Termini Legali & Privacy

Optlyx Prisma — Piattaforma AI per Studi Professionali

📅 Ultimo aggiornamento: 27 febbraio 2026 📄 Versione 2.0

Termini e Condizioni Generali di Servizio

Contratto vincolante

Ambito di applicazione. Le presenti Condizioni Generali regolano l'accesso e l'utilizzo della piattaforma "Optlyx Prisma" (di seguito "Piattaforma" o "Servizio"), fornita da Optlyx di Paolo Puricelli, con sede in Via Belluno 5, 21010 Cardano al Campo (VA), P.IVA 02198920023, REA VA-344484 (di seguito "Fornitore").

1. Definizioni

"Studio" o "Utente Professionale": lo studio professionale (commercialista, consulente del lavoro, o altro professionista) che sottoscrive l'abbonamento alla Piattaforma.
"Operatore": qualsiasi persona fisica autorizzata dallo Studio ad accedere alla Piattaforma (titolare, dipendenti, collaboratori).
"Cliente dello Studio": il soggetto (persona fisica o giuridica) assistito dallo Studio, che accede al Portale Clienti o i cui dati sono trattati sulla Piattaforma.
"Portale Clienti": l'area pubblica dedicata ai Clienti dello Studio (clienti-optlyx.web.app) per upload documenti, consultazione scadenze e comunicazioni.
"Dati dello Studio": tutti i dati, documenti, informazioni inseriti o generati sulla Piattaforma dallo Studio e dai suoi Operatori.
"Moduli AI": funzionalità basate su intelligenza artificiale (Console AI, Cortex Document OS, analisi automatiche) integrate nella Piattaforma.

2. Oggetto del contratto

Il Fornitore concede allo Studio una licenza non esclusiva, non trasferibile e non sub-licenziabile per l'utilizzo della Piattaforma SaaS, comprensiva di:

Gestione anagrafica clienti e pratiche
Fatturazione elettronica attiva/passiva e autofatture
Scadenziario e workflow operativi
Gestione documentale con OCR e AI
Comunicazioni integrate (email, WhatsApp Business, chat interna)
Portale Clienti dedicato
Moduli AI per analisi, classificazione e assistenza
Integrazioni con servizi terzi (Google Workspace, Microsoft 365)

3. Registrazione e accesso

3.1. Per accedere alla Piattaforma, lo Studio deve completare la registrazione fornendo dati veritieri e completi (ragione sociale, P.IVA, PEC, dati del legale rappresentante).

3.2. Ogni Operatore accede con credenziali personali (email + password). Lo Studio è responsabile della custodia delle credenziali e di ogni attività svolta con le proprie utenze.

3.3. L'autenticazione a due fattori (2FA) è fortemente raccomandata e può essere resa obbligatoria dal Fornitore per ragioni di sicurezza.

3.4. La firma del DPA (Accordo sul Trattamento dei Dati) è condizione necessaria per l'utilizzo della Piattaforma. Senza firma del DPA, l'accesso è bloccato.

4. Obblighi dello Studio

Lo Studio si impegna a:

Utilizzare la Piattaforma nel rispetto della normativa vigente, del Codice Deontologico professionale e delle presenti Condizioni;
Non condividere credenziali di accesso tra più persone fisiche;
Garantire la legittimità del trattamento dei dati personali dei propri Clienti inseriti nella Piattaforma, in qualità di Titolare del trattamento (Art. 4 par. 7 GDPR);
Informare i propri Clienti dell'utilizzo della Piattaforma e dei Moduli AI conformemente agli artt. 13-14 GDPR;
Non utilizzare la Piattaforma per finalità illecite, fraudolente o lesive dei diritti di terzi;
Non tentare di decompilare, decodificare (reverse engineering) o aggirare le misure di sicurezza della Piattaforma;
Comunicare tempestivamente qualsiasi violazione di sicurezza sospetta o accertata (data breach).

5. Livelli di servizio (SLA)

5.1. Il Fornitore si impegna a garantire una disponibilità del Servizio pari al 99,5% su base mensile, escluse le finestre di manutenzione programmata.

5.2. La manutenzione programmata sarà comunicata con almeno 48 ore di anticipo via email e/o notifica in-app.

5.3. Il Fornitore effettua backup automatici dei dati con frequenza giornaliera. I backup sono conservati per 30 giorni in infrastruttura Google Cloud (regione europe-west1).

5.4. In caso di indisponibilità prolungata superiore alle 24 ore continuative (esclusa forza maggiore), lo Studio potrà richiedere un credito proporzionale sul canone mensile.

6. Abbonamento e pagamenti

6.1. L'utilizzo della Piattaforma è subordinato alla sottoscrizione di un piano di abbonamento. I piani, i prezzi e le funzionalità incluse sono pubblicati sulla pagina dedicata e possono essere aggiornati con preavviso di 30 giorni.

6.2. Il pagamento avviene con cadenza mensile o annuale anticipata tramite carta di credito/debito o addebito diretto, gestito tramite pagamento esterno.

6.3. In caso di mancato pagamento, il Fornitore potrà sospendere l'accesso alla Piattaforma dopo 7 giorni di inadempimento, previo avviso via email. I dati restano conservati per 90 giorni dalla sospensione.

6.4. Lo Studio che recede dall'abbonamento ha diritto all'export completo dei propri dati in formato aperto (CSV/JSON) entro 30 giorni dalla cessazione del servizio.

