previsto dalla legge (10 anni)Obbligo legale — art. 6, par. 1, lett. c) GDPR, in combinato disposto con l’art. 2220 del Codice Civile e il D.P.R. 600/1973
Invio di comunicazioni di servizio (email di verifica account, notifiche relative all’account, comunicazioni su modifiche contrattuali)Esecuzione del contratto — art. 6, par. 1, lett. b) GDPR
Tutela della sicurezza della Piattaforma (analisi log, rate limiting, prevenzione abusi, rilevamento anomalie)Legittimo interesse del Titolare — art. 6, par. 1, lett. f) GDPR
Invio di comunicazioni commerciali e di marketing (solo previo consenso esplicito dell’Utente)Consenso — art. 6, par. 1, lett. a) GDPR

Con riferimento al legittimo interesse di cui all’ultima riga della tabella, il Titolare ha effettuato un bilanciamento ai sensi del considerando 47 del GDPR, ritenendo che le misure di sicurezza adottate siano proporzionate e non comprimano in modo eccessivo i diritti e le libertà degli Interessati.

4. Documenti Caricati e Intelligenza Artificiale

La presente sezione descrive in dettaglio il trattamento dei dati effettuato nell’ambito delle funzionalità di intelligenza artificiale della Piattaforma.

4.1 I documenti caricati dagli Utenti vengono elaborati dalla Piattaforma al fine di estrarne il contenuto testuale, generare riassunti automatici e fornire risposte alle domande formulate dall’Utente in relazione ai documenti stessi.

4.2 Il testo estratto dai documenti viene trasmesso, tramite chiamate API sicure (protocollo HTTPS), ai seguenti fornitori di servizi di intelligenza artificiale:

  • Anthropic PBC (San Francisco, USA) — per i modelli Claude;
  • Google LLC (Mountain View, USA) — per i modelli Gemini;
  • OpenAI LLC (San Francisco, USA) — per i modelli OpenAI.

Tale trasmissione è necessaria per l’erogazione del servizio ed è disciplinata dalla base giuridica contrattuale di cui all’articolo 6, paragrafo 1, lettera b) del GDPR.

4.3 I dati trasmessi ai fornitori di intelligenza artificiale NON vengono utilizzati per l’addestramento (training) di modelli AI. Tutti i provider AI utilizzati (Anthropic, Google, OpenAI) dichiarano espressamente nelle rispettive policy applicabili all’utilizzo delle API che i dati ricevuti tramite interfaccia API non vengono impiegati per il training dei propri modelli, come specificato nelle rispettive Usage Policy e Terms of Service per le API.

4.4 I documenti originali caricati dall’Utente sono conservati esclusivamente su server ubicati nell’Unione Europea (regione Francoforte, Germania) tramite l’infrastruttura Supabase Storage.

4.5 L’Utente è tenuto a non caricare sulla Piattaforma documenti contenenti categorie particolari di dati personali ai sensi dell’articolo 9 del GDPR (dati relativi alla salute, all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose, all’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla vita sessuale o all’orientamento sessuale) salvo che disponga di un’adeguata base giuridica per il relativo trattamento. DeepNeural non effettua alcuna verifica automatica sulla natura dei dati contenuti nei documenti caricati e declina ogni responsabilità per il caricamento di dati sensibili in assenza di una valida base giuridica.

4.6 L’organizzazione che carica sulla Piattaforma documenti contenenti dati personali di soggetti terzi agisce in qualità di Titolare autonomo del trattamento per tali dati. In questo contesto, Obsidian Technologies opera in qualità di Responsabile del trattamento ai sensi dell’articolo 28 del GDPR. Le condizioni specifiche di tale rapporto, incluse le istruzioni documentate, le misure di sicurezza e le garanzie, sono disciplinate dall’Accordo per il Trattamento dei Dati (Data Processing Agreement — DPA) disponibile all’indirizzo deepneural.tech/dpa.

