Informativa sulla Privacy — Sentra
Sentra Inbox Pilot
Estensione Chrome per la gestione assistita di Gmail e Google Calendar
| Ultimo aggiornamento | 21 maggio 2026 |
|---|---|
| Versione | 1.0 |
| Lingua | Italiano |
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite l'estensione Sentra Inbox Pilot (distribuita anche con il nome interno “Venom Inbox Pilot”nel manifest dell'estensione, di seguito “Sentra”, “l'Estensione” o “il Servizio”) è:
- Titolare: Mattia Riccò (persona fisica)
- Codice fiscale: RCCMTT06A03F205U
- Email di contatto privacy: riccomattia03@gmail.com
- Indirizzo postale:disponibile su richiesta scritta all'indirizzo email sopra indicato
- Responsabile della Protezione dei Dati (DPO): non nominato
L'utente può esercitare i propri diritti scrivendo all'indirizzo email sopra indicato.
2. Descrizione del Servizio
Sentra Inbox Pilot è un'estensione per il browser Google Chrome (Manifest V3) che inietta una barra laterale nell'interfaccia di Gmail (mail.google.com) per assistere l'utente nella gestione della propria casella di posta. Il Servizio offre, in particolare:
- generazione assistita da intelligenza artificiale di bozze di rispostaalle email (con il principio “approval-first”: ogni bozza richiede approvazione esplicita prima dell'invio);
- riepiloghi sintetici dei thread di posta;
- estrazione automatica di attività e to-do dai messaggi;
- proposte di pianificazione di riunioni (“scheduling proposals”) con creazione, modifica ed eliminazione di eventi su Google Calendar previa approvazione;
- gestione di follow-up e notifiche relative ai thread;
- analisi automatica della “sensibilità” e priorità dei messaggi (es. mittenti VIP, thread informativi, promozionali, di sistema);
- caricamento di allegati da utilizzare come contesto per la generazione delle bozze.
Il backend è ospitato su Google Cloud Platform, regione europe-west1 (Belgio), all'indirizzo https://sentra-prod-57188300343.europe-west1.run.app.
3. Categorie di dati personali trattati
L'erogazione del Servizio comporta il trattamento delle seguenti categorie di dati.
3.1 Dati forniti dall'utente tramite autenticazione Google (OAuth 2.0)
Quando l'utente accede al Servizio tramite “Sign in with Google”, autorizza Sentra ad accedere ai seguenti ambiti (scope) OAuth 2.0:
| Scope Google | Cosa consente |
|---|---|
openid, email, profile | Identificazione dell'utente, indirizzo email, dati base del profilo Google |
gmail.modify | Lettura, etichettatura, archiviazione e gestione dei messaggi della casella Gmail dell'utente |
gmail.send | Invio di email per conto dell'utente (solo dopo approvazione esplicita di ogni singola bozza) |
gmail.compose | Creazione e salvataggio di bozze nella casella Gmail dell'utente |
gmail.labels | Lettura e gestione delle etichette Gmail |
calendar.events | Creazione, modifica ed eliminazione di eventi su Google Calendar |
calendar.readonly | Lettura della disponibilità e degli eventi esistenti per il calcolo delle proposte di pianificazione |
Dalla procedura di autenticazione vengono memorizzati nel database del Servizio:
- l'identificativo Google dell'utente (
google_id, claimsub); - l'indirizzo email del Google account;
- l'access token e il refresh token OAuth rilasciati da Google, memorizzati in forma cifrata (cfr. sezione 8);
- gli scope concessi;
- l'identificativo dello stato di “watch” (sottoscrizione push) di Gmail e la relativa scadenza.
3.2 Dati estratti da Gmail (contenuto delle email)
Per generare bozze, riepiloghi, proposte di pianificazione e follow-up, Sentra legge tramite le API Gmail dell'utente:
- oggetto dei thread;
- partecipanti del thread (mittenti, destinatari, CC) e relativi indirizzi email;
- corpo dei messaggi (testo e/o HTML) dei thread aperti o monitorati dal servizio di watch;
- metadati dei messaggi (data, etichette, identificativi, historyId);
- allegati nativi presenti nei thread (nome, MIME type, dimensione e, se necessario per la generazione, contenuto);
- conteggio dei messaggi del thread e flag tecnici (es. DRAFT, SENT).