7. Proprietà intellettuale

7.1. La Piattaforma, il suo codice sorgente, i design, i marchi "Optlyx" e "Prisma", la documentazione e tutti i materiali correlati sono e restano di proprietà esclusiva del Fornitore.

7.2. I Dati dello Studio restano di proprietà esclusiva dello Studio. Il Fornitore non acquisisce alcun diritto sui dati caricati o generati dallo Studio.

7.3. Il Fornitore può utilizzare dati aggregati e anonimizzati per finalità statistiche e di miglioramento del Servizio, in conformità con il GDPR.

8. Moduli AI — Clausole specifiche

Importante. I Moduli AI sono strumenti di supporto decisionale. Non sostituiscono il giudizio professionale. Lo Studio resta l'unico responsabile delle decisioni assunte sulla base dei suggerimenti AI.

8.1. I Moduli AI utilizzano modelli di linguaggio di terze parti (Google Gemini) per elaborare i dati. I dati sono inviati ai provider AI esclusivamente per l'esecuzione delle funzionalità richieste e non sono utilizzati per addestrare modelli di terze parti.

8.2. Il Fornitore adotta misure per minimizzare i dati trasmessi ai provider AI (pseudonimizzazione ove possibile, trasmissione solo dei dati strettamente necessari).

8.3. L'output generato dall'AI può contenere errori, imprecisioni o informazioni obsolete. Lo Studio è tenuto a verificare autonomamente ogni output prima di utilizzarlo in ambito professionale.

8.4. Il Fornitore non è responsabile per danni derivanti dall'utilizzo acritico degli output AI.

9. Limitazione di responsabilità

9.1. Il Fornitore risponde esclusivamente per dolo o colpa grave.

9.2. In ogni caso, la responsabilità complessiva del Fornitore non potrà eccedere l'importo totale corrisposto dallo Studio nei 12 mesi precedenti l'evento dannoso.

9.3. Il Fornitore non è responsabile per:

Danni derivanti da cause di forza maggiore, guasti dell'infrastruttura cloud di terze parti (Google Cloud Platform), interruzioni della rete internet;
Perdita di dati causata da azioni od omissioni dello Studio;
Violazioni normative commesse dallo Studio nell'utilizzo della Piattaforma;
Danni indiretti, perdita di profitto, danno reputazionale.

10. Durata e recesso

10.1. Il contratto ha durata corrispondente al periodo di abbonamento scelto e si rinnova automaticamente salvo disdetta.

10.2. Lo Studio può recedere in qualsiasi momento dalle Impostazioni della Piattaforma. Il recesso ha effetto dalla scadenza del periodo in corso già pagato. Non sono previsti rimborsi per periodi parziali.

10.3. Il Fornitore può risolvere il contratto con effetto immediato in caso di:

Violazione grave delle presenti Condizioni;
Utilizzo illecito della Piattaforma;
Mancato pagamento per oltre 30 giorni.

10.4. Alla cessazione del contratto, lo Studio dispone di 30 giorni per esportare i propri dati. Decorso tale termine, il Fornitore procederà alla cancellazione definitiva.

11. Portale Clienti — Condizioni per i Clienti dello Studio

11.1. I Clienti dello Studio accedono al Portale Clienti su invito dello Studio. L'accesso è limitato alle funzionalità abilitate dallo Studio (upload documenti, consultazione scadenze, messaggistica).

11.2. Il Cliente dello Studio accetta le presenti Condizioni al primo accesso al Portale.

11.3. Il trattamento dei dati personali del Cliente dello Studio è regolato dalla Privacy Policy (sezione dedicata) e dal DPA tra il Fornitore (Responsabile) e lo Studio (Titolare).

11.4. Il Fornitore non intrattiene alcun rapporto contrattuale diretto con i Clienti dello Studio per quanto riguarda i servizi professionali resi dallo Studio.

12. Modifiche ai Termini

12.1. Il Fornitore si riserva il diritto di modificare le presenti Condizioni. Le modifiche saranno comunicate con almeno 30 giorni di anticipo via email e notifica in-app.

12.2. L'uso continuato della Piattaforma dopo il periodo di preavviso costituisce accettazione delle modifiche. In caso di disaccordo, lo Studio può recedere senza penali entro il termine di preavviso.

13. Legge applicabile e Foro competente

13.1. Le presenti Condizioni sono regolate dalla legge italiana.

13.2. Per qualsiasi controversia derivante dal presente contratto, le parti tentano in via preventiva una composizione amichevole. In caso di esito negativo, è competente in via esclusiva il Foro di Busto Arsizio (VA).

13.3. Per i Clienti dello Studio qualificabili come "consumatori" ai sensi del D.Lgs. 206/2005 (Codice del Consumo), è competente il Foro del luogo di residenza o domicilio del consumatore, e si applicano le disposizioni inderogabili a tutela del consumatore.

Informativa sulla Privacy

Art. 13-14 GDPR D.Lgs. 196/2003

La presente informativa descrive come Optlyx di Paolo Puricelli ("Titolare") tratta i dati personali degli Utenti Professionali (Studi) e dei Clienti degli Studi che utilizzano la piattaforma Optlyx Prisma.

