Privacy Policy

Ultimo aggiornamento: 30 maggio 2026

1. Premessa

La presente informativa descrive le modalità di trattamento dei dati personali raccolti tramite il sito timoai.xyze il servizio Timo (di seguito, “il Servizio”), reso disponibile agli utenti che attivano un account, una prova gratuita o un abbonamento.

Il trattamento è conforme al Regolamento (UE) 2016/679 (“GDPR”) e al D.Lgs. 196/2003 (“Codice Privacy”) aggiornato dal D.Lgs. 101/2018.

2. Titolare del trattamento

Rodolfo de Carvalho
Località Ottelio 1, 33044 Manzano (UD) — Italia
Telefono: +39 334 891 9985
Email contatti: [email protected]
Email dedicata privacy: [email protected]
Partita IVA: [P.IVA da inserire prima del go-live]

Il Titolare opera come ditta individuale. Non è stato nominato un Responsabile della protezione dei dati (DPO): il punto di contatto unico per le questioni privacy è il Titolare, raggiungibile a [email protected].

3. Cosa fa Timo, in breve

Timo è un servizio che fornisce all'utente un “spazio” in cui custodire note in formato Markdown. Lo spazio può essere consultato e aggiornato dagli assistenti AI dell'utente (es. Claude, ChatGPT) tramite il protocollo MCP. Il Servizio è strutturato a istanza dedicata per ogni utente: ogni utente dispone di un'istanza isolata, riservata solo al suo spazio, e dei dati che vi inserisce.

Questa premessa è rilevante per comprendere la distinzione tra dati di Livello 1 (identità e fatturazione) e dati di Livello 2 (contenuti dello spazio), trattati in modo nettamente diverso.

4. Categorie di dati raccolti

4.1 Livello 1 — Dati di identità e fatturazione

• Email account (obbligatoria per la registrazione)
• Password (memorizzata esclusivamente in forma di hash crittografico, non in chiaro)
• Nome e cognome (se forniti volontariamente)
• Indirizzo di fatturazione (per gli utenti che attivano un piano a pagamento)
• Partita IVA / Codice Fiscale (per emissione di fattura elettronica via SDI)
• Dati di pagamento (numero carta, scadenza, CVV): non sono mai trattati direttamente da Timo; sono raccolti e gestiti esclusivamente da Stripe, fornitore del servizio di incasso. Timo riceve solo il riferimento opaco della transazione e i metadati necessari alla fatturazione.
• Dati tecnici di sicurezza: timestamp di accesso, hash anonimizzato dell'indirizzo IP, user agent, identificativi di sessione.

4.2 Livello 2 — Contenuti dello spazio

• Note in Markdown create, importate o modificate dall'utente
• Indici di ricerca derivati dalle note, calcolati per la ricerca interna allo spazio
• Metadata: tag, timestamp di creazione/modifica, percorsi nello spazio, conflitti di sincronizzazione

I contenuti del Livello 2 ricevono una protezione rinforzata: il personale Timo non vi accede in via ordinaria, non vengono utilizzati per addestrare modelli AI, non sono oggetto di analisi centralizzate o aggregate, non sono letti per finalità di metrica o profilazione (vedi sezione 7).

4.3 Dati raccolti automaticamente sul sito

Per la sola navigazione su timoai.xyz si raccolgono esclusivamente cookie tecnici. Le statistiche di traffico sono raccolte tramite uno strumento di analisi interno e self-hosted, che non utilizza cookie e tratta unicamente dati aggregati e anonimi. Si rimanda alla Cookie Policy per il dettaglio.

5. Finalità del trattamento e base giuridica

1. Erogazione del Servizio (creazione account, autenticazione, accesso allo spazio) — Livello 1 + Livello 2 — Contratto, art. 6 §1 lett. b GDPR.
2. Fatturazione e adempimenti fiscali — Livello 1 — Obbligo di legge, art. 6 §1 lett. c GDPR.
3. Email transazionali (conferma registrazione, scadenza trial, ricevute, notifiche di sicurezza) — Contratto, art. 6 §1 lett. b GDPR.
4. Sicurezza del Servizio (rilevamento accessi anomali, anti-frode) — Legittimo interesse, art. 6 §1 lett. f GDPR.
5. Storico delle azioni delle operazioni amministrative — anonimizzato — Legittimo interesse, art. 6 §1 lett. f GDPR.
6. Comunicazioni di servizio non transazionali (manutenzione programmata, modifiche sostanziali al Servizio) — Legittimo interesse, art. 6 §1 lett. f GDPR.
7. Statistiche di traffico web tramite strumento di analisi interno (dati aggregati e anonimi, senza cookie) — Legittimo interesse, art. 6 §1 lett. f GDPR.

