Privacy Policy - MerlinOptima
Ultimo aggiornamento: 18 aprile 2026
1. Titolare del Trattamento
<!-- TODO SRL: sostituire questo blocco con i dati definitivi della SRL alla costituzione:
MerlinOptima S.r.l. Innovativa
Sede legale: [Via ..., CAP Milano (MI)]
P.IVA e C.F.: IT[numero]
REA Milano: MI-[numero]
Iscritta sezione speciale startup innovative del Registro Imprese dal [data]
Capitale sociale: €[...] interamente versato
PEC: merlinoptima@pec.it
Email privacy: privacy@merlinoptima.it
Legale rappresentante: [nome amministratore unico] -->
Il Titolare del trattamento dei dati personali è: Leonardo Mattia Esposito
MerlinOptima (in fase di costituzione come SRL Innovativa con sede a Milano)
- Email: leo.espo56@gmail.com (transitoria; sostituita da privacy@merlinoptima.it alla costituzione SRL)
- Progetto attualmente gestito da persona fisica ai sensi dell'Art. 4(7) GDPR
Responsabile della Protezione dei Dati (DPO)
Non è stato designato un Responsabile della Protezione dei Dati in quanto il trattamento effettuato da MerlinOptima non rientra nei casi di obbligatorietà di cui all'art. 37 GDPR. È stato comunque individuato un referente privacy interno (l'amministratore unico) contattabile all'email sopra indicata.
2. Tipologie di Dati Raccolti
Dati forniti volontariamente dall'utente:
- Dati di registrazione: nome, indirizzo email, password (hash)
- Curriculum Vitae: esperienze lavorative, formazione, competenze, dati di contatto presenti nel CV
- Knowledge Base: descrizioni in linguaggio naturale delle esperienze lavorative, formazione, competenze, progetti e certificazioni inserite dall'utente nella sezione Knowledge Base
- Annunci di lavoro: descrizioni, titoli, aziende di interesse
- Dati candidature: stato della candidatura, date, note personali, dati di follow-up
Dati raccolti automaticamente:
- Dati tecnici: indirizzo IP, tipo di browser, sistema operativo
- Dati di navigazione: pagine visitate, durata sessione, timestamp
- Cookie: tecnici e di sessione (vedi Cookie Policy)
3. Finalità del Trattamento
I tuoi dati personali sono trattati per:
| Finalità | Base Giuridica | Dati Utilizzati |
|---|---|---|
| Erogazione del servizio | Esecuzione contratto (Art. 6.1.b) | Tutti i dati forniti |
| Analisi CV con AI | Consenso esplicito (Art. 6.1.a) | Contenuto CV |
| Ottimizzazione CV | Consenso esplicito (Art. 6.1.a) | CV + Job posting |
| Generazione CV da Knowledge Base | Consenso esplicito (Art. 6.1.a) | Knowledge Base + Job posting |
| Tracciamento candidature | Esecuzione contratto (Art. 6.1.b) | Dati candidature |
| Sicurezza piattaforma | Interesse legittimo (Art. 6.1.f) | Dati tecnici |
| Comunicazioni di servizio | Esecuzione contratto (Art. 6.1.b) |
4. Modalità di Trattamento
Trattamento con Intelligenza Artificiale
I tuoi CV e la tua Knowledge Base vengono elaborati da sistemi di AI per:
- Analizzare la compatibilità con offerte di lavoro
- Suggerire ottimizzazioni del contenuto
- Generare lettere di presentazione personalizzate
- Generare CV personalizzati dalla Knowledge Base per specifiche posizioni lavorative
Importante:
- I tuoi CV NON vengono utilizzati per addestrare modelli AI
- I dati vengono inviati ai provider AI in forma criptata (HTTPS/TLS)
- Non conserviamo i risultati delle elaborazioni AI oltre quanto necessario
Provider AI Utilizzati
Il servizio utilizza OpenRouter come unico gateway per accedere ai modelli di intelligenza artificiale:
- OpenRouter (gateway unico) - Privacy Policy OpenRouter
- Modelli accessibili via OpenRouter:
- Google Gemini 3 Flash (Google LLC) - Privacy Policy Google
- Anthropic Claude Sonnet (Anthropic PBC) - Privacy Policy Anthropic
- Mistral AI Ministral 3B (Mistral AI SAS — Francia, UE) - Privacy Policy Mistral — utilizzato per il parsing anonimo degli annunci di lavoro in /api/job-preview
I dati inviati ai provider AI sono utilizzati esclusivamente per l'elaborazione richiesta e non per l'addestramento dei modelli, come previsto dalle rispettive policy di utilizzo API. Inviamo inoltre l'header X-OR-Training: false a OpenRouter per impedire esplicitamente l'utilizzo dei dati per l'addestramento.