1. Titolare del Trattamento

Denominazione	Optlyx di Paolo Puricelli
Sede legale	Via Belluno 5, 21010 Cardano al Campo (VA), Italia
P.IVA	02198920023
Email	privacy@optlyx.com
PEC	optlyx@pec.it

2. Categorie di dati trattati

2.1. Dati degli Utenti Professionali (Studio)

Categoria	Dati specifici	Base giuridica
Dati identificativi	Nome, cognome, email, telefono del legale rappresentante e degli Operatori	Esecuzione contratto (Art. 6.1.b)
Dati aziendali	Ragione sociale, P.IVA, CF, PEC, indirizzo sede, codice SDI	Esecuzione contratto (Art. 6.1.b)
Dati di accesso	Email di login, hash della password, token 2FA, log di accesso (IP, user agent, timestamp)	Esecuzione contratto + Legittimo interesse sicurezza (Art. 6.1.f)
Dati di fatturazione	Storico pagamenti, piano di abbonamento (dati di pagamento gestiti esternamente, non conservati dal Fornitore)	Esecuzione contratto (Art. 6.1.b) + Obbligo legale (Art. 6.1.c)
Dati di utilizzo	Pagine visitate, funzionalità utilizzate, preferenze applicative, presence (stato online)	Legittimo interesse miglioramento servizio (Art. 6.1.f)
Comunicazioni	Messaggi in chat interna, email inviate tramite la Piattaforma, ticket di supporto	Esecuzione contratto (Art. 6.1.b)

2.2. Dati dei Clienti dello Studio

Ruolo del Fornitore: Per i dati dei Clienti dello Studio, il Fornitore agisce in qualità di Responsabile del Trattamento (Art. 28 GDPR) su istruzione dello Studio (Titolare del Trattamento). Il rapporto è disciplinato dal DPA (sezione dedicata).

Categoria	Dati specifici	Base giuridica
Dati anagrafici	Nome, cognome, CF, P.IVA, indirizzo, telefono, email, PEC	Determinata dallo Studio (Titolare)
Dati fiscali/contabili	Fatture, dichiarazioni, bilanci, F24, dati contabili caricati dallo Studio	Determinata dallo Studio (Titolare)
Documenti	Documenti di identità, visure, contratti, atti caricati tramite Portale o dallo Studio	Determinata dallo Studio (Titolare)
Dati di accesso al Portale	Email di login, hash password, log di accesso (IP, timestamp)	Esecuzione contratto (Art. 6.1.b)
Comunicazioni	Messaggi scambiati con lo Studio tramite la Piattaforma	Determinata dallo Studio (Titolare)

3. Finalità del trattamento

Erogazione del Servizio — Registrazione, autenticazione, gestione dell'account, fornitura delle funzionalità della Piattaforma (Art. 6.1.b GDPR).
Adempimento obblighi di legge — Fatturazione, conservazione documentale obbligatoria, adempimenti fiscali e contabili (Art. 6.1.c GDPR).
Sicurezza — Prevenzione frodi, protezione contro accessi non autorizzati, logging di sicurezza, gestione incidenti (Art. 6.1.f GDPR).
Miglioramento del Servizio — Analisi aggregate e anonime sull'utilizzo della Piattaforma, ottimizzazione UX (Art. 6.1.f GDPR).
Assistenza clienti — Gestione richieste di supporto, troubleshooting tecnico (Art. 6.1.b GDPR).
Comunicazioni di servizio — Notifiche operative (scadenze, aggiornamenti, manutenzione), strettamente necessarie e non promozionali (Art. 6.1.b GDPR).
Comunicazioni promozionali — Previo consenso esplicito, invio di newsletter e aggiornamenti commerciali (Art. 6.1.a GDPR). Il consenso è revocabile in qualsiasi momento.

4. Destinatari e trasferimenti dei dati

4.1. Sub-responsabili del trattamento

Fornitore	Servizio	Localizzazione dati	Garanzie
Google Cloud Platform (Firebase)	Hosting, database (Firestore), autenticazione, storage, Cloud Functions	europe-west1 (Belgio, UE)	DPA Google Cloud, SCC, ISO 27001/27017/27018
Google (Gemini API)	Moduli AI (analisi documentale, assistente)	UE (europe-west4)	Google Cloud AI DPA, dati non usati per training
Anthropic PBC (Claude API)	Moduli AI (analisi avanzata, generazione testo)	USA	Anthropic DPA, SCC (UE) 2021/914, EU-US DPF, dati non usati per training
OpenAI OpCo, LLC (GPT API)	Moduli AI (analisi documentale, completamento)	USA	OpenAI DPA, SCC (UE) 2021/914, EU-US DPF, zero data retention (API)
Qdrant Solutions GmbH	Database vettoriale per ricerca semantica	europe-west3 (Germania, UE)	DPA Qdrant, hosting UE, ISO 27001
Neo4j Sweden AB	Database a grafo per relazioni entità	UE	DPA Neo4j, hosting UE
Dropbox International Unlimited Co.	Sincronizzazione cloud storage (ove attivato)	Irlanda (UE)	Dropbox Business DPA, SCC, ISO 27001
Stripe Inc.	Elaborazione pagamenti	UE (Irlanda) + US	PCI-DSS Level 1, DPA Stripe, SCC
Google Workspace	Integrazione email (Gmail API, Google Drive)	UE	Google Workspace DPA, SCC
Microsoft 365	Integrazione OneDrive/SharePoint	UE	Microsoft DPA, SCC, ISO 27001
Meta (WhatsApp Business API)	Comunicazioni WhatsApp	UE/US	Meta Business DPA, SCC

4.2. Trasferimenti extra-UE

Ove dati siano trasferiti fuori dallo Spazio Economico Europeo (SEE), il trasferimento avviene sulla base di:

Decisioni di adeguatezza della Commissione Europea (ove disponibili);
Clausole Contrattuali Standard (SCC) approvate dalla Commissione (Decisione 2021/914);
EU-US Data Privacy Framework per fornitori certificati con sede negli USA.

