Privacy Policy
Ultimo aggiornamento: 13 aprile 2026
La presente informativa è resa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) e descrive le modalità di trattamento dei dati personali raccolti tramite il sito www.taxami.it e i servizi Taxami (Free, Premium, Comfort, Dichiarazione Forfettari).
1. Titolare del Trattamento
Il titolare del trattamento è Studio di Sabato & Partners S.a.s., studio commercialista iscritto all'ODCEC di Novara n. 453/A, con sedi a Borgomanero (NO), Novara e Milano. Telefono: +39 0322 340513. Email per richieste privacy: privacy@taxami.it. Email del titolare: marco.disabato@disabatoepartners.com.
2. Dati Raccolti
Dati identificativi e di contatto: nome, email, password (memorizzata in forma crittografata bcrypt).
Dati fiscali (opzionali): partita IVA, codice fiscale, regime fiscale, codice ATECO, settore di attività, anno di apertura. Inseriti dall'utente per personalizzare le risposte AI.
Dati di utilizzo: domande poste alla chat, documenti caricati (fatture, F24, CU, ecc.), storico conversazioni, ordini effettuati.
Dati di pagamento: per i piani Premium, Comfort e il servizio Dichiarazione Forfettari, gestiti direttamente da Stripe (vedi sezione 9). Non memorizziamo dati di carta sui nostri server.
Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, pagine visitate, cookie tecnici e analitici.
Dati fiscali (opzionali): partita IVA, codice fiscale, regime fiscale, codice ATECO, settore di attività, anno di apertura. Inseriti dall'utente per personalizzare le risposte AI.
Dati di utilizzo: domande poste alla chat, documenti caricati (fatture, F24, CU, ecc.), storico conversazioni, ordini effettuati.
Dati di pagamento: per i piani Premium, Comfort e il servizio Dichiarazione Forfettari, gestiti direttamente da Stripe (vedi sezione 9). Non memorizziamo dati di carta sui nostri server.
Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, pagine visitate, cookie tecnici e analitici.
3. Finalità del Trattamento
I dati sono trattati per le seguenti finalità:
a) Erogazione del servizio (base giuridica: esecuzione del contratto): consulenza fiscale AI, gestione account, elaborazione documenti, servizio Dichiarazione Forfettari, conference call Google Meet per utenti Comfort.
b) Comunicazioni transazionali (base giuridica: esecuzione contratto): conferme di registrazione, ordini, scadenze fiscali (digest settimanale opt-out).
c) Comunicazioni di marketing (base giuridica: consenso esplicito): newsletter, novità di prodotto, offerte commerciali. Solo se l'utente spunta la casella di consenso al momento della registrazione o successivamente. Disiscrizione possibile in ogni momento dal link in fondo a ogni email.
d) Adempimenti legali (base giuridica: obbligo legale): conservazione documenti fiscali, fatturazione, comunicazioni con Agenzia delle Entrate quando previsto.
e) Sicurezza e prevenzione frodi (base giuridica: legittimo interesse): rilevamento accessi anomali, rate limiting, log di sicurezza.
a) Erogazione del servizio (base giuridica: esecuzione del contratto): consulenza fiscale AI, gestione account, elaborazione documenti, servizio Dichiarazione Forfettari, conference call Google Meet per utenti Comfort.
b) Comunicazioni transazionali (base giuridica: esecuzione contratto): conferme di registrazione, ordini, scadenze fiscali (digest settimanale opt-out).
c) Comunicazioni di marketing (base giuridica: consenso esplicito): newsletter, novità di prodotto, offerte commerciali. Solo se l'utente spunta la casella di consenso al momento della registrazione o successivamente. Disiscrizione possibile in ogni momento dal link in fondo a ogni email.
d) Adempimenti legali (base giuridica: obbligo legale): conservazione documenti fiscali, fatturazione, comunicazioni con Agenzia delle Entrate quando previsto.
e) Sicurezza e prevenzione frodi (base giuridica: legittimo interesse): rilevamento accessi anomali, rate limiting, log di sicurezza.
4. Conservazione dei Dati
Account utente: conservato finché l'account è attivo. Su richiesta di cancellazione, i dati sono rimossi entro 30 giorni salvo obblighi legali.
