Optlyx

Privacy Policy — Connettore MCP

In vigore dal 16 maggio 2026 · Ultimo aggiornamento 19 giugno 2026

Questa informativa descrive il trattamento dei dati personali nell'ambito del Connettore MCP di Optlyx ("il Connettore"), il servizio che consente al titolare di uno studio professionale di consultare e gestire i dati del proprio studio Optlyx tramite assistenti AI compatibili con il protocollo Model Context Protocol (ad esempio Claude di Anthropic e ChatGPT di OpenAI).

Integra l'informativa privacy generale della piattaforma Optlyx/Prisma, che resta applicabile.

1. Titolare del trattamento

Il Connettore è fornito da Optlyx di Paolo Puricelli, Via Belluno 5, 21010 Cardano al Campo (VA), P.IVA 02198920023, REA VA-344484 ("Optlyx"). Per i dati dei clienti dello studio, il titolare del trattamento è lo studio professionale utente; Optlyx agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base dell'accordo di nomina a responsabile (Data Processing Agreement) sottoscritto con lo studio in sede di adesione alla piattaforma. Contatti: hello@optlyx.com.

2. Dati trattati

Quando il titolare dello studio attiva e utilizza il Connettore, possono essere trattati:

Dati di autenticazione — l'accesso avviene con le credenziali Optlyx tramite OAuth 2.1; la password non è mai condivisa con l'assistente AI né con il suo provider.
Dati dello studio consultati su richiesta — scadenze fiscali, anagrafica e dati dei clienti, fatture, documenti archiviati, appuntamenti.
Dati creati su richiesta — nuove scadenze e nuovi appuntamenti generati su istruzione dell'utente.
Dati tecnici — log di accesso, identificativi di sessione e token, per sicurezza e diagnostica.

I dati dei clienti consultati possono includere dati fiscali e finanziari (es. partite IVA, codici fiscali, importi e fatture). Non sono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR.

3. Finalità e base giuridica

I dati sono trattati al solo scopo di erogare le funzionalità del Connettore richieste dall'utente (consultazione e creazione di record nello studio). La base giuridica è l'esecuzione del contratto con lo studio utente e il legittimo interesse alla sicurezza del servizio.

4. Destinatari e sub-responsabili

Quando l'utente formula una richiesta tramite un assistente AI, i dati dello studio necessari a rispondere vengono trasmessi al provider dell'assistente (es. Anthropic o OpenAI), che li elabora per restituire la risposta. Il Connettore trasmette solo i dati pertinenti alla specifica richiesta dell'utente e sempre su sua iniziativa.

I provider degli assistenti AI agiscono come sub-responsabili del trattamento, autorizzati dallo studio titolare nell'ambito del DPA. Il Connettore è erogato su infrastruttura Google Cloud / Firebase, con elaborazione e archiviazione dei dati dello studio nella regione europe-west1 (UE); anche Google agisce come sub-responsabile.

Optlyx non vende i dati e non li utilizza per profilazione o per l'addestramento di modelli. Optlyx non invia ai provider AI alcun dato dello studio in assenza di una specifica richiesta dell'utente.

5. Trasferimenti extra-SEE

I dati dello studio sono ospitati nell'Unione Europea. Tuttavia, quando l'utente utilizza un assistente AI il cui provider è stabilito negli Stati Uniti (Anthropic, OpenAI), i dati pertinenti alla richiesta sono trasferiti fuori dallo Spazio Economico Europeo. Tali trasferimenti avvengono in presenza di garanzie adeguate ai sensi degli artt. 44-49 GDPR — adesione del provider all'EU-US Data Privacy Framework e/o Clausole Contrattuali Standard (SCC) della Commissione Europea. L'attivazione del Connettore e l'invio di ogni richiesta restano a iniziativa dell'utente, che sceglie quale assistente AI utilizzare.

6. Conservazione

I token di accesso hanno durata 1 ora; i token di refresh fino a 90 giorni, sono memorizzati in forma cifrata e ruotati ad ogni uso.
I record creati tramite il Connettore restano nello studio finché non vengono eliminati dall'utente.
I log tecnici sono conservati per il tempo necessario alla sicurezza e alla diagnostica.

7. Sicurezza

L'accesso è protetto da OAuth 2.1 con PKCE; i token sono firmati e vincolati alla risorsa; i dati sono isolati per singolo studio. La connessione è cifrata in transito. Il Connettore consente la sola consultazione e la creazione di scadenze e appuntamenti: non modifica né elimina dati esistenti e non opera su pagamenti, fatturazione elettronica, deleghe F24, firme elettroniche o pratiche AML. Questa pagina non utilizza cookie né strumenti di tracciamento.

8. Diritti dell'interessato

Gli interessati possono esercitare i diritti previsti dal GDPR (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) scrivendo a hello@optlyx.com. Le richieste relative ai dati di un cliente dello studio sono indirizzate allo studio titolare, che Optlyx assiste in qualità di responsabile. Resta fermo il diritto di proporre reclamo all'autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali).

9. Revoca dell'accesso

Il titolare dello studio può revocare in qualsiasi momento l'accesso del Connettore da Prisma → Impostazioni → Connessioni, oppure rimuovendo il connettore dall'assistente AI. La revoca invalida immediatamente i token.

10. Modifiche

Eventuali modifiche a questa informativa saranno pubblicate su questa pagina con la relativa data di aggiornamento.