Informativa sulla privacy
Versione 1.0 · Ultimo aggiornamento: 14 maggio 2026
La presente traduzione è fornita a titolo di cortesia. La versione facente fede del presente contratto e la legge applicabile sono indicate nel documento; in caso di divergenza tra le versioni linguistiche, prevalgono i termini così come conclusi con l'operatore.
La presente informativa descrive le modalità con cui EU AI Comply tratta i dati personali degli utenti della piattaforma euaicomply.eu, in conformità con il Regolamento (UE) 2016/679 (GDPR) e la legislazione romena applicabile.
1. Identità del titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite la Piattaforma è PFA Marian Matinca, impresa individuale autorizzata registrata in Romania, operante con il marchio EU AI Comply. I pagamenti e la fatturazione sono gestiti da Paddle (Merchant of Record). Per qualsiasi questione relativa al trattamento dei vostri dati potete contattarci a:
- Email: [email protected]
- Contatto del titolare: [email protected]
- Sito web: euaicomply.eu
2. Categorie di dati personali raccolti
a) Dati forniti direttamente da voi:
- Dati identificativi: nome, cognome, indirizzo email professionale
- Dati organizzativi: denominazione dell'azienda, settore, paese, partita IVA (facoltativa)
- Dati di contatto: numero di telefono (facoltativo), persona di contatto
- Contenuti generati: messaggi inviati tramite il modulo di contatto
- Documenti caricati nel Document Vault (manuali tecnici, rapporti FRIA, DPIA ecc.) — possono contenere dati personali se l'utente sceglie di includerveli
b) Dati raccolti automaticamente:
- Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, risoluzione dello schermo
- Dati di navigazione: pagine visitate, durata della sessione, azioni compiute nella Piattaforma
- Cookie funzionali e di sessione (dettagli nella Cookie Policy)
- Log di accesso per finalità di sicurezza e diagnostica
EU AI Comply non raccoglie né tratta categorie particolari di dati personali ai sensi dell'Art. 9 GDPR (dati sanitari, origine razziale o etnica, opinioni politiche, convinzioni religiose, dati biometrici ecc.).
3. Finalità del trattamento e base giuridica
| Finalità | Descrizione | Base giuridica |
|---|---|---|
| Erogazione del servizio | Creazione e gestione dell'account, autenticazione, accesso alle funzionalità della Piattaforma. | Esecuzione del contratto (Art. 6(1)(b) GDPR) |
| Fatturazione e gestione degli abbonamenti | Trasmissione dei dati necessari al gestore dei pagamenti Paddle (Merchant of Record) per l'attivazione e il rinnovo dell'abbonamento. | Esecuzione del contratto (Art. 6(1)(b) GDPR) |
| Sicurezza e prevenzione delle frodi | Rilevamento degli accessi non autorizzati, monitoraggio delle attività sospette, protezione dei dati dei Clienti. | Legittimo interesse del titolare (Art. 6(1)(f) GDPR) |
| Assistenza tecnica | Risposta alle richieste di assistenza, diagnosi dei problemi tecnici. | Esecuzione del contratto / Legittimo interesse (Art. 6(1)(b)(f) GDPR) |
| Comunicazioni di prodotto | Notifiche su aggiornamenti legislativi, nuove funzionalità, scadenze di conformità. | Legittimo interesse (Art. 6(1)(f) GDPR) — con diritto di opposizione |
| Miglioramento della Piattaforma | Analisi anonimizzata dei comportamenti di utilizzo per lo sviluppo di nuove funzionalità. | Legittimo interesse (Art. 6(1)(f) GDPR) |
| Conformità legale | Adempimento degli obblighi di legge applicabili (fiscali, di archiviazione, risposta alle richieste delle autorità). | Obbligo legale (Art. 6(1)(c) GDPR) |
| Marketing (facoltativo) | Invio di newsletter o comunicazioni commerciali, esclusivamente con il vostro consenso esplicito. | Consenso (Art. 6(1)(a) GDPR) — revocabile in qualsiasi momento |
