Privacy Policy — Custodir
Versione: 0.1 draft · 2026-05-11 Titolare: Alberto Caggia ·
supporto@custodir.comScope: sitocustodir.com+ app desktop Custodir + cloud orchestratorcloud.custodir.comLingua originale: italiana (come da Codice Privacy art. 13 GDPR)⚠️ Disclaimer redazionale: documento template basato su normativa GDPR + Codice Privacy italiano. Va revisionato da un avvocato qualificato in privacy prima del lancio commerciale (GTM-7 beta o GTM-8 lancio pubblico). Le clausole sotto sono accurate al meglio delle nostre conoscenze ma non costituiscono consulenza legale.
1. Chi siamo
Custodir è un wealth tracker desktop privacy-first per investitori italiani DIY, sviluppato da Alberto Caggia (in seguito "noi", "il Titolare").
- Titolare del trattamento: Alberto Caggia
- Email contatto privacy:
supporto@custodir.com - Sito: https://custodir.com
- DPO: non designato (non obbligatorio per la dimensione attuale dell'attività ai sensi dell'art. 37 GDPR; reviewable se la base utenti supera 5.000 unità in UE).
2. Riepilogo in una riga
I tuoi dati patrimoniali non lasciano mai il tuo PC. Custodir cloud vede solo: la tua license key, l'identificativo del PC dove hai installato l'app, i timestamp di sincronizzazione, e (se hai collegato il bot Telegram) il tuo Telegram user ID. Nulla di patrimoniale: né importi, né holdings, né transazioni, né prezzi, né contenuti AI.
Per i dettagli tecnici: vedi anche cloud/DATA_FLOW.md.
3. Quali dati raccogliamo
3.1 Dati che il cloud Custodir vede
| Categoria | Dati specifici | Base giuridica | Conservazione |
|---|---|---|---|
| Dati di licenza | License key, email collegata all'acquisto, SKU, data acquisto, agenti AI attivi | Esecuzione del contratto (art. 6.1.b GDPR) | Per durata licenza + 5 anni post-scadenza (obblighi fiscali) |
| Identificativo dispositivo | Device fingerprint generato dal client (random 24 byte hex), hostname (opzionale, troncato 80 char) | Esecuzione del contratto | Finché il dispositivo è attivo + 12 mesi |
| Timestamp sync | Quando il device si connette per refresh JWT, quando il cron orchestrator schedula un job | Esecuzione del contratto | Rolling 90 giorni |
| Pagamento | Gestito interamente da Lemon Squeezy (Merchant of Record). Custodir riceve solo: email, importo, ID transazione | Esecuzione contratto + obblighi fiscali | 10 anni (Codice civile italiano art. 2220) |
| Telegram (opzionale) | Telegram user ID, @username pubblico, chat ID, first_name | Consenso esplicito (/link comando manuale) |
Finché l'utente fa /unlink o per la durata della licenza |
| Dati di supporto | Messaggi email a supporto@custodir.com, screenshot eventualmente allegati dall'utente |
Esecuzione contratto + legittimo interesse (assistenza) | 24 mesi dalla chiusura ticket |
3.2 Dati che il cloud Custodir NON vede
Per design del prodotto (verificabile dal codice sorgente):
- ❌ Importi, valori di portafoglio, holdings, transazioni
- ❌ Prezzi di mercato (il client li scarica direttamente da Yahoo Finance / Coingecko)
- ❌ Credenziali broker (Fineco user/password, Trade Republic phone/PIN, Gmail app password) — vivono solo nel vault locale cifrato del client
- ❌ Email transazionali del broker (parsate localmente dall'IMAP del client)
- ❌ Prompts e output AI (chiamate dirette client → Groq, mai via cloud)
- ❌ Backup del DB utente (locali, opzionalmente push a un repo GitHub privato dell'utente — gestito dal client, mai da Custodir cloud)
- ❌ Master password del vault (solo derived key locale, mai inviata)
3.3 Dati raccolti dal sito custodir.com
| Categoria | Dati | Base giuridica | Strumento | Conservazione |
|---|---|---|---|---|
| Analytics anonimi | Pagine visitate, paese, browser, OS, referrer (NO IP, NO cookie persistenti) | Legittimo interesse | Plausible Analytics (auto-ospitato o plausible.io) | Aggregati 365 giorni, dati grezzi 0 (non salvati) |
| Cookie tecnici | Sessione checkout (solo se interagisci con form Lemon Squeezy embed) | Necessità del servizio (no consent banner) | Lemon Squeezy | Sessione |
Il sito non usa Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight, o altri tracker pubblicitari.
