Privacy Policy

Ultimo aggiornamento: 01 April 2026

1. Introduzione

AuroraNote ("noi", "nostro", o "ci") è impegnata a proteggere la tua privacy e garantire la sicurezza delle tue informazioni personali. Questa Privacy Policy spiega come raccogliamo, utilizziamo, divulghiamo e proteggiamo le tue informazioni quando utilizzi la nostra piattaforma di analisi multimediale.

Conformità GDPR: Questa policy è conforme al Regolamento Generale sulla Protezione dei Dati (GDPR) e ad altre leggi applicabili sulla privacy.

2. Informazioni che Raccogliamo

2.1 Informazioni Personali

  • Nome e informazioni di contatto (indirizzo email)
  • Credenziali dell'account (password crittografate)
  • Tipo di organizzazione e affiliazione
  • Preferenze di utilizzo e impostazioni
  • Dati per la reimpostazione password: hash del token di reset, codice di sicurezza a 6 cifre e metadati tecnici (creazione, scadenza 1h, utilizzo, IP, User‑Agent).

2.2 Dati del Contenuto

  • File audio e video che carichi per l'elaborazione
  • Trascrizioni e traduzioni generate dal tuo contenuto
  • Riassunti e approfondimenti generati dall'IA
  • Documenti PDF creati tramite il nostro servizio

2.3 Informazioni Tecniche

  • Indirizzo IP e informazioni del dispositivo (anche per rate limiting: 200/giorno, 50/ora per IP)
  • Tipo di browser e sistema operativo
  • Log tecnici di utilizzo (JSONL) e mapping file–email per controlli di accesso
  • Cookie di sessione e registrazioni di consenso (banner cookie)

3. Come Utilizziamo le Tue Informazioni

Utilizziamo le informazioni raccolte per i seguenti scopi:

  • Fornire e mantenere i nostri servizi
  • Elaborare i tuoi contenuti multimediali
  • Migliorare la qualità e l'accuratezza dei nostri servizi
  • Comunicare con te riguardo al tuo account
  • Fornire supporto tecnico e assistenza clienti
  • Rispettare gli obblighi legali e normativi
  • Gestire la reimpostazione della password tramite link email e codice di sicurezza a 6 cifre (token monouso con validità 1 ora).

4. Sicurezza dei Dati

Trasporto e protezioni: I dati in transito sono protetti da HTTPS quando abilitato. A riposo, i dati non sono cifrati dall'applicazione (eccezione: password memorizzate come hash bcrypt); i contenuti possono risiedere su infrastruttura del nostro provider di hosting.

Applichiamo HTTP security headers (no‑cache), Content Security Policy restrittiva, rate limiting e controlli di accesso ai file basati sulla proprietà. I token di reset password sono memorizzati solo come hash e sono monouso con scadenza a 1 ora; al momento della richiesta la password attuale viene sostituita con una temporanea casuale per prevenire accessi non autorizzati.

5. Titolare del trattamento e contatti

Titolare: AuroraNote – Fabio Falletta
Indirizzo: Regione Leiso 78/f, 14050, San Marzano Oliveto
Email: auroranotelux@gmail.com
Non è nominato un DPO, in quanto non sussistono i requisiti dell’art. 37 GDPR.

6. Finalità e basi giuridiche

  • Esecuzione del contratto (art. 6.1.b): erogazione di trascrizione/correzione/traduzione, generazione PDF, gestione account e supporto.
  • Obblighi legali (art. 6.1.c): adempimenti fiscali e contabili connessi ai pagamenti (Paddle).
  • Interesse legittimo (art. 6.1.f): sicurezza, prevenzione abusi/frodi, miglioramento del servizio, analisi aggregate/anonime. Diritto di opposizione sempre esercitabile.
  • Consenso (art. 6.1.a): cookie non essenziali/analytics opzionali e comunicazioni marketing ove presenti.

6-bis. Ruoli e responsabilità (GDPR)

  • AuroraNote opera tipicamente come Titolare del trattamento per account, preferenze, log tecnici e gestione del servizio.
  • OpenAI tratta i contenuti inviati per trascrizione/correzione/analisi come Responsabile del trattamento rispetto a tali operazioni (ove configurato).
  • Paddle agisce generalmente come Titolare autonomo per i dati di pagamento e fatturazione.