Il Titolare non utilizza i dati personali per finalità di marketing diretto, profilazione commerciale, vendita a terzi o cessione a brokerage di dati.

6. Tempi di conservazione

• Dati account (Livello 1) — utente attivo: per tutta la durata del rapporto contrattuale.
• Dati account — abbonamento cessato: 90 giorni di accesso allo spazio per consentire ripristino o esportazione, salvo obblighi fiscali (vedi sotto).
• Dati di fatturazione:10 anni dall'ultima fattura emessa, ai sensi dell'art. 2220 c.c. e della normativa fiscale.
• Cancellazione GDPR su richiesta dell'utente: 30 giorni di soft-delete revocabile via login; al termine, cancellazione hard di Livello 1 e Livello 2 (resta solo lo storico delle azioni anonimizzato e i dati di fatturazione obbligatori per legge).
• Backup cifrati: daily 30 giorni, weekly 12 settimane, monthly 365 giorni. Le copie di backup di un account cancellato sono purgate al naturale rollover delle finestre.
• Storico delle azioni:conservato a tempo indeterminato in forma completamente anonimizzata (l'actor_idnon è riconducibile ad alcuna persona fisica). La conservazione indeterminata è motivata da obblighi fiscali su utenti con abbonamento attivo e dall'esigenza di integrità storica del Servizio.
• Cookie tecnici: durata della sessione o massimo 12 mesi.
• Statistiche di traffico web (strumento di analisi interno): dati aggregati e anonimi, non riconducibili a singoli utenti.
• Email transazionali (log invio):12 mesi dall'invio.

7. Protezione rinforzata dei contenuti dello spazio (Livello 2)

• Accesso esclusivo dell'utente:solo l'utente proprietario può leggere e modificare i contenuti del proprio spazio.
• Accesso eccezionale per supporto:possibile soltanto su richiesta esplicita e tracciata dell'utente, per il tempo strettamente necessario, con notifica via email e annotazione nello storico delle azioni.
• Nessun addestramento AI: i contenuti dello spazio non sono utilizzati per addestrare, finetunare o valutare modelli di intelligenza artificiale, né di Timo né di terzi.
• Nessuna analisi aggregata: non vengono prodotte statistiche, dashboard interne o metriche di prodotto basate sulla lettura dei contenuti dello spazio.
• Esportazione sempre disponibile:l'utente può in qualsiasi momento esportare autonomamente l'intero spazio in formato Markdown standard, senza restrizioni di formato o lock-in.
• Eliminazione granulare e totale:l'utente può eliminare singole note o l'intero spazio. L'eliminazione è effettiva entro pochi secondi sul sistema in produzione; le copie di backup sono purgate secondo le finestre indicate alla sezione 6.

8. Destinatari dei dati (Responsabili del trattamento)

Per erogare il Servizio, il Titolare si avvale dei seguenti Responsabili del trattamento, ciascuno vincolato da Data Processing Agreement (DPA) ai sensi dell'art. 28 GDPR:

• Hetzner Online GmbH (Germania, UE) — infrastruttura VPS che ospita istanze Timo e database. Datacenter situati in UE.
• Stripe — fornitore del servizio di pagamento: incasso carte e antifrode.
• Zoho Corporation (Stati Uniti / India) — invio delle email transazionali tramite il servizio Zoho Mail (SMTP autenticato). Trasferimenti UE→extra-UE su Standard Contractual Clauses (SCC) e DPA Zoho.
• Cloudflare, Inc. (Stati Uniti, presenza globale) — CDN, protezione DDoS, firewall applicativo, rate limiting per timoai.xyz e per gli endpoint MCP esposti pubblicamente.

Il Titolare non condivide dati personali con soggetti diversi da quelli sopra elencati. Non sono attive partnership commerciali, programmi di affiliazione con condivisione dati, integrazioni pubblicitarie o sistemi di tracciamento di terze parti.

