Privacy Policy
Ultimo aggiornamento: 14 aprile 2026 — versione 2026-04-14
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è MaxMem.it (di seguito "Titolare", "noi" o "MaxMem"), piattaforma SaaS di memoria a lungo termine e knowledge base per agenti AI, raggiungibile all'indirizzo: privacy@maxmem.it.
2. Tipologie di Dati Raccolti
Tra i dati personali raccolti da MaxMem, in modo diretto o tramite terze parti, ci sono:
- Dati di registrazione: nome, cognome, indirizzo email, password (criptata con bcrypt), nome dell'organizzazione, P.IVA
- Dati di fatturazione: informazioni di pagamento gestite tramite Stripe (non memorizziamo dati delle carte di credito)
- Dati di utilizzo piattaforma: log di accesso, interazioni API, utilizzo crediti, statistiche di query semantica, richieste per endpoint
- Dati Knowledge Base: documenti caricati dall'utente (PDF, DOCX, TXT) per la costruzione di KB interrogabili via RAG
- Memorie persistenti: contenuti di memoria (episodica, semantica, procedurale, preference) scritti tramite API dagli agenti AI dell'utente, completamente isolati per tenant
- Embedding vettoriali: rappresentazioni numeriche dei contenuti indicizzati, generate per la ricerca semantica (stoccati in ChromaDB locale)
- Metadati e external_user_id: identificativi opaci forniti dall'utente per collegare memorie a soggetti finali della sua applicazione
- Dati tecnici: indirizzo IP, user-agent, correlation-id delle richieste, timing di risposta
3. Finalità del Trattamento
I dati personali sono trattati per le seguenti finalità:
- Erogazione del servizio SaaS MaxMem e gestione dell'account utente
- Gestione degli abbonamenti, pacchetti crediti ricarica e pagamenti tramite Stripe
- Calcolo del consumo crediti per ogni operazione (write memoria, search, RAG query, ingestion documento)
- Funzionamento della ricerca semantica e delle API di contesto utente
- Supporto tecnico e assistenza clienti
- Comunicazioni di servizio (aggiornamenti, manutenzione, sicurezza, credit-alert)
- Gestione del Programma Reseller per i partner iscritti
- Adempimento di obblighi legali e fiscali
- Miglioramento del servizio e analisi aggregate anonimizzate
4. Base Giuridica del Trattamento
- Esecuzione contrattuale: per l'erogazione del servizio SaaS sottoscritto
- Consenso: per comunicazioni marketing e cookie non essenziali
- Interesse legittimo: per la sicurezza del servizio, prevenzione abusi API e protezione da frodi
- Obbligo legale: per adempimenti fiscali e normativi
4.bis Consensi raccolti al momento della registrazione
In fase di registrazione sul modulo di signup, all'utente vengono richiesti in modo esplicito e separato i seguenti consensi, conformi agli articoli 6, 7 e 13 del Regolamento (UE) 2016/679 (GDPR):
| Consenso |
Finalita |
Base giuridica |
Obbligatorio |
| Termini di Servizio | Disciplinare l'uso della piattaforma | Art. 6(1)(b) — esecuzione contratto | Si |
| Informativa Privacy | Presa visione trattamento dati | Art. 6(1)(b) + Art. 13 GDPR | Si |
| Dichiarazione eta | Dichiarazione di aver compiuto 16 anni | Art. 8 GDPR | Si |
| Marketing | Newsletter e comunicazioni commerciali | Art. 6(1)(a) — consenso | No |
| Profilazione | Analisi utilizzo per miglioramento servizio | Art. 6(1)(a) — consenso | No |
Ogni consenso viene registrato nella tabella user_consents, che costituisce il registro dei trattamenti di cui all'Art. 30 GDPR. Per ogni consenso vengono memorizzati: tipo, stato (accettato/rifiutato), versione dell'informativa, indirizzo IP, user agent, timestamp e sorgente. Cio consente al Titolare di dimostrare il consenso ex Art. 7 comma 1 GDPR.
L'utente puo revocare in qualsiasi momento i consensi opzionali dalla sezione Impostazioni → Privacy del proprio account, senza pregiudicare la liceita dei trattamenti effettuati sino alla revoca.
5. Ruolo di MaxMem come Data Processor
Per i contenuti di memoria persistente, di knowledge base e per gli external_user_id forniti dall'utente tramite API, MaxMem agisce come Responsabile del trattamento (Data Processor) ai sensi dell'art. 28 GDPR, per conto dell'utente (Data Controller). L'utente è responsabile di assicurare una base giuridica valida per i dati personali dei propri utenti finali che decide di memorizzare tramite la nostra API. Su richiesta forniamo un DPA (Data Processing Agreement) standard conforme al GDPR.
6. Modalità di Trattamento e Sicurezza
- Crittografia dei dati in transito (TLS 1.3) e a riposo
- Isolamento completo multi-tenant: ogni tenant ha le proprie collezioni, documenti e memorie, mai condivise tra account
- API key hashate con SHA-256 e scope granulari (KB e memoria)
- Password hashate con bcrypt a costo elevato
- Rate limiting per prevenire abusi e data-exfiltration
- Backup automatici giornalieri del database PostgreSQL e degli indici vettoriali
- Accesso limitato ai dati solo al personale autorizzato con MFA
- Log di audit di tutte le operazioni sensibili
7. Conservazione dei Dati
- Dati account: fino alla cancellazione dell'account + 30 giorni di grace period
- Dati di fatturazione: 10 anni (obbligo fiscale italiano)
- Log di utilizzo: 12 mesi dalla raccolta
- Knowledge Base: fino alla cancellazione da parte dell'utente o chiusura dell'account
- Memorie persistenti: rispettano le policy di retention configurate per collezione; in assenza di policy, conservate fino alla cancellazione esplicita
- Snapshot di backup: 90 giorni rolling
- Al termine del periodo di grazia, i dati sono eliminati definitivamente e non sono più recuperabili
8. Comunicazione e Trasferimento Dati
I dati possono essere comunicati a:
- Stripe Inc. — per la gestione dei pagamenti (certificato PCI-DSS)
- Provider infrastruttura cloud — per hosting dei server (tutti in Unione Europea)
- Provider di embedding — per la generazione di rappresentazioni vettoriali (modelli open-source locali o, opzionalmente, provider esterni configurabili dall'utente)
Non vendiamo, affittiamo o condividiamo i dati personali con terze parti per finalità di marketing.
9. Diritti dell'Interessato
In conformità al Regolamento UE 2016/679 (GDPR), l'utente ha il diritto di: accesso, rettifica, cancellazione ("diritto all'oblio"), limitazione, portabilità, opposizione e revoca del consenso. Per esercitare i propri diritti, contattare: privacy@maxmem.it
10. Cookie
Per informazioni sull'utilizzo dei cookie consultare la nostra Cookie Policy.
11. Modifiche alla Privacy Policy
MaxMem.it si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con la data di aggiornamento.
12. Contatti e Autorità di Controllo
Per qualsiasi domanda relativa alla privacy: privacy@maxmem.it. L'utente ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).