Informativa sulla Privacy

Privacy Policy

Cosa raccogliamo, perché, per quanto, e i tuoi diritti.

What we collect, why, for how long, and your rights.

1. Titolare del trattamento

1. Data Controller

CassandrIA è un servizio operato da Hendeka tramite cassandria.hendekaorchestra.com. Ai fini del Regolamento (UE) 2016/679 (GDPR), Hendeka agisce come titolare del trattamento dei dati personali raccolti attraverso questa piattaforma.

Contatto privacy: privacy@hendekaorchestra.com

CassandrIA is a service operated by Hendeka via cassandria.hendekaorchestra.com. For the purposes of Regulation (EU) 2016/679 (GDPR), Hendeka acts as the data controller for personal data collected through this platform.

Privacy contact: privacy@hendekaorchestra.com

2. Dati che raccogliamo

2. Data We Collect

Dati di autenticazione

Se accedi tramite Google OAuth, riceviamo il tuo indirizzo email, nome visualizzato e immagine del profilo. Non riceviamo la tua password Google. Google è utilizzato esclusivamente per l'autenticazione.

Authentication Data

If you sign in via Google OAuth, we receive your email address, display name, and profile image. We do not receive your Google password. Google is used solely for authentication.

Dati di utilizzo

Per gli utenti registrati, conserviamo la cronologia delle ultime 10 query effettuate all'oracolo. Questa cronologia è visibile solo all'utente stesso.

Usage Data

For registered users, we retain a history of the last 10 queries submitted to the oracle. This history is visible only to the user.

Dati tecnici

Raccogliamo automaticamente l'indirizzo IP per anti-abuso e rate-limiting. Gli indirizzi IP sono conservati per un massimo di 24 ore.

Technical Data

We automatically collect IP addresses for anti-abuse and rate-limiting. IP addresses are retained for a maximum of 24 hours.

Dati di fatturazione (utenti con piano a pagamento)

Se sottoscrivi un piano Oracolo 10 o Oracolo 30, i pagamenti sono elaborati da Stripe, Inc. CassandrIA non memorizza né ha accesso ai dati della tua carta di credito o del tuo metodo di pagamento. Stripe gestisce e conserva tali dati in conformità alla propria privacy policy e ai requisiti PCI-DSS.

Noi conserviamo esclusivamente:

Stripe Customer ID (identificativo tecnico associato al tuo account)
Stato della sottoscrizione (attiva, cancellata, scaduta)
Date del periodo di fatturazione corrente
Piano sottoscritto e relativo importo

Billing Data (paid plan subscribers)

If you subscribe to an Oracolo 10 or Oracolo 30 plan, payments are processed by Stripe, Inc. CassandrIA does not store or have access to your credit card or payment method details. Stripe handles and stores such data in accordance with its own privacy policy and PCI-DSS requirements.

We store only:

Stripe Customer ID (technical identifier linked to your account)
Subscription status (active, cancelled, expired)
Current billing period dates
Subscribed plan and its amount

Dati che non raccogliamo

CassandrIA non raccoglie numeri di carta di credito o dati completi di pagamento (gestiti da Stripe), non utilizza cookie di tracciamento, non effettua profilazione pubblicitaria e non condivide dati con reti pubblicitarie.

Data We Do Not Collect

CassandrIA does not collect credit card numbers or full payment details (handled by Stripe), does not use tracking cookies, does not perform advertising profiling, and does not share data with ad networks.

3. Basi giuridiche del trattamento (Art. 6 GDPR)

3. Legal Bases for Processing (GDPR Article 6)

Base giuridica	Finalità
Esecuzione contrattuale Art. 6(1)(b)	Creazione account, erogazione del servizio oracolo, gestione quota, gestione sottoscrizione e pagamenti
Legittimo interesse Art. 6(1)(f)	Sicurezza della piattaforma, anti-abuso, rate-limiting, log IP (retention 24h)
Obbligo legale Art. 6(1)(c)	Conservazione dati di fatturazione per obblighi fiscali e contabili (5 anni — D.Lgs. 196/2003, Direttiva 2006/112/CE)

Legal Basis	Purpose
Contract performance Art. 6(1)(b)	Account creation, oracle service delivery, quota management, subscription and payment management
Legitimate interest Art. 6(1)(f)	Platform security, anti-abuse, rate-limiting, IP logging (24h retention)
Legal obligation Art. 6(1)(c)	Billing data retention for tax and accounting obligations (5 years — Italian D.Lgs. 196/2003, Directive 2006/112/EC)

Non trattiamo dati per finalità di marketing diretto né per profilazione automatizzata.