Documenti fiscali e ordini: conservati per 10 anni come previsto dalla normativa fiscale italiana (art. 22 DPR 600/1973 e art. 2220 C.C.).
Storico chat AI: conservato finché l'account è attivo, per migliorare l'esperienza utente. Cancellabile su richiesta.
Log tecnici: 90 giorni.
Dati di pagamento: conservati da Stripe secondo la loro privacy policy. Su Taxami conserviamo solo l'ID cliente Stripe e l'importo dell'ordine.
Documenti fiscali e ordini: conservati per 10 anni come previsto dalla normativa fiscale italiana (art. 22 DPR 600/1973 e art. 2220 C.C.).
Storico chat AI: conservato finché l'account è attivo, per migliorare l'esperienza utente. Cancellabile su richiesta.
Log tecnici: 90 giorni.
Dati di pagamento: conservati da Stripe secondo la loro privacy policy. Su Taxami conserviamo solo l'ID cliente Stripe e l'importo dell'ordine.
5. Diritti dell'Interessato
L'utente ha diritto a:
• Accesso ai propri dati personali (art. 15 GDPR)
• Rettifica di dati inesatti (art. 16)
• Cancellazione («diritto all'oblio», art. 17), nei limiti degli obblighi legali fiscali
• Limitazione del trattamento (art. 18)
• Opposizione al trattamento per finalità di marketing (art. 21)
• Portabilità in formato strutturato e leggibile (art. 20)
• Reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it)
Per esercitare i diritti: scrivere a privacy@taxami.it. Risposta entro 30 giorni.
Per disiscriversi dal marketing: usa il link in fondo a ogni email, oppure email a privacy@taxami.it.
• Accesso ai propri dati personali (art. 15 GDPR)
• Rettifica di dati inesatti (art. 16)
• Cancellazione («diritto all'oblio», art. 17), nei limiti degli obblighi legali fiscali
• Limitazione del trattamento (art. 18)
• Opposizione al trattamento per finalità di marketing (art. 21)
• Portabilità in formato strutturato e leggibile (art. 20)
• Reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it)
Per esercitare i diritti: scrivere a privacy@taxami.it. Risposta entro 30 giorni.
Per disiscriversi dal marketing: usa il link in fondo a ogni email, oppure email a privacy@taxami.it.
6. Cookie
Utilizziamo:
• Cookie tecnici (sessione, autenticazione NextAuth, preferenze) — necessari, no consenso richiesto
• Cookie analitici (Google Analytics 4 via Google Tag Manager) — solo previo consenso esplicito
• Cookie di terze parti: Stripe (durante il checkout), eventuali widget social embed
• Cookie tecnici (sessione, autenticazione NextAuth, preferenze) — necessari, no consenso richiesto
• Cookie analitici (Google Analytics 4 via Google Tag Manager) — solo previo consenso esplicito
• Cookie di terze parti: Stripe (durante il checkout), eventuali widget social embed
7. Sicurezza
Adottiamo misure tecniche e organizzative adeguate, tra cui:
• Crittografia delle password (bcrypt) e dei dati in transito (HTTPS/TLS)
• Database con accesso ristretto e backup giornalieri
• Rate limiting su endpoint sensibili
• Token unsubscribe firmati HMAC per le email
• Webhook Stripe con verifica firma
• Audit log delle azioni AI (per utenti Comfort)
• Crittografia delle password (bcrypt) e dei dati in transito (HTTPS/TLS)
• Database con accesso ristretto e backup giornalieri
• Rate limiting su endpoint sensibili
• Token unsubscribe firmati HMAC per le email
• Webhook Stripe con verifica firma
• Audit log delle azioni AI (per utenti Comfort)
8. AI e processo automatizzato
Le risposte di Taxami sono generate da modelli di intelligenza artificiale (Anthropic Claude, OpenAI GPT, Google Gemini, tramite OpenRouter come gateway). Per le finalità di consulenza fiscale, l'output AI è assistito ma non sostituisce il parere di un commercialista abilitato. Per casi complessi, dichiarazioni e operazioni straordinarie, il servizio è erogato direttamente dallo Studio di Sabato & Partners S.a.s. (per utenti Comfort tramite conference call Google Meet, per il servizio Dichiarazione tramite contatto diretto).
