Informativa sulla privacy
Quali dati trattiamo, per quali finalità e per quanto tempo — ai sensi degli artt. 13/14 GDPR.
Ultimo aggiornamento: 2 luglio 2026 · Versione: 1.0 · Traduzione di cortesia dell'originale tedesco, che fa fede in caso di conflitto.
1. Titolare del trattamento
Il titolare del trattamento ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e di altre disposizioni in materia di protezione dei dati è: Mika Franke, Essener Straße 3, 06846 Dessau-Roßlau, Germania, email: info@agent-argo.com.
Non è stato nominato un responsabile della protezione dei dati (DPO), poiché non ricorrono i presupposti di legge per la nomina obbligatoria (art. 37 GDPR, § 38 della legge federale tedesca sulla protezione dei dati, BDSG).
2. Panoramica: come Argo gestisce i dati
Argo è un'applicazione desktop ("CORE AGENT") che esegue attività di lavoro e sviluppo assistite dall'intelligenza artificiale. Il principio fondamentale di Argo è la conservazione locale dei dati:
- I tuoi contenuti di lavoro restano sul tuo dispositivo. Il codice sorgente, i contenuti del workspace, la memoria di progetto ("Memory"), i log di esecuzione ("Run-Traces") e le statistiche di utilizzo locali vengono memorizzati esclusivamente in locale sul tuo computer in un database cifrato (cifratura "at rest" tramite SQLCipher; su Windows la chiave è protetta tramite l'API di protezione dati del sistema operativo, DPAPI).
- Le tue chiavi API non lasciano il tuo dispositivo. Argo funziona secondo il principio BYOK ("Bring Your Own Key"): tu inserisci le tue chiavi di accesso ai fornitori di modelli IA. Queste chiavi vengono conservate nell'archivio delle credenziali del tuo sistema operativo (ad es. Windows Credential Manager) e non vengono mai — nemmeno in forma cifrata — trasmesse ai nostri server.
- Ai nostri server vengono trasmessi solo dati relativi a licenza e account (vedi punto 5), nonché — se non da te disattivate — metriche anonime e aggregate (vedi punto 8). Non avviene alcuna raccolta centralizzata dei tuoi contenuti di lavoro.
- I contenuti vengono inviati ai fornitori di modelli IA solo se lo disponi tu stesso (vedi punto 7). Nel profilo Offline/Regulated, Argo impedisce tecnicamente qualsiasi traffico di rete in uscita (applicazione centralizzata tramite il livello di protezione di rete dell'applicazione).
3. Definizioni e basi giuridiche
Si applicano le definizioni di cui all'art. 4 GDPR. Trattiamo i dati personali sulla base di:
- Art. 6, par. 1, lett. b) GDPR — esecuzione di un contratto o misure precontrattuali (ad es. fornitura del Software, gestione dell'account e della licenza),
- Art. 6, par. 1, lett. c) GDPR — adempimento di obblighi legali (ad es. obblighi di conservazione previsti dal diritto commerciale e fiscale),
- Art. 6, par. 1, lett. f) GDPR — legittimo interesse (ad es. sicurezza e prevenzione degli abusi, miglioramento del prodotto con dati anonimizzati),
- Art. 6, par. 1, lett. a) GDPR — consenso, qualora lo richiediamo nel singolo caso; il consenso prestato può essere revocato in qualsiasi momento con effetto per il futuro (art. 7, par. 3 GDPR).
4. Visita al nostro sito web
Quando visiti il nostro sito web, il server web elabora automaticamente i seguenti dati nei cosiddetti file di log del server: indirizzo IP del dispositivo richiedente, data e ora dell'accesso, pagina/file richiesto, quantità di dati trasmessi, codice di stato HTTP, URL di provenienza (referrer), tipo e versione del browser, sistema operativo.
Il trattamento avviene sulla base dell'art. 6, par. 1, lett. f) GDPR. Il nostro legittimo interesse consiste nell'erogazione del sito web, nella garanzia di stabilità e sicurezza e nella difesa da attacchi. I file di log vengono cancellati o anonimizzati entro 7 giorni al più tardi, salvo che un incidente di sicurezza concreto richieda una conservazione più lunga.