Una copia normalizzata di questi dati (“thread context”) può essere conservata nel database del Servizio in colonne dedicate (in particolare nelle tabelle thread_info, thread_reasoning_state, thread_reasoning_history, reply_draft_proposals, thread_scheduling_proposals, user_todo_items, thread_followup_state, user_notification_state, ignored_threads, thread_user_additional_info).
3.3 Dati estratti da Google Calendar
- elenco degli eventidei calendari dell'utente nelle finestre temporali rilevanti per le proposte di pianificazione;
- disponibilità(free/busy) dell'utente;
- dettagli degli eventi creati, modificati o eliminati tramite il Servizio (ID evento, titolo, partecipanti, link Meet, conferenze, fuso orario).
3.4 Dati generati dall'utente all'interno del Servizio
- preferenze utente (
user_preferences): lingua dell'interfaccia, lingua delle bozze, fuso orario, orario lavorativo, mittenti VIP, profilo di scrittura inferito (“user story prompt”), tag personalizzati; - istruzioni di drafting e log delle modifiche apportate alle bozze (
user_instructions,edit_log); - allegati caricatidall'utente come contesto aggiuntivo, memorizzati su Google Cloud Storage (bucket
sentra-prod-mailpilot, regione europe-west1) al percorsousers/{userId}/threads/{threadId}/files/{fileId}/{nomefile}; - to-do, follow-up, decisioni di “ignora thread”, risposte fornite dall'utente ai prompt dell'AI (
user_answers).
3.5 Dati tecnici e di sessione
Raccolti automaticamente per il corretto funzionamento del Servizio:
- indirizzo IPdel client (utilizzato dal rate-limiter, derivato dall'header
X-Forwarded-Foro dalla connessione TCP); - cookie HttpOnly Secure SameSite=None di sessione (
venom_refresh_token_<sessionKey>) contenenti il refresh token Sentra (memorizzato in DB esclusivamente in forma di hash SHA-256), e i cookie di stato OAuth di durata massima 10 minuti (__Host-oauth_pkce,__Host-oauth_nonce,__Host-oauth_state,__Host-oauth_returnto); - JWTdi accesso di breve durata (60 secondi - 5 minuti), trasmessi nell'header
Authorization: Bearere mantenuti esclusivamente in memoriadel service worker dell'estensione, mai persistiti inchrome.storage; - session_key,
user_ide flag di account attivo, memorizzati inchrome.storage.localdel browser dell'utente (non si tratta di credenziali); - device_id e
client_type(estensione / web / workspace_addon / api_client) associati alle sessioni; - log applicativi (errori, eventi di autenticazione, esiti di chiamate alle API Google e ai modelli AI).
3.6 Dati di terzi (interlocutori dell'utente)
I thread email contengono inevitabilmente dati personali di soggetti terzi(i corrispondenti dell'utente: nome, email, contenuto dei messaggi scambiati). Tali dati vengono trattati esclusivamente per consentire all'utente di rispondere, pianificare e gestire la propria casella di posta. L'utente, in qualità di destinatario o mittente di tali messaggi, è autonomamente responsabile della liceità della loro condivisione con il Servizio nei rapporti con i terzi interessati.
4. Finalità del trattamento
I dati indicati in sezione 3 sono trattati esclusivamente per le seguenti finalità:
- Erogazione del Servizio: autenticazione, identificazione dell'utente, mantenimento della sessione, comunicazione con le API Google per conto dell'utente.
- Generazione di contenuti assistita da AI: bozze di risposta, riepiloghi, proposte di pianificazione, estrazione di task, follow-up, analisi di priorità e sensibilità.
- Sottoscrizione push e monitoraggio della casella: registrazione del “watch” Gmail tramite Google Cloud Pub/Sub per individuare nuovi messaggi nella INBOX dell'utente; rinnovo automatico del watch entro 7 giorni dalla scadenza.
- Persistenza dello stato del Servizio: salvataggio di bozze, proposte, preferenze, allegati per consentire continuità tra sessioni e dispositivi.
