Informativa sul trattamento dei dati personali

1. Titolare del trattamento

Titolare del trattamento è CodeDesign S.r.l., con sede legale in Via Nino Pesce 38, 18018 Taggia (IM), P. IVA IT01739830089 (di seguito "CodeDesign" o "Fornitore").

Per qualsiasi richiesta relativa al trattamento dei dati personali e per l'esercizio dei diritti previsti dal GDPR è possibile scrivere a: info@codedesign.it.

2. Ruolo di CodeDesign e ambito dell'informativa

Nell'erogazione della piattaforma Evolus, CodeDesign opera con un duplice ruolo:

• a) in qualità di Titolare del trattamento, per i dati relativi alla creazione e gestione degli account, all'autenticazione, all'utilizzo della piattaforma, alla sicurezza, all'assistenza e all'adempimento di obblighi di legge;
• b) in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, per i dati personali che vengono trattati per conto del Cliente (l'organizzazione che ha sottoscritto l'abbonamento) attraverso l'Employee AI e le funzionalità della piattaforma. Tale trattamento è disciplinato da un'Autorizzazione al Trattamento dei Dati Personali (DPA) sottoscritta tra CodeDesign e il Cliente, che individua il Cliente quale Titolare di tali dati.

Per i dati trattati per conto del Cliente, l'informativa agli interessati e la raccolta delle eventuali basi giuridiche sono di competenza del Cliente. La presente informativa descrive principalmente i trattamenti per i quali CodeDesign agisce come Titolare e fornisce trasparenza sull'intera architettura di trattamento della piattaforma.

3. Categorie di dati personali trattati

In funzione delle funzionalità attivate, possono essere trattate le seguenti categorie di dati:

Dati di account e profilo

L'accesso al portale avviene tramite il sistema di identità Keycloak (identity.evolus.ai). Sono trattati: nome, cognome, nome utente, indirizzo email, ruolo/gruppi di appartenenza, lingua preferita ed eventuale immagine del profilo (avatar).

Dati di utilizzo e tecnici

Dati relativi all'utilizzo del Servizio, log tecnici, identificativi di sessione, dati di diagnostica e telemetria di funzionamento, registrazioni di audit trail delle attività compiute sulla piattaforma.

Contenuti immessi nella piattaforma

• contenuti di conversazioni e messaggi scambiati con l'Employee AI tramite chat web, messaggistica istantanea ed email;
• registrazioni e trascrizioni di conversazioni vocali, ove la funzionalità vocale sia attivata;
• documenti, file e contenuti caricati nella Knowledge Base per il recupero informazioni (RAG);
• dati anagrafici e di contatto presenti in rubrica (contatti verificati) e nei contenuti gestiti dall'Employee AI;
• configurazioni, istruzioni e automazioni definite dal Cliente.

I contenuti possono includere dati personali di terzi (dipendenti, collaboratori, clienti e contatti del Cliente). Il Cliente è responsabile della liceità del loro inserimento e del rilascio delle relative informative.

4. Cookie e tecnologie di memorizzazione locale

Il portale portal.evolus.ai non utilizza cookie di profilazione né strumenti di tracciamento pubblicitario. Per il proprio funzionamento utilizza esclusivamente tecnologie di memorizzazione locale (localStorage) del browser, indispensabili all'erogazione del Servizio:

• token di autenticazione e di refresh, necessari a mantenere la sessione di accesso;
• preferenze di interfaccia, quali il tema (chiaro/scuro) e la lingua selezionata;
• eventuali parametri tecnici di amministrazione (ad esempio per le funzioni di supporto).

Tali informazioni restano memorizzate nel browser dell'utente e non sono utilizzate per finalità di profilazione. Il portale non integra Google Analytics né altri tracker di terze parti. A fini di monitoraggio tecnico e di sicurezza dell'infrastruttura, il Fornitore può raccogliere dati di diagnostica aggregati lato server.

5. Finalità e basi giuridiche del trattamento

I dati sono trattati per le seguenti finalità e sulle seguenti basi giuridiche:

• a) erogazione della piattaforma Evolus e delle funzionalità di Employee AI, gestione dell'account e dell'autenticazione — base giuridica: esecuzione del contratto (art. 6.1.b GDPR);
• b) assistenza e supporto tecnico all'utente — base giuridica: esecuzione del contratto e legittimo interesse (art. 6.1.b e 6.1.f GDPR);
• c) sicurezza della piattaforma, prevenzione degli abusi e audit trail (Safety Engine) — base giuridica: legittimo interesse del Fornitore a garantire l'integrità e la sicurezza del Servizio (art. 6.1.f GDPR);
• d) adempimento di obblighi di legge, contabili e fiscali — base giuridica: obbligo legale (art. 6.1.c GDPR);
• e) accertamento, esercizio o difesa di un diritto in sede giudiziaria — base giuridica: legittimo interesse (art. 6.1.f GDPR).

I dati e i contenuti del Cliente non sono utilizzati da CodeDesign per finalità proprie, né per addestrare o migliorare modelli di intelligenza artificiale di terze parti, salvo espresso e separato consenso scritto del Cliente.

