Informativa sulla Privacy
In breve: Raccogliamo solo i dati necessari per erogare il servizio. Non vendiamo dati a terzi. Usi Claude (Anthropic) e GPT-4o-mini (OpenAI) per generare contenuti — hai dato consenso esplicito. Puoi esportare o cancellare i tuoi dati in qualsiasi momento.
1. Titolare del trattamento
Nota sulla costituzione societaria: Eniteo AI è in corso di costituzione come società di diritto estone (OÜ — Osaühing). I dati societari completi (ragione sociale definitiva, numero di registro estone, sede legale a Tallinn) saranno aggiornati non appena la registrazione sarà completata.
Eniteo AI OÜ (società in corso di costituzione in Estonia)
Forma giuridica: OÜ (Osaühing) — diritto estone
Email: [email protected]
Il servizio è rivolto esclusivamente a persone giuridiche e professionisti che agiscono nell'esercizio della propria attività imprenditoriale (B2B). Non è destinato a consumatori privati.
2. Categorie di dati personali trattati
| Categoria | Dati specifici | Fonte |
|---|---|---|
| Dati identificativi | Nome, email aziendale | Forniti dall'utente alla registrazione |
| Dati di autenticazione | Password (hashing bcrypt), token 2FA e codici di recupero (cifrati) | Generati dall'utente |
| Dati aziendali | Ragione sociale, settore, modello di business, area geografica, dominio, descrizione, pubblico target, prodotti/servizi, concorrenti, tone of voice | Forniti nell'onboarding e nel profilo |
| Dati di consenso | Data/ora di accettazione Privacy Policy e Termini, indirizzo IP al momento del consenso | Registrati automaticamente alla registrazione |
| Dati tecnici | Indirizzo IP, user agent, log di sessione, log tentativi di accesso | Raccolti automaticamente |
| Contenuti generati | Articoli, risposte, domande, entità, knowledge base claim | Generati dall'AI su input dell'utente |
| Dati di fatturazione | Stripe customer ID, tipo di carta, ultime 4 cifre, piano abbonamento | Stripe — i dati carta completi non sono mai trattati da Eniteo |
Non raccogliamo dati appartenenti alle categorie particolari di cui all'art. 9 GDPR (dati sanitari, religiosi, politici, biometrici, ecc.).
3. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del servizio (generazione contenuti AEO/GEO, monitoraggio citazioni AI, onboarding) | Art. 6.1.b — esecuzione del contratto |
| Autenticazione e sicurezza dell'account | Art. 6.1.b — esecuzione del contratto; art. 6.1.f — legittimo interesse (prevenzione frodi) |
| Trasmissione dei dati aziendali ai sub-responsabili AI (Anthropic, OpenAI) per la generazione dei contenuti | Art. 6.1.a — consenso esplicito dell'utente (revocabile in qualsiasi momento) |
| Fatturazione e gestione abbonamento | Art. 6.1.b — esecuzione del contratto; art. 6.1.c — obblighi fiscali/legali |
| Invio email transazionali (verifica email, notifiche di servizio, digest settimanale) | Art. 6.1.b — esecuzione del contratto |
| Analytics aggregati e anonimizzati per miglioramento del prodotto | Art. 6.1.f — legittimo interesse di Eniteo |
| Adempimento obblighi legali e fiscali | Art. 6.1.c — obbligo legale |
4. Responsabili del trattamento e sub-responsabili
Eniteo si avvale dei seguenti responsabili del trattamento ex art. 28 GDPR:
| Sub-responsabile | Paese | Trattamento | Salvaguardia |
|---|---|---|---|
| Anthropic PBC | USA | Generazione contenuti AI (Claude API) | SCCs ex art. 46 GDPR |
| OpenAI LLC | USA | Generazione domande, embeddings | SCCs ex art. 46 GDPR |
| Stripe Inc. / Stripe Payments Europe Ltd. | USA / Irlanda (UE) | Elaborazione pagamenti | SCCs; Stripe Europe sotto supervisione Banca d'Irlanda |
| Resend Inc. | USA | Email transazionali | SCCs ex art. 46 GDPR |
| Hetzner Online GmbH | Germania (UE) | Hosting, database, storage | Nessun trasferimento extra-UE |
I dati aziendali trasmessi ai provider AI sono limitati ai contenuti della Knowledge Base e al profilo aziendale. Non vengono trasmessi dati identificativi personali (nome, email) ai modelli AI. Elenco aggiornato su richiesta a [email protected].