5. Periodo di conservazione

Tipologia di dati	Durata conservazione	Riferimento normativo
Dati account Studio	Durata del contratto + 30 giorni per export, poi cancellazione	Art. 5.1.e GDPR
Scritture contabili e documenti fiscali	10 anni dalla data dell'ultima registrazione	Art. 2220 c.c.
Fatture elettroniche (XML FatturaPA)	10 anni dalla data di emissione	Art. 2220 c.c., D.Lgs. 127/2015
Modelli F24 trasmessi e autorizzazioni	10 anni dalla trasmissione/revoca	DPR 322/1998, Convenzione AdE
Dichiarazioni fiscali	10 anni dalla presentazione (o fino a scadenza termini accertamento)	DPR 322/1998, DPR 600/1973
Dati di fatturazione e pagamento	10 anni dalla data dell'operazione	Art. 2220 c.c., D.P.R. 600/1973
Fascicolo adeguata verifica AML	10 anni dalla cessazione del rapporto con il cliente	D.Lgs. 231/2007 art. 31
Contratti e mandati professionali	10 anni dalla cessazione del rapporto	Art. 2220 c.c., Art. 2946 c.c.
PEC e comunicazioni certificate	10 anni dalla data di ricezione/invio	Art. 2220 c.c., CAD art. 47
Log di accesso e sicurezza	6 mesi (12 mesi per accessi amministratori)	Provv. Garante 27/11/2008
Audit trail conservazione	10 anni (pari al periodo di conservazione dei documenti)	Linee Guida AgID 2022
Registro trattamenti (ROPA)	Durata attività + 5 anni	GDPR Art. 30
Breach log (notifiche data breach)	5 anni dalla notifica	GDPR Artt. 33-34
Consensi raccolti	Durata trattamento + 5 anni	GDPR Art. 7
Dati dei Clienti dello Studio	Secondo le istruzioni dello Studio (Titolare). Al termine del contratto: 30 giorni per export, poi cancellazione	Art. 28.3.g GDPR
Backup	30 giorni (rolling)	—
Dati consenso cookie	12 mesi, poi richiesta rinnovo	Linee Guida Garante 10/06/2021

Nota: Per i documenti soggetti a conservazione decennale (Art. 2220 c.c.), la cancellazione è bloccata a livello tecnico (GCS Object Retention Lock + regole Firestore immutabili) e può avvenire solo dopo la scadenza del periodo di conservazione, previa autorizzazione del Responsabile della Conservazione.

5-bis. Classificazione Documenti: Certificazione e Conservazione

La piattaforma distingue automaticamente i documenti in due categorie in base agli obblighi normativi.

Categoria	Documenti inclusi	Misure applicate	Conservazione
Documenti certificati (obbligo decennale)	Prove di autorizzazione workflow: Modelli F24, Dichiarazioni IVA, Dichiarazioni dei redditi, Contributi previdenziali (INPS/INAIL), Bilanci approvati — caricati o generati nella Piattaforma	SHA-256, TSA RFC 3161, retention lock 10 anni, audit trail immutabile con integrity hash, Merkle tree + ancoraggio blockchain opzionale	10 anni (Art. 2220 C.C.)
Documenti non certificati (gestione ordinaria)	Preventivi, offerte commerciali, comunicazioni generiche, documenti interni, bozze, corrispondenza ordinaria, approvazioni commerciali	Archiviazione cloud standard, audit trail operativo, backup automatici	Secondo configurazione utente

Audit trail universale: Ogni operazione sulla piattaforma — sia su documenti certificati che non certificati — produce un log di audit con timestamp, attore, azione e metadati, consultabile in Impostazioni > Audit Trail.

5-bis. Archiviazione sicura con integrità certificata

Perimetro del sistema: La Piattaforma fornisce archiviazione sicura con integrità certificata per i documenti gestiti nel flusso di lavoro dello Studio: prove di autorizzazione (F24, dichiarazioni, bilanci approvati), copie di servizio e documenti caricati dai clienti. Le misure tecniche adottate (SHA-256, RFC 3161, retention lock) si ispirano ai principi di autenticità, integrità, leggibilità e reperibilità previsti dal CAD artt. 43-44 e dalle Linee Guida AgID 2022 per i documenti trattati nella Piattaforma.

Fatture elettroniche e documenti fiscali originali nativi digitali: Per i documenti fiscali originali che transitano dal Sistema di Interscambio (SDI) — fatture elettroniche, autofatture TD17/TD18/TD19, dichiarazioni telematiche XML — l'obbligo di conservazione a norma CAD/AgID ricade sullo Studio, che deve avvalersi del servizio gratuito dell'Agenzia delle Entrate o di un conservatore accreditato AgID. La Piattaforma non sostituisce tale obbligo.