4-bis. Categorie particolari di dati (Art. 9 GDPR)
Il curriculum vitae può, per sua natura, contenere dati appartenenti a categorie particolari ai sensi dell'Art. 9 GDPR: informazioni relative a salute, disabilità, iscrizione a categorie protette (L. 68/1999), appartenenza sindacale, opinioni politiche, origine etnica, orientamento sessuale, credo religioso.
Non ti chiediamo di inserire questi dati e ti raccomandiamo esplicitamente di ometterli, salvo quando necessari per la candidatura (esempio tipico: iscrizione a categorie protette). Qualora tu decida di includerli nel tuo CV o nella tua Knowledge Base, li trattiamo sulla base del tuo consenso esplicito (Art. 9(2)(a) GDPR), manifestato mediante l'apposita informativa mostrata prima dell'elaborazione AI. Puoi revocare il consenso in qualsiasi momento eliminando o modificando il contenuto interessato dal tuo profilo.
5. Destinatari dei Dati
I tuoi dati possono essere condivisi con:
| Destinatario | Scopo | Ubicazione | Garanzie |
|---|---|---|---|
| OpenRouter | Gateway AI (unico) | USA | Termini API + SCCs (DPA in corso di formalizzazione) |
| Google (Gemini 3 Flash) | Elaborazione AI via OpenRouter | USA | DPF + SCCs |
| Anthropic (Claude Sonnet) | Elaborazione AI via OpenRouter | USA | SCCs (DPA Anthropic Commercial Terms) |
| Mistral AI (Ministral 3B) | Parsing annunci di lavoro | Francia (UE) | Intra-UE, nessun trasferimento extra-UE |
| Neon | Database PostgreSQL | EU (Francoforte) | DPA + SCCs |
| Vercel | Hosting applicazione e Vercel Blob (foto profilo) | USA/EU edge | DPA + SCCs |
| Resend | Email transazionali (quando attivo) | USA | SCCs |
| Stripe | Pagamenti (Stripe Payments Europe Ltd, Irlanda) | Irlanda/USA | DPA auto-accettato + SCCs |
| Provider OAuth | Autenticazione (Google/GitHub) | USA | DPF |
| PostHog | Analytics anonimizzati (su consenso) | EU (Francoforte) | DPA |
| Fatture in Cloud / Aruba | Fatturazione elettronica SdI (a lancio commerciale) | Italia | DPA |
OpenRouter opera come gateway API e inoltra le richieste ai propri sub-responsabili Google (Gemini) e Anthropic (Claude). L'elenco aggiornato e completo dei sub-responsabili è disponibile su /legal/sub-processors.
6. Trasferimento Dati Extra-UE
Alcuni dei nostri fornitori hanno sede al di fuori dello Spazio Economico Europeo. I trasferimenti verso gli Stati Uniti sono effettuati sulla base di Standard Contractual Clauses (Art. 46(2)(c) GDPR) e/o del Data Privacy Framework UE-US (Art. 45 GDPR) per i fornitori certificati. Prima dell'invio ai servizi AI, i dati di contatto personali (nome, email, telefono, indirizzo, URL LinkedIn, URL sito web) vengono rimossi dal contenuto trasferito tramite un layer di PII-stripping implementato lato server, limitando il trasferimento alle sole informazioni professionali strettamente necessarie per l'ottimizzazione. Inviamo inoltre l'header X-OR-Training: false a OpenRouter per impedire l'utilizzo dei dati per l'addestramento dei modelli. Per l'elenco completo dei sub-responsabili e delle sedi di trattamento consulta la pagina Sub-responsabili del trattamento.
Ulteriori garanzie tecniche e organizzative:
- I dati sono trasferiti esclusivamente via connessioni criptate (HTTPS/TLS)
- I provider AI ricevono solo i dati strettamente necessari all'elaborazione
- Il contenuto dei CV non viene conservato dai provider AI oltre l'elaborazione
7. Periodo di Conservazione
| Tipo di Dato | Periodo di Conservazione |
|---|---|
| Dati account | Durata dell'account |
| CV e ottimizzazioni | Durata dell'account |
| Knowledge Base | Durata dell'account |
| Dati post-cancellazione | Eliminati immediatamente |
| Log di sicurezza | 12 mesi |
| Analytics PostHog | 30 giorni |
I dati possono persistere nei backup cifrati del database (Neon Point-in-Time Recovery) per un massimo di 7 giorni dopo la cancellazione. I backup non sono accessibili e vengono sovrascritti automaticamente secondo la policy di retention del provider.
