Privacy Policy - MerlinOptima
Ultimo aggiornamento: 6 giugno 2026
1. Titolare del Trattamento
<!-- TODO SRL: sostituire questo blocco con i dati definitivi della SRL alla costituzione:
MerlinOptima S.r.l. Innovativa
Sede legale: [Via ..., CAP Milano (MI)]
P.IVA e C.F.: IT[numero]
REA Milano: MI-[numero]
Iscritta sezione speciale startup innovative del Registro Imprese dal [data]
Capitale sociale: €[...] interamente versato
PEC: merlinoptima@pec.it
Email privacy: privacy@merlinoptima.com
Legale rappresentante: [nome amministratore unico] -->
Il Titolare del trattamento dei dati personali è: Leonardo Mattia Esposito
MerlinOptima (in fase di costituzione come SRL Innovativa con sede a Milano)
- Email: merlinoptima@gmail.com (transitoria; sostituita da privacy@merlinoptima.com alla costituzione SRL)
- Progetto attualmente gestito da persona fisica ai sensi dell'Art. 4(7) GDPR
Responsabile della Protezione dei Dati (DPO)
Non è stato designato un Responsabile della Protezione dei Dati in quanto il trattamento effettuato da MerlinOptima non rientra nei casi di obbligatorietà di cui all'art. 37 GDPR. È stato comunque individuato un referente privacy interno (l'amministratore unico) contattabile all'email sopra indicata.
2. Tipologie di Dati Raccolti
Dati forniti volontariamente dall'utente:
- Dati di registrazione: nome, indirizzo email, password (hash)
- Curriculum Vitae: esperienze lavorative, formazione, competenze, dati di contatto presenti nel CV
- Knowledge Base: descrizioni in linguaggio naturale delle esperienze lavorative, formazione, competenze, progetti e certificazioni inserite dall'utente nella sezione Knowledge Base
- Annunci di lavoro: descrizioni, titoli, aziende di interesse
- Dati candidature: stato della candidatura, date, note personali, dati di follow-up
Dati raccolti automaticamente:
- Dati tecnici: indirizzo IP, tipo di browser, sistema operativo
- Dati di navigazione: pagine visitate, durata sessione, timestamp
- Cookie: tecnici e di sessione (vedi Cookie Policy)
2-bis. Accesso tramite Google (Google Sign-In)
Se scegli di registrarti o accedere a MerlinOptima tramite il pulsante "Accedi con Google", utilizziamo il servizio di autenticazione OAuth 2.0 di Google. In conformità alla Google API Services User Data Policy, di seguito spieghiamo quali dati del tuo Account Google trattiamo e con quali finalità.
Dati Google a cui accediamo
Richiediamo esclusivamente gli scope di base, non sensibili, necessari all'autenticazione (openid, email, profile). Tramite questi accediamo a:
- il tuo indirizzo email dell'Account Google;
- il tuo nome (nome visualizzato);
- la tua immagine del profilo (URL dell'avatar);
- l'identificativo univoco Google (Google ID).
Non richiediamo né accediamo ad alcun altro dato del tuo Account Google: non leggiamo Gmail, Google Drive, Contatti, Google Calendar o qualsiasi altro servizio o API di Google.
Come utilizziamo questi dati
- Creazione e autenticazione dell'account: l'indirizzo email e il Google ID identificano in modo univoco il tuo account MerlinOptima e ti permettono di accedere senza creare una password separata.
- Personalizzazione dell'interfaccia: il nome e l'immagine del profilo vengono mostrati nella tua area riservata (ad esempio avatar e messaggio di benvenuto).
Questi dati non vengono utilizzati per finalità pubblicitarie, non vengono venduti né condivisi con terze parti per finalità di marketing e non vengono utilizzati per addestrare modelli di intelligenza artificiale.
Conservazione e revoca
Indirizzo email, nome e immagine sono conservati per la durata dell'account ed eliminati quando cancelli l'account (Profilo → Elimina account). I token OAuth rilasciati da Google sono conservati nel nostro database (Neon, UE — Francoforte, cifrato a riposo) ed eliminati con l'account. Puoi revocare in qualsiasi momento l'accesso di MerlinOptima al tuo Account Google dalla pagina Autorizzazioni del tuo Account Google.