5-bis.1. Architettura del sistema

La Piattaforma implementa un sistema di conservazione digitale che garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici, tramite le seguenti misure tecniche:

Misura	Tecnologia	Standard
Impronta digitale	SHA-256 calcolato server-side sui byte effettivi del file	FIPS 180-4
Marca temporale	RFC 3161 Time Stamp Authority (FreeTSA.org, DigiCert, Sectigo)	RFC 3161, eIDAS art. 41
Immutabilità storage	Google Cloud Storage Object Retention Lock (10 anni)	Art. 2220 c.c.
Immutabilità database	Firestore Security Rules: update e delete bloccati	Linee Guida AgID
Merkle tree	Albero binario SHA-256 computato quotidianamente	RFC 6962
Blockchain anchoring	OpenTimestamps su Bitcoin (verifica pubblica trustless)	OpenTimestamps
Audit trail	Log immutabile di ogni accesso e operazione	Linee Guida AgID
Cifratura	AES-256 at-rest (Google managed), TLS 1.3 in-transit	NIST SP 800-38D

5-bis.2. Flusso di archiviazione

Il processo di archiviazione è ispirato ai principi delle Linee Guida AgID 2022 e include le seguenti fasi:

Versamento (PdV): L'Operatore carica il documento; il sistema AI lo classifica (80+ tipi) e l'Operatore conferma.
Archiviazione (PdA): Il sistema calcola SHA-256, copia il file in storage immutabile, applica il Retention Lock decennale, richiede la marca temporale RFC 3161 e registra il record in Firestore (immutabile).
Certificazione periodica: Ogni notte il sistema computa il Merkle root giornaliero e lo ancora alla blockchain Bitcoin tramite OpenTimestamps.
Distribuzione (PdD): Su richiesta, il sistema genera un URL firmato temporaneo (15 minuti) e registra l'accesso nell'audit trail.

5-bis.3. Responsabile della Conservazione

In analogia con quanto previsto dall'art. 44, comma 1-quater del CAD, ciascuno Studio può designare un Responsabile dell'Archiviazione che sovraintende al processo di archiviazione sicura e ne garantisce la correttezza operativa. La designazione avviene tramite la sezione Impostazioni > Conservazione > Responsabile della Piattaforma.

Il Responsabile può compilare il Manuale della Conservazione (template disponibile nella Piattaforma, basato sul modello dell'Allegato 4 delle Linee Guida AgID 2022) come strumento di governance interna del proprio flusso documentale.

5-bis.4. Formati raccomandati

Per la conservazione a lungo termine si raccomandano i seguenti formati:

PDF/A-3 (ISO 19005-3) per documenti non strutturati;
XML (FatturaPA 1.2.2) per fatture elettroniche;
JSON per dati strutturati (approvazioni, consensi, audit);
TIFF (ISO 12639) per documenti scannerizzati.

5-bis.5. Distruzione documenti

La distruzione di documenti conservati è possibile esclusivamente dopo la scadenza del periodo di conservazione e previa autorizzazione scritta del Responsabile della Conservazione. Il sistema segnala automaticamente i documenti in scadenza con 90 giorni di preavviso. L'operazione di scarto viene registrata nell'audit trail con firma elettronica del Responsabile.

6. Diritti dell'interessato

Come esercitare i tuoi diritti: Invia una richiesta a privacy@optlyx.com o utilizza il GDPR Center nelle Impostazioni della Piattaforma. Risposta entro 30 giorni (prorogabile di 60 giorni in casi complessi, con notifica motivata).

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha il diritto di:

Diritto	Descrizione	Art. GDPR
Accesso	Ottenere conferma dell'esistenza di dati che lo riguardano e riceverne copia	Art. 15
Rettifica	Ottenere la correzione di dati inesatti o l'integrazione di dati incompleti	Art. 16
Cancellazione	Ottenere la cancellazione dei dati (diritto all'oblio), salvo obblighi di conservazione legale	Art. 17
Limitazione	Ottenere la limitazione del trattamento in determinati casi	Art. 18
Portabilità	Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV, JSON)	Art. 20
Opposizione	Opporsi al trattamento basato su legittimo interesse	Art. 21
Revoca consenso	Revocare in qualsiasi momento il consenso prestato, senza pregiudizio per il trattamento precedente	Art. 7.3
Reclamo	Proporre reclamo al Garante per la Protezione dei Dati Personali: www.garanteprivacy.it	Art. 77

6.1. Diritti specifici dei Clienti dello Studio

I Clienti dello Studio che desiderano esercitare i propri diritti relativi ai dati trattati dallo Studio devono rivolgersi direttamente allo Studio (Titolare del Trattamento). Il Fornitore, in qualità di Responsabile, collaborerà con lo Studio per evadere le richieste entro i termini di legge.

Per i dati di cui il Fornitore è Titolare autonomo (dati di accesso al Portale, dati tecnici), le richieste possono essere indirizzate direttamente a privacy@optlyx.com.

7. Processi decisionali automatizzati e profilazione

7.1. La Piattaforma utilizza algoritmi AI per classificazione documentale, suggerimenti operativi e analisi predittive. Tali processi non producono effetti giuridici né incidono significativamente sugli interessati (Art. 22 GDPR).