8. Diritti dell'Interessato
Ai sensi del GDPR, hai diritto di:
Diritto di Accesso (Art. 15)
Ottenere conferma del trattamento e copia dei tuoi dati.
Diritto di Rettifica (Art. 16)
Correggere dati inesatti o completare dati incompleti.
Diritto alla Cancellazione (Art. 17)
Richiedere l'eliminazione dei tuoi dati ("diritto all'oblio").
Diritto di Limitazione (Art. 18)
Limitare il trattamento in determinati casi.
Diritto alla Portabilità (Art. 20)
Ricevere i tuoi dati in formato strutturato e trasferirli ad altro titolare.
Diritto di Opposizione (Art. 21)
Opporsi al trattamento basato su interesse legittimo.
Diritto di Revoca del Consenso (Art. 7)
Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
8-bis. Decisioni automatizzate e profilazione (Art. 22 GDPR)
MerlinOptima utilizza sistemi di intelligenza artificiale per elaborare e ottimizzare il contenuto del CV. Nello specifico:
- I punteggi ATS e di compatibilità (match score) sono calcolati automaticamente confrontando il CV con la descrizione dell'annuncio di lavoro
- Il contenuto testuale del CV viene rielaborato da modelli AI di terze parti (Google Gemini, Anthropic Claude) per migliorarne l'efficacia comunicativa
- La selezione delle esperienze più rilevanti avviene automaticamente in base ai requisiti dell'annuncio
Questo trattamento non produce effetti giuridici né incide in modo significativo sulla persona ai sensi dell'Art. 22(1) GDPR, in quanto: (a) il CV ottimizzato è una bozza che l'utente rivede e modifica prima dell'invio a potenziali datori di lavoro, (b) i punteggi sono indicativi e non vincolanti, (c) nessuna decisione di assunzione viene presa dal sistema né influenzata direttamente da esso.
L'utente ha diritto a:
- ottenere l'intervento umano (modificando manualmente il CV nell'editor fornito)
- esprimere la propria opinione (scegliendo quali esperienze includere o escludere)
- contestare il risultato (rigenerando il CV o non utilizzandolo)
Per maggiori informazioni sulla classificazione del sistema ai sensi del Regolamento UE 2024/1689 (AI Act), consulta il documento Classificazione AI Act.
9. Come Esercitare i Diritti
Modalità Automatica (Self-Service)
- Esportazione dati: Vai su Profilo -> Esporta i miei dati
- Cancellazione account: Vai su Profilo -> Elimina account
Modalità Manuale
Invia una richiesta a: leo.espo56@gmail.com
Includi:
- Nome e cognome
- Email registrata
- Descrizione della richiesta
Tempo di risposta: Entro 30 giorni dalla richiesta.
10. Sicurezza dei Dati
Adottiamo misure tecniche e organizzative per proteggere i tuoi dati:
- Crittografia: HTTPS/TLS per tutti i trasferimenti
- Hash password: Algoritmi sicuri (bcrypt)
- Controllo accessi: Autenticazione con sessioni JWT (8h durata)
- Rate limiting: Protezione contro abusi automatizzati
- CSRF Protection: Token di verifica per tutte le operazioni
- Content Security Policy: Protezione contro attacchi XSS
11. Cookie
Per informazioni sui cookie utilizzati, consulta la nostra Cookie Policy.
12. Servizio in Fase Beta
MerlinOptima è attualmente in fase di validazione (beta). Il servizio è offerto gratuitamente e senza garanzie di disponibilità continuativa. In caso di chiusura del servizio, gli utenti saranno avvisati con almeno 15 giorni di preavviso per esportare i propri dati.
<!-- COMMERCIAL: Rimuovere questa sezione quando il servizio diventa a pagamento -->
13. Modifiche alla Privacy Policy
Ci riserviamo il diritto di modificare questa Privacy Policy. In caso di modifiche sostanziali, ti informeremo via email o tramite avviso sulla piattaforma.
14. Reclami
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo all'Autorità di Controllo competente:
Garante per la Protezione dei Dati Personali
- Sito: www.garanteprivacy.it
- Email: garante@gpdp.it
- PEC: protocollo@pec.gpdp.it
15. Contatti
Per qualsiasi domanda sulla privacy:
- Email: leo.espo56@gmail.com
*Questa Privacy Policy è conforme al Regolamento (UE) 2016/679 (GDPR).*