7. Destinatari/Responsabili esterni

  • Render: hosting dell'applicazione, gestione runtime e log.
  • OpenAI: trascrizione/correzione testi e analisi AI (se configurato OPENAI_API_KEY).
  • Paddle: pagamenti e fatturazione; AuroraNote non conserva i dati della carta.
  • Google Fonts e CDN affidabili (es. jsDelivr, cdnjs): erogazione di asset statici consentiti dalla nostra CSP.

7-ter. Cookie e consenso

Il consenso ai cookie è registrato via API (POST /api/consent/cookie) in CACHE_DIR/cookie_consents.jsonl con: accepted, ts, IP, User‑Agent ed email utente (se nota). È prevista una verifica CSRF del token inviato.

7-bis. Decisioni automatizzate

Non effettuiamo decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici che ti riguardano o che incidano significativamente in modo analogo (art. 22 GDPR). Le funzionalità di IA forniscono supporto testuale/analitico e richiedono sempre il tuo controllo umano.

8. Trasferimenti extra‑UE

Alcuni fornitori (es. OpenAI, Paddle) possono trattare dati al di fuori dello SEE (es. USA/UK). I trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e, ove opportuno, misure supplementari. Un Data Transfer Impact Assessment (DTIA) è disponibile su richiesta.

9. Conservazione dei dati

  • Account/metadati: per la durata dell’account; cancellazione all’uso dell’endpoint di eliminazione (v. § 11‑bis) e/o a richiesta, fatti salvi obblighi legali.
  • Cache e PDF (CACHE_DIR, OUTPUT_DIR): rimozione automatica dei file più vecchi di AURORA_RETENTION_DAYS (predefinito 30 giorni), con job periodico e all’avvio.
  • Log di utilizzo (processed_videos.jsonl) e file–owner mapping (file_owners.jsonl): mantenuti con pruning a dimensione (tipico max ~1 MB).
  • Log client (client_logs.txt): mantenuti con pruning a dimensione (tipico max ~512 KB).
  • Consensi cookie (cookie_consents.jsonl): registro eventi; non eliminati automaticamente dall’endpoint di cancellazione.
  • Record di reset password (tabella password_resets): contengono hash del token, codice a 6 cifre e metadati (creazione, scadenza, utilizzo, IP, UA). I token scadono dopo 1 ora e vengono marcati come usati; i record non sono rimossi automaticamente e possono essere minimizzati/rimossi su richiesta ove tecnicamente possibile e nel rispetto di obblighi di legge.
  • Fatturazione (Paddle): secondo obblighi fiscali (fino a 10 anni).

    • 11‑bis. Esportazione ed eliminazione

    • Esportazione (DSAR): autenticato, GET /privacy/export restituisce JSON con profilo DB, elenco file associati (file_owners.jsonl), eventi d’uso (processed_videos.jsonl) e timestamp.
    • Eliminazione: autenticato, POST /privacy/delete con confirm=DELETE rimuove file in OUTPUT_DIR/CACHE_DIR e varianti (_fulltext.txt, _transcription.json, _insights.json, _summary.txt), purga processed_videos.jsonl, cancella utente DB e svuota sessione.
    • Limiti: non rimuove automaticamente voci in file_owners.jsonl, cookie_consents.jsonl o client_logs.txt; su richiesta possiamo minimizzare/rimuovere ove tecnicamente possibile e nel rispetto di obblighi di legge.

    10. Diritti degli interessati

    • Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione.
    • Reclamo all’Autorità Garante competente.
    • Per esercitare i diritti: GET /privacy/export, POST /privacy/delete (conferma DELETE) oppure email: auroranotelux@gmail.com
    • Tempi di risposta: in linea di principio entro 30 giorni (art. 12(3) GDPR), con possibili proroghe se necessario.