7.2. Non viene effettuata profilazione a fini di marketing automatizzato.

7.3. Lo Studio Utente Professionale può in ogni momento disattivare le funzionalità AI dalle Impostazioni.

7.4. Trasparenza AI — Regolamento (UE) 2024/1689 (AI Act), Art. 50

Informativa sull'uso di sistemi di Intelligenza Artificiale.

La Piattaforma integra i seguenti sistemi AI di uso generale (GPAI):

Sistema AI	Fornitore	Funzionalità	Classificazione rischio
Gemini 3.1 Flash	Google (Alphabet Inc.)	Analisi documentale, classificazione, suggerimenti archiviazione, assistente conversazionale	Rischio limitato (Art. 50 — obbligo trasparenza)
Claude (Sonnet/Opus)	Anthropic PBC	Generazione codice Builder, analisi avanzata documenti	Rischio limitato (Art. 50 — obbligo trasparenza)
GPT-4	OpenAI OpCo, LLC	Elaborazione testo, analisi fatture estere	Rischio limitato (Art. 50 — obbligo trasparenza)

Garanzie implementate ai sensi dell'AI Act:

Tutti i contenuti generati da AI sono chiaramente contrassegnati come tali nell'interfaccia utente;
Nessuna decisione automatizzata con effetti giuridici viene presa senza supervisione umana (human-in-the-loop);
I dati inviati ai fornitori AI non vengono utilizzati per l'addestramento dei modelli (opt-out confermato con tutti i provider);
Lo Studio può disattivare qualsiasi funzionalità AI dalle Impostazioni della Piattaforma;
I log delle interazioni AI sono disponibili per audit nel GDPR Center (Impostazioni > GDPR Center > Log AI).

8. Misure di sicurezza

Il Fornitore adotta le seguenti misure tecniche e organizzative (Art. 32 GDPR):

Crittografia in transito: TLS 1.2+ per tutte le comunicazioni
Crittografia a riposo: AES-256 per i dati memorizzati su Google Cloud
Autenticazione: Firebase Authentication con supporto 2FA (TOTP)
Controllo accessi: RBAC (Role-Based Access Control) per operatori dello Studio
Firestore Security Rules: Isolamento multi-tenant a livello di studio
Backup: Automatici giornalieri, conservazione 30 giorni, regione UE
Logging: Audit trail degli accessi e delle operazioni sensibili
Vulnerability management: Aggiornamenti regolari delle dipendenze, monitoraggio CVE
Incident response: Procedura di gestione data breach con notifica entro 72 ore all'autorità di controllo e senza indebito ritardo agli interessati (ove richiesto)

9. Modifiche alla presente informativa

Il Titolare si riserva di aggiornare la presente informativa. La versione vigente è sempre disponibile sulla Piattaforma. Modifiche sostanziali saranno comunicate via email con 30 giorni di anticipo.

Cookie Policy

Linee Guida Garante 10/06/2021 Art. 5.3 Direttiva ePrivacy

La presente Cookie Policy descrive i cookie e le tecnologie di tracciamento utilizzati sulla piattaforma Optlyx Prisma e sul Portale Clienti, in conformità alle Linee Guida del Garante Privacy del 10 giugno 2021 e alla Direttiva ePrivacy (2002/58/CE, come modificata dalla 2009/136/CE).

1. Cosa sono i cookie

I cookie sono piccoli file di testo che vengono memorizzati sul dispositivo dell'utente durante la navigazione. Servono a memorizzare preferenze, gestire sessioni di autenticazione e, se autorizzati, raccogliere dati statistici sull'utilizzo del sito.

2. Tipologie di cookie utilizzati

2.1. Cookie strettamente necessari (tecnici)

Non richiedono consenso — Sono indispensabili per il funzionamento della Piattaforma e non possono essere disattivati.

Cookie / Storage	Finalità	Durata	Tipo
`firebase:authUser`	Sessione di autenticazione Firebase	Sessione (persistente con "Ricordami")	IndexedDB / localStorage
`optlyx_cookie_consent`	Memorizzazione delle preferenze cookie dell'utente	12 mesi	localStorage
`optlyx_2fa_verified`	Flag verifica autenticazione a due fattori	Sessione	sessionStorage
`optlyx_studio_id`	Identificativo studio corrente (multi-tenant)	Sessione	sessionStorage
`__session`	Cookie di sessione Firebase Hosting	Sessione	Cookie HTTP

2.2. Cookie analitici (opzionali)

Richiedono consenso esplicito — Vengono installati solo dopo l'approvazione dell'utente tramite il banner cookie.

Cookie	Fornitore	Finalità	Durata
`_ga`, `_ga_*`	Google Analytics 4	Statistiche di utilizzo aggregate (pagine visitate, durata sessione, tipo dispositivo)	14 mesi

I dati raccolti da Google Analytics sono anonimizzati (IP anonymization attivo) e non vengono condivisi con Google per altri scopi. L'opt-out è disponibile in qualsiasi momento tramite le impostazioni cookie.

2.3. Cookie di profilazione

La Piattaforma NON utilizza cookie di profilazione o di marketing di terze parti. Non vengono installati cookie per finalità pubblicitarie, retargeting o tracciamento cross-site.