Limited Use
L'uso e il trasferimento, da parte di MerlinOptima, delle informazioni ricevute dalle API di Google rispettano la Google API Services User Data Policy, inclusi i requisiti di Limited Use.
3. Finalità del Trattamento
I tuoi dati personali sono trattati per:
| Finalità | Base Giuridica | Dati Utilizzati |
|---|---|---|
| Erogazione del servizio | Esecuzione contratto (Art. 6.1.b) | Tutti i dati forniti |
| Analisi CV con AI | Esecuzione contratto (Art. 6.1.b) | Contenuto CV |
| Ottimizzazione CV | Esecuzione contratto (Art. 6.1.b) | CV + Job posting |
| Generazione CV da Knowledge Base | Esecuzione contratto (Art. 6.1.b) | Knowledge Base + Job posting |
| Intervista guidata di onboarding | Esecuzione contratto (Art. 6.1.b) | Transcript della conversazione (testi forniti dall'utente sulle proprie esperienze) |
| Tracciamento candidature | Esecuzione contratto (Art. 6.1.b) | Dati candidature |
| Sicurezza piattaforma | Interesse legittimo (Art. 6.1.f) | Dati tecnici |
| Comunicazioni di servizio (account, abbonamento, pagamenti) | Esecuzione contratto (Art. 6.1.b) | |
| Email di promemoria e suggerimenti sul percorso (nudge aggiornamento candidature, promemoria colloquio, avviso offerta in scadenza) | Interesse legittimo (Art. 6.1.f), con opt-out | Email, dati candidatura/colloquio/offerta |
| Benchmarking salariale aggregato | Interesse legittimo (Art. 6.1.f) | Retribuzione rilevata da annunci/offerte, ruolo, zona |
Email di promemoria e suggerimenti (opt-out). Le email che ti invitano ad aggiornare il percorso, ti ricordano un colloquio imminente o ti avvisano di un'offerta in scadenza si fondano sul nostro interesse legittimo a rendere utile lo strumento di tracciamento. Puoi disattivarle in qualsiasi momento, con effetto immediato, dal toggle in Profilo o cliccando "Annulla iscrizione" in fondo a ciascuna email. Le comunicazioni di servizio (account, abbonamento, pagamenti) non sono interessate dall'opt-out.
3-bis. Benchmarking salariale aggregato
Per offrirti una stima realistica della retribuzione di mercato durante la preparazione alla negoziazione, raccogliamo in forma aggregata e anonima i dati salariali che entrano nel servizio:
- Cosa raccogliamo: la retribuzione (RAL) rilevata automaticamente dagli annunci che incolli e dalle offerte che registri nel tracker, normalizzata a RAL annua lorda, insieme a ruolo e macro-area geografica. Lo stipendio netto e i valori non attendibili vengono esclusi dagli aggregati.
- Come la usiamo: i dati vengono aggregati per *ruolo × zona*. Mostriamo una stima reale solo quando il campione raggiunge una soglia minima di k-anonimato (almeno 5 osservazioni); sotto tale soglia mostriamo una stima preliminare generata dall'AI, chiaramente etichettata come tale. Nessuno stipendio individuale viene mai mostrato ad altri utenti.
- Base giuridica: interesse legittimo (Art. 6.1.f) a fornire e migliorare la funzionalità di negoziazione. Le stime sono basate sul campione degli utenti MerlinOptima e non rappresentano il mercato italiano nel suo complesso.
- Estrazione AI: l'estrazione del dato salariale dagli annunci avviene tramite il provider AI (OpenRouter), già indicato come sub-processor (Art. 28) in questa policy.
- I tuoi diritti: le tue osservazioni salariali sono incluse nell'export dei dati (Art. 20) e vengono eliminate insieme all'account (Art. 17).
