Privacy Policy — OpsPilot

1. Titolare del Trattamento

Il titolare del trattamento dei dati è:

Denominazione: OpsPilot di Piero Pulsinelli
Sede: Italia
Sito web: https://opspilot.it
Email: info@opspilot.it

Per qualsiasi domanda riguardante i tuoi dati, puoi contattarci all'indirizzo indicato sopra.

2. Quali dati raccogliamo

2.1 Dati forniti direttamente

Quando ti registri o utilizzi OpsPilot, raccogliamo informazioni come:

Nome e cognome
Indirizzo email
Informazioni aziendali
Dati di autenticazione

2.2 Dati di utilizzo dell'Agente AI

L'agente AI elabora le conversazioni con i tuoi clienti. Questi dati includono testi dei messaggi, orari di prenotazione e dettagli dei lead qualificati.

2.3 Cookie e tecnologie di tracciamento

Utilizziamo cookie tecnici per il funzionamento della piattaforma e cookie analitici (previo consenso) per migliorare il servizio.

3. Finalità del trattamento

I tuoi dati vengono trattati per:

Erogare il servizio OpsPilot e gestire il tuo account.
Consentire all'agente AI di rispondere ai tuoi clienti e gestire le prenotazioni.
Inviarti notifiche importanti su Telegram o via email.
Adempiere a obblighi legali e prevenire frodi.
Migliorare la qualità dell'intelligenza artificiale (dati anonimizzati).

4. Base giuridica

Trattiamo i tuoi dati sulla base di:

Contratto: per fornirti i servizi richiesti.
Consenso: per i cookie analitici e comunicazioni marketing.
Legittimo interesse: per la sicurezza e il miglioramento del prodotto.

5. Conservazione dei dati

Conserviamo i dati personali solo per il tempo necessario alle finalità indicate. Gli account inattivi e i relativi dati vengono eliminati dopo 12 mesi, a meno di obblighi legali contrari. I dati relativi alle conversazioni degli agenti sono conservati per un massimo di 90 giorni, salvo diversa configurazione dell'utente.

6. Condivisione dei dati

Non vendiamo i tuoi dati a terzi. Condividiamo i dati solo con fornitori di servizi essenziali (sub-responsabili), tra cui:

Fornitori di infrastruttura cloud (server situati in Europa).
Servizi di Intelligenza Artificiale (OpenAI API, i dati non vengono usati per l'addestramento globale).
Google Calendar (per la gestione appuntamenti, solo se collegato dall'utente).
Telegram e WhatsApp (canali di messaggistica tramite cui l'Agente AI comunica con i clienti dell'Utente e invia notifiche operative).

7. Dati Google Calendar

OpsPilot si integra con Google Calendar tramite le API ufficiali di Google, solo se l'Utente sceglie volontariamente di collegare il proprio account Google dalla dashboard.

7.1 Quali dati accediamo

Tramite gli scope calendar.events e calendar.readonly, accediamo a:

Elenco degli eventi esistenti (titolo, orario inizio/fine, stato) per verificare la disponibilità
Creazione di nuovi eventi per le prenotazioni confermate dai clienti dell'Utente
Cancellazione di eventi per le disdette richieste

Non accediamo a: descrizioni estese degli eventi, partecipanti, allegati, altri calendari non selezionati, contatti Google, Gmail o qualsiasi altro servizio Google.

7.2 Come utilizziamo i dati

I dati ottenuti tramite le API di Google Calendar sono utilizzati esclusivamente per:

Visualizzare la disponibilità dell'Utente in tempo reale.
Sincronizzare gli appuntamenti tra OpsPilot e Google Calendar.
Creare, aggiornare o cancellare eventi su richiesta dell'Utente o dei suoi clienti.

L'Agente AI su Telegram o WhatsApp comunica ai clienti dell'Utente solo risposte testuali generate dal sistema (es. "Disponibile alle 15:00"). I dati grezzi del calendario (titoli di eventi, dettagli personali) non vengono mai trasmessi ai canali di messaggistica.

Tali dati non sono utilizzati per pubblicità, profilazione, vendita a terzi o addestramento generale di modelli AI.

7.3 Conservazione e archiviazione

OpsPilot non memorizza una copia permanente degli eventi del calendario nel proprio database.
I token di accesso OAuth2 (access token e refresh token) sono conservati nel database in modo cifrato in transito e vengono eliminati immediatamente quando l'Utente scollega Google Calendar.
I log delle conversazioni possono contenere riferimenti a date e orari di appuntamenti creati, conservati per un massimo di 90 giorni.

7.4 Revoca e scollegamento

L'Utente può scollegare Google Calendar in qualsiasi momento:

Dalla dashboard OpsPilot → Integrazioni → Google Calendar → "Scollega"
Dal proprio account Google → Sicurezza → App di terze parti → rimuovere OpsPilot

Alla disconnessione, tutti i token OAuth2 vengono eliminati dal nostro database. Gli eventi creati nel calendario rimangono (in quanto proprietà dell'Utente su Google).