4. Destinatari e trasferimenti di dati
EU AI Comply non vende dati personali a terzi. I dati possono essere condivisi esclusivamente nelle seguenti situazioni:
| Destinatario | Ruolo | Ubicazione | Garanzie |
|---|---|---|---|
| Paddle.com Inc. / Paddle Payments Ltd. | Gestore dei pagamenti e Merchant of Record. Riceve i dati di fatturazione necessari all'attivazione dell'abbonamento. Paddle agisce come titolare autonomo del trattamento per i dati di pagamento. | USA / UE | Clausole contrattuali standard (SCC), conformità DPF |
| Fornitori di infrastruttura cloud (Hetzner) | Hosting su server nell'UE — database PostgreSQL, archiviazione file MinIO, Redis. | Germania (UE) | Art. 28 GDPR — accordo sul trattamento dei dati |
| Servizi di monitoraggio (Sentry) | Acquisizione degli errori tecnici a fini diagnostici. I dati vengono pseudonimizzati prima della trasmissione. | UE | Art. 28 GDPR — accordo sul trattamento dei dati |
| Autorità pubbliche | Ove richiesto da un obbligo di legge espresso o da un provvedimento giudiziario. | Romania / UE | Art. 6(1)(c) GDPR — obbligo legale |
I trasferimenti di dati al di fuori dello Spazio economico europeo (SEE) avvengono esclusivamente con garanzie adeguate ai sensi del Capo V del GDPR (Clausole contrattuali standard adottate dalla Commissione europea o EU-US Data Privacy Framework).
5. Periodo di conservazione dei dati
- Dati dell'account attivo Per la durata dell'abbonamento attivo + 30 giorni dopo la cessazione (finestra di esportazione)
- Dati dell'account dopo la cessazione Cancellati in modo irreversibile 30 giorni dopo la data di cessazione effettiva, ad eccezione dei dati richiesti da obblighi di legge
- Dati di fatturazione 10 anni dalla data del documento fiscale, ai sensi della Legge contabile romena n. 82/1991
- Log di sicurezza Massimo 12 mesi, dopo di che vengono anonimizzati o cancellati
- Messaggi di contatto / assistenza 3 anni dall'ultima interazione, per la documentazione del rapporto contrattuale
- Consensi marketing Per la durata del consenso attivo + 3 anni per la documentazione di conformità
- Dati anonimizzati (analisi di prodotto) Indefinito — non costituiscono più dati personali
6. I vostri diritti in qualità di interessati
In conformità con il GDPR, disponete dei seguenti diritti in relazione ai vostri dati personali:
-
Diritto di accesso (Art. 15)
Potete richiedere una copia dei dati personali che deteniamo su di voi, comprese informazioni sulle modalità con cui li trattiamo. -
Diritto di rettifica (Art. 16)
Potete richiedere la correzione dei dati inesatti o l'integrazione dei dati incompleti. -
Diritto alla cancellazione ("diritto all'oblio") (Art. 17)
Potete richiedere la cancellazione dei vostri dati qualora non sussista più una base giuridica per il loro trattamento. Questo diritto non si applica ai dati che siamo legalmente tenuti a conservare. -
Diritto di limitazione del trattamento (Art. 18)
Potete richiedere la sospensione temporanea del trattamento dei vostri dati nelle situazioni previste dal GDPR. -
Diritto alla portabilità dei dati (Art. 20)
Potete ricevere i dati che avete fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV, JSON), per il trasferimento a un altro titolare. -
Diritto di opposizione (Art. 21)
Potete opporvi al trattamento basato sul legittimo interesse del titolare, compreso l'utilizzo dei dati per il marketing diretto. -
Diritto di revoca del consenso (Art. 7(3))
Quando il trattamento si basa sul vostro consenso, potete revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente. -
Diritto di non essere sottoposti a processi decisionali automatizzati (Art. 22)
Non utilizziamo decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici significativi.