Non utilizziamo i tuoi dati personali per addestrare i modelli AI di terze parti.
Non utilizziamo i tuoi dati personali per addestrare i modelli AI di terze parti.
9. Sub-processor (terze parti che trattano i dati)
Per erogare il servizio ci avvaliamo di fornitori terzi, ognuno con propria privacy policy e DPA conforme al GDPR:
Hosting e infrastruttura:
• Vercel Inc. (USA) — hosting applicazione. EU-US Data Privacy Framework
• Neon Inc. (USA) — database PostgreSQL. EU-US DPF + SCC
Pagamenti:
• Stripe Inc. (USA) — processore di pagamento. EU-US DPF + SCC. https://stripe.com/privacy
Email:
• Resend (USA) — invio email transazionali. EU-US DPF
Intelligenza Artificiale:
• OpenRouter (USA), Anthropic PBC (USA), OpenAI LLC (USA), Google LLC (USA) — gateway e modelli AI. EU-US DPF
Booking conference call (solo piano Comfort):
• Calendly LLC (USA) — prenotazione meeting con lo Studio. EU-US DPF. I dati raccolti includono nome, email, eventuali note inserite. DPA disponibile su https://calendly.com/dpa
Conference call:
• Google LLC (USA) — Google Meet per le call Comfort. EU-US DPF
Analytics e marketing:
• Google LLC (USA) — Google Analytics 4 e Google Tag Manager. Cookie analitici previo consenso. EU-US DPF
Notifiche admin (no dati cliente):
• Telegram FZ-LLC (UAE) — bot per notifiche interne dello Studio. Non vengono trasmessi dati personali dei clienti
L'elenco aggiornato dei sub-processor è disponibile su richiesta a privacy@taxami.it.
Hosting e infrastruttura:
• Vercel Inc. (USA) — hosting applicazione. EU-US Data Privacy Framework
• Neon Inc. (USA) — database PostgreSQL. EU-US DPF + SCC
Pagamenti:
• Stripe Inc. (USA) — processore di pagamento. EU-US DPF + SCC. https://stripe.com/privacy
Email:
• Resend (USA) — invio email transazionali. EU-US DPF
Intelligenza Artificiale:
• OpenRouter (USA), Anthropic PBC (USA), OpenAI LLC (USA), Google LLC (USA) — gateway e modelli AI. EU-US DPF
Booking conference call (solo piano Comfort):
• Calendly LLC (USA) — prenotazione meeting con lo Studio. EU-US DPF. I dati raccolti includono nome, email, eventuali note inserite. DPA disponibile su https://calendly.com/dpa
Conference call:
• Google LLC (USA) — Google Meet per le call Comfort. EU-US DPF
Analytics e marketing:
• Google LLC (USA) — Google Analytics 4 e Google Tag Manager. Cookie analitici previo consenso. EU-US DPF
Notifiche admin (no dati cliente):
• Telegram FZ-LLC (UAE) — bot per notifiche interne dello Studio. Non vengono trasmessi dati personali dei clienti
L'elenco aggiornato dei sub-processor è disponibile su richiesta a privacy@taxami.it.
10. Trasferimenti extra-UE
Alcuni sub-processor sono basati negli Stati Uniti. I trasferimenti sono garantiti da:
• EU-US Data Privacy Framework (decisione di adeguatezza Commissione UE del 10 luglio 2023) per i fornitori certificati
• Standard Contractual Clauses (SCC) come ulteriore safeguard
• Misure tecniche supplementari (crittografia in transito e a riposo)
• EU-US Data Privacy Framework (decisione di adeguatezza Commissione UE del 10 luglio 2023) per i fornitori certificati
• Standard Contractual Clauses (SCC) come ulteriore safeguard
• Misure tecniche supplementari (crittografia in transito e a riposo)
11. Modifiche alla Privacy Policy
La presente informativa può essere aggiornata. La data di ultimo aggiornamento è in cima alla pagina. Modifiche sostanziali saranno comunicate via email agli utenti registrati.
Per qualsiasi domanda relativa alla privacy, contattaci a privacy@taxami.it o marco.disabato@disabatoepartners.com
Studio di Sabato & Partners S.a.s. — Iscritto all'ODCEC di Novara n. 453/A
Sedi: Borgomanero (NO) · Novara · Milano