Hosting: il nostro sito web e il nostro server di licenza sono gestiti presso Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Germania, in un data center situato in Germania. Con il fornitore è stato stipulato un contratto di trattamento dei dati per conto ai sensi dell'art. 28 GDPR. In tal senso non avviene alcun trasferimento verso paesi terzi.
Cookie: il nostro sito web non utilizza cookie né servizi di tracciamento o analisi che richiedano un consenso.
5. Account utente, gestione della licenza e dell'abbonamento
Per utilizzare le edizioni a pagamento (e l'edizione Free con account) è necessario un account utente sul nostro server di licenza. In tale contesto trattiamo:
- Dati anagrafici: nome utente, ID utente interno, indirizzo email, password (memorizzata esclusivamente come hash crittografico),
- Dati contrattuali e di licenza: edizione/piano acquistato, durata, data di scadenza, numero di postazioni (seats), credito pay-as-you-go, impronta (fingerprint) di licenza per il vincolo del dispositivo nelle licenze Team,
- Metadati di utilizzo per la fatturazione a quota: contatore delle esecuzioni ("run") effettuate per periodo di fatturazione (solo il numero — non il loro contenuto),
- Statistiche di utilizzo: il numero di esecuzioni avviate per ogni ora solare (solo data, ora e numero — nessun contenuto, nessun orario al minuto, nessun indirizzo IP), utilizzate per la fatturazione a quota, la prevenzione degli abusi e le statistiche di prodotto aggregate; la trasmissione avviene al massimo una volta all'ora,
- Prove del consenso: il momento in cui hai accettato i Termini di servizio durante la registrazione, nonché, per ogni tentativo di acquisto di un'edizione a pagamento, una voce di log con ID utente, piano scelto e momento della tua conferma dei Termini di servizio e dell'avviso relativo all'estinzione del diritto di recesso per i contenuti digitali (§ 356 comma 5 BGB) — ciò ci serve come prova della valida incorporazione di tali dichiarazioni nel contratto,
- Log tecnici del server: a livello di infrastruttura, il server web registra gli accessi, incluso l'indirizzo IP; si applica di conseguenza il punto 4 (cancellazione entro 7 giorni al più tardi).
Nessun contenuto: il server di licenza non riceve in alcun momento contenuti del workspace, prompt, risultati o chiavi API.
Basi giuridiche: art. 6, par. 1, lett. b) GDPR (esecuzione del contratto); per la registrazione di sicurezza, art. 6, par. 1, lett. f) GDPR (legittimo interesse alla protezione dei nostri sistemi e alla prevenzione dell'uso improprio delle licenze); per le prove del consenso, art. 6, par. 1, lett. c) GDPR (obbligo di prova nei confronti delle autorità di controllo e in caso di controversia) in combinato disposto con l'art. 6, par. 1, lett. b) GDPR (valida incorporazione dei Termini di servizio, § 305 comma 2 BGB).
Durata della conservazione: i dati dell'account vengono conservati per la durata del rapporto contrattuale e rimossi dopo la cancellazione dell'account, salvo che vi ostino obblighi di conservazione legali (§ 147 AO, § 257 HGB: fino a 10 anni per i dati rilevanti ai fini contabili). Le statistiche di utilizzo collegate all'account vengono anonimizzate entro 90 giorni al più tardi: i valori vengono sommati in totali aggregati tra più account e le voci collegate all'account vengono cancellate. Le prove del consenso vengono conservate per la durata del rapporto contrattuale e oltre, fino alla scadenza dei termini di prescrizione legali per i diritti derivanti dal contratto (di norma tre anni dalla conoscenza, § 195 BGB), dopodiché vengono cancellate.
6. Elaborazione dei pagamenti tramite Paddle (Merchant of Record)
La vendita delle licenze e degli abbonamenti Argo avviene tramite il nostro partner di distribuzione Paddle.com Market Limited, Judd House, 18–29 Mora Street, Londra EC1V 8BT, Regno Unito (per i clienti di determinate regioni opera un'altra società del gruppo Paddle, indicata durante il processo d'ordine).