5. Destinatari e Responsabili del Trattamento

I dati personali possono essere comunicati ai seguenti soggetti terzi, ciascuno dei quali opera in qualità di Responsabile del trattamento ai sensi dell’articolo 28 del GDPR, salvo ove diversamente specificato:

ServizioFornitoreSede legaleFinalitàTrasferimento extra-UE
Database, Autenticazione, Storage documentiSupabase Inc.USA (server nella regione EU — Francoforte, Germania)Archiviazione dati utente, autenticazione, conservazione documentiNo — dati su server UE
Provider AIAnthropic PBCUSAElaborazione AI tramite modelli ClaudeSì — Clausole Contrattuali Tipo (SCC)
Provider AIGoogle LLCUSAElaborazione AI tramite modelli GeminiSì — SCC + EU-US Data Privacy Framework (DPF)
Provider AIOpenAI LLCUSAElaborazione AI tramite modelli OpenAISì — Clausole Contrattuali Tipo (SCC)
Gestione pagamenti e fatturazioneStripe Inc.USA (tramite Stripe Technology Europe Ltd, Irlanda)Processamento pagamenti, gestione abbonamenti, fatturazioneParziale — SCC + DPF
Email transazionaliResend Inc.USAInvio email di verifica, notifiche relative all’account, comunicazioni di servizioSì — SCC
Hosting frontendVercel Inc.USA (CDN con distribuzione globale)Hosting e distribuzione dell’applicazione webSì — SCC + DPF
Hosting backendRailway Corp.USAHosting del server applicativoSì — SCC
Autenticazione OAuthGoogle LLCUSAAccesso tramite account Google (se scelto dall’Utente)Sì — SCC + DPF

I dati personali non sono comunicati a soggetti terzi per finalità di marketing o profilazione.

Esclusione di provider AI su richiesta dell’Organizzazione. Su richiesta scritta dell’Organizzazione (titolare autonomo per i documenti caricati), Obsidian Technologies può escludere uno o più dei provider AI sopra elencati dall’elaborazione dei dati di quell’Organizzazione. Le richieste vanno inoltrate al canale di supporto e hanno effetto entro 5 (cinque) giorni lavorativi dalla conferma di presa in carico.

6. Trasferimenti Internazionali di Dati

6.1 Come indicato nella Sezione 5, alcuni dati personali vengono trasferiti verso fornitori di servizi aventi sede negli Stati Uniti d’America.

6.2 Tali trasferimenti avvengono nel rispetto del Capo V del GDPR (articoli 44-49) e sono assistiti dalle seguenti garanzie:

  • Clausole Contrattuali Tipo (Standard Contractual Clauses — SCC) adottate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021, stipulate con ciascun fornitore;
  • ove applicabile, adesione del fornitore al EU-US Data Privacy Framework (DPF), riconosciuto adeguato dalla Commissione Europea con Decisione di Adeguatezza del 10 luglio 2023.

6.3 Il Titolare ha valutato l’efficacia delle garanzie adottate conformemente alle indicazioni fornite dalla Corte di Giustizia dell’Unione Europea nella sentenza C-311/18 (Schrems II) e dalle Raccomandazioni 01/2020 dell’EDPB sulle misure supplementari.

6.4 I documenti caricati dagli Utenti sono conservati esclusivamente su server ubicati nell’Unione Europea (Francoforte, Germania). Solo il testo estratto viene trasmesso ai fornitori AI per l’elaborazione, senza conservazione permanente da parte di questi ultimi.

6.5 L’Utente può richiedere copia delle Clausole Contrattuali Tipo applicabili scrivendo a support@deepneural.tech.

7. Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione di cui all’articolo 5, paragrafo 1, lettera e) del GDPR.