- Sicurezza e prevenzione abusi: rate limiting basato su IP, isolamento delle sessioni multi-account, rotazione dei refresh token, rilevazione di tentativi di re-uso, revoca delle sessioni.
- Manutenzione tecnica e debugging: registrazione di log applicativi e contabilizzazione interna dell'utilizzo dei modelli AI (
user_vertex_cost,vertex_cost_weekly) per il controllo dei costi del Titolare. - Adempimento di obblighi di legge eventualmente applicabili.
Limited Use compliance (Google API Services User Data Policy). L'uso dei dati ricevuti dalle API Gmail di Google è e rimane conforme alla Google API Services User Data Policy, incluse le Limited Use requirements. In particolare, i dati Gmail vengono utilizzati solo per fornire all'utente le funzionalità rivolte all'utente descritte in questa informativa; non vengono utilizzati per servizi pubblicitari, non vengono venduti, non vengono utilizzati per addestrare modelli di intelligenza artificiale generalizzati o pubblicamente disponibili e non vengono letti da personale umano se non nei casi tassativi previsti dalla policy stessa (consenso esplicito dell'utente, finalità di sicurezza, obblighi di legge, sviluppo/debug interno su dati aggregati o anonimizzati). I dati ottenuti tramite gli scopegmail.modify,gmail.send,gmail.compose,gmail.labels,calendar.eventsecalendar.readonlysono utilizzati esclusivamente per le funzionalità descritte in sezione 2.
5. Base giuridica del trattamento
Ai sensi degli artt. 6 e 9 del Regolamento (UE) 2016/679 (“GDPR”), il Titolare tratta i dati personali sulla base delle seguenti basi giuridiche:
| Tipo di trattamento | Base giuridica |
|---|---|
| Autenticazione, accesso alle API Google, generazione delle funzionalità del Servizio | Art. 6.1.b— esecuzione del contratto / misure precontrattuali su richiesta dell'utente |
| Lettura del contenuto email e calendario per generare bozze, riepiloghi, proposte | Art. 6.1.a— consenso esplicito espresso dall'utente nella schermata di consenso OAuth di Google, oltre che esecuzione del contratto |
| Sicurezza del Servizio (rate-limit, isolamento sessioni, hashing token) | Art. 6.1.f— legittimo interesse del Titolare e dell'utente alla protezione del Servizio |
| Conservazione di log applicativi essenziali | Art. 6.1.f — legittimo interesse alla diagnostica e manutenzione |
| Adempimento di obblighi legali | Art. 6.1.c |
Il consenso conferito tramite il consent screen di Google può essere revocato in qualsiasi momento (vedi sezioni 7 e 10), senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.
6. Modalità del trattamento e destinatari (sub-processor)
Per erogare il Servizio, il Titolare si avvale dei seguenti fornitori, che operano in qualità di responsabili del trattamento ex art. 28 GDPR.
6.1 Google Cloud Platform — Infrastruttura
| Componente | Funzione | Regione |
|---|---|---|
| Google Cloud Run (sentra-prod) | Hosting del backend Node.js | europe-west1 (Belgio) |
| Cloud SQL / PostgreSQL | Database relazionale dei dati di utenti, thread, bozze, preferenze, token cifrati | europe-west1 |
| Google Cloud Storage (bucket sentra-prod-mailpilot) | Storage degli allegati caricati dall'utente | europe-west1 |
| Google Cloud Pub/Sub | Notifiche push delle modifiche alla casella Gmail | europe-west1 |
| Google Secret Manager | Custodia delle credenziali applicative e della chiave di cifratura dei token | europe-west1 |
| Google Identity / OAuth 2.0 | Autenticazione e autorizzazione | globale |
| Google API (Gmail, Calendar) | Accesso per conto dell'utente alle risorse Gmail e Calendar dell'utente medesimo | globale |
Google Vertex AI — modelli gemini-2.5-flash, gemini-2.5-flash-lite, gemini-2.5-pro e affini | Generazione di bozze, classificazione, estrazione task, derivazione segnali | europe-west1 e, per alcune chiamate, global |
Titolare e provider: Google Ireland Limited / Google LLC. Informativa: https://policies.google.com/privacy. Per Vertex AI: https://cloud.google.com/vertex-ai/docs/general/data-governance.
