R-SET Logo
← Torna alla Home

Privacy Policy

Ultimo aggiornamento: 28 maggio 2026

La presente informativa descrive come R-Set raccoglie, utilizza e protegge i dati personali degli utenti della piattaforma, ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 e successive modifiche.

1. Titolare del trattamento

Il titolare del trattamento dei dati è:

  • Denominazione: Stratosfera S.r.l.
  • Sede legale: Via Caradosso, 12, 20123 Milano MI
  • P.IVA: 11809210963
  • C.F.: 11809210963
  • REA: MI-2625712
  • PEC: stratosfera@legalmail.it

Per qualsiasi richiesta relativa al trattamento dei dati personali o all'esercizio dei diritti previsti dal GDPR, è possibile utilizzare l'indirizzo PEC indicato.

2. Tipologie di dati raccolti

R-Set tratta le seguenti categorie di dati personali:

  • Dati di contatto e identificativi: nome, cognome, indirizzo email, numero di telefono, forniti in fase di richiesta di accesso e registrazione.
  • Dati aziendali: ragione sociale, partita IVA, settore di attività, dimensione dell'azienda, ruolo dell'utente all'interno dell'impresa.
  • Dati di autenticazione: credenziali di accesso (password salvate in forma cifrata) e codici OTP temporanei, gestiti tramite Supabase Auth.
  • Documenti finanziari caricati: bilanci e visure camerali in formato PDF caricati dall'utente sulla piattaforma.
  • Dati estratti: informazioni finanziarie strutturate (voci di stato patrimoniale, conto economico, KPI) estratte automaticamente tramite IA dai documenti caricati.
  • Dati di utilizzo: cronologia delle simulazioni effettuate (analisi forecast, budget, scenari decisionali), input e risultati delle elaborazioni.
  • Preferenze cookie: scelte relative ai cookie memorizzate sul dispositivo dell'utente.
  • Log tecnici: indirizzo IP, user agent e log di accesso al servizio, conservati a fini di sicurezza e diagnostica.

3. Finalità del trattamento

I dati raccolti vengono utilizzati per:

  • Gestire la richiesta di accesso, la registrazione e l'autenticazione degli utenti.
  • Erogare i servizi della piattaforma: estrazione automatica dei dati dai documenti caricati, simulazioni quantitative, valutazione dell'impatto delle decisioni sul rating creditizio prospettico, confronti benchmark.
  • Gestire la comunicazione transazionale con l'utente (email di approvazione/rifiuto della richiesta di accesso, OTP di accesso, richieste di assistenza).
  • Garantire la sicurezza della piattaforma e prevenire abusi.
  • Adempiere agli obblighi previsti dalla legge.

4. Base giuridica del trattamento

Il trattamento dei dati personali si fonda su:

  • Esecuzione del contratto (art. 6, par. 1, lett. b GDPR) per l'erogazione dei servizi della piattaforma, incluse le elaborazioni di IA applicate ai documenti e ai dati finanziari forniti dall'utente.
  • Consenso (art. 6, par. 1, lett. a GDPR) per i cookie non strettamente necessari e per finalità ulteriori non legate all'esecuzione del contratto.
  • Obblighi legali (art. 6, par. 1, lett. c GDPR) per la conservazione di dati richiesti dalla normativa applicabile.
  • Legittimo interesse (art. 6, par. 1, lett. f GDPR) per garantire la sicurezza della piattaforma e la prevenzione di abusi.

5. Servizi di terze parti

R-Set si avvale dei seguenti fornitori, che agiscono in qualità di responsabili del trattamento (o sub-responsabili) ai sensi dell'art. 28 GDPR:

FornitoreFinalitàDati trattatiLocalizzazione
SupabaseAutenticazione, database, storage dei documenti caricatiDati di account, dati aziendali, documenti finanziariUE
ResendInvio di email transazionali (approvazioni, OTP, richieste di assistenza), region eu-west-1 (Irlanda)Nome, cognome, indirizzo emailUE
Google (Gemini)Estrazione strutturata dei dati dai documenti finanziari caricati e generazione di simulazioni quantitativeContenuto dei documenti finanziari, dati finanziari estratti, contenuto delle interazioni di simulazioneUSA
RailwayHosting e distribuzione della piattaforma (region EU West, Amsterdam)Indirizzo IP, log di accessoUE