Categoria di datiPeriodo di conservazione
Dati dell’account (nome, email, preferenze)Per l’intera durata del rapporto contrattuale
Documenti caricatiPer l’intera durata del rapporto contrattuale
Conversazioni AIPer l’intera durata del rapporto contrattuale
Dati dell’account dopo sospensione dell’Organizzazione per mancato pagamento37 giorni dalla sospensione, dopodiché cancellazione definitiva
Documenti dopo cancellazione dell’accountCancellazione immediata e irreversibile
Conversazioni dopo cancellazione dell’accountAnonimizzazione irreversibile
Dati di fatturazione e documentazione fiscale10 anni dalla data dell’operazione (art. 2220 c.c., D.P.R. 600/1973)
Log di utilizzo e dati tecnici12 mesi dalla data di raccolta
Dati relativi ai cookieSi veda la Cookie Policy

Al termine del periodo di conservazione, i dati vengono cancellati in modo definitivo o anonimizzati in modo irreversibile, in modo tale da non consentire più l’identificazione dell’Interessato.

8. Diritti dell’Interessato

Ai sensi degli articoli da 15 a 22 del GDPR, l’Interessato ha il diritto di:

  • Accesso (art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento dei propri dati personali e, in caso affermativo, ottenere l’accesso ai dati e alle informazioni previste dal Regolamento, inclusa una copia dei dati oggetto di trattamento;
  • Rettifica (art. 16 GDPR): ottenere la rettifica dei dati personali inesatti o l’integrazione dei dati incompleti;
  • Cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati personali che lo riguardano, nei casi previsti dal Regolamento (c.d. “diritto all’oblio”);
  • Limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento nei casi previsti dal Regolamento;
  • Portabilità (art. 20 GDPR): ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti al Titolare, e trasmetterli a un altro titolare senza impedimenti;
  • Opposizione (art. 21 GDPR): opporsi al trattamento dei dati fondato sul legittimo interesse del Titolare, per motivi connessi alla propria situazione particolare;
  • Revoca del consenso (art. 7, par. 3 GDPR): revocare in qualsiasi momento il consenso eventualmente prestato, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prima della revoca.

Come esercitare i propri diritti

L’Interessato può esercitare i diritti sopra elencati inviando una richiesta scritta all’indirizzo email support@deepneural.tech, indicando con chiarezza il diritto che intende esercitare e fornendo gli elementi necessari per la propria identificazione.

Il Titolare fornirà riscontro alla richiesta senza ingiustificato ritardo e, in ogni caso, entro 30 giorni dal ricevimento della stessa, ai sensi dell’articolo 12, paragrafo 3, del GDPR. Tale termine può essere prorogato di ulteriori 60 giorni, ove necessario, tenuto conto della complessità e del numero delle richieste. In tal caso, il Titolare ne informerà l’Interessato entro 30 giorni dal ricevimento della richiesta, indicando i motivi della proroga.

Diritto di reclamo

L’Interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha il diritto di proporre reclamo all’Autorità di controllo competente. Per l’Italia, l’Autorità competente è il:

Garante per la Protezione dei Dati Personali Piazza Venezia 11 — 00187 Roma Sito web: www.garanteprivacy.it Email: garante@gpdp.it PEC: protocollo@pec.gpdp.it

9.1 La Piattaforma applicativa (/app) utilizza esclusivamente cookie tecnici strettamente necessari per il corretto funzionamento del servizio (autenticazione di sessione, preferenze di lingua). Su tale ambiente non sono presenti cookie di marketing, profilazione, né cookie analitici di terze parti.

9.2 Sul sito vetrina (deepneural.tech/ — pagine pubbliche come Home, Pricing, Sicurezza, Chi siamo, Contatti, verticali e documenti legali) vengono utilizzati, oltre ai cookie tecnici, cookie analitici di Google Analytics 4 per finalità statistiche aggregate. Tali cookie sono attivati esclusivamente previo consenso esplicito dell’utente, raccolto tramite l’apposito banner conforme al provvedimento del Garante n. 231 del 10 giugno 2021, con scelta binaria “Accetta tutti” / “Solo necessari”. Il rifiuto del consenso non pregiudica la navigazione. Configurazioni applicate: IP anonimizzato, Google Consent Mode v2 default-deny, nessuna finalità pubblicitaria.

9.3 Ai sensi dell’articolo 122, comma 1, del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, nonché delle Linee Guida del Garante Privacy del 10 giugno 2021 in materia di cookie, l’utilizzo di cookie tecnici non richiede il consenso dell’Utente; i cookie analitici di terze parti sono attivati solo previo consenso (Sezione 9.2).

