Privacy Policy — Optlyx

Privacy Policy

GDPR
Trasparenza
Sicurezza
E2E (opzionale)

Ultimo aggiornamento: 12 ottobre 2025 · Contatti: hello@optlyx.com

Esercita i tuoi diritti Cookie Policy

1) Titolare e contatti

Titolare del trattamento: Optlyx — Via Guglielmo Marconi 49, 21012 Cassano Magnago (VA), Italia — P.IVA 02198920023.

Email: hello@optlyx.com

DPO: Non nominato. Per qualunque tema privacy utilizza i contatti sopra indicati.

2) Ambito e destinatari

Questa informativa si applica all’uso dei nostri siti, prodotti e servizi (la “Piattaforma”). L’offerta è B2B: gli interessati tipici sono dipendenti/collaboratori dei Clienti.

3) Categorie di dati

  • Dati account: nominativo, email di lavoro, ruolo, azienda, preferenze.
  • Dati contrattuali e fatturazione: anagrafica aziendale, P.IVA, metadati di pagamento (via processor PCI-DSS).
  • Log tecnici e utilizzo: IP, device/browser, timestamp, eventi applicativi, diagnostica.
  • Contenuti del Cliente: dati/documenti inseriti o generati nella Piattaforma (rimangono di tua proprietà).
  • Marketing (previo consenso/opt-in): preferenze, apertura email, UTM/campaign data.

4) Finalità e basi giuridiche

FinalitàBase giuridica (art. 6 GDPR)
Erogazione e gestione della Piattaforma, autenticazione, supporto, sicurezza operativa Contratto (b)
Fatturazione, adempimenti fiscali/legali Obbligo legale (c)
Monitoraggio performance, prevenzione abusi, anti-frodi, tutela diritti Legittimo interesse (f)
Product analytics e miglioramento servizi (dati aggregati/anonimizzati ove possibile) Legittimo interesse (f)
Marketing diretto B2B (newsletter, eventi) e cookie di marketing Consenso (a) o legittimo interesse (f) secondo normativa applicabile

AI/Output: gli Output AI possono essere generati su richiesta dell’utente. Non effettuiamo training su Contenuti del Cliente senza opt-in separato.

5) Modalità del trattamento

Trattiamo i dati con strumenti informatici e misure adeguate alla natura del trattamento, nel rispetto dei principi di minimizzazione, integrità e riservatezza.

6) Tempi di conservazione

CategoriaDurata
Dati accountPer tutta la durata del contratto e fino a 24 mesi dalla cessazione (audit/controversie)
Fatturazione10 anni (obbligo di legge)
Log tecnici90–365 giorni (sicurezza/diagnostica), salvo incident response
MarketingFino a revoca del consenso o opt-out
Contenuti del ClienteFino a cancellazione da parte del Cliente o cessazione del servizio; backup secondo policy DR

7) Destinatari e sub-processor

Possiamo condividere dati con fornitori che agiscono quali Responsabili esterni (sub-processor) per erogare servizi specifici (es. hosting, email transazionali, pagamenti), secondo accordi ex art. 28 GDPR.

  • Stripe — Pagamenti (UE/USA)
  • Google Cloud Platform — Hosting/infra (UE: es. Francoforte/Milano)
  • SendGrid (Twilio) — Email transazionali (UE/USA)

Elenco aggiornato: vedi Indice Sottoprocessori.

8) Trasferimenti extra-SEE

Quando necessario, i trasferimenti fuori dallo SEE avvengono con Clausole Contrattuali Standard (SCC) e misure supplementari. Dettagli nel nostro DPA.

9) Sicurezza

  • In transito: TLS 1.3
  • A riposo: cifratura server-side (AES-256) su database/storage
  • Accessi: controllo privilegi, logging, monitoraggio
  • DR/BCP: backup e piani di continuità operativa

Vedi anche Security Policy.

10) Crittografia E2E e gestione chiavi (BYOK/CMK)

Opzionale su moduli compatibili: con E2E i dati sono cifrati client-side e le chiavi non sono note a Optlyx. L’attivazione può limitare funzioni server-side (es. ricerca globale).
  • Zero-knowledge: nessun accesso in chiaro ai contenuti cifrati.
  • BYOK/CMK: integrazione con KMS del Cliente (es. AWS KMS) per la chiave master.
  • Avvertenza: se perdi la passphrase (PDK), non possiamo recuperare i dati cifrati.

12) Profilazione e decisioni automatizzate

Nessuna decisione con effetti giuridici si basa esclusivamente su trattamenti automatizzati ai sensi dell’art. 22 GDPR. Eventuali segmentazioni marketing avvengono a livello aggregato/minimizzato, con possibilità di opt-out.

13) Diritti degli interessati

  • Accesso, rettifica, cancellazione
  • Limitazione e opposizione
  • Portabilità
  • Revoca del consenso (senza pregiudicare la liceità pre-revoca)
  • Reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — garanteprivacy.it)

14) Come esercitare i diritti

Scrivi a hello@optlyx.com indicando l’oggetto della richiesta e, se necessario, elementi utili alla verifica della tua identità. Rispondiamo entro 30 giorni, prorogabili nei casi previsti dal GDPR.

15) Dati di minori

I nostri servizi non sono destinati a minori. Se ritieni che siano stati trattati dati di minori senza base giuridica, contattaci per la rimozione.

16) DPA e ruoli GDPR

Nel rapporto con il Cliente, Optlyx agisce di norma come Responsabile ex art. 28 GDPR per i dati trattati nella Piattaforma. Il relativo Data Processing Agreement (DPA) è parte integrante delle condizioni contrattuali: /dpa.

17) Modifiche alla policy

Potremmo aggiornare la presente informativa. Le modifiche rilevanti saranno comunicate in modo appropriato. La versione corrente è sempre disponibile in questa pagina.

Allegati

Allegato A — Mappa basi giuridiche

Dettaglio art. 6(1) GDPR per ciascuna finalità (vedi tabella §4).

Allegato B — Misure tecniche

Riferimento a Security Policy e piano di incident response.

Allegato C — Sub-processor

Indice aggiornato in /terms#sottoprocessori.

Allegato D — Cookie

Dettagli in Cookie Policy.