Informativa Privacy

1. Chi siamo e come contattarci

Il titolare del trattamento è Atheron S.r.l. (sede legale e dati fiscali disponibili su richiesta).

Per qualsiasi richiesta relativa al trattamento dei dati personali e per l'esercizio dei diritti: privacy@atheron-ai.com. Qualora Atheron designi un DPO, i contatti saranno resi disponibili su questa pagina.

2. Ambito di applicazione

La presente informativa descrive il trattamento effettuato da Atheron in relazione a: accesso e utilizzo della piattaforma SaaS da parte di utenti aziendali; gestione account e credenziali; onboarding e configurazione clienti; generazione e distribuzione di report; monitoraggio tecnico e sicurezza; richieste di contatto, demo e prove; consultazione del sito istituzionale.

Per i trattamenti in qualità di responsabile del trattamento (processor) per conto dei clienti, si applica il Data Processing Agreement (DPA) stipulato con ciascun cliente. L'elenco aggiornato dei responsabili del trattamento è disponibile su richiesta a privacy@atheron-ai.com.

3. Categorie di dati personali trattati

Account e autenticazione: nome, email, password (hash), dati di sessione (identificativo utente, tenant, token), metadati di accesso (ultimo accesso, log tentativi, reset password).

Dati aziendali e onboarding: denominazione, settore, brand, prodotti, referenti (nome, email), aree tematiche, elementi strategici; servono a configurare il monitoraggio e i report.

Utilizzo della piattaforma: log di azioni, preferenze, feedback/valutazioni (ove presenti), parametri di filtro; utilizzati per erogazione del servizio, sicurezza e, in forma aggregata, miglioramento.

Report e comunicazioni: email destinatari, struttura dei report, metadati e sintesi originali; report consultabili in piattaforma o inviati via link sicuro.

Dati di navigazione e cookie: IP, browser, data/ora richiesta, URL; utilizzo aggregato per statistiche e sicurezza. La gestione dei cookie è disciplinata nella Cookie Policy.

Diritti delle persone citate negli articoli

Le persone i cui dati (nome, ruolo, dichiarazioni) compaiono in contenuti pubblici indicizzati dalla piattaforma e inclusi nei report possono richiedere informazioni (art. 14 GDPR), opporsi all'indicizzazione (art. 21) o chiedere la cancellazione (art. 17). Le richieste vanno inviate a privacy@atheron-ai.com e sono valutate caso per caso, bilanciando protezione dati, libertà di informazione e legittimo interesse al monitoraggio. Atheron si impegna a de-indicizzare ove il bilanciamento lo richieda.

4. Finalità e basi giuridiche

• Erogazione servizio e account: esecuzione contratto (art. 6, par. 1, lett. b).
• Personalizzazione monitoraggio e report: esecuzione contratto e legittimo interesse (art. 6, lett. b e f).
• Sicurezza e audit: legittimo interesse (art. 6, lett. f).
• Miglioramento del servizio: legittimo interesse (art. 6, lett. f).
• Richieste contatto/demo: misure precontrattuali (art. 6, lett. b).
• Comunicazioni operative: contratto e legittimo interesse (art. 6, lett. b e f).
• Comunicazioni commerciali B2B (limitate): legittimo interesse (art. 6, lett. f), con diritto di opposizione.
• Obblighi di legge e tutela in giudizio: obbligo legale (art. 6, lett. c) e legittimo interesse (art. 6, lett. f).

5. Modalità del trattamento e misure di sicurezza

I dati sono trattati nel rispetto dei principi di liceità, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, accountability. Raccolta contenuti pubblici tramite feed RSS, navigazione legittima (rispetto di robots.txt), API con licenza; sintesi generate con algoritmi proprietari, senza riproduzione sostanziale di contenuti protetti.

Misure adottate: infrastrutture cloud in SEE (Supabase UE); autenticazione con password hash (bcrypt); controllo accessi e RLS; TLS/HTTPS; log minimizzati; backup con retention massima 90 giorni; procedure di gestione incidenti; accordi di riservatezza e formazione del personale.

6. Fonti dei dati

Dati forniti dagli interessati o dai clienti aziendali; dati derivanti dall'utilizzo della piattaforma; contenuti da fonti pubbliche (siti, agenzie, API, social) nell'ambito del monitoraggio.

