Informativa privacy
Versione v2.0 — ultimo aggiornamento 2 maggio 2026.
Questa informativa descrive come Konformia — la piattaforma SaaS italiana per la compliance al Regolamento (UE) 2024/1689 (AI Act) — tratta i dati personali ai sensi del GDPR (Reg. UE 2016/679) e del Codice Privacy italiano (D.Lgs. 196/2003). In sintesi: i dati restano nell'Unione Europea (hosting Hetzner in Falkenstein/Helsinki, inferenza LLM su Mistral La Plateforme a Parigi), non vengono usati per addestrare modelli, e l'audit log delle azioni è immutabile per design. Di seguito i dettagli su titolare, finalità, basi giuridiche, categorie di dati, sub-processor, trasferimenti extra-UE e diritti dell'interessato.
Bozza in revisione legale finale. Le finalità, le categorie di dati e i diritti elencati riflettono il trattamento effettivamente eseguito dalla piattaforma. Il documento sarà sostituito dalla versione certificata da consulente legale esterno prima del lancio commerciale.
1. Titolare del trattamento
Konformia (di seguito anche "noi" o "la Piattaforma") è un servizio erogato in Italia. Per ogni questione relativa al trattamento dei dati personali è possibile contattare:
- Email titolare: [email protected]
- Email founder / referente DPO ad interim: [email protected]
La nomina del Responsabile della Protezione dei Dati (DPO) è in valutazione: ai sensi dell'art. 37 GDPR la designazione formale diviene obbligatoria al raggiungimento delle soglie previste; nel frattempo le richieste vengono evase direttamente dal titolare. Ragione sociale, sede legale e P.IVA verranno pubblicate in questa sezione al perfezionamento della costituzione societaria.
2. Categorie di dati raccolti
Trattiamo le seguenti categorie di dati personali.
2.1 Diagnostica gratuita (/diagnostica)
Le risposte ai 5 quesiti non vengono salvate: il calcolo del tier di rischio avviene client-side e il risultato è restituito solo al tuo browser. Non viene tracciato IP, browser fingerprint, né impostato alcun cookie.
2.2 Waitlist e iscrizioni anticipate
- indirizzo email;
- fonte della registrazione (es. landing page, diagnostic);
- timestamp di iscrizione;
- flag di consenso marketing (solo se esplicitamente spuntato);
- stringa user-agent del browser, conservata a fini di sicurezza.
2.3 Account utente
- email;
- password (mai memorizzata in chiaro: hash Argon2id con sale unico per utente);
- nome, cognome, telefono (facoltativi);
- organizzazione di appartenenza, ruolo (facoltativi);
- preferenze di lingua e fuso orario;
- data di iscrizione, ultimo accesso, IP dell'ultimo accesso (per audit di sicurezza).
2.4 Sistemi AI e dati di compliance
- metadati dei sistemi AI registrati (nome, descrizione, ruolo provider/deployer, dominio applicativo);
- risposte al questionario di classificazione del rischio (le risposte sono associate al sistema, non a singoli individui);
- documentazione tecnica generata (Annex IV, FRIA, RMS, IFU, PMP, DoC) e relativi allegati;
- log dei dipendenti monitorati per la formazione AI literacy (art. 4 AI Act);
- codici dei profili professionali assegnati ai dipendenti secondo la norma UNI 11621-8:2026.
2.5 Dati di pagamento
I pagamenti sono gestiti integralmente da Stripe Payments Europe Ltd. Konformia non vede né memorizza numeri di carta di credito o codici di verifica; riceviamo da Stripe esclusivamente l'identificativo cliente, lo stato della sottoscrizione e i metadati della fattura.
2.6 Dati tecnici di navigazione
Per ogni richiesta autenticata registriamo nei log applicativi: IP, user-agent, endpoint chiamato, codice di risposta, timestamp. I log applicativi vengono ruotati ogni 30 giorni; i log di audit di compliance (azioni utente sui documenti) sono invece immutabili e conservati per il periodo di cui al §4.
