Login Register

Informativa Privacy

Version: 1.2 Effective: 27/01/2026

Versione: 1.2
Ultimo aggiornamento: 27 gennaio 2026

Titolare del trattamento (per i trattamenti di competenza dell’Operatore): Paolo Valter Caroli (P. IVA 03809550134)
Indirizzo: Via Malpensata, 21 – 23900 Lecco (LC), Italia
Nome commerciale: AIsapiens
Contatti privacy: privacy@aisapiens.ai
Contatto legale: legal@aisapiens.ai
Contatto supporto/sicurezza: info@aisapiens.ai
DPO: info@aisapiens.ai

1. Scopo dell’informativa e ambito di applicazione

La presente Informativa Privacy descrive come AIsapiens tratta i dati personali quando:

  • navighi o usi i servizi web e l’applicazione AIsapiens (la “Piattaforma”);
  • crei e gestisci un account;
  • utilizzi funzionalità di elaborazione documentale, AI/LLM e gestione comunicazioni (email/WhatsApp/audio/upload);
  • acquisti crediti o effettui pagamenti tramite Stripe;
  • contatti supporto o assistenza.

Questa informativa non sostituisce eventuali accordi specifici per Clienti Business (es. DPA — Data Processing Agreement) che disciplinano il trattamento svolto per conto di un’Organizzazione.

2. Ruoli privacy: quando AIsapiens è Titolare e quando è Responsabile

2.1 Trattamenti in cui AIsapiens è Titolare

AIsapiens opera come Titolare del trattamento per i dati necessari a:

  • creare e gestire l’account (es. email, credenziali, log di accesso);
  • gestire sicurezza, prevenzione abusi, audit e monitoraggio della Piattaforma;
  • gestire pagamenti e fatturazione nei limiti dei dati ricevuti dai fornitori di pagamento;
  • rispondere a richieste di assistenza e inviare comunicazioni amministrative/operative;
  • adempiere obblighi di legge e difendere diritti.

In tali casi, i contatti e i diritti indicati in questa Informativa (Sezione 12) si applicano direttamente verso AIsapiens.

2.2 Trattamenti in cui AIsapiens è Responsabile (Clienti Business / Organizzazioni)

Quando un’Organizzazione utilizza la Piattaforma per trattare documenti e comunicazioni contenenti dati personali (es. fatture con nominativi, email di clienti/fornitori, messaggi WhatsApp), l’Organizzazione è normalmente Titolare e AIsapiens agisce come Responsabile, trattando i dati su istruzioni dell’Organizzazione e secondo il relativo DPA.

In tali casi, per esercitare i diritti privacy relativi ai contenuti e ai trattamenti “per conto”, l’interessato deve normalmente rivolgersi al Titolare (Organizzazione).

3. Categorie di dati personali trattati

Le categorie di dati variano in base alle funzionalità attivate e alle integrazioni configurate.

3.1 Dati di account e identificativi

  • indirizzo email (usato per autenticazione);
  • eventuale nome/ruolo (se inserito);
  • appartenenza a Organizzazioni e permessi/ruoli;
  • log di accesso e sicurezza (timestamp, eventi rilevanti, indirizzi IP, identificativi di sessione).

3.2 Contenuti caricati o importati (“Contenuti del Cliente”)

  • documenti caricati (PDF, immagini, scansioni, allegati), inclusi fatture e schede prodotto;
  • testi e prompt inseriti in chat/agent AI;
  • file audio e relative trascrizioni (se attivata la funzione);
  • contenuti derivati: testo estratto, campi strutturati, classificazioni, riepiloghi, output generati dall’AI.

Questi contenuti possono includere dati personali e, in taluni casi, dati particolari, a seconda di ciò che l’utente carica.

3.3 Dati da integrazioni di comunicazione

  • Email (IMAP): intestazioni, corpo messaggi, allegati e metadati, se l’utente/Organizzazione collega una casella tramite credenziali fornite dal Cliente;
  • WhatsApp: messaggi e allegati gestiti tramite integrazione con Meta, se attivata;
  • dati di classificazione e routing delle conversazioni;
  • eventuali risposte suggerite o inviate automaticamente (in base alla configurazione).

3.4 Dati di utilizzo, log e audit

  • log di sistema e audit (azioni utenti, eventi applicativi, errori);
  • log di utilizzo delle applicazioni e delle funzionalità (anche per misurare consumi/crediti);
  • log “run status”/processi (es. esiti di estrazione/OCR);
  • log di utilizzo API key (se presenti) e tentativi di verifica.

3.5 Dati di pagamento (tramite Stripe)

I pagamenti sono gestiti da Stripe. AIsapiens può ricevere metadati relativi a pagamenti (es. esito transazione, identificativi, stato abbonamento/crediti). I dettagli completi del metodo di pagamento (es. numero carta) sono trattati da Stripe.

3.6 Cookie e tecnologie simili

Per il funzionamento della Piattaforma possono essere usati cookie e/o storage locale (vedi Sezione 11).

4. Finalità del trattamento

AIsapiens tratta i dati per:

4.1 Erogazione dei Servizi

  • elaborazione documentale (OCR, estrazione, classificazione, analisi);
  • gestione e automazione delle comunicazioni (email/WhatsApp/audio/upload);
  • generazione di output AI (es. campi estratti, riepiloghi, risposte).

4.2 Gestione account e accessi

  • autenticazione, gestione sessioni, ruoli e permessi;
  • amministrazione di Organizzazioni e utenti.

