Torna alla home

Informativa Privacy

Informativa Privacy (v2.1)

Ai sensi del Reg. UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come mod. dal D.Lgs. 101/2018

1. Titolare del trattamento

Il Titolare del trattamento è IT Consulting S.r.l., P.IVA IT03411290160, con sede in Via S. Bernardino, 139, 24126 Bergamo (BG). Email di contatto: [email protected].

2. Dati personali raccolti

Il Titolare raccoglie e tratta i seguenti dati: dati identificativi (nome, cognome, email), dati di utilizzo (conversazioni con l'AI, cronologia ricerche) e metadati tecnici (indirizzo IP, log di accesso). Le conversazioni sono isolate per singolo tenant tramite tecnologia PostgreSQL RLS (Row Level Security) e non sono mai condivise tra utenti diversi.

3. Finalità e base giuridica

Il trattamento è finalizzato a:

  • Erogazione del servizio (Art. 6(1)(b) GDPR) — esecuzione del contratto, inclusa la generazione di risposte, la verifica normativa e il salvataggio delle conversazioni.
  • Analisi utilizzo avanzata (Art. 6(1)(a) GDPR) — consenso esplicito, revocabile. Consente di comprendere i pattern di utilizzo per migliorare l'esperienza. I dati sono pseudonimizzati tramite hash irreversibile.
  • Miglioramento qualità risposte (Art. 6(1)(a) GDPR) — consenso esplicito, revocabile. Consente l'analisi pseudonimizzata delle conversazioni per migliorare l'accuratezza delle risposte legali.
  • Monitoraggio anti-abuse (Art. 6(1)(f) GDPR) — legittimo interesse. Rilevamento automatizzato di pattern sospetti (scraping, prompt exfiltration) per la protezione della proprietà intellettuale. Retention: 6 mesi.

I dati non vengono mai utilizzati per l'addestramento (training) dei modelli AI di terze parti.

4. Anonimizzazione e pseudonimizzazione

I dati raccolti per finalità di miglioramento sono sottoposti a trattamento preventivo di anonimizzazione/pseudonimizzazione prima dello storage analitico:

  • Dati anonimi: PII (nomi, email, numeri di telefono, codici fiscali, partite IVA) vengono rimossi automaticamente tramite NER (Named Entity Recognition) e pattern matching. I dati anonimi non sono riconducibili all'interessato e sono esclusi dall'ambito GDPR (Considerando 26).
  • Dati pseudonimizzati: gli identificativi vengono sostituiti con hash crittografici irreversibili (SHA-256 troncato). I dati pseudonimizzati sono conservati in tabelle dedicate, separate dai dati anonimi, e sono accessibili solo per finalità statistiche interne.

5. Destinatari e trasferimenti

I dati sono ospitati su server situati all'interno dell'Unione Europea (Hetzner, Germania). L'autenticazione è gestita tramite Logto (self-hosted in EU). Per l'elaborazione delle richieste, i prompt possono essere trasmessi a provider di modelli LLM (OpenAI, Google) tramite gateway protetti; tali provider agiscono come responsabili del trattamento e non sono autorizzati a usare i dati per i propri scopi di training.

6. Durata conservazione

  • Dati del servizio (conversazioni, profilo): per la durata del contratto e fino a 12 mesi dalla cessazione dell'account.
  • Dati pseudonimizzati: massimo 12 mesi dalla raccolta (rolling). Purge automatico oltre il termine.
  • Dati anonimi: conservazione illimitata (non sono dati personali ai sensi del GDPR).
  • Dati di monitoraggio anti-abuse: massimo 6 mesi.
  • Log di audit (accessi debug): 2 anni (accountability GDPR).

7. Revoca del consenso e purge

L'Utente può revocare in qualsiasi momento i consensi opzionali (analisi utilizzo, miglioramento qualità) tramite la sezione Privacy del proprio profilo. La revoca ha effetto immediato:

  • La raccolta dei dati per la finalità revocata cessa immediatamente.
  • I dati pseudonimizzati raw associati all'utente vengono eliminati (purge automatico).
  • I dati già aggregati (conteggi, medie, trend) sono mantenuti in quanto anonimi per natura.
  • La revoca è registrata nel log di audit immutabile con azione «data_purged».

8. Diritti dell'interessato

L'Utente può esercitare in ogni momento i diritti previsti dal GDPR: accesso (art. 15), rettifica (art. 16), cancellazione/oblio (art. 17), limitazione (art. 18), portabilità (art. 20) e opposizione (art. 21). Le richieste vanno inviate al Titolare ai recapiti indicati al punto 1.

9. Cookie e tecnologie simili

La piattaforma utilizza cookie tecnici necessari al funzionamento e all'autenticazione. Eventuali cookie analitici sono subordinati al consenso esplicito dell'utente tramite il banner dedicato.

10. Contatti DPO

Per questioni relative alla protezione dei dati, è possibile contattare il Responsabile della Protezione dei Dati (DPO) all'indirizzo: [email protected].