PRIVACY POLICY - CYBERLOOK

1. INTRODUZIONE

CyberLook ("CyberLook", "noi", "nostro") si impegna a proteggere la privacy e i dati personali dei propri utenti. Questa Privacy Policy descrive come raccogliamo, utilizziamo, conserviamo e proteggiamo le informazioni personali attraverso la nostra piattaforma di cybersecurity accessibile tramite https://cyberlookai.com e le relative applicazioni.
La presente Privacy Policy è conforme al Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea e alle normative italiane sulla privacy.

2. TITOLARE DEL TRATTAMENTO

GREM S.r.l.s
Indirizzo: Via Matteo la fragola 4, Salerno
Email: [email protected]
Telefono: +39 378 068 5138
P.IVA: 06136730659

Data Protection Officer (DPO): [email protected]

3. TIPOLOGIE DI DATI RACCOLTI

3.1 Dati Forniti Direttamente dall'Utente

• Dati di Registrazione Account: nome, cognome, email, password (crittografata), telefono (opzionale), nome organizzazione, ruolo.
• Dati di Fatturazione: dati aziendali, informazioni di pagamento (Stripe), storico transazioni.
• Dati di Configurazione: preferenze lingua, sicurezza (2FA, Passkey), notifiche.

3.2 Dati Google OAuth

Utilizziamo servizi Google OAuth per permettere il login e alcune funzionalità. Quando l'utente si autentica tramite Google, vengono richiesti esclusivamente:

• Indirizzo email: per l'identificazione dell'account
• Nome e cognome: per la personalizzazione dell'interfaccia
• ID univoco Google: per l'autenticazione sicura

Limitazioni d'uso: I dati Google raccolti tramite OAuth vengono utilizzati esclusivamente per fornire il servizio richiesto e non vengono in alcun modo ceduti, venduti o trattati per finalità pubblicitarie, profilazione, intelligenza artificiale o data brokering. Questi dati non sono utilizzati per creare database di terzi, marketing diretto o training di modelli AI.

3.3 Dati Raccolti Automaticamente

• Dati di Utilizzo: log accesso, pagine visitate, funzionalità usate, errori, metriche.
• Dati Tecnici: IP, user agent, sistema operativo, dispositivo, geolocalizzazione approssimativa.
• Cookie e Tecnologie Simili: cookie sessione, analitici, preferenze, web beacons.

3.4 Dati Elaborati per Servizi di Cybersecurity

• Dati Email: metadati, contenuto, allegati, risultati analisi.
• Dati di Sicurezza: risultati antivirus, analisi comportamentale, database minacce, log sicurezza.
• Dati Organizzativi: struttura organizzazioni, ruoli, configurazioni mailbox, storico incidenti.

4. BASE GIURIDICA DEL TRATTAMENTO

• Esecuzione del Contratto: servizi richiesti, gestione account, supporto.
• Interesse Legittimo: miglioramento servizi, prevenzione frodi, sicurezza, analisi statistiche aggregate.
• Consenso: marketing diretto, cookie non essenziali, trattamenti opzionali.
• Obbligo Legale: conservazione dati fiscali, compliance, risposte autorità.

5. FINALITÀ DEL TRATTAMENTO

• Servizi di Cybersecurity: protezione email, analisi automatica, quarantena, notifiche, scansione allegati, sandbox, monitoraggio data breach, report.
• Gestione Piattaforma: account, organizzazioni, pagamenti, supporto.
• Miglioramento Servizi: analisi utilizzo, sviluppo funzionalità, ricerca AI, test.
• Sicurezza e Compliance: prevenzione frodi, protezione piattaforma, audit.

6. FORNITORI DI SERVIZI E TRASFERIMENTI

• Nebius AI Studio (AI): analisi phishing, dati email, UE, GDPR.
• Hetzner (Hosting): dati piattaforma, Germania, GDPR.
• Stripe (Pagamenti): dati fatturazione, Irlanda, GDPR.
• Google/Microsoft (OAuth): autenticazione, metadati, USA, SCC.

Per tutti i trasferimenti extra-UE: SCC UE, valutazioni adeguatezza, misure tecniche aggiuntive, monitoraggio continuo.

6.1 Trattamento dei dati tramite fornitori esterni (Nebius AI Studio)

Per l'erogazione di alcuni servizi che prevedono il trattamento automatizzato di dati personali (ad esempio, analisi testi o email), ci avvaliamo di Nebius AI Studio, una piattaforma di intelligenza artificiale cloud-based, in qualità di responsabile esterno del trattamento ("Data Processor") ai sensi dell'art. 28 GDPR.

Nebius tratta i dati personali esclusivamente su nostra istruzione, secondo quanto definito dal Data Processing Agreement (DPA) che è parte integrante dei Termini di Servizio della piattaforma. Non è necessaria alcuna firma ulteriore in quanto l'adesione al servizio comporta la piena validità giuridica del DPA.