3. Come gestire i cookie

L'utente può gestire le proprie preferenze cookie in tre modi:

Banner cookie: Al primo accesso viene mostrato un banner che permette di accettare tutti i cookie, rifiutare quelli non necessari, o personalizzare le scelte.
Impostazioni della Piattaforma: Nella sezione Impostazioni > Privacy è possibile modificare le preferenze in qualsiasi momento.
Impostazioni del browser: Ogni browser consente di gestire i cookie tramite le proprie impostazioni. La disattivazione dei cookie tecnici potrebbe impedire il corretto funzionamento della Piattaforma.

3.1. Link alle impostazioni cookie dei principali browser

4. Aggiornamenti alla Cookie Policy

La presente Cookie Policy può essere aggiornata periodicamente. In caso di modifiche che comportino l'introduzione di nuove categorie di cookie o nuove finalità di trattamento, il consenso sarà richiesto nuovamente tramite il banner.

5. Riferimenti normativi

Regolamento (UE) 2016/679 (GDPR)
D.Lgs. 196/2003 e s.m.i. (Codice Privacy)
Direttiva 2002/58/CE e s.m.i. (Direttiva ePrivacy)
Linee Guida Garante per la Protezione dei Dati Personali del 10 giugno 2021 — "Cookie e altri strumenti di tracciamento" (doc. web n. 9677876)
Provvedimento Garante dell'8 maggio 2014 — "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie"

Accordo sul Trattamento dei Dati (DPA)

Art. 28 GDPR Obbligatorio

A chi si applica: Il presente DPA regola il rapporto tra lo Studio (Titolare del Trattamento ai sensi dell'Art. 4 par. 7 GDPR) e Optlyx di Paolo Puricelli (Responsabile del Trattamento ai sensi dell'Art. 4 par. 8 GDPR) per il trattamento dei dati personali dei Clienti dello Studio effettuato tramite la Piattaforma.

Nota per i Clienti dello Studio: Il vostro Studio professionale è il Titolare del trattamento dei vostri dati personali. Per qualsiasi richiesta relativa ai vostri dati, rivolgetevi al vostro Studio di riferimento.

1. Parti

Titolare del Trattamento ("Studio"): lo studio professionale che ha sottoscritto l'abbonamento a Optlyx Prisma e ha firmato il presente DPA al primo accesso.
Responsabile del Trattamento ("Fornitore"): Optlyx di Paolo Puricelli, Via Belluno 5, 21010 Cardano al Campo (VA), P.IVA 02198920023, email: privacy@optlyx.com.

2. Oggetto e durata

2.1. Il presente DPA ha ad oggetto il trattamento dei dati personali dei Clienti dello Studio che il Fornitore effettua per conto dello Studio nell'ambito dell'erogazione del Servizio Optlyx Prisma.

2.2. Il DPA è efficace per tutta la durata del contratto di abbonamento alla Piattaforma e per il periodo di conservazione dei dati successivo alla cessazione (30 giorni per export + eventuale conservazione obbligatoria per legge).

3. Natura e finalità del trattamento

Il Fornitore tratta i dati personali dei Clienti dello Studio esclusivamente per le seguenti finalità, su istruzione documentata dello Studio:

Memorizzazione e gestione delle anagrafiche clienti nell'infrastruttura cloud
Elaborazione e archiviazione di documenti fiscali, contabili e legali
Gestione scadenze, workflow e pratiche operative
Invio di comunicazioni per conto dello Studio (email, notifiche, WhatsApp)
Elaborazione tramite Moduli AI (classificazione documentale, analisi, suggerimenti) — su attivazione esplicita dello Studio
Gestione dell'accesso al Portale Clienti

4. Categorie di dati e interessati

Categorie di interessati	Categorie di dati
Clienti persone fisiche dello Studio	Dati anagrafici, CF, contatti (email, telefono, PEC), dati fiscali (dichiarazioni, F24, fatture), documenti di identità, dati bancari, documenti contrattuali
Clienti persone giuridiche (dati dei rappresentanti/referenti)	Dati del legale rappresentante, dati aziendali (P.IVA, ragione sociale, visure), dati contabili e fiscali societari
Dipendenti/collaboratori dei clienti dello Studio	Dati anagrafici, dati retributivi/contributivi (ove lo Studio gestisca anche consulenza del lavoro)

Categorie particolari (Art. 9 GDPR): Lo Studio si impegna a NON caricare sulla Piattaforma dati relativi a salute, origine razziale/etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici/biometrici, vita sessuale/orientamento sessuale, salvo che ciò sia strettamente necessario per l'adempimento della prestazione professionale e previa comunicazione al Fornitore.

5. Obblighi del Responsabile (Fornitore)

Il Fornitore si impegna a (Art. 28.3 GDPR):

Trattare i dati solo su istruzione documentata dello Studio, incluso per quanto riguarda i trasferimenti extra-UE, salvo obblighi di legge UE o nazionale (in tal caso, informerà lo Studio prima del trattamento, salvo divieto di legge);
Garantire la riservatezza: assicurare che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un obbligo legale di riservatezza;
Adottare misure di sicurezza adeguate ai sensi dell'Art. 32 GDPR (vedi sezione 8 della Privacy Policy);
Sub-responsabili: non ricorrere a un altro responsabile del trattamento senza autorizzazione generale scritta dello Studio. Il Fornitore informa lo Studio di eventuali modifiche relative all'aggiunta o sostituzione di sub-responsabili con almeno 15 giorni di anticipo, dando allo Studio la possibilità di opporsi;
Assistenza allo Studio: assistere lo Studio nel dare seguito alle richieste degli interessati (artt. 15-22 GDPR) e negli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica data breach, DPIA);
Cancellazione/restituzione: su scelta dello Studio, al termine del contratto, cancellare o restituire tutti i dati personali ed eliminare le copie esistenti, salvo obblighi di conservazione imposti dalla legge;
Audit: mettere a disposizione dello Studio tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'Art. 28, e consentire e contribuire ad attività di audit, comprese ispezioni, condotte dallo Studio o da un revisore da questi incaricato.