5. Periodo di conservazione
| Categoria | Conservazione | Motivazione |
|---|---|---|
| Dati account e aziendali | Durata del contratto + 7 anni | Obblighi fiscali e contabili (Estonian Accounting Act — Raamatupidamise seadus, § 12) |
| Dati di consenso | Durata del contratto + 7 anni | Dimostrazione del consenso ex art. 7.1 GDPR |
| Log di accesso e tentativi di login | 90 giorni | Sicurezza e prevenzione accessi non autorizzati |
| Contenuti generati | Durata del contratto; cancellati alla chiusura account | Erogazione del servizio |
| Dati di fatturazione (Stripe) | 7 anni dalla transazione | Obblighi contabili (Estonian Accounting Act, § 12) |
I record anonimizzati in seguito a cancellazione account vengono eliminati definitivamente tramite processo automatizzato notturno dopo il periodo di conservazione applicabile.
6. Diritti degli interessati (artt. 15–22 GDPR)
- Accesso (art. 15): Richiedi copia dei tuoi dati da Impostazioni → Esporta dati o scrivendo a [email protected].
- Rettifica (art. 16): Aggiorna i dati inesatti dal dashboard o contatta [email protected].
- Cancellazione / diritto all'oblio (art. 17): Usa Impostazioni → Elimina account. I dati sono anonimizzati immediatamente; cancellazione definitiva entro 5 anni per gli obblighi di legge.
- Limitazione (art. 18): Richiedi la sospensione del trattamento scrivendo a [email protected].
- Portabilità (art. 20): Scarica tutti i tuoi dati in formato JSON strutturato da Impostazioni → Esporta dati.
- Opposizione (art. 21): Puoi opporti al trattamento basato su legittimo interesse scrivendo a [email protected].
- Revoca del consenso (art. 7.3): Il consenso al trattamento AI è revocabile in qualsiasi momento da Impostazioni → Account. La revoca non pregiudica la liceità del trattamento anteriore.
- Reclamo (art. 77): Hai diritto di proporre reclamo all'autorità di controllo competente. In quanto società registrata in Estonia, l'autorità di riferimento è l'Andmekaitse Inspektsioon (aki.ee). Puoi tuttavia rivolgerti anche all'autorità di controllo del tuo Stato membro di residenza (es. per i clienti italiani: Garante per la Protezione dei Dati Personali).
Rispondiamo alle richieste entro 30 giorni (art. 12.3 GDPR). Per esercitare i tuoi diritti visita la pagina dedicata o scrivi a [email protected].
7. Misure di sicurezza (art. 32 GDPR)
- Cifratura in transito con TLS 1.3 (HTTPS obbligatorio su tutti gli endpoint).
- Password conservate con hashing bcrypt (costo 12).
- Autenticazione a due fattori (2FA TOTP) disponibile per tutti gli account.
- Accesso ai sistemi limitato con principio del minimo privilegio (RBAC).
- Backup giornalieri cifrati (AES-256).
- Log di audit per accessi e modifiche ai dati.
- Rate limiting su tutti gli endpoint pubblici e autenticati.
- Penetration test periodici e dependency scanning automatizzato.
In caso di data breach con rischio per gli interessati: notifica al Garante entro 72 ore (art. 33 GDPR) e comunicazione agli interessati coinvolti senza ingiustificato ritardo (art. 34 GDPR).
8. Cookie
Per informazioni dettagliate consulta la Cookie Policy. I cookie tecnici necessari non richiedono consenso; i cookie analitici sono attivati solo previo consenso esplicito.
9. Modifiche
Le modifiche sostanziali saranno comunicate via email con almeno 15 giorni di preavviso. La versione vigente è sempre disponibile su questa pagina.
10. Contatti
Eniteo AI OÜ (società in corso di costituzione in Estonia)
Email: [email protected]
Esercizio diritti GDPR: eniteo.ai/diritti-interessati