MCR
My Control Roombeta pubblica
AccediInizia gratis →
Documento legale

Informativa sulla
privacy.

Versione 2.4
aggiornata 02 mag 2026
TL;DR. Raccogliamo solo i dati necessari a far funzionare My Control Room. Non li vendiamo, non li usiamo per addestrare modelli AI generali, e tu li puoi esportare o cancellare in qualsiasi momento.

01Chi siamo e come contattarci

My Control Room è il titolare del trattamento dei dati personali raccolti tramite questo servizio. Per qualsiasi richiesta relativa alla privacy puoi scrivere a privacy@mycontrolroom.app.

02Quali dati raccogliamo

Tre categorie, niente di più:

  • Dati di account — nome, email, password (in hash bcrypt), informazioni di pagamento gestite da Stripe.
  • Dati di prodotto — le Mini App che crei, i prompt che scrivi, gli output che generi, lo storico esecuzioni.
  • Dati delle integrazioni — solo i dati che tu ci autorizzi a leggere (es. le email che la tua Mini App deve riassumere). Mai conservati oltre lo stretto necessario.

03Come usiamo i tuoi dati

I tuoi dati servono a far funzionare le Mini App che hai chiesto, a fatturare il servizio, e ad analizzare in forma aggregata e anonima come il prodotto viene usato. Non profiliamo né rivendiamo nulla.

I dati di esecuzione delle Mini App vengono conservati per 90 giorni nello storico, poi cancellati salvo richiesta esplicita di conservarli più a lungo per audit.

04Integrazioni di terze parti

Quando si connette un'integrazione:

  • I dati vengono letti/scritti solo con il consenso esplicito
  • I token OAuth sono cifrati con AES-256-GCM
  • Le azioni sensibili richiedono approvazione esplicita
  • I dati inviati all'AI non includono token o segreti

05Modelli AI e privacy

I dati inviati ai modelli AI vengono utilizzati esclusivamente per generare output per le tue Mini App. Non vengono usati per addestrare o migliorare modelli di terze parti. Ogni richiesta è isolata e non persistita dal provider AI.

Sub-processori attivi (lista completa in /dpa):

  • OpenAI (US) — LLM per Judge AI ed extraction. No training su dati API.
  • Hermes Agent (self-hosted) — orchestratore AI per build mini-app.
  • Tavily (US) — search API per discovery di segnali pubblici. Solo query, no PII utente.
  • Resend (US) — delivery email digest. Solo nome e indirizzo destinatario.
  • Stripe (IE/US) — pagamenti. PCI-DSS compliant.
  • Sentry (US) — error tracking. Stack trace + correlation_id, no body delle richieste.

06Isolamento dati (Multi-tenancy)

Ogni tenant ha uno spazio dati completamente isolato. Non è possibile accedere ai dati di altri tenant. L'isolamento è garantito a livello di database, storage e runtime.

07I tuoi diritti (GDPR)

In conformità al GDPR, hai diritto di accesso, rettifica, cancellazione, portabilità e limitazione del trattamento. Puoi esercitare questi diritti dalla sezione Impostazioni del tuo account o contattando privacy@mycontrolroom.app.

08Conservazione e cancellazione

I dati vengono conservati per la durata dell'abbonamento. Dopo la cancellazione, restano disponibili per 30 giorni per l'esportazione, poi vengono rimossi in modo definitivo.

09Sicurezza

  • HTTPS obbligatorio
  • Token cifrati con AES-256-GCM
  • Session cookie sicuri (HttpOnly, SameSite)
  • Rate limiting su tutte le API
  • Validazione input server-side
  • Backup database regolari

10Contatti

Per domande sulla privacy, scrivi a: privacy@mycontrolroom.app