Abbiamo attivato la funzionalità "zero log" di Nebius, che ci consente di garantire che nessun dato personale incluso nei prompt venga archiviato né utilizzato per training dei modelli o per altro scopo non necessario all'erogazione del servizio, come previsto dai Termini di Utilizzo e dal DPA di Nebius AI Studio.

Per maggiori informazioni sulla policy di Nebius, consulta il loro DPA ufficiale: https://docs.nebius.com/legal/studio/dpa.

6.2 SERVIZI GOOGLE OAUTH

CyberLook utilizza i servizi di autenticazione Google OAuth per fornire un accesso sicuro e semplificato alla piattaforma. Questa sezione specifica come gestiamo i dati ottenuti tramite Google OAuth.

6.2.1 Dati Raccolti tramite Google OAuth

Quando utilizzi Google OAuth per accedere a CyberLook, raccogliamo esclusivamente i seguenti dati:

• Indirizzo email: utilizzato per identificare il tuo account
• Nome e cognome: utilizzato per personalizzare l'interfaccia utente
• ID univoco Google: utilizzato per l'autenticazione sicura

6.2.2 Utilizzo dei Dati Google OAuth

I dati ottenuti tramite Google OAuth sono utilizzati esclusivamente per:

• Autenticazione e accesso sicuro alla piattaforma
• Identificazione dell'utente per i servizi di cybersecurity
• Personalizzazione dell'interfaccia utente
• Gestione dell'account e supporto tecnico

6.2.3 Limitazioni e Divieti

I dati Google OAuth NON sono mai utilizzati per:

• Pubblicità o marketing diretto
• Profilazione degli utenti
• Training di modelli di intelligenza artificiale
• Creazione di database per terzi
• Data brokering o vendita a terzi
• Analisi comportamentale per scopi commerciali

6.2.4 Trasferimento e Condivisione

I dati Google OAuth non sono mai ceduti, venduti o trasferiti a terzi per scopi pubblicitari, di marketing o di profilazione. Questi dati rimangono sotto il nostro controllo esclusivo e sono protetti dalle stesse misure di sicurezza applicate a tutti i dati personali.

6.2.5 Conservazione e Cancellazione

I dati Google OAuth sono conservati solo per la durata necessaria a fornire i servizi richiesti. Puoi richiedere la cancellazione di questi dati in qualsiasi momento:

• Tramite le impostazioni del tuo account CyberLook
• Contattando [email protected]
• Disconnettendo l'account Google dalle impostazioni OAuth

La cancellazione avviene entro 30 giorni dalla richiesta.

6.2.6 Modifiche alle Modalità di Gestione

Se dovessimo modificare le modalità di gestione dei dati Google OAuth, ti informeremo con un preavviso di almeno 30 giorni, fornendo la possibilità di revocare il consenso e cancellare i dati prima dell'entrata in vigore delle modifiche.

6.2.7 Ambiti Gmail e Trattamento Dati Email

Per alcune funzionalità, CyberLook richiede permessi specifici per accedere alle email Gmail tramite Google OAuth, tra cui:

• https://www.googleapis.com/auth/gmail.readonly: per visualizzare le tue email e impostazioni, esclusivamente per analisi di sicurezza e rilevamento minacce.
• https://www.googleapis.com/auth/gmail.compose: per spostare email in quarantena (spam), esclusivamente per funzionalità di sicurezza.

I dati delle email sono trattati con tecniche di cifratura avanzata, conservati solo per il tempo necessario e, ove possibile, adottiamo una politica di log zero per minimizzare la conservazione di dati sensibili. Questi dati non sono mai utilizzati per pubblicità, profilazione, marketing, creazione di database di terzi o training di modelli AI, né vengono condivisi o venduti a terzi. Puoi richiedere la cancellazione dei dati in qualsiasi momento tramite le impostazioni dell’account o contattando [email protected].

6.2.8 Ambiti Microsoft Outlook e Trattamento Dati Email

Per le funzionalità di cybersecurity, CyberLook richiede permessi specifici per accedere alle email Microsoft Outlook tramite Microsoft Graph API, tra cui:

• Mail.Read: per leggere le tue email, esclusivamente per analisi di sicurezza e rilevamento minacce.
• Mail.Send: per spostare email in quarantena (spam), esclusivamente per funzionalità di sicurezza.
• Mail.ReadWrite: per spostare email in quarantena (spam), esclusivamente per funzionalità di sicurezza.

I dati delle email Outlook sono trattati con le stesse tecniche di cifratura avanzata e politica di log zero applicate ai dati Gmail. Questi dati non sono mai utilizzati per pubblicità, profilazione, marketing, creazione di database di terzi o training di modelli AI, né vengono condivisi o venduti a terzi. Puoi richiedere la cancellazione dei dati in qualsiasi momento tramite le impostazioni dell'account o contattando [email protected].

6.2.9 Connessioni IMAP e Trattamento Dati Email

Per i provider di email che supportano IMAP, CyberLook utilizza connessioni sicure per accedere alle email tramite protocollo IMAP, richiedendo i seguenti permessi:

• Lettura email: per analizzare il contenuto delle email per rilevamento minacce e sicurezza.
• Gestione cartelle: per organizzare email quarantena e gestire filtri di sicurezza.