    11. Cookie e consenso

    Usiamo cookie tecnici necessari. I cookie analytics/marketing sono opzionali e attivati solo previo consenso tramite banner di gestione preferenze, modificabile in qualsiasi momento.

    Appendice Tecnica GDPR

    A. Sessioni e cookie tecnici

    • Cookie di sessione firmati (HttpOnly, SameSite=Lax; in produzione anche Secure con HTTPS). Nessun archivio sessioni server‑side per il deployment a istanza singola.

    B. Archiviazione applicativa

    • Directory applicative: CACHE_DIR (cache), TEMP_DIR (temporanei), OUTPUT_DIR (PDF generati).
    • Pulizia automatica di cache e output prevista periodicamente e all’avvio per contenere lo spazio.
    • I nomi file sono sanificati e l’accesso ai file è vincolato all’utente proprietario.
    • Funzione "Ultimi 10 PDF": l’API GET /api/my/recent-pdfs restituisce, solo ad utente autenticato, i nomi file e il timestamp di modifica degli ultimi 10 PDF generati, per consentire un rapido download dalla home.

    C. Log e tracciamento tecnico

    • Log applicativi con rotazione (file multipli a dimensione massima); log di utilizzo in formato JSONL con pruning a dimensione.
    • Finalità: sicurezza, diagnostica, prevenzione abusi (base giuridica: interesse legittimo).

    D. Sicurezza e limitazioni

    • Rate limiting server-side (esempio predefinito: 200/giorno, 50/ora per IP) per mitigare abusi.
    • Content Security Policy rigorosa (Talisman) che consente solo CDN affidabili e domini Paddle per script/frame/connessioni.
    • Header anti-cache su tutte le risposte per impedire memorizzazioni indesiderate lato browser.

    E. Database e credenziali

    • Archivio utenti su SQLite o PostgreSQL a seconda della configurazione.
    • Password memorizzate come hash bcrypt; nessuna password in chiaro.

    F. Fornitori esterni e pagamenti

    • Render (hosting), OpenAI (AI, se configurato), Paddle (pagamenti/fatturazione), Google Fonts e CDN (jsDelivr, cdnjs) per asset statici.
    • I dati di pagamento sono gestiti da Paddle; AuroraNote non conserva i dati della carta.

    G. Minori e categorie particolari di dati

    • Il servizio non è destinato a minori di 16 anni. Non trattiamo consapevolmente dati di minori senza adeguo consenso genitoriale ove richiesto dalla legge.
    • Evita di caricare categorie particolari di dati (art. 9 GDPR, es. dati sanitari) salvo sia strettamente necessario e con idonea base giuridica/consenso.
    • Se carichi dati di terzi, garantisci di disporre di una base giuridica valida (es. consenso o altro titolo) e di aver fornito l’informativa necessaria.

    H. Notifiche di violazione (Data Breach)

    • In caso di violazione dei dati personali, valuteremo il rischio e, ove previsto dagli artt. 33‑34 GDPR, notificheremo l’Autorità di controllo e gli interessati senza ingiustificato ritardo (in linea di principio entro 72 ore).
    • Le notifiche potranno avvenire via email o mediante avviso in piattaforma.

    I. Segnalazioni, rimozioni e cooperazione

    • Per segnalazioni su contenuti illeciti/illeciti o violazioni di diritti, contattaci a auroranotelux@gmail.com. Possiamo limitare, sospendere o rimuovere contenuti per adempiere a obblighi legali o prevenire abusi.
    • Collaboreremo con le Autorità ove legalmente richiesto e nel rispetto dei diritti degli interessati.

    J. Protezione dei dati by design e by default

    • Minimizzazione dei dati e principi di least‑privilege negli accessi.
    • Secure defaults: nessun analytics non essenziale senza consenso; CSP e rate limiting attivi di default.
    • Revisioni periodiche delle misure di sicurezza coerenti con il rischio.

    K. Decisioni automatizzate (nota)

    • Le funzioni di IA non determinano autonomamente esiti giuridici o decisioni equivalenti: sono strumenti di supporto e richiedono supervisione umana.

    Contattaci

    Per domande o richieste privacy, contattaci:

    auroranotelux@gmail.com