Paddle agisce come Merchant of Record, ossia Paddle è la tua controparte contrattuale per l'acquisto ed è autonomo titolare del trattamento ai fini della protezione dei dati per l'elaborazione dei pagamenti. Paddle tratta, tra l'altro, nome, indirizzo email, indirizzo di fatturazione, dati di pagamento (carta di credito, PayPal, SEPA), informazioni fiscali e dati delle transazioni. Da parte nostra non riceviamo da Paddle dati di pagamento completi, ma solo le informazioni necessarie per l'assegnazione della licenza (in particolare ID utente, piano acquistato, stato della transazione, ID degli eventi di pagamento).
Nella misura in cui Paddle tratta dati nel Regno Unito, si applica una decisione di adeguatezza della Commissione europea (art. 45 GDPR). Dettagli sul trattamento dei dati da parte di Paddle: https://www.paddle.com/legal/privacy.
Base giuridica per la trasmissione dei dati di assegnazione della licenza tra noi e Paddle: art. 6, par. 1, lett. b) GDPR.
7. Chiamate a modelli IA (BYOK) — trasmissione ai fornitori scelti da te
Argo esegue le attività chiamando modelli linguistici IA. In tale contesto vale quanto segue:
- Scegli tu i modelli e i fornitori. Inserisci le tue chiavi API (BYOK) per fornitori come ad es. Anthropic, OpenAI o altri, oppure utilizzi esclusivamente modelli locali sul tuo dispositivo.
- Cosa viene trasmesso: quando viene chiamato un modello cloud, i contenuti di prompt e contesto necessari per tale chiamata (ad es. estratti del tuo codice sorgente o dei tuoi documenti) vengono trasmessi direttamente dal tuo dispositivo al rispettivo fornitore. Noi non riceviamo questi contenuti e non vi abbiamo accesso.
- Trasparenza: il catalogo dei modelli integrato in Argo indica, per ogni modello, se viene eseguito localmente o nel cloud e a quale classe di protezione dei dati è assegnato.
- Controllo: nel profilo Offline/Regulated sono ammessi esclusivamente modelli locali; le connessioni in uscita vengono bloccate tecnicamente. Le destinazioni di rete possono inoltre essere limitate tramite una lista consentita (allowlist).
Ripartizione delle responsabilità in materia di protezione dei dati: per i contenuti che invii tramite le tue chiavi API ai fornitori di modelli, il responsabile ai sensi della normativa sulla protezione dei dati sei tu (o la tua organizzazione); si applicano le disposizioni sulla protezione dei dati ed eventuali contratti di trattamento dei dati per conto del rispettivo fornitore. Tieni presente che i fornitori con sede al di fuori dell'UE (ad es. negli Stati Uniti) possono trattare i dati in paesi terzi; verifica le garanzie offerte dal fornitore (ad es. clausole contrattuali standard UE, certificazione secondo l'EU-U.S. Data Privacy Framework). Non trasmettere dati personali di terzi ai fornitori di modelli se non disponi di una base giuridica per farlo.
8. Metriche di utilizzo e risparmio ("telemetria dei risparmi") — solo con il tuo consenso
Argo può trasmettere settimanalmente al nostro server metriche aggregate sui risparmi ottenuti, al fine di migliorare il prodotto e produrre statistiche complessive aggregate (ad es. per il nostro sito web).
- Opt-in: la trasmissione è disattivata per impostazione predefinita e avviene solo se la attivi espressamente nelle impostazioni dell'applicazione. Puoi disattivarla nuovamente in qualsiasi momento.
- Contenuto: vengono trasmessi esclusivamente valori numerici aggregati per ogni settimana solare conclusa (ad es. numero di esecuzioni, risparmio stimato di tempo/costi, costi dei modelli), oltre a edizione/piano, versione dell'app e canale di aggiornamento. Non vengono trasmessi contenuti di lavoro, prompt, nomi di file o testi liberi; i campi ammessi sono limitati tecnicamente da una lista consentita e un report viene generato solo a partire da un numero minimo di esecuzioni.