6. Sub-responsabili autorizzati

Lo Studio autorizza in via generale il ricorso ai seguenti sub-responsabili:

Sub-responsabile	Attività di trattamento	Sede / Regione dati
Google Cloud Platform (Google Ireland Ltd)	Infrastruttura cloud, database, storage, computing	europe-west1 (Belgio)
Google (Gemini API)	Elaborazione AI su richiesta esplicita dello Studio	UE (europe-west4)
Anthropic PBC	Elaborazione AI (Claude) su richiesta esplicita dello Studio	USA — SCC (UE) 2021/914 + DPA Anthropic
OpenAI OpCo, LLC	Elaborazione AI (GPT) su richiesta esplicita dello Studio	USA — SCC (UE) 2021/914 + DPA OpenAI
Qdrant Solutions GmbH	Database vettoriale per ricerca semantica documenti	europe-west3 (Germania, UE)
Neo4j Sweden AB	Database a grafo per relazioni tra entità	UE (cloud hosting)
Dropbox International Unlimited Company	Sincronizzazione cloud storage (ove attivato dallo Studio)	Irlanda (UE) — SCC per trasferimenti sub
Stripe Payments Europe Ltd	Elaborazione pagamenti	Irlanda (UE)
Meta Platforms Ireland Ltd	WhatsApp Business API (ove attivato)	Irlanda (UE)

L'elenco aggiornato dei sub-responsabili è disponibile nella sezione GDPR Center della Piattaforma (Impostazioni > GDPR Center > Sub-processori) e viene notificato ad ogni variazione.

7. Trasferimenti internazionali

7.1. I dati sono ospitati in data center situati nello Spazio Economico Europeo (regione europe-west1, Belgio).

7.2. Eventuali trasferimenti extra-SEE avvengono esclusivamente nel rispetto del Capo V del GDPR (artt. 44-49) e sulla base di:

Decisioni di adeguatezza della Commissione Europea;
Clausole Contrattuali Standard (SCC) ai sensi della Decisione di Esecuzione (UE) 2021/914;
EU-US Data Privacy Framework per i fornitori certificati.

8. Notifica data breach

8.1. Il Fornitore notifica allo Studio qualsiasi violazione dei dati personali (data breach) entro 24 ore dalla scoperta, fornendo:

Natura della violazione (categorie e numero approssimativo di interessati e di registrazioni coinvolti);
Nome e recapiti del referente privacy del Fornitore;
Probabili conseguenze della violazione;
Misure adottate o proposte per porre rimedio alla violazione e attenuarne gli effetti.

8.2. Lo Studio, in qualità di Titolare, è responsabile della notifica al Garante (entro 72 ore, Art. 33 GDPR) e della comunicazione agli interessati (Art. 34 GDPR), ove necessario. Il Fornitore assiste lo Studio in tali adempimenti.

9. DPIA — Valutazione d'impatto

9.1. Lo Studio, in qualità di Titolare, è responsabile dell'esecuzione della Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ove richiesta dall'Art. 35 GDPR.

9.2. Il Fornitore assiste lo Studio nella conduzione della DPIA fornendo le informazioni necessarie relative alle misure tecniche e organizzative adottate e alla natura del trattamento effettuato.

10. Registro delle attività di trattamento (ROPA)

Il Fornitore tiene un registro delle attività di trattamento effettuate per conto dello Studio ai sensi dell'Art. 30.2 GDPR. Lo Studio può consultare il proprio ROPA tramite la sezione GDPR Center della Piattaforma (Impostazioni > GDPR Center > ROPA).

11. Diritti dei Clienti dello Studio

11.1. I Clienti dello Studio possono esercitare i propri diritti (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione) rivolgendosi direttamente allo Studio, in qualità di Titolare del trattamento.

11.2. Il Fornitore, ricevuta la richiesta dallo Studio, collabora per evadere le richieste degli interessati entro i termini di legge (30 giorni, prorogabili a 90).

11.3. Qualora un Cliente dello Studio contatti direttamente il Fornitore per esercitare i propri diritti, il Fornitore ne informerà tempestivamente lo Studio e non procederà autonomamente senza istruzione dello Studio.

12. Responsabilità e indennizzo

12.1. Lo Studio, in qualità di Titolare, è responsabile della liceità del trattamento e della corretta informativa ai propri Clienti.

12.2. Il Fornitore è responsabile per i danni causati dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificatamente diretti ai responsabili del trattamento, o ha agito in modo difforme o contrario rispetto alle istruzioni dello Studio (Art. 82 GDPR).

13. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia è competente in via esclusiva il Foro di Busto Arsizio (VA).

Firma del DPA: Il DPA viene firmato digitalmente dallo Studio al primo accesso alla Piattaforma. Una copia firmata è disponibile in qualsiasi momento nelle Impostazioni > Privacy & DPA, con possibilità di download in formato stampabile.