Virtual.Studio
Home

Privacy Policy

Ultimo aggiornamento: 1 febbraio 2026

1. Titolare del trattamento

Virtual Studio è il responsabile del trattamento dei tuoi dati personali. Per qualsiasi richiesta relativa alla privacy, scrivi a privacy@virtual.studio.

2. Quali dati raccogliamo

  • Account: email, nome, password (hash bcrypt — mai in chiaro).
  • Contenuti generati: i personaggi AI, immagini, audio, video che crei.
  • Pagamenti: gestiti da Stripe (siamo PCI-compliant tramite il loro hosted checkout). Non memorizziamo i dati della carta.
  • Dati tecnici: IP, user agent, log delle richieste API (anonimizzati dopo 90 giorni).
  • Cookie: solo essenziali (sessione, preferenze tema). Analitici opzionali con consenso.

3. Base giuridica e finalità (GDPR art. 6)

  • Esecuzione del contratto: gestione account, generazione contenuti, fatturazione.
  • Legittimo interesse: sicurezza (anti-abuso), miglioramento del servizio.
  • Consenso: analytics, email di marketing (revocabile in qualsiasi momento).
  • Obbligo di legge: conservazione fatture per 10 anni (normativa fiscale italiana).

4. Sub-responsabili (data processors)

Condividiamo dati solo con i seguenti fornitori, tutti GDPR-compliant:

  • Stripe Inc. — pagamenti
  • Resend — invio email transazionali
  • Emergent — infrastruttura cloud + AI (LLM, immagini, video)
  • MongoDB Atlas — database (region UE)

5. Conservazione dei dati

  • Account attivo: per tutta la durata dell'abbonamento.
  • Account cancellato: dati eliminati entro 30 giorni dalla richiesta.
  • Fatture: 10 anni (obbligo fiscale).
  • Log di sistema: 90 giorni.

6. I tuoi diritti (GDPR art. 15-22)

Hai diritto a: accesso, rettifica, cancellazione (right to be forgotten), portabilità, limitazione del trattamento, opposizione, reclamo al Garante Privacy. Per esercitarli scrivi a privacy@virtual.studio.

Tempo di risposta: massimo 30 giorni.

7. Contenuti generati dall'AI

Le immagini, audio e video generati dalla piattaforma:

  • Sono di tua proprietà (può essere usato commercialmente).
  • Devono essere identificati come "AI generated" quando pubblicati (vincolo legale UE AI Act).
  • Non possono rappresentare persone reali esistenti senza consenso.
  • Non possono raffigurare minori in modo sessualmente esplicito (mai).

8. Trasferimenti extra-UE

Alcuni nostri fornitori (Stripe, OpenAI/Anthropic via Emergent) processano dati negli USA con Standard Contractual Clauses (SCC) GDPR-conformi e (per Stripe) sotto il Data Privacy Framework UE-USA.

9. Sicurezza

HTTPS ovunque, password hash bcrypt, JWT con scadenza 7 giorni, accesso DB limitato, backup automatici, monitoraggio anti-abuso.

10. Modifiche

Aggiornamenti a questa policy verranno comunicati via email almeno 30 giorni prima dell'entrata in vigore.

Made with Emergent