- Attribuzione: la trasmissione avviene tramite il tuo account collegato e viene attribuita all'account lato server (per evitare duplicati e proteggere da abusi); può inoltre contenere un'impronta di licenza troncata e non ricostruibile. Pubblicamente vengono utilizzati esclusivamente valori aggregati tra più account.
- Base giuridica: il tuo consenso, art. 6, par. 1, lett. a) GDPR. Puoi revocare il consenso in qualsiasi momento con effetto per il futuro disattivando l'interruttore nelle impostazioni (art. 7, par. 3 GDPR); i report già trasmessi non ne sono interessati, ma vengono cancellati su richiesta (contatto: info@agent-argo.com).
9. Aggiornamenti del software
Durante la verifica e il download degli aggiornamenti, Argo (o il bootstrapper) si collega al nostro server di aggiornamento. In tale contesto vengono trattati, per motivi tecnici, l'indirizzo IP del tuo dispositivo, il momento della richiesta e i metadati di versione (versione installata, versione di destinazione, sistema operativo). I manifesti di aggiornamento sono firmati crittograficamente; la verifica avviene localmente.
Base giuridica: art. 6, par. 1, lett. b) GDPR (fornitura degli aggiornamenti dovuti contrattualmente, § 327f BGB) nonché art. 6, par. 1, lett. f) GDPR (sicurezza della distribuzione degli aggiornamenti). L'applicazione stessa non memorizza questi dati di connessione; essi vengono registrati esclusivamente come log di accesso del reverse proxy a monte, per il quale si applica lo stesso termine di cancellazione previsto al punto 4 (al più tardi 7 giorni).
10. Funzioni di team e sincronizzazione LAN
Con le licenze Team, i contenuti condivisi (ad es. memoria condivisa, competenze/skills) possono essere sincronizzati tra i dispositivi dei membri del team. Questa sincronizzazione avviene esclusivamente all'interno della rete locale ("local network only"); i contenuti non vengono trasmessi ai nostri server. Il responsabile dei contenuti condivisi all'interno del team è l'organizzazione che utilizza la licenza Team.
11. Contatti e assistenza
Se ci contatti via email (ad es. richieste di assistenza), trattiamo i dati che ci fornisci (nome, indirizzo email, contenuto della richiesta) per gestire la tua richiesta. Le esportazioni di supporto/diagnostica che ci invii volontariamente vengono automaticamente ripulite da Argo prima dell'esportazione (rimozione di segreti/credenziali, riduzione dei percorsi dei file ai soli nomi dei file).
Base giuridica: art. 6, par. 1, lett. b) GDPR (contratto/fase precontrattuale), altrimenti art. 6, par. 1, lett. f) GDPR. Le richieste vengono cancellate non appena sono state trattate in via definitiva e non ostano obblighi di conservazione.
12. Destinatari e responsabili del trattamento
Trasmettiamo dati personali solo nella misura descritta nella presente informativa:
| Destinatario | Finalità | Ruolo | Sede/luogo di trattamento |
|---|---|---|---|
| Hetzner Online GmbH | Gestione del sito web, del server di licenza e di aggiornamento | Responsabile del trattamento (art. 28 GDPR) | Germania |
| Gruppo Paddle | Elaborazione dei pagamenti come Merchant of Record | Titolare autonomo | UK (decisione di adeguatezza) / indicato nel checkout |
| Fornitori di modelli IA scelti da te | Esecuzione delle chiamate ai modelli con le tue chiavi | Incaricati da te; non nostro destinatario | a seconda del fornitore, eventualmente paese terzo |
Al di là di ciò, trasmettiamo dati solo se vi siamo obbligati per legge (art. 6, par. 1, lett. c) GDPR) o se ciò è necessario per far valere i nostri diritti (art. 6, par. 1, lett. f) GDPR).