9.4 Per maggiori dettagli sulla tipologia, durata e funzionamento dei cookie utilizzati, si rinvia alla Cookie Policy disponibile all’indirizzo deepneural.tech/cookies.

10. Sicurezza dei Dati

Ai sensi dell’articolo 32 del GDPR, il Titolare adotta misure tecniche e organizzative adeguate al rischio, al fine di garantire un livello di sicurezza appropriato. Tali misure comprendono, a titolo esemplificativo e non esaustivo:

  • Crittografia in transito: tutte le comunicazioni tra l’Utente e la Piattaforma, nonché tra la Piattaforma e i servizi terzi, avvengono tramite protocollo HTTPS/TLS;
  • Crittografia a riposo: i dati archiviati su Supabase sono protetti da crittografia a riposo;
  • Hashing delle password: le password degli Utenti sono conservate esclusivamente in forma di hash crittografico tramite algoritmo bcrypt e non sono mai memorizzate in chiaro;
  • Row Level Security (RLS): il database implementa policy di sicurezza a livello di riga che garantiscono l’isolamento completo dei dati tra le diverse organizzazioni;
  • Autenticazione JWT: l’accesso alle API avviene tramite token JWT con scadenza temporale;
  • Rate limiting: tutti gli endpoint della Piattaforma sono protetti da meccanismi di limitazione delle richieste per prevenire abusi e attacchi di tipo brute force;
  • Principio del minimo privilegio: l’accesso ai dati personali è limitato al personale strettamente necessario per l’erogazione del servizio;
  • Validazione input: tutti i dati in ingresso sono sottoposti a validazione e sanitizzazione per prevenire attacchi di tipo injection;
  • Monitoraggio: sistemi di error tracking per il rilevamento tempestivo di anomalie e malfunzionamenti.

Il Titolare si impegna a notificare al Garante per la Protezione dei Dati Personali eventuali violazioni di dati personali entro 72 ore dalla scoperta, ai sensi dell’articolo 33 del GDPR, qualora la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

11. Trattamento di Dati di Minori

La Piattaforma è destinata esclusivamente a soggetti maggiorenni (età minima 18 anni) ed è concepita per un utilizzo in ambito professionale e aziendale (B2B).

Il Titolare non raccoglie consapevolmente dati personali di soggetti di età inferiore ai 18 anni. Qualora il Titolare venga a conoscenza di aver raccolto dati personali di un minore, provvederà alla loro cancellazione immediata.

12. Modifiche all’Informativa

12.1 Il Titolare si riserva il diritto di modificare o aggiornare la presente Informativa in qualsiasi momento, al fine di adeguarla a nuove disposizioni normative, a pronunce giurisprudenziali o a modifiche delle funzionalità della Piattaforma.

12.2 La versione aggiornata dell’Informativa sarà pubblicata sulla Piattaforma con indicazione della data dell’ultimo aggiornamento.

12.3 In caso di modifiche sostanziali che incidano significativamente sulle modalità di trattamento dei dati personali, il Titolare ne darà comunicazione all’Utente tramite email all’indirizzo associato al proprio account e/o tramite avviso ben visibile all’interno della Piattaforma, con un preavviso ragionevole prima dell’entrata in vigore delle modifiche.

12.4 L’utilizzo continuato della Piattaforma successivamente alla pubblicazione dell’Informativa aggiornata costituisce presa d’atto delle modifiche apportate. Ove le modifiche richiedano il consenso dell’Utente ai sensi della normativa applicabile, tale consenso sarà richiesto in modo esplicito.

13. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati personali, all’esercizio dei diritti di cui alla Sezione 8, o per qualsiasi chiarimento in merito alla presente Informativa, è possibile contattare il Titolare ai seguenti recapiti:

Obsidian Technologies Sede legale: Via Campania 4, 61032 Fano (PU) Partita IVA: 02864680414 Email: support@deepneural.tech

La presente Informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 101.