6.2 OpenAI — Modelli di linguaggio
Il Servizio si avvale dell'API di OpenAI (modello gpt-5.2 per i riepiloghi e gpt-5.4 per la derivazione dei segnali di thread, denominazioni aggiornabili nel tempo) per generare riepiloghi delle email e classificazioni accessorie. Quando viene invocata l'API di OpenAI, vengono trasmessi a OpenAI estratti del contenuto del thread (oggetto, partecipanti, corpo dei messaggi, contesto utente) strettamente necessari alla generazione richiesta.
- Titolare: OpenAI, L.L.C. — 3180 18th Street, San Francisco, CA 94110, USA.
- Trasferimento extra-UE: sì (vedi sezione 7).
- Informativa: https://openai.com/policies/privacy-policy
- Uso per training: OpenAI dichiara che i dati trasmessi via API non sono utilizzati per l'addestramento dei propri modelli senza esplicito opt-in del cliente API (cfr. API data usage policy).
6.3 Eventuali ulteriori destinatari
I dati possono essere comunicati a:
- consulenti legali, fiscali e contabili del Titolare, vincolati da obblighi di riservatezza;
- autorità pubbliche e organi di controllo, quando richiesto dalla legge;
- soggetti coinvolti in operazioni straordinarie (fusione, acquisizione, conferimento di ramo d'azienda), nei limiti consentiti dalla normativa applicabile.
In nessun caso i dati vengono ceduti a terzi a fini di marketing, profilazione pubblicitaria, vendita di liste o servizi assimilabili.
7. Trasferimenti di dati al di fuori dello Spazio Economico Europeo
Il Servizio è ospitato in europe-west1(Belgio) e i dati a riposo risiedono prevalentemente all'interno dell'UE.
Tuttavia, parte dei trattamenti comporta trasferimenti verso paesi terzi, in particolare:
- OpenAI (Stati Uniti): il trattamento avviene sotto le tutele del EU-U.S. Data Privacy Framework (OpenAI è una società americana e l'eventuale partecipazione al DPF va verificata al momento della firma del DPA) e/o tramite Standard Contractual Clauses approvate dalla Commissione UE (Decisione 2021/914), eventualmente integrate da misure tecniche supplementari (minimizzazione dei dati trasmessi, cifratura in transito TLS, assenza di identificatori diretti laddove non necessari);
- Google LLC (Stati Uniti), per le componenti di Vertex AI configurate in regione global e per Google Identity, sulla base delle medesime garanzie (DPF e SCC) previste dal DPA con Google Cloud.
L'utente può richiedere copia delle garanzie applicate scrivendo all'indirizzo di cui alla sezione 1.
8. Sicurezza dei dati
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui in particolare:
- Cifratura in transito: tutte le comunicazioni tra estensione, backend, database e API Google avvengono esclusivamente su HTTPS / TLS.
- Cifratura applicativa dei token OAuth Google: i refresh token e gli access token rilasciati da Google sono cifrati lato applicazione con AES-256-GCM (formato
v1.<iv>.<tag>.<ciphertext>, IV a 12 byte casuale, chiave a 32 byte custodita in Secret Manager) prima della scrittura nella tabellauser_google_auth. - Hashing dei refresh token Sentra: i refresh token di sessione del Servizio sono memorizzati nel database esclusivamente in forma di hash SHA-256 (colonna
token_hashdirefresh_tokens); il valore in chiaro è disponibile solo all'interno del cookie HttpOnly del browser dell'utente. - PKCE OAuth 2.0: il flusso di login utilizza Proof Key for Code Exchange (
code_challenge_method=S256) con nonce e state verificati lato server e cookie di stato a vita massima di 10 minuti. - Cookie HttpOnly + Secure + SameSite=None, scoped sul path
/auth, non leggibili da JavaScript. - JWT di accesso a breve durata (60 secondi per il token primario, fino a 5 minuti per i token di risposta) firmati con segreto custodito in Secret Manager; i JWT non vengono mai persistiti in
chrome.storagema solo in memoria volatile del service worker e del content script. - Rotazione e revoca: ogni operazione di refresh genera nuovi token con
replaced_by_refresh_token_id; revoca immediata su logout, logoutAll, disconnect. - Isolamento multi-account: ogni account Google collegato genera una
session_keydistinta e cookie separati per evitare confusione tra account dello stesso browser. - Rate limiting lato backend (token bucket, ~120 req/min/IP con burst) per mitigare abusi.