7.5 Conformità Google API Services User Data Policy

L'uso e il trasferimento delle informazioni ricevute dalle API di Google da parte di OpsPilot avvengono in conformità alla Google API Services User Data Policy, inclusi i requisiti per l'Uso Limitato (Limited Use). In particolare:

I dati Google sono utilizzati esclusivamente per visualizzare disponibilità, sincronizzare appuntamenti e gestire eventi. Non vengono trasferiti a terze parti.
Non utilizziamo i dati Google per pubblicità, profilazione commerciale, vendita o addestramento di modelli AI.
Non conserviamo dati Google oltre lo stretto necessario per l'erogazione del servizio.
L'accesso umano ai dati Google è limitato ai casi di supporto tecnico, con il consenso dell'Utente.

8. Misure di sicurezza tecniche e organizzative

OpsPilot adotta misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali, inclusi i dati sensibili ottenuti tramite integrazioni con servizi di terze parti come le API di Google.

8.1 Cifratura in transito

Tutte le comunicazioni tra il browser dell'Utente, i server di OpsPilot e le API di terze parti (Google, Telegram, WhatsApp, OpenAI) avvengono esclusivamente tramite protocollo HTTPS con TLS 1.2 o superiore. Nessun dato sensibile viene trasmesso su canali non cifrati.

8.2 Cifratura a riposo

I dati persistenti sono conservati su infrastruttura con cifratura a riposo. In particolare:

I token OAuth2 di Google (access token e refresh token) sono conservati in forma cifrata nel database e non sono mai esposti in log di sistema o file di testo.
Le password degli utenti sono memorizzate esclusivamente come hash crittografici (bcrypt, cost factor 12) — il testo in chiaro non viene mai conservato.
I dati del database risiedono su server in Europa su infrastruttura conforme ai requisiti di sicurezza del GDPR.

8.3 Controllo degli accessi

L'accesso ai dati personali e ai dati Google è regolato dal principio del minimo privilegio necessario:

L'accesso umano ai dati Google degli Utenti è limitato ai soli casi di supporto tecnico esplicito e avviene solo con il consenso dell'Utente.
I sistemi interni accedono ai token OAuth2 esclusivamente per eseguire le operazioni richieste dall'Utente (lettura disponibilità, creazione/cancellazione eventi).
Ogni tenant (account cliente) è isolato: i dati di un Utente non sono accessibili da altri Utenti della piattaforma.

8.4 Sicurezza dei token OAuth2 Google

I token di autorizzazione Google ricevuti tramite il flusso OAuth2 sono gestiti come segue:

Vengono mai registrati nei log applicativi o in file di debug.
Vengono utilizzati esclusivamente per le chiamate API necessarie al funzionamento del servizio.
Vengono eliminati immediatamente e in modo irreversibile dal database nel momento in cui l'Utente scollega Google Calendar dalla dashboard.
Non vengono mai condivisi con terze parti al di fuori di Google e di OpsPilot.

8.5 Monitoraggio e risposta agli incidenti

OpsPilot mantiene log applicativi di sicurezza per rilevare accessi anomali e potenziali violazioni. In caso di violazione dei dati (data breach) che possa comportare un rischio per i diritti e le libertà degli Utenti, OpsPilot notificherà l'autorità di controllo competente entro 72 ore dalla scoperta, in conformità all'art. 33 del GDPR, e gli Utenti interessati senza ingiustificato ritardo.

Dichiarazione di conformità Google API: Le misure di sicurezza descritte in questa sezione si applicano integralmente ai dati ottenuti tramite le API di Google. Tali dati sono protetti con gli stessi standard applicati a tutti i dati sensibili della piattaforma e non sono mai utilizzati per finalità diverse da quelle dichiarate nella sezione 7 di questa informativa.

9. I tuoi diritti (GDPR)

In quanto utente residente nell'UE, hai il diritto di:

Accedere ai tuoi dati personali.
Rettificare dati inesatti.
Richiedere la cancellazione ("diritto all'oblio").
Opporsi al trattamento o richiederne la limitazione.
Portabilità dei dati.

Per esercitare questi diritti, scrivi a info@opspilot.it.

10. Responsabilità dell'Utente

Importante: OpsPilot agisce come Responsabile del Trattamento (Data Processor) per i dati dei clienti che interagiscono con il tuo agente. Tu rimani il Titolare del Trattamento e sei responsabile di informare i tuoi utenti e ottenere i consensi necessari.

11. Modifiche a questa informativa

Potremmo aggiornare questa informativa di tanto in tanto. Ti informeremo delle modifiche sostanziali tramite email o un avviso sulla piattaforma.

Informativa sulla Privacy