9. Trasferimenti di dati extra-UE

L'infrastruttura primaria del Servizio (server, database, spazio degli utenti) è interamente ospitata in Unione Europea. Trasferimenti verso Stati Uniti possono verificarsi, limitatamente ai dati di Livello 1 e ai metadati operativi, nell'ambito dei servizi Stripe, Zoho, Cloudflare. Tutti i trasferimenti sono regolati da Standard Contractual Clauses (SCC) ai sensi dell'art. 46 §2 lett. c GDPR e — ove disponibile — dalla certificazione del fornitore al Data Privacy Framework UE-USA.

Nessun trasferimento dei contenuti dello spazio (Livello 2) avviene al di fuori dell'UE.

10. Età minima

Il Servizio è rivolto a persone che abbiano compiuto 18 anni. Account intestati a minorenni saranno sospesi e cancellati su segnalazione.

11. Diritti dell'interessato

Ai sensi degli artt. 15–22 del GDPR, l'utente ha diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso. Per lo spazio, l'esportazione Markdown standard soddisfa già il diritto di portabilità in via permanente.

Le richieste vanno inviate a [email protected]. Non è previsto un form web dedicato: il canale unico è la mail. Il Titolare risponde entro 30 giorni dalla ricezione, prorogabili di 60 giorni nei casi previsti dall'art. 12 §3 GDPR.

12. Procedura di cancellazione GDPR

1. Soft-delete (30 giorni).A seguito della richiesta, l'account è disabilitato e marcato per la cancellazione. L'utente può revocare la richiesta facendo login con le credenziali esistenti.
2. Hard-delete. Trascorsi i 30 giorni, la cancellazione diventa irrevocabile. Sono cancellati account di Livello 1, contenuti dello spazio di Livello 2, embeddings, metadata, copie di backup secondo le finestre indicate.

Eccezioni alla cancellazione:dati di fatturazione (10 anni per obbligo legale), storico delle azioni anonimizzato (legittimo interesse all'integrità storica). In aggiunta, qualora l'utente cessi semplicemente l'abbonamento senza richiedere cancellazione GDPR, si applica un periodo di accesso allo spazio di 90 giorni durante il quale può riattivare il Servizio.

13. Sicurezza dei dati

• Trasporto cifrato su TLS 1.2+ (HTTPS).
• Cifratura at-rest dei volumi che ospitano database e spazio.
• Isolamento a istanza dedicata per ogni utente: stack dedicato, database e file system separati.
• Backup periodici cifrati, gestiti tramite rclone, passphrase separata.
• Hash crittografico delle password (algoritmo a fattore di costo elevato).
• Autenticazione email–token per le operazioni sensibili.
• Storico delle azioni delle operazioni amministrative.
• Rate limiting e firewall applicativo (Cloudflare) sugli endpoint pubblici.
• SPF, DKIM, DMARC sulla domain timoai.xyz.
• Aggiornamenti regolari di sistema operativo, dipendenze, container.

Il Titolare si impegna a notificare all'utente e all'Autorità Garante eventuali violazioni dei dati personali ai sensi degli artt. 33 e 34 GDPR, entro i termini di legge.

14. Cookie

Il sito utilizza esclusivamente cookie tecnici. Le statistiche di traffico sono raccolte con uno strumento di analisi interno e self-hosted, senza cookie e su dati aggregati e anonimi. Per il dettaglio si rinvia alla Cookie Policy. Il Servizio (l'area autenticata) utilizza esclusivamente cookie di sessione strettamente necessari all'autenticazione: nessun cookie di profilazione, tracker pubblicitari o pixel di terze parti.

15. Lingua del contratto

La versione italiana di questa informativa prevale su qualsiasi futura traduzione (es. inglese) in caso di discrepanza interpretativa.

16. Modifiche

La versione vigente è sempre quella pubblicata su https://www.timoai.xyz/privacy/, con la data di ultimo aggiornamento riportata in apertura. Modifiche sostanziali saranno comunicate via email agli utenti registrati con almeno 30 giorni di preavviso, ove tecnicamente possibile.

17. Contatti per l'esercizio dei diritti

Email dedicata privacy: [email protected]
Posta ordinaria: Rodolfo de Carvalho — Località Ottelio 1, 33044 Manzano (UD), Italia
Telefono: +39 334 891 9985

18. Reclami al Garante Privacy

L'utente che ritenga il trattamento dei propri dati in violazione della normativa ha diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (art. 77 GDPR):

Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it