Le connessioni IMAP sono sempre crittografate (IMAPS/TLS) e i dati delle email sono trattati con le stesse misure di sicurezza applicate agli altri provider. Questi dati non sono mai utilizzati per pubblicità, profilazione, marketing, creazione di database di terzi o training di modelli AI, né vengono condivisi o venduti a terzi. Puoi richiedere la cancellazione dei dati in qualsiasi momento tramite le impostazioni dell'account o contattando [email protected].

7. CONSERVAZIONE DEI DATI

• Dati Account: durata account, 30gg dopo cancellazione.
• Dati Google OAuth: conservati per la durata dell'account, cancellazione immediata su richiesta, 30gg dopo disconnessione OAuth.
• Dati Email: 30gg per analisi, 12 mesi risultati, 24 mesi metadati.
• Dati Fatturazione: 10 anni fatture, 7 anni pagamenti, 5 anni log.
• Log di Sistema: 12 mesi sicurezza, 6 mesi accessi, 3 mesi performance.

Retention policy automatica, cancellazione sicura, verifica periodica, report audit. I dati Google OAuth possono essere cancellati in qualsiasi momento tramite le impostazioni dell'account o contattando [email protected].

8. SICUREZZA DEI DATI

8.1 Misure Tecniche

• Crittografia HTTPS/TLS 1.3, AES-256 a riposo, backup cifrati.
• Multi-factor authentication, SSO, RBAC, session management sicuro.
• Firewall, IDS, vulnerability scanning, penetration test, monitoring 24/7.

8.2 Misure Organizzative

• Background check, formazione sicurezza, NDA, minimo privilegio.
• Incident response, business continuity, change management, vendor management.

9. DIRITTI DELL'INTERESSATO

9.1 Diritti Principali

• Accesso, copia dati, info su finalità e destinatari.
• Rettifica, integrazione, aggiornamento dati.
• Cancellazione, revoca consenso, opposizione.
• Portabilità, interoperabilità dati.

9.2 Diritti di Controllo

• Opposizione a interesse legittimo, marketing, profilazione.
• Limitazione temporanea, conservazione senza elaborazione, verifica accuratezza.
• Revoca consenso in ogni momento, effetto retroattivo, continuità servizio.

9.3 Modalità di Esercizio

• Email: [email protected]

Identificazione, verifica identità, risposta entro 30gg, estensione a 60gg per complessità. Esercizio gratuito salvo richieste infondate o eccessive.

10. COOKIE E TECNOLOGIE SIMILI

10.1 Tipologie di Cookie

• Essenziali: autenticazione, sicurezza, funzionalità, performance.
• Analitici: Google Analytics, sessione, performance, conversioni.
• Marketing (consenso): retargeting, social, affiliate, A/B testing.

10.2 Gestione Cookie

• Banner informativo, consenso granulare, rifiuto selettivo, link policy.
• Modifica consensi, cancellazione cookie, impostazioni browser, strumenti terzi.

11. MINORI

• Età minima 16 anni, consenso genitori 13-16, verifica età, cancellazione account minori.
• Filtri automatici, limitazioni funzionalità, monitoraggio attività, supporto genitori.

12. MODIFICHE ALLA PRIVACY POLICY

• Revisione almeno annuale, aggiornamenti normativi, cambiamenti servizi, feedback utenti.
• Notifica via email, banner, dashboard, social media.
• Preavviso 30gg modifiche sostanziali, immediate minori, consenso per cambiamenti significativi, recesso account.
• Modifiche ai dati Google OAuth: Gli utenti saranno informati con preavviso di 30 giorni se cambieranno le modalità di gestione dei dati Google OAuth, con possibilità di revoca del consenso e cancellazione dei dati.

13. CONTATTI E RECLAMI

13.1 Contatti CyberLook

• Email Privacy Officer: [email protected]
• Orari: Lun-Ven 9:00-18:00 CET
• Email supporto: [email protected]

13.2 Autorità di Controllo

• Garante Privacy: garanteprivacy.it
• Email: [email protected]
• Telefono: +39 06 69677 1

13.3 Risoluzione Controversie

• Mediazione amichevole, mediatore qualificato, gratuità sotto €5.000, vincolante se accettata.
• Arbitrato Camera di Commercio, procedura semplificata, esclusione diritti inderogabili, appello possibile.

14. DISPOSIZIONI FINALI

14.1 Legge Applicabile

La presente Privacy Policy è governata dalla legge italiana e dal GDPR dell'Unione Europea.

14.2 Foro Competente

Per controversie relative alla privacy, il foro competente è quello di Salerno, salvo diritti inderogabili dell'interessato.

14.3 Versione Lingue

• Italiano: Versione ufficiale
• Inglese: Traduzione informativa
• Discrepanze: Prevalenza versione italiana

14.4 Separabilità

Se una disposizione risulta invalida, le restanti rimangono in vigore.