7. Obbligatorietà del conferimento

Il conferimento dei dati richiesti per account e attivazione del servizio è necessario per l'accesso alla piattaforma. I dati di onboarding sono necessari per la personalizzazione. Per le comunicazioni commerciali B2B è possibile opporsi in qualsiasi momento (Sezione 11).

8. Tempi di conservazione

• Account e autenticazione: per tutta la durata del rapporto; poi cancellazione entro 30 gg su richiesta (art. 17) o 90 gg dalla cessazione del contratto. Token reset password: fino a 24 ore dalla generazione o fino all'uso.
• Onboarding e configurazione: per durata contratto; dati di base e informazioni strategiche fino a 24 mesi dalla cessazione (salvo istruzioni cliente); documenti caricati cancellati entro 90 gg dalla cessazione (salvo DPA o difesa in giudizio).
• Report/PDF: 36 mesi dalla generazione; poi cancellazione o archiviazione segregata.
• Metadati articoli: 24 mesi dalla acquisizione; poi cancellazione o aggregazione anonima.
• Log sistema/sicurezza: 12 mesi (salvo incidente/contenzioso).
• Log applicativi: 3–6 mesi.
• Email transazionali: 12 mesi dall'invio.
• Dati contatto commerciale e demo: fino a 24 mesi dall'ultimo contatto significativo, salvo instaurazione del rapporto contrattuale.
• Backup: rotazione con durata massima 90 giorni.

Per i dettagli completi si rimanda alla Politica di Conservazione e Cancellazione Dati, disponibile alla pagina Politica di conservazione e cancellazione e su richiesta allegata al DPA per i clienti aziendali.

9. Destinatari e trasferimenti extra-UE

I dati possono essere comunicati a: personale interno autorizzato; fornitori IT/cloud (Supabase, Vercel, Railway, Upstash); servizi email (Resend); fornitori AI (OpenAI, Perplexity) per analisi di dati di configurazione e metadati pubblici; consulenti; autorità competenti.

Trasferimenti verso Paesi extra-SEE (es. USA: OpenAI, Perplexity, Resend) avvengono nel rispetto degli artt. 44 e ss. GDPR, con Clausole Contrattuali Standard (SCC) e, ove applicabile, Transfer Impact Assessment (TIA, documentazione su richiesta). Per clienti enterprise è possibile valutare configurazioni per ridurre i trasferimenti extra-UE (da formalizzare nel DPA).

Elenco aggiornato dei responsabili del trattamento: su richiesta a privacy@atheron-ai.com.

10. Profilazione e decisioni automatizzate

La piattaforma utilizza algoritmi e AI per valutare la rilevanza dei contenuti, categorizzare e sintetizzare. Non sono effettuate decisioni automatizzate che producano effetti giuridici sugli interessati (art. 22 GDPR). I risultati hanno natura informativa e di supporto; le decisioni restano responsabilità del cliente.

11. Diritti degli interessati

Gli interessati possono esercitare i diritti previsti dal GDPR inviando richiesta a privacy@atheron-ai.com. Atheron risponde entro 1 mese (prorogabile di 2 mesi in casi complessi, con comunicazione all'interessato).

• Accesso (art. 15): conferma del trattamento e copia dei dati.
• Rettifica e integrazione (art. 16).
• Cancellazione / diritto all'oblio (art. 17).
• Limitazione del trattamento (art. 18).
• Portabilità (art. 20).
• Opposizione (art. 21), incluso all'invio di comunicazioni commerciali B2B.
• Revoca del consenso (art. 7, par. 3), senza pregiudizio della liceità del trattamento precedente.

Reclamo all'Autorità di controllo

È possibile proporre reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it, email garante@gpdp.it, PEC protocollo@pec.gpdp.it.

12. Rapporto con le informative dei clienti aziendali

I clienti aziendali sono titolari del trattamento rispetto ai propri utenti; Atheron opera come responsabile (art. 28 GDPR) in base al DPA. La presente informativa integra le informative che i clienti forniscono ai propri interessati.

13. Aggiornamenti

La presente informativa può essere aggiornata in caso di evoluzioni normative o del servizio. La versione aggiornata è disponibile su questa pagina (https://atheron-ai.com/privacy). Per modifiche rilevanti potrà essere inviata comunicazione (email o avviso in piattaforma). Si invita a consultare periodicamente questa pagina.