Privacy Policy

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Cikos è:

Cikos
Email: privacy@cikos.com

Nota: la versione definitiva di questo documento includerà ragione sociale completa, sede legale, partita IVA e — se designato — i dati di contatto del DPO (Data Protection Officer).

2. Dati che raccogliamo

Raccogliamo le seguenti categorie di dati personali:

Dati forniti direttamente dall'utente

• Account: email, password (in hash bcrypt, mai in chiaro), nome opzionale
• Autenticazione: secret TOTP per 2FA (cifrato), token di sessione
• Configurazioni di trading: preferenze di rischio, watchlist, modalità operativa, chiavi API degli exchange (cifrate AES-256-GCM a riposo)
• Chiave API Anthropic BYO (opzionale, se usi la modalità BYO): cifrata a riposo, mai loggata in chiaro
• Preferenze di notifica: chat ID Telegram, preferenze email

Dati raccolti automaticamente

• Tecnici: indirizzo IP, user-agent, timestamp delle richieste, log di errore
• Di utilizzo: segnali generati, ordini eseguiti, posizioni aperte/chiuse, P&L, token AI consumati
• Cookie tecnici: sessione, CSRF, preferenze locale — vedi sezione 7

Dati raccolti da terze parti

• Exchange (Binance, Bitget): saldi, posizioni, ordini — solo con tua esplicita autorizzazione tramite API key
• Anthropic (per analisi AI): invio contesti di mercato per generare analisi; non inviamo mai PII direttamente identificabili

3. Finalità e basi giuridiche

Trattiamo i tuoi dati per le seguenti finalità, con le seguenti basi giuridiche (art. 6 GDPR):

• Esecuzione del contratto (art. 6.1.b): fornire il servizio, eseguire ordini, gestire l'account, fatturare
• Obbligo legale (art. 6.1.c): conservare dati contabili, rispondere a richieste di autorità
• Legittimo interesse (art. 6.1.f): sicurezza della piattaforma (anti-fraud, rate limiting, audit log), miglioramento del servizio tramite statistiche aggregate
• Consenso (art. 6.1.a): cookie non-tecnici, comunicazioni di marketing (se attivate), analisi comportamentali opzionali

4. Come condividiamo i dati

Non vendiamo i tuoi dati personali. Li condividiamo solo con:

• Fornitori di infrastruttura: Heroku / AWS per hosting, Postmark per email transazionali, Stripe per pagamenti, Datadog/Papertrail per logging
• Exchange: Binance, Bitget — limitatamente alle operazioni autorizzate
• Provider AI: Anthropic (Claude API) per analisi di mercato; inviamo contesti di trading senza PII dirette
• Autorità competenti: solo se richiesto da obblighi di legge

Alcuni di questi fornitori sono situati al di fuori dell'UE (es. Anthropic, Heroku). In questi casi applichiamo Standard Contractual Clauses (SCC) e ulteriori misure tecniche e organizzative come richiesto dalla sentenza "Schrems II" della CGUE.

5. Tempi di conservazione

• Account attivo: per tutta la durata del rapporto contrattuale
• Dopo cancellazione account: dati personali anonimizzati immediatamente; dati contabili conservati per 10 anni per obbligo di legge (art. 2220 c.c.)
• Log tecnici: 90 giorni
• Log di audit (azioni critiche): 24 mesi
• Backup: 30 giorni rolling

I tempi puntuali sopra riportati sono indicativi e possono variare in base a necessità tecniche o obblighi legali specifici.

6. I tuoi diritti (art. 15-22 GDPR)

Come interessato hai i seguenti diritti:

• Accesso (art. 15): ottenere conferma del trattamento e copia dei dati
• Rettifica (art. 16): correggere dati inesatti o incompleti
• Cancellazione (art. 17, diritto all'oblio): richiedere la rimozione
• Limitazione (art. 18): limitare il trattamento in specifici casi
• Portabilità (art. 20): ricevere i dati in formato strutturato leggibile automaticamente
• Opposizione (art. 21): opporti al trattamento basato su legittimo interesse
• Revoca consenso: revocare in qualsiasi momento consensi già prestati

Puoi esercitare diritti di accesso e cancellazione direttamente dalla tab "Privacy" della dashboard (funzioni "Scarica export JSON" ed "Elimina account"). Per gli altri diritti o per richieste articolate scrivi a privacy@cikos.com. Ti risponderemo entro 30 giorni.

Se ritieni che il trattamento violi il GDPR puoi presentare reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).

7. Cookie

Utilizziamo cookie nelle seguenti categorie:

• Strettamente necessari: sessione autenticazione, CSRF token, preferenza lingua. Non richiedono consenso.
• Analytics (solo con consenso esplicito): pattern di utilizzo aggregati per migliorare il prodotto, mai dati personali identificabili.

Puoi gestire le tue preferenze cookie cliccando su "Gestisci cookie" nel footer di ogni pagina, o tramite le impostazioni del tuo browser.

8. Sicurezza

Applichiamo misure tecniche e organizzative appropriate:

• Password e secret sensibili cifrati (bcrypt per password, AES-256-GCM per API key)
• TLS 1.2+ per ogni trasferimento di dati
• Principio del minimo privilegio sugli accessi interni
• Logging di audit immutabile per azioni critiche
• Rate limiting e rilevamento anomalie
• Backup cifrati e testati periodicamente

Nessun sistema è al 100% sicuro. In caso di data breach ti notificheremo entro 72 ore come previsto dall'art. 33 GDPR.

9. Minori

Il servizio non è destinato a minori di 18 anni. Non raccogliamo consapevolmente dati di minori. Se veniamo a conoscenza di aver raccolto dati di un minore, procederemo alla loro cancellazione immediata.

10. Modifiche a questa policy

Potremmo aggiornare questa Privacy Policy. Modifiche sostanziali saranno notificate via email e in-app. La data "Ultima modifica" in cima riflette l'ultima versione. Continuando a utilizzare il servizio dopo una modifica accetti la nuova versione.