13. Trasferimento verso paesi terzi
Un trasferimento di dati personali da parte nostra verso paesi al di fuori dell'UE/SEE avviene solo nell'ambito dell'elaborazione dei pagamenti tramite Paddle (UK — decisione di adeguatezza della Commissione europea). I trasferimenti a fornitori di modelli IA in paesi terzi avvengono esclusivamente su tua iniziativa, con le tue chiavi di accesso (vedi punto 7).
14. Durata della conservazione (riepilogo)
Salvo quanto diversamente indicato sopra, conserviamo i dati personali solo per il tempo necessario alle finalità indicate, cancellandoli successivamente, salvo che vi ostino obblighi di conservazione legali (in particolare derivanti dal diritto commerciale e fiscale, fino a 10 anni). I dati memorizzati localmente sul tuo dispositivo (database, run-traces, memoria) sono soggetti esclusivamente al tuo controllo; Argo fornisce a tal fine regole di conservazione configurabili (numero/età) con cancellazione a cascata, nonché funzioni di esportazione e backup.
15. I tuoi diritti come interessato
Nei nostri confronti hai i seguenti diritti riguardo ai dati personali che ti riguardano:
- Accesso (art. 15 GDPR),
- Rettifica (art. 16 GDPR),
- Cancellazione (art. 17 GDPR),
- Limitazione del trattamento (art. 18 GDPR),
- Portabilità dei dati (art. 20 GDPR),
- Revoca dei consensi prestati (art. 7, par. 3 GDPR) con effetto per il futuro.
Diritto di opposizione (art. 21 GDPR): hai il diritto di opporti in qualsiasi momento, per motivi connessi alla tua situazione particolare, al trattamento dei dati personali che ti riguardano basato sull'art. 6, par. 1, lett. f) GDPR. In tal caso non tratteremo più i tuoi dati, salvo che possiamo dimostrare motivi legittimi cogenti per il trattamento che prevalgono sui tuoi interessi, diritti e libertà, oppure che il trattamento serva all'accertamento, all'esercizio o alla difesa di un diritto in sede giudiziaria.
Per esercitare i tuoi diritti è sufficiente una comunicazione informale a info@agent-argo.com.
Diritto di reclamo: hai inoltre il diritto di proporre reclamo a un'autorità di controllo per la protezione dei dati (art. 77 GDPR), in particolare nello Stato membro in cui risiedi abitualmente, lavori o nel luogo della presunta violazione. L'autorità competente per noi è il Landesbeauftragter für den Datenschutz Sachsen-Anhalt (Garante per la protezione dei dati del Land Sassonia-Anhalt) (https://datenschutz.sachsen-anhalt.de).
16. Obbligo di fornitura dei dati; decisioni automatizzate
La fornitura dei dati relativi ad account e licenza è necessaria per la conclusione del contratto; senza di essi non possiamo fornire le edizioni a pagamento. Non ha luogo alcun processo decisionale automatizzato, incluso il profiling ai sensi dell'art. 22 GDPR.
17. Sicurezza dei dati
Adottiamo misure tecniche e organizzative ai sensi dell'art. 32 GDPR, tra cui:
- cifratura del trasporto (TLS) per tutte le connessioni ai nostri server, integrabile opzionalmente con il certificate pinning nell'applicazione (ulteriore protezione contro certificati falsificati o rilasciati erroneamente, configurabile, non attiva per impostazione predefinita),
- cifratura locale del database "at rest" (SQLCipher) con chiave protetta dal sistema operativo (DPAPI),
- memorizzazione delle chiavi API esclusivamente nell'archivio delle credenziali del sistema operativo,
- password memorizzate solo come hash con salt,
- manifesti di aggiornamento firmati crittograficamente con verifica locale della firma,
- conservazione dei segreti del server al di fuori del repository del codice sorgente,
- principio di minimizzazione dei dati: nessuna raccolta centralizzata dei contenuti di lavoro.
18. Modifiche alla presente informativa sulla privacy
Adeguiamo la presente informativa sulla privacy qualora cambino il trattamento dei dati o il quadro giuridico. La versione di volta in volta attuale è disponibile nell'applicazione e all'indirizzo https://www.agent-argo.com/privacy_policy. Fanno fede la versione e la data indicate sopra.