4. Subprocessors (a chi affidiamo i dati)
| Subprocessor | Cosa fa | Sede / Adeguatezza | Documenti |
|---|---|---|---|
| Cloudflare, Inc. | DNS, CDN, Workers (cloud orchestrator), D1 (DB cloud), Email Routing per *@custodir.com |
USA — Standard Contractual Clauses + Data Processing Addendum | https://www.cloudflare.com/cloudflare-customer-dpa/ |
| Lemon Squeezy LLC | Merchant of Record per i pagamenti, fatturazione, IVA UE | USA — DPA + SCC | https://www.lemonsqueezy.com/legal/privacy |
| Resend, Inc. (post GTM-3.4) | Email transazionali (welcome, refund, ricevute) | USA — DPA + SCC | https://resend.com/privacy |
| Plausible Insights OÜ | Analytics anonime sito | UE (Estonia) — adeguatezza intra-UE | https://plausible.io/privacy |
| Telegram FZ-LLC (opzionale per utenti che attivano il bot) | Notifiche push dal cloud verso utente via @Custodir_Bot | UAE — adeguatezza ad-hoc | https://telegram.org/privacy |
| Anthropic PBC (opzionale per agenti AI premium) | Inferenza LLM via API Claude (chiamata dal client desktop, NON dal cloud) | USA — DPA + SCC | https://www.anthropic.com/legal/privacy |
| Groq, Inc. (opzionale per agenti AI default) | Inferenza LLM via API (chiamata dal client desktop, NON dal cloud) | USA — DPA + SCC | https://groq.com/privacy-policy |
Aggiunte future: se aggiungeremo subprocessors (es. Sentry per error tracking, GitHub per bug reporting), aggiorneremo questa lista con almeno 30 giorni di preavviso via email agli utenti registrati.
5. Trasferimenti internazionali
Alcuni subprocessors sono fuori UE (Cloudflare, Lemon Squeezy, Resend, Anthropic, Groq, Telegram). Trasferimenti coperti da:
- Standard Contractual Clauses (decisione UE 2021/914) firmate con tutti i subprocessors USA
- DPF Framework (UE-USA Data Privacy Framework, decisione UE luglio 2023) per i subprocessors USA che vi hanno aderito
- Telegram (UAE): adeguatezza valutata caso per caso, dati trasmessi sono limitati a
telegram_user_id+chat_id+first_namepubblici
6. I tuoi diritti (GDPR art. 15-22)
Hai diritto di:
| Diritto | Come esercitarlo |
|---|---|
| Accesso ai tuoi dati (art. 15) | Email a supporto@custodir.com con oggetto "DSAR – Accesso dati". Risposta entro 30 giorni. |
| Rettifica dati inesatti (art. 16) | Email a supporto@custodir.com. Per dati di licenza puoi anche modificarli direttamente dal pannello account Lemon Squeezy. |
| Cancellazione ("diritto all'oblio", art. 17) | Email a supporto@custodir.com. Dati cancellati entro 30 giorni, ad eccezione di quelli necessari per obblighi fiscali (10 anni). |
| Limitazione del trattamento (art. 18) | Email. |
| Portabilità (art. 20) | Email. Forniamo export JSON dei tuoi dati di licenza + Telegram link. I dati patrimoniali sono già sul tuo PC — esportabili dal pannello dell'app. |
| Opposizione (art. 21) | Email. Per analytics: bastano le impostazioni del browser (DoNotTrack rispettato da Plausible). |
| Reclamo all'autorità di controllo (art. 77) | Garante Privacy Italia — garante@gpdp.it o PEC protocollo@pec.gpdp.it |
7. Sicurezza
Misure tecniche e organizzative implementate (art. 32 GDPR):
| Layer | Misura |
|---|---|
| Vault desktop (credenziali broker, API key) | AES-256-GCM, chiave derivata da master password con Argon2id (64 MiB / 3 iter / 4 lanes) |
| DB locale desktop | SQLCipher (AES-256), chiave gestita via OS credential manager (Windows wincred, macOS Keychain) |
| JWT cloud → client | Ed25519, validabile offline dal client |
| Trasporto cloud | TLS 1.3 (Cloudflare edge) |
| Telegram webhook | Constant-time auth check su shared secret |
| Backup | Locale by default (cifrato). Opzionalmente push a repo GitHub privato dell'utente, mai a server Custodir. |
8. Cookies
Vedi COOKIE_POLICY.md. In sintesi: cookie tecnici di sessione solo durante il checkout Lemon Squeezy. Nessun cookie di profilazione, nessun cookie di terze parti pubblicitario.
9. Modifiche a questa policy
Aggiorneremo questa policy in caso di:
- Nuovi subprocessors (preavviso 30 giorni via email)
- Cambiamenti normativi (es. nuovo regolamento ePrivacy)
- Espansione del prodotto in nuove categorie di dati
Versioning trasparente: ogni modifica è tracciata in git su https://github.com/albykeg/wealth-tracker-saas/commits/main/legal/PRIVACY_POLICY.md (link da aggiornare a public repo URL post-launch).
10. Validità + ultima modifica
- In vigore dal: [data lancio pubblico, da inserire al lancio]
- Ultima modifica: 2026-05-11
- Versione: 0.1 draft
Documento da revisionare con avvocato privacy prima della pubblicazione su custodir.com/privacy.