Documento legale

Privacy Policy

Versione 1.1 — In vigore dal 1° luglio 2026
Titolare del trattamento: FiscalBuddy S.r.l.s., con sede in Torino (TO), Italia
Contatto privacy: privacy@fiscalbuddy.it

In sintesi: FiscalBuddy tratta dati personali — inclusi dati fiscali e sanitari — per fornire il proprio servizio di assistenza alla preparazione delle dichiarazioni fiscali a professionisti del settore (CAF, studi commercialisti, consulenti fiscali e tributari). Questa informativa spiega quali dati raccogliamo, perché li raccogliamo e quali sono i tuoi diritti.

1. Chi siamo

FiscalBuddy S.r.l.s. (di seguito "FiscalBuddy", "noi" o "la Società") è una società a responsabilità limitata semplificata con sede legale in Torino (TO), Italia. FiscalBuddy sviluppa e gestisce una piattaforma SaaS (Software as a Service) che, tramite intelligenza artificiale, assiste i professionisti del settore fiscale — tra cui Centri di Assistenza Fiscale (CAF), patronati, studi commercialisti, consulenti fiscali e tributari — nella raccolta, classificazione e verifica dei documenti necessari alla predisposizione delle dichiarazioni fiscali (730, ISEE e modelli analoghi).

Ai sensi del Regolamento (UE) 2016/679 (GDPR), FiscalBuddy agisce come:

Titolare del trattamento per i dati degli operatori (professionisti registrati) e dei visitatori del sito fiscalbuddy.it
Responsabile del trattamento (ai sensi dell'art. 28 GDPR) per i dati dei contribuenti finali, trattati per conto dei professionisti clienti (Titolari)

Contatto per la privacy: privacy@fiscalbuddy.it

2. Dati trattati e finalità

2.1 Visitatori del sito fiscalbuddy.it

Dati raccolti	Finalità	Base giuridica
Dati di navigazione (IP, pagine visitate, orari)	Sicurezza e funzionamento del sito	Interesse legittimo (art. 6.1.f GDPR)
Nome, cognome, email, telefono, tipologia professionale	Gestione richieste demo	Misure precontrattuali (art. 6.1.b GDPR)

2.2 Operatori professionali (utenti registrati alla piattaforma)

Per "operatori professionali" si intendono gli utenti che accedono alla piattaforma per conto del proprio studio o organizzazione: operatori CAF, commercialisti, consulenti fiscali e tributari, patronati e figure analoghe.

Dati raccolti	Finalità	Base giuridica
Nome, cognome, email, password (hash bcrypt)	Accesso alla piattaforma	Esecuzione del contratto (art. 6.1.b)
Log di accesso e attività	Sicurezza, audit, supporto tecnico	Interesse legittimo (art. 6.1.f)
Dati dell'organizzazione (nome, P.IVA, email)	Fatturazione e gestione account	Esecuzione del contratto (art. 6.1.b)

2.3 Contribuenti finali (clienti dei professionisti)

Attenzione — dati sensibili: i documenti caricati dai contribuenti possono contenere dati di categoria speciale ai sensi dell'art. 9 GDPR (es. spese sanitarie). Il trattamento avviene esclusivamente su istruzione del professionista Titolare e sulla base del consenso esplicito del contribuente, raccolto dal professionista cliente prima di avviare l'elaborazione.

Dati raccolti	Finalità	Base giuridica
Dati anagrafici (nome, CF, data nascita, residenza)	Identificazione contribuente	Esecuzione contratto tra professionista e contribuente
Documenti fiscali (CU, fatture, quietanze, scontrini, ecc.)	Estrazione automatica dati per dichiarazione fiscale	Esecuzione contratto; consenso per dati sanitari
Dati estratti dall'AI (redditi, ritenute, spese detraibili)	Assistenza alla compilazione 730/ISEE e modelli analoghi	Esecuzione contratto tra professionista e contribuente

3. Trasferimento a Anthropic — AI e dati

DPA automatico: il DPA (Data Processing Agreement) di Anthropic con Standard Contractual Clauses è automaticamente incorporato nei termini commerciali. Accettando i Commercial Terms of Service di Anthropic, FiscalBuddy ha già accettato il DPA. Non è richiesta alcuna firma separata.