- Validazione input e dimensione massima della richiesta JSON pari a 200 kB.
- Principio del minimo privilegio sugli account di servizio Google Cloud; segretezza delle chiavi gestita tramite Google Secret Manager.
- Backup e disaster recovery: garantiti dai servizi gestiti di Google Cloud SQL e Cloud Storage.
Nessuna misura di sicurezza è in grado di garantire una protezione assoluta. In caso di violazione di dati personali (“data breach”) che presenti un rischio per i diritti e le libertà degli interessati, il Titolare provvederà alla notifica all'Autorità Garante e, ove richiesto, agli interessati ai sensi degli artt. 33 e 34 GDPR.
9. Conservazione dei dati (retention)
| Categoria | Durata di conservazione |
|---|---|
Dati di account (users, user_google_auth) e contenuti generati dall'utente (bozze, proposte, preferenze, todo) | Per tutta la durata dell'utilizzo del Servizio. Cancellati a seguito di richiesta dell'utente o di “Disconnect” (vedi sezione 10). |
| Refresh token Sentra | Fino a scadenza tecnica del token o revoca esplicita; revocati su logout, logoutAll, disconnect e in caso di rilevazione di re-uso. |
Cookie di stato OAuth (__Host-oauth_*) | 10 minuti massimo (durata del flusso di login). |
| Auth code monouso | 2 minuti, segnati come usati al primo scambio. |
Storia delle proposte e dei ragionamenti (thread_reasoning_history, reply_draft_proposals_history, thread_scheduling_proposals_history, user_notification_history, thread_followup_history) | Conservata a fini di audit e tracciabilità per tutta la durata del rapporto, salvo cancellazione su richiesta. |
Log applicativi e metriche di costo AI (user_vertex_cost, vertex_cost_weekly, user_vertex_cost_history) | Periodo strettamente necessario alle finalità di diagnostica e controllo costi; tipicamente non superiore a 12 mesi. |
| Allegati caricati su Google Cloud Storage | Soft-delete dal momento della rimozione da parte dell'utente; hard-delete dal bucket entro tempi tecnici ragionevoli. |
| Dati conservati per obblighi di legge | Per il periodo previsto dalla normativa applicabile. |
A seguito di disconnessione dell'account (/auth/disconnect), il Titolare:
- revoca i token presso Google (refresh + access);
- elimina la riga
user_google_authcon i token cifrati; - revoca tutti i refresh token Sentra associati alla sessione.
A seguito di richiesta esplicita di cancellazione dell'account (sezione 10), il Titolare procede alla cancellazione integrale dei dati dell'utente, salvi i dati anonimizzati o conservati per obblighi di legge.
10. Diritti dell'interessato
Ai sensi degli artt. da 15 a 22 del GDPR, l'utente ha diritto di:
- accesso(art. 15) — ottenere conferma dell'esistenza del trattamento e copia dei dati;
- rettifica (art. 16) — correggere dati inesatti o incompleti;
- cancellazione(“diritto all'oblio”, art. 17);
- limitazione del trattamento (art. 18);
- portabilità (art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico;
- opposizione (art. 21), anche al trattamento basato su legittimo interesse;
- revoca del consenso in qualsiasi momento (art. 7.3), senza pregiudizio per la liceità dei trattamenti precedenti;
- proporre reclamoall'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'autorità di controllo dello Stato membro UE di residenza, qualora l'utente ritenga che il trattamento violi il GDPR.
Come esercitare i diritti
L'utente può esercitare i diritti:
- dall'interno dell'estensione: tramite le funzioni “Logout”, “Logout all sessions” e “Disconnect” disponibili nelle impostazioni dell'estensione (
/auth/logout,/auth/logoutAll,/auth/disconnect); - dalla pagina account Google: revocando i permessi concessi a Sentra in https://myaccount.google.com/permissions;
- scrivendoall'indirizzo email indicato in sezione 1.