4. Modalità di Trattamento
Trattamento con Intelligenza Artificiale
I tuoi CV e la tua Knowledge Base vengono elaborati da sistemi di AI per:
- Analizzare la compatibilità con offerte di lavoro
- Suggerire ottimizzazioni del contenuto
- Generare lettere di presentazione personalizzate
- Generare CV personalizzati dalla Knowledge Base per specifiche posizioni lavorative
- Intervista guidata di onboarding: durante l'eventuale intervista conversazionale per popolare la Knowledge Base, i tuoi messaggi (transcript) vengono inviati turno dopo turno a Google Gemini 3 Flash via OpenRouter affinché il modello generi la domanda successiva e, al termine, trasformi la conversazione in voci strutturate della Knowledge Base. L'intervista NON raccoglie dati personali di contatto: nome ed email provengono dal tuo account (non vengono chiesti dall'AI) e telefono, indirizzo, LinkedIn non vengono richiesti. Il transcript contiene quindi solo le informazioni professionali che scegli di descrivere (esperienze, competenze, formazione); questo testo è elaborato dal provider AI con opt-out esplicito dall'addestramento (header
X-OR-Training: false). Il transcript è persistito nel database di MerlinOptima per consentirti di riprendere l'intervista in un secondo momento; viene eliminato cancellando l'account o esplicitamente la sessione di intervista
Importante:
- I tuoi CV NON vengono utilizzati per addestrare modelli AI
- I dati vengono inviati ai provider AI in forma criptata (HTTPS/TLS)
- Non conserviamo i risultati delle elaborazioni AI oltre quanto necessario
Provider AI Utilizzati
Il servizio utilizza OpenRouter come unico gateway per accedere ai modelli di intelligenza artificiale:
- OpenRouter (gateway unico) - Privacy Policy OpenRouter
- Modelli accessibili via OpenRouter:
- Google Gemini 3 Flash (Google LLC) - Privacy Policy Google
- Anthropic Claude Sonnet (Anthropic PBC) - Privacy Policy Anthropic
- Mistral AI Ministral 3B (Mistral AI SAS — Francia, UE) - Privacy Policy Mistral — utilizzato per il parsing anonimo degli annunci di lavoro in /api/job-preview
I dati inviati ai provider AI sono utilizzati esclusivamente per l'elaborazione richiesta e non per l'addestramento dei modelli, come previsto dalle rispettive policy di utilizzo API. Inviamo inoltre l'header X-OR-Training: false a OpenRouter per impedire esplicitamente l'utilizzo dei dati per l'addestramento. È inoltre attiva la policy Zero Data Retention di OpenRouter per Google e Anthropic: le richieste vengono instradate esclusivamente verso endpoint che non conservano prompt e risposte (Vertex per Gemini, Bedrock/Vertex per Claude).
4-bis. Categorie particolari di dati (Art. 9 GDPR)
Il curriculum vitae può, per sua natura, contenere dati appartenenti a categorie particolari ai sensi dell'Art. 9 GDPR: informazioni relative a salute, disabilità, iscrizione a categorie protette (L. 68/1999), appartenenza sindacale, opinioni politiche, origine etnica, orientamento sessuale, credo religioso.
Non ti chiediamo di inserire questi dati e ti raccomandiamo esplicitamente di ometterli, salvo quando necessari per la candidatura (esempio tipico: iscrizione a categorie protette). Qualora tu decida di includerli nel tuo CV o nella tua Knowledge Base, li trattiamo sulla base del tuo consenso esplicito (Art. 9(2)(a) GDPR), manifestato mediante l'apposita informativa mostrata prima dell'elaborazione AI. Puoi revocare il consenso in qualsiasi momento eliminando o modificando il contenuto interessato dal tuo profilo.