We do not process data for direct marketing or automated profiling purposes.

4. Cookie

4. Cookies

CassandrIA utilizza un approccio minimale:

Cookie di sessione — HttpOnly, utilizzato esclusivamente per la sessione autenticata. Strettamente necessario, non richiede consenso (Art. 5(3), Direttiva ePrivacy 2002/58/CE).

Non utilizziamo cookie di tracciamento, pubblicitari, di retargeting né analitici di terze parti. Per le statistiche di traffico utilizziamo Plausible Analytics self-hosted, che non usa cookie e non raccoglie dati personali identificabili.

CassandrIA uses a minimal approach:

Session cookie — HttpOnly, used strictly for authenticated sessions. Strictly necessary, no consent required (Art. 5(3), ePrivacy Directive 2002/58/EC).

We do not use tracking, advertising, retargeting, or third-party analytics cookies. For traffic analytics we use self-hosted Plausible Analytics, which uses no cookies and collects no personally identifiable data.

5. Condivisione dei dati e sub-responsabili

5. Data Sharing and Sub-processors

Condividiamo dati personali esclusivamente con i seguenti fornitori:

Google OAuth — Autenticazione. Riceviamo solo email, nome e immagine profilo. Google agisce come titolare autonomo; la privacy policy di Google disciplina il trattamento lato Google.
Stripe, Inc. — Processore di pagamento per le sottoscrizioni a pagamento. Stripe riceve i dati di pagamento direttamente dall'utente e li tratta come responsabile del trattamento ai sensi dell'Art. 28 GDPR, in virtù del proprio Data Processing Agreement (DPA) standard. Stripe aderisce al Data Privacy Framework UE-USA.
Resend — Email transazionali (conferme account, notifiche billing). Resend agisce come responsabile del trattamento; la privacy policy di Resend disciplina il trattamento lato Resend.

Non vendiamo dati personali a terzi. Mai.

We share personal data only with the following providers:

Google OAuth — Authentication. We receive only email, name, and profile image. Google acts as an independent controller; Google's privacy policy governs their handling of data.
Stripe, Inc. — Payment processor for paid subscriptions. Stripe receives payment data directly from the user and processes it as a data processor under GDPR Art. 28, under its standard Data Processing Agreement (DPA). Stripe adheres to the EU-US Data Privacy Framework.
Resend — Transactional emails (account confirmations, billing notifications). Resend acts as a data processor; Resend's privacy policy governs their handling of data.

We do not sell your personal data to third parties. Ever.

6. Trasferimenti internazionali

6. International Data Transfers

I dati primari sono conservati su server nell'Unione Europea.

I seguenti fornitori possono trattare dati al di fuori dell'UE:

Stripe, Inc. (USA) — Aderisce al Data Privacy Framework UE-USA (decisione di adeguatezza Commissione Europea del 10 luglio 2023) e utilizza Clausole Contrattuali Standard (SCC).
Google (USA) — Aderisce al Data Privacy Framework UE-USA e utilizza SCC per i dati OAuth.
Resend (USA) — Operano sotto SCC standard.

Primary data is stored on servers within the European Union.

The following providers may process data outside the EU:

Stripe, Inc. (US) — Adheres to the EU-US Data Privacy Framework (European Commission adequacy decision of 10 July 2023) and uses Standard Contractual Clauses (SCCs).
Google (US) — Adheres to the EU-US Data Privacy Framework and uses SCCs for OAuth data.
Resend (US) — Operates under standard SCCs.

7. I tuoi diritti (Artt. 15–22 GDPR)

7. Your Rights (GDPR Articles 15–22)

Ai sensi del Regolamento (UE) 2016/679, hai diritto a:

Accesso (Art. 15) — Ottenere conferma dell'esistenza di un trattamento e copia dei dati personali che trattiamo.
Rettifica (Art. 16) — Richiedere la correzione di dati inesatti o l'integrazione di dati incompleti.
Cancellazione (Art. 17) — Richiedere la cancellazione dei tuoi dati. CassandrIA offre cancellazione account 1-click dal profilo. Nota: i dati di fatturazione (Stripe Customer ID, importi, date fatturazione) sono conservati per 5 anni dopo la cancellazione dell'account per obblighi fiscali e contabili (D.Lgs. 196/2003, Direttiva 2006/112/CE). Questa eccezione è prevista dall'Art. 17(3)(b) GDPR.
Limitazione (Art. 18) — Richiedere la limitazione del trattamento in determinate circostanze.
Portabilità (Art. 20) — Ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
Opposizione (Art. 21) — Opporsi al trattamento basato sul legittimo interesse.
Decisioni automatizzate (Art. 22) — Non sottostare a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici. CassandrIA non effettua decisioni automatizzate di questa natura.
Reclamo (Art. 77) — Presentare reclamo all'autorità di controllo. Per l'Italia: Garante per la protezione dei dati personali (garanteprivacy.it). Per la Spagna: AEPD (aepd.es).

