Versione del 2026-05-11. Il presente documento è redatto ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.lgs. 196/2003.
1. Titolare del trattamento
Titolare del trattamento è AIComply S.r.l.s. (di seguito "AIComply" o "noi"), con sede legale in Via Vitaliano Brancati 10, 95030 Mascalucia (CT), Italia.
Contatti: privacy@aicomplyonline.it.
Non abbiamo nominato un Responsabile della Protezione dei Dati (DPO), non essendo obbligati ai sensi dell'art. 37 GDPR. Le richieste relative al trattamento dei dati personali possono essere indirizzate al Titolare ai contatti sopra riportati.
2. Categorie di dati trattati
- Dati di account: email, nome e cognome, password (in forma hashed).
- Dati aziendali: ragione sociale, P.IVA, codice fiscale, sede, settore, numero dipendenti, email di contatto privacy.
- Contenuti generati dall'utente: sistemi AI registrati, risposte al questionario di compliance, registrazioni formazione, documenti caricati o prodotti dalla piattaforma.
- Dati di pagamento: NON trattati direttamente da noi. Gestiti integralmente da Stripe Payments Europe Ltd (vedi §6). Riceviamo solo identificativi non sensibili (customer id, subscription id, ultime 4 cifre carta).
- Dati di navigazione e log tecnici: indirizzo IP, user-agent, timestamp, pagine visitate, eventi di autenticazione. Conservati per finalità di sicurezza per un massimo di 90 giorni.
- Dati del Quiz pubblico (compilabili anche da non utenti): settore, fascia dipendenti, risposte, email opzionale.
3. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) | Conservazione |
|---|---|---|
| Erogazione del servizio SaaS | Esecuzione del contratto (1.b) | Durata del contratto + 10 anni (obblighi fiscali) |
| Adempimenti fiscali e contabili | Obbligo legale (1.c) | 10 anni |
| Sicurezza, prevenzione frodi, log | Legittimo interesse (1.f) | 90 giorni |
| Marketing diretto via email (newsletter) | Consenso (1.a) o soft opt-in clienti | Fino a revoca |
| Statistiche aggregate Quiz | Legittimo interesse (1.f) | 24 mesi, poi anonimizzazione |
4. Conferimento dei dati
Il conferimento dei dati di account e aziendali è necessario per fruire del servizio: il mancato conferimento impedisce la registrazione. Il conferimento dell'email per il Quiz e per la newsletter è facoltativo.
5. Destinatari e responsabili esterni
I dati possono essere comunicati a soggetti che agiscono in qualità di responsabili del trattamento ex art. 28 GDPR, con i quali abbiamo sottoscritto idonei accordi (DPA):
- Supabase Inc. — hosting database e autenticazione. Server in UE (Francoforte). DPA: supabase.com/legal/dpa
- Vercel Inc. — hosting dell'applicazione web. Edge in UE. DPA: vercel.com/legal/dpa
- Stripe Payments Europe Ltd — gestione pagamenti. Server in UE/USA. DPA: stripe.com/legal/dpa
L'elenco completo e aggiornato dei sub-processor è disponibile su richiesta a privacy@aicomplyonline.it.
6. Trasferimenti extra-UE
Alcuni fornitori (Stripe, Vercel) hanno entità o infrastrutture negli Stati Uniti. I trasferimenti avvengono sulla base delle Clausole Contrattuali Tipo approvate dalla Commissione Europea (Decisione 2021/914) e, ove applicabile, della certificazione EU-US Data Privacy Framework (Decisione di adeguatezza 2023/1795). È possibile richiedere copia delle salvaguardie applicate scrivendoci.
7. Diritti dell'interessato
Hai diritto a esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR:
- Accesso ai tuoi dati personali
- Rettifica
- Cancellazione ("diritto all'oblio") — disponibile anche in autonomia da Impostazioni → Account
- Limitazione del trattamento
- Portabilità dei dati (formato CSV/JSON)
- Opposizione
- Revoca del consenso (per i trattamenti basati sul consenso)
- Reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
Le richieste vanno inviate a privacy@aicomplyonline.it e saranno evase entro 30 giorni.
8. Sicurezza
Adottiamo misure tecniche e organizzative adeguate: cifratura in transito (TLS 1.2+) e a riposo, Row Level Security sul database, autenticazione tramite token JWT, backup giornalieri, controllo accessi basato sui ruoli, monitoraggio degli accessi.
9. Modifiche alla policy
Eventuali aggiornamenti sostanziali saranno notificati via email almeno 30 giorni prima dell'entrata in vigore.