Il Titolare risponde entro 30 giornidalla ricezione della richiesta (prorogabili di ulteriori 60 giorni nei casi previsti dall'art. 12 GDPR), previa identificazione del richiedente.
11. Cookie e tecnologie di tracciamento
Il backend del Servizio utilizza esclusivamente cookie tecnici e di sessione, strettamente necessari al funzionamento dell'autenticazione, per i quali non è richiesto il consensoai sensi della Direttiva ePrivacy come recepita in Italia (cookie tecnici / “strettamente necessari”).
| Cookie | Tipo | Durata | Finalità |
|---|---|---|---|
venom_refresh_token_<sessionKey> | Tecnico, HttpOnly, Secure, SameSite=None, path /auth | Sul refresh token | Mantenimento della sessione Sentra (token hash lato server) |
__Host-oauth_pkce | Tecnico, HttpOnly, Secure | 10 minuti | PKCE verifier del flusso OAuth |
__Host-oauth_nonce | Tecnico, HttpOnly, Secure | 10 minuti | Verifica del nonce dell'ID token |
__Host-oauth_state | Tecnico, HttpOnly, Secure | 10 minuti | Protezione CSRF del flusso OAuth |
__Host-oauth_returnto | Tecnico, HttpOnly, Secure | 10 minuti | URL di ritorno dopo il login |
L'estensione utilizza inoltre chrome.storage.local per memorizzare, solo lato browser dell'utente, identificatori non sensibili (chiave di sessione, user id pubblico, flag di account attivo, ultimo thread visto). Nessun JWT o token segreto è scritto in chrome.storage. Il Servizio non utilizza cookie di profilazione né strumenti di analytics di terze parti all'interno del flusso applicativo.
12. Decisioni automatizzate e profilazione
Il Servizio impiega modelli di intelligenza artificiale (Google Vertex AI - Gemini e OpenAI - GPT) per generare bozze, classificazioni e proposte. Tutte le decisioni sono soggette ad approvazione esplicita dell'utente prima di produrre effetti esterni:
- nessuna email viene inviata senza che l'utente abbia approvato esplicitamente la bozza (“approval-first drafting”);
- nessun evento di calendario viene creato, modificato o eliminato senza approvazione dell'utente;
- le classificazioni automatiche (es. “VIP thread”, “informational”, “promotional”) sono unicamente suggerimenti operativi all'interno dell'interfaccia.
Pertanto non si configura un processo decisionale automatizzato ai sensi dell'art. 22 GDPR che produca effetti giuridici o significativi sull'utente senza intervento umano. L'utente conserva il pieno controllo su ogni azione esterna effettuata dal Servizio.
13. Minori
Il Servizio non è destinato a soggetti di età inferiore a 16 anni(o all'età minima prevista dalla normativa applicabile nello Stato membro dell'utente). Il Titolare non raccoglie consapevolmente dati relativi a minori. Qualora venga a conoscenza che dati di un minore siano stati raccolti senza idoneo consenso, provvederà alla loro cancellazione.
14. Modifiche all'informativa
Il Titolare si riserva il diritto di modificare la presente informativa per riflettere evoluzioni del Servizio, dei sub-processor o del quadro normativo. La versione aggiornata sarà pubblicata sulla pagina /privacydel sito Sentra e segnalata all'utente all'interno dell'estensione in caso di modifiche sostanziali. La data dell'ultimo aggiornamento è indicata in apertura del presente documento.
15. Contatti
Per qualsiasi domanda, richiesta o esercizio dei diritti relativi al trattamento dei dati personali:
- Email: riccomattia03@gmail.com
- Indirizzo postale:disponibile su richiesta scritta all'email sopra indicata
- DPO: non nominato
Documento redatto sulla base del codice sorgente fornito (estensione “Venom Inbox Pilot” v1.0.0 + backend “sentra-prod” su Google Cloud Run, regione europe-west1). Eventuali nuove funzionalità o modifiche all'elenco dei sub-processor richiederanno aggiornamento della presente informativa.