6. Modalità del trattamento e misure di sicurezza

Il trattamento è effettuato con strumenti automatizzati e, ove necessario, con interventi manuali autorizzati. CodeDesign adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

• controllo degli accessi: accesso ai dati limitato al personale autorizzato, con meccanismi di autenticazione forte e profilatura dei ruoli;
• cifratura: dati in transito protetti con TLS 1.3; dati a riposo cifrati con AES-256;
• infrastruttura: hosting su datacenter certificati situati nell'Unione Europea;
• audit trail: registrazione e monitoraggio degli accessi ai dati;
• Safety Engine: sistema di protezione da prompt injection, data leakage e uso improprio degli strumenti AI;
• business continuity: backup giornalieri, disaster recovery con RTO < 24 ore e RPO < 1 ora;
• penetration test periodici eseguiti da soggetti terzi indipendenti;
• formazione del personale in materia di protezione dei dati e sicurezza informatica.

7. Intelligenza artificiale e fornitori di modelli

Per erogare le funzionalità conversazionali, di sintesi e di automazione, la piattaforma trasmette i contenuti necessari a fornitori di modelli di intelligenza artificiale e di servizi vocali (sub-responsabili indicati alla sezione 8).

L'Employee AI è uno strumento di supporto e automazione: può generare output imprecisi o incompleti ("allucinazioni"). Gli output non sostituiscono il giudizio umano e devono essere verificati prima di farvi affidamento per decisioni rilevanti. I contenuti trasmessi ai fornitori AI non sono utilizzati per l'addestramento dei loro modelli, salvo espresso e separato consenso scritto del Cliente.

8. Destinatari e sub-responsabili del trattamento

I dati possono essere comunicati a fornitori esterni nominati responsabili o sub-responsabili del trattamento, selezionati tra soggetti che offrono garanzie adeguate in materia di protezione dei dati e vincolati da contratto con obblighi equivalenti a quelli assunti da CodeDesign. I sub-responsabili attualmente utilizzati appartengono alle seguenti categorie:

• infrastruttura cloud, hosting e storage: Hetzner Online GmbH e Microsoft (Microsoft Azure), su datacenter situati nell'Unione Europea;
• servizi AI / modelli linguistici (LLM): Anthropic PBC, OpenAI Global LLC, OpenRouter Inc. e Google LLC;
• servizi di trascrizione vocale (speech-to-text): Deepgram Inc.;
• servizi di sintesi vocale e agenti vocali: ElevenLabs Ltd;
• integrazioni di produttività attivate e autorizzate dal Cliente: Microsoft 365 / Microsoft Graph (posta, calendario, Teams, file), Google Workspace e Meta (WhatsApp Business), limitatamente ai dati strettamente necessari alla funzionalità attivata.

L'elenco completo e aggiornato dei sub-responsabili è disponibile su richiesta. CodeDesign comunica con congruo preavviso eventuali modifiche dei sub-responsabili. I dati non sono oggetto di diffusione né di vendita a terzi.

9. Trasferimento di dati verso Paesi terzi

CodeDesign si impegna a mantenere i dati personali all'interno dello Spazio Economico Europeo (SEE). Qualora l'erogazione del Servizio richieda un trasferimento verso Paesi terzi — ad esempio verso fornitori di servizi AI con sede al di fuori dell'UE — tale trasferimento avviene esclusivamente:

• a) verso Paesi per i quali la Commissione Europea ha adottato una decisione di adeguatezza (art. 45 GDPR); oppure
• b) in presenza di garanzie adeguate ai sensi dell'art. 46 GDPR, quali le Clausole Contrattuali Tipo (Standard Contractual Clauses); oppure
• c) in forza di una delle deroghe previste dall'art. 49 GDPR.

10. Periodo di conservazione

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono trattati e, in ogni caso:

• i dati di account e i contenuti del Cliente sono conservati per la durata del rapporto contrattuale; alla cessazione, su scelta del Cliente, sono restituiti o cancellati in modo sicuro entro 60 giorni, salvo obblighi di conservazione di legge;
• i file di audit temporanei sono conservati per un periodo limitato (a titolo esemplificativo 24 ore) e quindi eliminati automaticamente;
• i dati delle conversazioni possono essere eliminati dall'utente direttamente dalla piattaforma; per i canali esterni si applicano le finestre temporali tecniche previste dal canale (a titolo esemplificativo 24 ore per la finestra di conversazione WhatsApp);
• i dati trattati per obblighi contabili e fiscali sono conservati per i termini previsti dalla normativa applicabile.

11. Diritti dell'interessato

Gli interessati possono esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR, e in particolare:

• accesso ai propri dati personali;
• rettifica dei dati inesatti e integrazione dei dati incompleti;
• cancellazione dei dati (diritto all'oblio);
• limitazione del trattamento;
• portabilità dei dati;
• opposizione al trattamento fondato sul legittimo interesse;
• revoca del consenso, ove il trattamento sia basato sul consenso, senza pregiudizio per la liceità del trattamento effettuato prima della revoca.

Le richieste possono essere inoltrate a info@codedesign.it; CodeDesign risponde entro un mese dalla richiesta. Qualora l'interessato sia un dipendente, collaboratore o contatto del Cliente e i dati siano trattati da CodeDesign per conto del Cliente, la richiesta sarà inoltrata al Cliente, in qualità di Titolare, senza ingiustificato ritardo.

L'interessato ha inoltre il diritto di proporre reclamo all'Autorità di controllo competente (in Italia, il Garante per la Protezione dei Dati Personali — www.garanteprivacy.it).

12. Modifiche dell'informativa

CodeDesign si riserva il diritto di aggiornare la presente informativa per riflettere modifiche normative, tecniche o organizzative. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento. Si invita a consultare periodicamente la pagina.