FiscalBuddy utilizza i servizi di intelligenza artificiale di Anthropic, PBC (USA) per l'analisi e l'estrazione dei dati dai documenti caricati. Anthropic agisce come sub-responsabile del trattamento ai sensi dell'art. 28 GDPR.

Il trasferimento verso gli USA avviene nel rispetto delle garanzie previste dal GDPR tramite Standard Contractual Clauses (SCC) — le clausole contrattuali standard approvate dalla Commissione Europea ai sensi dell'art. 46(2)(c) GDPR. Il DPA Anthropic prevede:

Divieto assoluto di utilizzo dei dati API per addestrare i modelli AI
Elaborazione dei dati esclusivamente su istruzione documentata del cliente
Notifica di eventuali violazioni di dati entro i termini GDPR
Misure di sicurezza tecniche e organizzative adeguate
Diritto di audit e ispezione da parte del cliente

Nota sulla residenza dei dati: l'elaborazione AI tramite API diretta Anthropic avviene su infrastruttura USA coperta da SCC. Per professionisti che richiedono elaborazione garantita esclusivamente in territorio EU (es. enti con requisiti normativi specifici), FiscalBuddy può valutare l'utilizzo di Claude tramite AWS Bedrock nella region Frankfurt (eu-central-1). Contattare privacy@fiscalbuddy.it per maggiori informazioni.

4. Infrastruttura e localizzazione dati

Componente	Localizzazione	Fornitore
Applicazione web e database	Frankfurt, Germania (EU)	Render Inc. (USA) — server EU
Elaborazione AI documenti	USA (coperto da SCC)	Anthropic, PBC
Sito vetrina	Frankfurt, Germania (EU)	Render Inc. (USA) — server EU

5. Conservazione dei dati

Categoria	Periodo di conservazione
Dati visitatori sito (log navigazione)	30 giorni
Richieste demo	12 mesi dalla richiesta
Dati operatori professionali	Durata del contratto + 10 anni (obblighi fiscali)
Documenti contribuenti e dati estratti	Durata del mandato professionale + 5 anni, salvo diverse istruzioni del Titolare
Log di sistema e accessi	12 mesi

6. Misure di sicurezza

FiscalBuddy adotta misure tecniche e organizzative adeguate alla natura dei dati trattati:

Trasmissione cifrata tramite HTTPS/TLS per tutti i dati in transito
Password degli operatori conservate esclusivamente come hash bcrypt (irreversibile)
Sessioni firmate crittograficamente con timeout automatico dopo 8 ore
Protezione brute-force: blocco temporaneo account dopo 5 tentativi falliti consecutivi
Architettura multi-tenant: separazione logica completa dei dati tra organizzazioni diverse
Accesso ai dati limitato al personale autorizzato (principio del minimo privilegio)
Log di tutte le operazioni su dati sensibili

7. Diritti degli interessati

Ai sensi degli artt. 15-22 GDPR, hai il diritto di:

Accesso — ottenere conferma che siano trattati dati che ti riguardano e riceverne copia
Rettifica — ottenere la correzione di dati inesatti o incompleti
Cancellazione — ottenere la cancellazione dei tuoi dati ("diritto all'oblio")
Limitazione — ottenere la limitazione del trattamento in determinati casi
Portabilità — ricevere i tuoi dati in formato strutturato e leggibile da macchina
Opposizione — opporti al trattamento basato su interesse legittimo
Revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente

Per esercitare i tuoi diritti scrivi a privacy@fiscalbuddy.it. Risponderemo entro 30 giorni. Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

8. Modifiche alla presente informativa

FiscalBuddy si riserva il diritto di aggiornare questa informativa. In caso di modifiche sostanziali, gli utenti registrati saranno notificati via email con almeno 30 giorni di anticipo. La versione sempre aggiornata è disponibile su fiscalbuddy.it/privacy.

9. Contatti

FiscalBuddy S.r.l.s.
Sede legale: Torino (TO), Italia
Email privacy: privacy@fiscalbuddy.it
Email generale: info@fiscalbuddy.it