Per esercitare qualsiasi diritto, inviate una richiesta scritta a [email protected]. Rispondiamo entro un massimo di 30 giorni di calendario (termine prorogabile di 60 giorni nei casi complessi, previa comunicazione a voi). L'esercizio dei diritti è gratuito, salvo il caso di richieste manifestamente infondate o eccessive.
7. Ruolo di responsabile del trattamento per i clienti B2B
Quando i Clienti (persone giuridiche) utilizzano la Piattaforma e vi inseriscono dati personali dei propri dipendenti, collaboratori o delle persone interessate dai sistemi di IA ivi gestiti, EU AI Comply agisce come responsabile del trattamento ai sensi dell'Art. 28 GDPR e il Cliente è il titolare del trattamento.
In tale veste, EU AI Comply: (a) tratta i dati esclusivamente secondo le istruzioni documentate del Cliente; (b) adotta misure di sicurezza tecniche e organizzative adeguate; (c) non ricorre a sub-responsabili senza il consenso del Cliente; (d) assiste il Cliente nell'adempimento degli obblighi verso gli interessati; (e) cancella o restituisce i dati al termine dei servizi.
Un Accordo sul trattamento dei dati (DPA) conforme all'Art. 28 GDPR è disponibile su richiesta ([email protected]) oppure è incluso nel piano Enterprise. I Clienti che trattano dati personali tramite la Piattaforma sono tenuti a sottoscrivere un DPA con EU AI Comply.
8. Sicurezza dei dati
EU AI Comply adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione accidentale o divulgazione, tra cui:
- Crittografia in transito: TLS 1.3 per tutte le connessioni alla Piattaforma
- Crittografia a riposo: dati archiviati su server Hetzner in Germania (ISO 27001)
- Isolamento multi-tenant: isolamento rigoroso dei dati per azienda, applicato a livello applicativo — nessun tenant può accedere ai dati di un altro tenant
- Autenticazione a due fattori (TOTP) disponibile e raccomandata per tutti gli utenti
- Registrazione completa degli accessi e delle azioni (audit trail immutabile)
- Scansione antivirus dei file caricati (ClamAV)
- Accesso privilegiato del personale EU AI Comply: minimo necessario, secondo il principio need-to-know
- Test di sicurezza periodici e revisione delle configurazioni
In caso di incidente di sicurezza riguardante dati personali, EU AI Comply notifica l'Autorità nazionale di controllo per il trattamento dei dati personali (ANSPDCP) entro 72 ore dalla presa di conoscenza (Art. 33 GDPR) e informa gli interessati coinvolti in presenza di rischi elevati (Art. 34 GDPR).
9. Cookie e tecnologie simili
La Piattaforma utilizza cookie strettamente necessari al funzionamento (sessione, sicurezza CSRF, preferenze di lingua) e non utilizza cookie di tracciamento o pubblicitari. I dettagli completi sono disponibili nella Cookie Policy su euaicomply.eu/cookies.
10. Modifiche alla presente informativa
EU AI Comply può aggiornare la presente informativa per riflettere modifiche nelle pratiche di trattamento dei dati, nella legislazione applicabile o nella Piattaforma. La versione aggiornata sarà pubblicata su questa pagina con la data di revisione. In caso di modifiche significative, informeremo gli utenti registrati via email almeno 14 giorni prima della loro entrata in vigore. L'uso continuato della Piattaforma dopo la data di efficacia costituisce accettazione dell'informativa rivista.
11. Reclami e autorità di controllo
Se ritenete che il trattamento dei vostri dati personali violi il GDPR, avete il diritto di presentare un reclamo all'autorità di controllo competente. In Romania si tratta di:
Autorità nazionale di controllo per il trattamento dei dati personali (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
Potete inoltre rivolgervi all'autorità di controllo dello Stato membro dell'UE in cui risiedete abitualmente.
Vi invitiamo a contattarci prima direttamente a [email protected] — ci impegniamo a risolvere qualsiasi questione relativa al trattamento dei vostri dati entro 30 giorni.
Contatto per la protezione dei dati:
[email protected]
· Rispondiamo entro 30 giorni di calendario.