6. Trattamento automatizzato e intelligenza artificiale

R-Set utilizza modelli di intelligenza artificiale generativa di Google (famiglia Gemini) per due funzionalità:

  • Estrazione dei dati dai documenti: i bilanci e le visure caricati vengono inviati al modello che ne estrae in forma strutturata le informazioni economico-finanziarie e anagrafiche. L'utente si impegna a non caricare categorie particolari di dati personali ai sensi dell'art. 9 GDPR, salvo ove strettamente necessario e legittimo.
  • Simulazioni decisionali: i dati finanziari estratti vengono utilizzati come contesto per generare proiezioni quantitative dell'impatto degli scenari ipotizzati dall'utente.

I dati inviati al modello non sono utilizzati per l'addestramento di modelli pubblici da parte del fornitore. I risultati prodotti dai modelli di intelligenza artificiale hanno natura meramente previsionale e di supporto alle decisioni dell'utente e non costituiscono rating ufficiali, consulenza finanziaria o decisioni automatizzate vincolanti ai sensi dell'art. 22 GDPR: ogni risultato è uno strumento di supporto a una decisione che resta in capo all'utente.

Nota: è in pianificazione la migrazione del trattamento IA su Vertex AI in regione europea, per mantenere i dati all'interno dello Spazio Economico Europeo. R-Set valuta costantemente soluzioni infrastrutturali e di intelligenza artificiale con localizzazione europea dei dati al fine di massimizzare il livello di protezione e conformità normativa.

7. Trasferimenti extra-UE

Il fornitore Google indicato al punto 5 tratta i dati in paesi al di fuori dell'Unione Europea, in particolare negli Stati Uniti. Tale trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea ai sensi dell'art. 46 GDPR, ovvero in presenza di una decisione di adeguatezza (es. EU-U.S. Data Privacy Framework). Sono adottate misure tecniche e organizzative supplementari per garantire un livello di protezione adeguato.

8. Conservazione dei dati

I dati personali e le informazioni finanziarie caricate o estratte vengono conservati per tutta la durata del rapporto contrattuale con l'utente e, successivamente, per il tempo strettamente necessario all'adempimento di obblighi legali, fiscali o alla tutela dei diritti del titolare.

In caso di cancellazione dell'account, i dati saranno eliminati o anonimizzati entro un termine ragionevole, salvo esigenze di conservazione previste dalla legge o necessarie alla difesa in sede giudiziaria.

I log tecnici sono conservati per un periodo massimo di 90 giorni ai fini di sicurezza e diagnostica.

9. Diritti dell'interessato

Ai sensi degli articoli 15-22 del GDPR, l'utente ha il diritto di:

  • Accedere ai propri dati personali (art. 15)
  • Richiedere la rettifica di dati inesatti (art. 16)
  • Richiedere la cancellazione dei dati (art. 17)
  • Limitare il trattamento (art. 18)
  • Opporsi al trattamento (art. 21)
  • Richiedere la portabilità dei dati (art. 20)
  • Revocare il consenso in qualsiasi momento
  • Proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali

Per esercitare questi diritti scrivere via PEC a stratosfera@legalmail.it. Le richieste vengono evase nei tempi previsti dalla normativa vigente.

10. Sicurezza dei dati

R-Set adotta misure tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, divulgazione, perdita o alterazione. In particolare:

  • Comunicazioni cifrate tramite TLS/HTTPS.
  • Cifratura dei dati a riposo presso il fornitore di database (Supabase).
  • Politiche di isolamento dei dati per ruolo e per tenant (Row-Level Security).
  • Hashing irreversibile delle password e gestione separata delle credenziali di servizio.
  • Accesso ai dati limitato al personale strettamente necessario.

11. Cookie

Per informazioni di dettaglio sull'utilizzo dei cookie, consultare la Cookie Policy.

12. Modifiche alla presente informativa

R-Set si riserva il diritto di aggiornare la presente informativa per adeguarla a modifiche normative, evoluzioni tecnologiche o organizzative. Le versioni aggiornate saranno pubblicate su questa pagina con l'indicazione della data di ultimo aggiornamento.