5. Destinatari dei Dati
I tuoi dati possono essere condivisi con:
| Destinatario | Scopo | Ubicazione | Garanzie |
|---|---|---|---|
| OpenRouter | Gateway AI (unico) | USA | DPA incorporato nei ToS (§10.2) + SCCs |
| Google (Gemini 3 Flash) | Elaborazione AI via OpenRouter | USA | DPF + SCCs; Zero Data Retention attivo (routing su Vertex, no conservazione) |
| Anthropic (Claude Sonnet) | Preparazione al colloquio (interview-prep) via OpenRouter | USA | SCCs; Zero Data Retention attivo (routing su Bedrock/Vertex, no conservazione) |
| Mistral AI (Ministral 3B) | Parsing annunci di lavoro | Francia (UE) | Intra-UE, nessun trasferimento extra-UE |
| Neon | Database PostgreSQL | EU (Francoforte) | DPA + SCCs |
| Vercel | Hosting applicazione e Vercel Blob (foto profilo) | USA/EU edge | DPA + SCCs |
| Resend | Invio email transazionali e di engagement (quando attivo) | USA | SCCs |
| Stripe | Pagamenti (Stripe Payments Europe Ltd, Irlanda) | Irlanda/USA | DPA auto-accettato + SCCs |
| Provider OAuth | Autenticazione (Google/GitHub) | USA | DPF |
| PostHog | Analytics pseudonimizzati su consenso (ID utente pseudonimo + email e nome inviati su identify) | EU (Francoforte) | DPA |
| Sentry (Functional Software EU GmbH) | Monitoraggio errori e tracing applicativo | UE (Francoforte) | DPA intra-UE; scrubber PII attivo (rimozione di email, IP, contenuti CV/prompt) |
| Upstash | Rate limiting e cache tecnica (Redis) | UE/USA | DPA + SCCs; riceve identificatori pseudonimi (userId), IP e hash dell'email per il blocco anti-brute-force |
| Fatture in Cloud / Aruba | Fatturazione elettronica SdI (a lancio commerciale) | Italia | DPA |
OpenRouter opera come gateway API e inoltra le richieste ai propri sub-responsabili Google (Gemini) e Anthropic (Claude). L'elenco aggiornato e completo dei sub-responsabili è disponibile su /legal/sub-processors.
6. Trasferimento Dati Extra-UE
Alcuni dei nostri fornitori hanno sede al di fuori dello Spazio Economico Europeo. I trasferimenti verso gli Stati Uniti sono effettuati sulla base di Standard Contractual Clauses (Art. 46(2)(c) GDPR) e/o del Data Privacy Framework UE-US (Art. 45 GDPR) per i fornitori certificati. Prima dell'invio ai servizi AI, i dati di contatto personali (nome, email, telefono, indirizzo, URL LinkedIn, URL sito web) vengono rimossi dal contenuto trasferito tramite un layer di PII-stripping implementato lato server, limitando il trasferimento alle sole informazioni professionali strettamente necessarie per l'ottimizzazione. Inviamo inoltre l'header X-OR-Training: false a OpenRouter per impedire l'utilizzo dei dati per l'addestramento dei modelli. Per l'elenco completo dei sub-responsabili e delle sedi di trattamento consulta la pagina Sub-responsabili del trattamento.
Ulteriori garanzie tecniche e organizzative:
- I dati sono trasferiti esclusivamente via connessioni criptate (HTTPS/TLS)
- I provider AI ricevono solo i dati strettamente necessari all'elaborazione
- Il contenuto dei CV non viene conservato dai provider AI oltre l'elaborazione
7. Periodo di Conservazione
| Tipo di Dato | Periodo di Conservazione |
|---|---|
| Dati account | Durata dell'account |
| CV e ottimizzazioni | Durata dell'account |
| Knowledge Base | Durata dell'account |
| Account inattivi | Cancellazione automatica dopo 24 mesi di inattività (Art. 5.1.e — limitazione della conservazione) |
| Dati post-cancellazione | Eliminati immediatamente (l'eventuale abbonamento Stripe viene annullato all'istante) |
| Fatture e dati di pagamento (Stripe) | Conservati 10 anni per obbligo fiscale (art. 2220 c.c.), anche dopo la cancellazione dell'account |
| Log di sicurezza | 12 mesi |
| Analytics PostHog | 30 giorni |
I dati possono persistere nei backup cifrati del database (Neon Point-in-Time Recovery) per un massimo di 7 giorni dopo la cancellazione. I backup non sono accessibili e vengono sovrascritti automaticamente secondo la policy di retention del provider.
8. Diritti dell'Interessato
Ai sensi del GDPR, hai diritto di:
Diritto di Accesso (Art. 15)
Ottenere conferma del trattamento e copia dei tuoi dati.