Under Regulation (EU) 2016/679, you have the right to:

Access (Art. 15) — Obtain confirmation of processing and a copy of the personal data we hold.
Rectification (Art. 16) — Request correction of inaccurate data or completion of incomplete data.
Erasure (Art. 17) — Request deletion of your data. CassandrIA offers one-click account deletion from the profile page. Note: billing data (Stripe Customer ID, amounts, billing dates) is retained for 5 years after account deletion for tax and accounting obligations (Italian D.Lgs. 196/2003, Directive 2006/112/EC). This exception is provided by GDPR Art. 17(3)(b).
Restriction (Art. 18) — Request restriction of processing in certain circumstances.
Portability (Art. 20) — Receive your data in a structured, commonly used, machine-readable format.
Objection (Art. 21) — Object to processing based on legitimate interest.
Automated decisions (Art. 22) — Not be subject to decisions based solely on automated processing producing legal effects. CassandrIA does not make such automated decisions.
Lodge a complaint (Art. 77) — File a complaint with a supervisory authority. For Italy: Garante per la protezione dei dati personali (garanteprivacy.it). For Spain: AEPD (aepd.es).

Scrivi a privacy@hendekaorchestra.com. Risponderemo entro 30 giorni (Art. 12(3) GDPR). In caso di richieste complesse, il termine può essere prorogato di ulteriori 60 giorni con comunicazione motivata.

Email privacy@hendekaorchestra.com. We will respond within 30 days (GDPR Art. 12(3)). For complex requests, the deadline may be extended by a further 60 days with a reasoned notification.

8. Conservazione dei dati

8. Data Retention

Tipo di dato	Periodo di conservazione
Account (email, nome, profilo)	Fino a cancellazione da parte dell'utente
Dati post-cancellazione account	Eliminati entro 30 giorni
Dati di fatturazione (Stripe ID, importi, date, fatture)	5 anni dalla cancellazione — obbligo fiscale (D.Lgs. 196/2003, Dir. 2006/112/CE)
Log query oracolo	90 giorni
Cronologia personale (ultime 10)	Fino a cancellazione account
Indirizzi IP (anti-abuso)	24 ore
Log server (Nginx)	90 giorni

Data Type	Retention Period
Account (email, name, profile)	Until account deletion by user
Data after account deletion	Deleted within 30 days
Billing data (Stripe ID, amounts, dates, invoices)	5 years after deletion — tax obligation (Italian D.Lgs. 196/2003, Dir. 2006/112/EC)
Oracle query logs	90 days
Personal history (last 10)	Until account deletion
IP addresses (anti-abuse)	24 hours
Server logs (Nginx)	90 days

9. Sicurezza

9. Security

Adottiamo misure tecniche e organizzative adeguate (Art. 32 GDPR):

Crittografia TLS 1.2+ per tutti i dati in transito
Cookie di sessione HttpOnly
JWT firmati per autenticazione
Server nell'Unione Europea
Rate-limiting anti-abuso (Nginx)
Header sicurezza: HSTS, X-Frame-Options DENY, CSP strict, Referrer-Policy strict
Pagamenti: nessun dato carta transita sui nostri server (Stripe Checkout / Elements)

We implement appropriate technical and organisational measures (GDPR Art. 32):

TLS 1.2+ encryption for all data in transit
HttpOnly session cookies
Signed JWT for authentication
Servers within the European Union
Anti-abuse rate-limiting (Nginx)
Security headers: HSTS, X-Frame-Options DENY, strict CSP, strict Referrer-Policy
Payments: no card data transits our servers (Stripe Checkout / Elements)

10. Minori

10. Children

CassandrIA non è destinata a persone di età inferiore ai 16 anni (Art. 8 GDPR). Non raccogliamo consapevolmente dati di minori.

CassandrIA is not directed at individuals under 16 (GDPR Art. 8). We do not knowingly collect data from anyone under 16.

11. Modifiche

11. Changes

Potremmo aggiornare questa informativa. Le modifiche sostanziali saranno notificate agli utenti registrati via email con almeno 30 giorni di anticipo.

We may update this policy. Material changes will be notified to registered users by email at least 30 days in advance.

12. Contatto

12. Contact

privacy@hendekaorchestra.com

Ultimo aggiornamento: maggio 2026