Privacy Policy

1. Titolare del trattamento

Il Titolare del trattamento ai sensi dell'art. 4, n. 7 del GDPR è:

Antalia AI S.R.L. — Via dei Coronari 45, 00186 Roma (RM), Italia.

P.IVA e C.F. 18487481006 — REA RM 1787996.

Email: amministrazione@antalia.ai — PEC: antaliaai@pec.it.

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto il trattamento non rientra nei casi previsti dall'art. 37 del GDPR. Ogni richiesta relativa alla privacy può essere inviata direttamente al Titolare agli indirizzi sopra indicati.

2. Tipologie di dati raccolti

Raccogliamo le seguenti categorie di dati personali:

Dati forniti volontariamente tramite form di contatto: nome, indirizzo email, azienda (facoltativo), tipo di richiesta, contenuto del messaggio.

Dati di navigazione raccolti in modo aggregato tramite Vercel Analytics in modalità privacy-friendly: URL richiesti, referrer, paese (geolocalizzazione approssimativa), tipo di dispositivo e browser. Non vengono raccolti indirizzi IP completi, non vengono utilizzati cookie di tracciamento e non sono installati fingerprinting o profilazioni.

Log tecnici del server: indirizzo IP parziale, timestamp della richiesta, user agent. Sono raccolti esclusivamente per finalità di sicurezza e diagnostica.

Dati eventualmente inseriti nel chatbot AI (quando attivo): il testo delle conversazioni viene trasmesso ad Anthropic PBC per generare le risposte, non è utilizzato per addestrare modelli e non viene conservato oltre il tempo necessario al funzionamento del servizio.

3. Finalità del trattamento

I dati sono trattati per le seguenti finalità:

a) rispondere alle richieste di informazioni, demo, partnership o collaborazione ricevute tramite il form di contatto o il chatbot;

b) porre in essere misure precontrattuali e, se instaurato, gestire il rapporto contrattuale successivo;

c) adempiere ad obblighi previsti dalla legge, da un regolamento o dalla normativa comunitaria (ad esempio fiscali e contabili);

d) garantire la sicurezza del sito, prevenire frodi e abusi, analizzare in forma aggregata l'uso del servizio per migliorarlo.

4. Base giuridica del trattamento

Ai sensi dell'art. 6 del GDPR, le basi giuridiche del trattamento sono:

— Consenso dell'interessato (art. 6, par. 1, lett. a) per l'invio del form di contatto, espresso tramite flag di accettazione;

— Esecuzione di misure precontrattuali richieste dall'interessato (art. 6, par. 1, lett. b);

— Adempimento di obblighi legali cui è soggetto il Titolare (art. 6, par. 1, lett. c);

— Legittimo interesse del Titolare alla sicurezza della rete e all'analisi aggregata di utilizzo (art. 6, par. 1, lett. f), con bilanciamento a favore dei diritti dell'interessato documentato internamente.

5. Destinatari e Responsabili del trattamento

I dati non sono diffusi né ceduti a terzi per finalità commerciali. Possono essere comunicati a soggetti nominati Responsabili del trattamento ai sensi dell'art. 28 del GDPR, sulla base di un apposito Data Processing Agreement (DPA):

— Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA): hosting del sito, CDN e analytics in modalità privacy-friendly;

— Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA): invio transazionale delle email generate dal form di contatto;

— Anthropic PBC (548 Market Street PMB 90375, San Francisco, CA 94104, USA): fornitore del servizio di modello linguistico utilizzato dal chatbot (quando attivo); le conversazioni sono trattate in modalità no-training.

I dati possono inoltre essere comunicati ad autorità pubbliche, consulenti legali, commercialisti e revisori incaricati, esclusivamente per finalità di adempimento legale o contrattuale.

6. Trasferimento dati al di fuori dell'Unione Europea

Alcuni dei Responsabili sopra indicati (Vercel, Resend, Anthropic) hanno sede negli Stati Uniti d'America. Il trasferimento dei dati è effettuato sulla base di:

— Clausole Contrattuali Tipo (Standard Contractual Clauses) adottate dalla Commissione Europea con Decisione 2021/914/UE;

— eventuale adesione al EU–U.S. Data Privacy Framework da parte del fornitore, ove applicabile;

— misure supplementari tecniche (cifratura in transito TLS 1.2+, cifratura a riposo), organizzative (accessi limitati, logging) e contrattuali adottate in esito alla sentenza della Corte di Giustizia UE C-311/18 (Schrems II).

L'interessato può richiedere al Titolare copia delle garanzie adottate scrivendo a amministrazione@antalia.ai.

7. Periodo di conservazione

I dati sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

— Dati forniti tramite form di contatto: massimo 24 mesi dalla raccolta, salvo instaurazione di un rapporto contrattuale;

— Log tecnici e dati di sicurezza: massimo 12 mesi;

— Dati relativi a rapporti contrattuali: per l'intera durata del contratto e successivamente per 10 anni in ottemperanza agli obblighi civilistici e fiscali (artt. 2220 c.c., 22 DPR 600/1973);

— Conversazioni del chatbot: non conservate oltre la sessione utente, salvo esigenze di sicurezza documentate.

8. Diritti dell'interessato

In relazione ai trattamenti descritti, l'interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 del GDPR:

— diritto di accesso ai dati personali (art. 15);

— diritto di rettifica dei dati inesatti o incompleti (art. 16);

— diritto alla cancellazione, c.d. diritto all'oblio (art. 17);

— diritto di limitazione del trattamento (art. 18);

— diritto alla portabilità dei dati (art. 20);

— diritto di opposizione al trattamento basato sul legittimo interesse (art. 21);

— diritto di non essere sottoposto a decisioni automatizzate, compresa la profilazione (art. 22);

— diritto di revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente alla revoca.

9. Modalità di esercizio dei diritti

L'interessato può esercitare i propri diritti inviando una richiesta scritta, allegando copia di un documento di identità in corso di validità, a uno dei seguenti indirizzi:

— Email: amministrazione@antalia.ai

— PEC: antaliaai@pec.it

— Posta ordinaria: Antalia AI S.R.L., Via dei Coronari 45, 00186 Roma (RM), Italia.

Il Titolare fornirà riscontro senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione della richiesta, ai sensi dell'art. 12 del GDPR.

10. Reclamo all'Autorità di controllo

L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha il diritto di proporre reclamo all'Autorità di controllo competente, che in Italia è:

Garante per la protezione dei dati personali — Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it — Email: protocollo@gpdp.it — PEC: protocollo@pec.gpdp.it.

Resta impregiudicato il diritto di proporre ricorso all'autorità giudiziaria.

11. Sicurezza dei dati

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, in conformità all'art. 32 del GDPR. Fra tali misure rientrano: cifratura in transito (TLS 1.2+) e a riposo, gestione degli accessi basata sul principio del minimo privilegio, logging degli accessi, procedure di backup e di disaster recovery.

12. Modifiche all'informativa

Il Titolare si riserva il diritto di modificare la presente informativa per adeguarla a eventuali evoluzioni normative o del servizio. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data in calce. Si invita l'utente a consultare periodicamente questa informativa.