Diritto di Rettifica (Art. 16)
Correggere dati inesatti o completare dati incompleti.
Diritto alla Cancellazione (Art. 17)
Richiedere l'eliminazione dei tuoi dati ("diritto all'oblio").
Diritto di Limitazione (Art. 18)
Limitare il trattamento in determinati casi.
Diritto alla Portabilità (Art. 20)
Ricevere i tuoi dati in formato strutturato e trasferirli ad altro titolare.
Diritto di Opposizione (Art. 21)
Opporsi al trattamento basato su interesse legittimo.
Diritto di Revoca del Consenso (Art. 7)
Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
8-bis. Decisioni automatizzate e profilazione (Art. 22 GDPR)
MerlinOptima utilizza sistemi di intelligenza artificiale per elaborare e ottimizzare il contenuto del CV. Nello specifico:
- I punteggi ATS e di compatibilità (match score) sono calcolati automaticamente confrontando il CV con la descrizione dell'annuncio di lavoro
- Il contenuto testuale del CV viene rielaborato da modelli AI di terze parti (Google Gemini, Anthropic Claude) per migliorarne l'efficacia comunicativa
- La selezione delle esperienze più rilevanti avviene automaticamente in base ai requisiti dell'annuncio
Questo trattamento non produce effetti giuridici né incide in modo significativo sulla persona ai sensi dell'Art. 22(1) GDPR, in quanto: (a) il CV ottimizzato è una bozza che l'utente rivede e modifica prima dell'invio a potenziali datori di lavoro, (b) i punteggi sono indicativi e non vincolanti, (c) nessuna decisione di assunzione viene presa dal sistema né influenzata direttamente da esso.
L'utente ha diritto a:
- ottenere l'intervento umano (modificando manualmente il CV nell'editor fornito)
- esprimere la propria opinione (scegliendo quali esperienze includere o escludere)
- contestare il risultato (rigenerando il CV o non utilizzandolo)
Per maggiori informazioni sulla classificazione del sistema ai sensi del Regolamento UE 2024/1689 (AI Act), consulta il documento Classificazione AI Act.
9. Come Esercitare i Diritti
Modalità Automatica (Self-Service)
- Esportazione dati: Vai su Profilo -> Esporta i miei dati
- Cancellazione account: Vai su Profilo -> Elimina account
Modalità Manuale
Invia una richiesta a: merlinoptima@gmail.com
Includi:
- Nome e cognome
- Email registrata
- Descrizione della richiesta
Tempo di risposta: Entro 30 giorni dalla richiesta.
10. Sicurezza dei Dati
Adottiamo misure tecniche e organizzative per proteggere i tuoi dati:
- Crittografia: HTTPS/TLS per tutti i trasferimenti
- Hash password: Algoritmi sicuri (bcrypt)
- Controllo accessi: Autenticazione con sessioni JWT (8h durata)
- Rate limiting: Protezione contro abusi automatizzati
- CSRF Protection: Token di verifica per tutte le operazioni
- Content Security Policy: Protezione contro attacchi XSS
11. Cookie
Per informazioni sui cookie utilizzati, consulta la nostra Cookie Policy.
12. Servizio in Fase Beta
MerlinOptima è attualmente in fase di validazione (beta). Il servizio è offerto gratuitamente e senza garanzie di disponibilità continuativa. In caso di chiusura del servizio, gli utenti saranno avvisati con almeno 15 giorni di preavviso per esportare i propri dati.
<!-- COMMERCIAL: Rimuovere questa sezione quando il servizio diventa a pagamento -->
13. Modifiche alla Privacy Policy
Ci riserviamo il diritto di modificare questa Privacy Policy. In caso di modifiche sostanziali, ti informeremo via email o tramite avviso sulla piattaforma.
14. Reclami
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo all'Autorità di Controllo competente:
Garante per la Protezione dei Dati Personali
- Sito: www.garanteprivacy.it
- Email: garante@gpdp.it
- PEC: protocollo@pec.gpdp.it
15. Contatti
Per qualsiasi domanda sulla privacy:
- Email: merlinoptima@gmail.com
*Questa Privacy Policy è conforme al Regolamento (UE) 2016/679 (GDPR).*