3. Finalità del trattamento e basi giuridiche
I dati sono trattati per le seguenti finalità:
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del servizio (account, dashboard, generazione documenti) | Esecuzione di un contratto — art. 6(1)(b) |
| Adempimento di obblighi normativi (fatturazione, conservazione contabile) | Obbligo legale — art. 6(1)(c) |
| Sicurezza della Piattaforma (audit log, rilevamento abuso) | Legittimo interesse — art. 6(1)(f) |
| Comunicazioni di servizio (welcome, conferma, notifiche operative) | Esecuzione del contratto — art. 6(1)(b) |
| Comunicazioni marketing (newsletter, eventi, novità di prodotto) | Consenso esplicito — art. 6(1)(a) |
| Risposta a richieste di esercizio dei diritti | Obbligo legale — art. 6(1)(c) |
Il consenso marketing è sempre opt-in e revocabile in ogni momento dal pannello account o scrivendo a [email protected]. La revoca non pregiudica la liceità del trattamento eseguito prima della revoca stessa.
4. Periodo di conservazione
| Categoria di dati | Conservazione |
|---|---|
| Account attivo | Per tutta la durata del rapporto contrattuale. |
| Account cancellato dall'utente | 30 giorni di grace period per recupero accidentale, successiva cancellazione definitiva. |
| Documenti generati (Annex IV, FRIA, RMS, IFU, PMP, DoC) | 10 anni dalla generazione, in coerenza con l'obbligo di tracciabilità AI Act art. 18 e con la prassi di conservazione documentale tecnica. |
| Audit log applicativi | Append-only, conservati 10 anni — non sono modificabili né cancellabili (requisito AI Act art. 12). |
| Fatture e dati fiscali | 10 anni — D.P.R. 633/1972 e Codice Civile art. 2220. |
| Email di waitlist senza account | Fino a revoca del consenso o 24 mesi di inattività continua. |
| Log applicativi di sicurezza | 30 giorni rolling. |
5. Destinatari e sub-fornitori
Per erogare il servizio ci avvaliamo dei seguenti fornitori, tutti nominati come responsabili del trattamento ex art. 28 GDPR e legati da Data Processing Agreement (DPA) o clausole contrattuali equivalenti.
| Fornitore | Ruolo | Sede / regione di trattamento |
|---|---|---|
| Hetzner Online GmbH | Hosting server applicativo e database | Falkenstein, Germania (UE) |
| Mistral AI SAS | LLM utilizzato dal Copilot RAG | Parigi, Francia (UE) |
| Cloudflare, Inc. | CDN, DNS, protezione DDoS, certificati TLS | Anycast globale; trasferimento extra-UE coperto da SCC + EU-US Data Privacy Framework. |
| Stripe Payments Europe Ltd | Pagamenti, fatturazione, sottoscrizioni | Dublino, Irlanda (UE) — flussi tecnici verso Stripe USA coperti da SCC + DPF. |
| Brevo SAS | Invio email transazionali e di marketing | Parigi, Francia (UE) |
L'elenco aggiornato dei sub-fornitori è disponibile su richiesta a [email protected]. Eventuali nuovi fornitori che trattino dati personali saranno comunicati con almeno 14 giorni di anticipo.
6. Trasferimenti di dati extra-UE
Privilegiamo fornitori EU-resident. Quando un trasferimento extra-UE si rende tecnicamente necessario (Cloudflare, Stripe), esso è coperto da:
- Standard Contractual Clauses ex Decisione di Esecuzione UE 2021/914;
- adesione del fornitore al EU-US Data Privacy Framework, ove applicabile;
- misure tecniche supplementari (cifratura in transito TLS 1.2+, cifratura a riposo, minimizzazione del payload) coerenti con le indicazioni post-sentenza Schrems II.
L'inferenza LLM (classificazione, copilot, riassunti normativi) avviene esclusivamente sull'API Mistral La Plateforme con residenza europea: nessun dato di profilo, di sistema o di compliance esce dall'Unione per questo scopo.
7. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR hai diritto di:
- accedere ai dati che ti riguardano e ottenerne copia (art. 15);
- rettificare dati inesatti o incompleti (art. 16);
- richiedere la cancellazione("diritto all'oblio") — art. 17. La cancellazione non si applica ai documenti già generati e firmati per i quali sussiste obbligo di conservazione decennale;
- richiedere la limitazione del trattamento (art. 18);
- ricevere i tuoi dati in formato strutturato e leggibile (portabilità) — art. 20: l'export JSON è disponibile direttamente dal pannello account;
- opporti al trattamento per motivi legittimi o per finalità di marketing (art. 21);
- non essere sottoposto a decisioni automatizzate con effetti significativi (art. 22 — vedi §10).
Le richieste vanno inoltrate a [email protected]. Ti risponderemo entro 30 giorni (art. 12 GDPR), prorogabili di ulteriori 60 in caso di richieste complesse, con motivazione esplicita.
8. Reclamo all'Autorità di controllo
Hai diritto di proporre reclamo al Garante per la protezione dei dati personali italiano (Piazza Venezia 11, 00187 Roma — garanteprivacy.it) o all'autorità competente del tuo Stato membro UE di residenza, ai sensi dell'art. 77 GDPR.
9. Cookie e tecnologie simili
Konformia utilizza esclusivamente cookie tecnici essenziali:
access_token— JWT di sessione, HttpOnly, Secure, SameSite=Lax. Validità 24 ore. Necessario per mantenere autenticato l'utente. Non richiede consenso (Provv. Garante 10/06/2021).theme— preferenza tema chiaro/scuro. Solo localStorage del browser, non viaggia mai verso il server.
Non utilizziamo cookie di profilazione né cookie di terze parti pubblicitarie. Se in futuro attiveremo strumenti analytics li sceglieremo privacy-friendly e EU-resident (Plausible, Umami) e in ogni caso configurati senza raccolta di IP né browser fingerprint.
10. Decisioni automatizzate e profilazione
La classificazione del rischio AI Actgenerata dalla Piattaforma è un calcolo deterministico basato su un ruleset pubblico (36 regole derivate dall'Annex III dell'AI Act e dall'Allegato A della L. 132/2025). Non costituisce una decisione automatizzata ai sensi dell'art. 22 GDPR in quanto:
- riguarda un sistema AI registrato dall'utente, non una persona fisica;
- è uno strumento di supporto: la responsabilità della qualificazione finale resta del titolare del sistema AI;
- il risultato è ispezionabile, riproducibile e contestabile modificando le risposte del questionario.
Il Copilot RAGfornisce risposte testuali ricavate dal corpus normativo: non emette decisioni, non effettua scoring di profili e non viene utilizzato per valutazioni che producono effetti giuridici sull'utente.
11. Sicurezza
Adottiamo misure tecniche e organizzative adeguate al rischio (art. 32 GDPR): TLS 1.2+ in transito, hashing password con bcrypt (con prehash SHA-256 per superare il limite di 72 byte), audit log append-only con trigger PostgreSQL che respinge ogni UPDATE/DELETE, principio del minimo privilegio, separazione degli ambienti dev/staging/prod. La cifratura at-rest del volume del database e la cadenza dei backup sono configurate a livello di infrastruttura Hetzner. Le misure di dettaglio sono descritte nel documento Security Baseline disponibile a richiesta per i clienti enterprise.
In caso di violazione di dati personali notificheremo al Garante entro 72 ore (art. 33 GDPR) e — quando richiesto — agli interessati senza ingiustificato ritardo (art. 34 GDPR).
12. Minori
Konformia è uno strumento B2B rivolto a professionisti e organizzazioni. Non raccogliamo intenzionalmente dati di soggetti di età inferiore a 16 anni. Se rilevi un account riconducibile a un minore, segnalalo a [email protected] e provvederemo alla rimozione.
13. Modifiche all'informativa
Possiamo aggiornare questa informativa per adeguarla a modifiche normative o evoluzioni del servizio. Le modifiche sostanziali saranno notificate via email agli utenti registrati con almeno 14 giorni di anticipo. La data di ultimo aggiornamento è indicata in cima al documento; le versioni precedenti sono archiviate e disponibili su richiesta.
14. Contatto
Per ogni richiesta relativa al trattamento dei dati personali o all'esercizio dei diritti: [email protected].