4.3 Sicurezza e prevenzione abusi

  • protezione degli account, rate limiting, audit logging, investigazione di anomalie;
  • tutela dell’integrità della Piattaforma e dei dati.

4.4 Misurazione consumi, crediti e reportistica

  • conteggio e rendicontazione delle attività soggette a crediti;
  • export dati utente/organizzazione (XLSX, JSON, ZIP) e gestione del ciclo vita degli export.

4.5 Assistenza e comunicazioni operative

  • gestione richieste supporto e comunicazioni relative al servizio.

4.6 Obblighi di legge e tutela dei diritti

  • adempimenti normativi applicabili, gestione contestazioni e difesa in giudizio.

5. Base giuridica (GDPR, quando applicabile)

Quando AIsapiens opera come Titolare, le basi giuridiche tipiche includono:

  • Esecuzione di un contratto o misure precontrattuali (art. 6(1)(b) GDPR): creazione account, erogazione servizi acquistati, gestione crediti/piano.
  • Legittimo interesse (art. 6(1)(f) GDPR): sicurezza, prevenzione frodi/abusi, miglioramento affidabilità, difesa dei diritti.
  • Obbligo legale (art. 6(1)(c) GDPR): adempimenti applicabili.
  • Consenso (art. 6(1)(a) GDPR): ove richiesto (tipicamente per cookie non essenziali o specifiche comunicazioni).

Quando AIsapiens opera come Responsabile per un’Organizzazione, la base giuridica è determinata dal Titolare (Organizzazione).

6. Comunicazioni automatizzate e processi automatizzati

La Piattaforma può:

  • classificare comunicazioni;
  • suggerire o inviare risposte (es. ORA), in base alla configurazione dell’Organizzazione/Utente.

Tali elaborazioni sono strumenti di supporto operativo. L’Utente/Organizzazione è responsabile di configurare eventuali meccanismi di revisione umana e di verificare gli output prima dell’uso esterno, soprattutto quando possono produrre effetti significativi verso terzi.

7. Condivisione dei dati e destinatari

AIsapiens può condividere dati personali con:

7.1 Fornitori e servizi terzi (in base alle funzionalità attivate)

  • OpenAI: elaborazioni AI/LLM (testo, prompt, documenti/testi estratti, trascrizioni audio se abilitate).
  • Google Cloud Vision: OCR/estrazione testo da file.
  • Docling: OCR/estrazione testo da file.
  • Mistral: OCR/estrazione testo da file.
  • Meta (WhatsApp): gestione canale WhatsApp e consegna/ricezione messaggi.
  • Stripe: elaborazione pagamenti e gestione transazioni.
  • Inmotion: servizi di email delivery (es. invio comunicazioni di servizio).

7.2 Infrastruttura e hosting (UE)

La Piattaforma è ospitata in UE. In particolare, l’infrastruttura principale (applicazione, database, file storage e Qdrant) è ospitata in Germania presso Contabo. Contabo può trattare dati come fornitore infrastrutturale (es. memorizzazione su server, rete e logging di sistema a livello infrastrutturale).

7.3 Consulenti, obblighi legali e tutela diritti

Dati possono essere comunicati a consulenti (es. legali/contabili) e autorità competenti, ove necessario per legge o per difendere diritti.

8. Trasferimenti internazionali

AIsapiens ospita l’infrastruttura principale in UE (Germania). Tuttavia, l’uso di taluni fornitori terzi può comportare trattamenti e/o trasferimenti di dati personali verso Paesi extra SEE/UK/CH, in base alla loro architettura e alle funzionalità attivate.

8.1 Elaborazioni AI/LLM negli Stati Uniti (OpenAI)

Per le funzionalità AI/LLM fornite tramite OpenAI, le interrogazioni ai modelli LLM avvengono negli Stati Uniti. Di conseguenza, l’uso di tali funzionalità può comportare trasferimenti di dati personali verso gli USA (limitatamente ai dati inviati per la specifica elaborazione richiesta, quali prompt/testi e porzioni di contenuto necessarie alla funzione).

8.2 Garanzie per i trasferimenti (quando richieste)

Quando un trasferimento avviene verso un Paese extra SEE/UK/CH non coperto da decisione di adeguatezza, AIsapiens adotta garanzie appropriate ai sensi dell’art. 46 GDPR, tipicamente tramite:

  • Clausole Contrattuali Standard (SCC) adottate con Decisione (UE) 2021/914; e
  • misure supplementari ragionevoli e proporzionate (ad es. minimizzazione dei dati trasferiti, cifratura in transito, controlli di accesso, segregazione multi-tenant, logging/audit), quando richieste dal contesto.

Quando il destinatario del trasferimento rientra effettivamente nel perimetro di una decisione di adeguatezza applicabile (ad es. EU–US Data Privacy Framework), il trasferimento può basarsi su tale adeguatezza, nei limiti del perimetro applicabile.

Per i trattamenti svolti per conto di Clienti Business, la disciplina dei trasferimenti e delle salvaguardie è ulteriormente specificata nel relativo DPA.

9. Sicurezza delle informazioni

AIsapiens applica misure tecniche e organizzative ragionevoli, tra cui (in sintesi):

9.1 Crittografia in transito

  • cifratura del traffico tra client e Piattaforma tramite TLS (almeno TLS 1.2+);
  • cookie di sessione e CSRF impostati come “secure” in produzione.

9.2 Crittografia a riposo e protezione dati

  • Database: sono adottate misure di protezione a livello infrastrutturale e, per alcuni dati sensibili, è disponibile cifratura a livello applicativo (es. credenziali/chiavi tramite cifratura simmetrica).
  • File: i file caricati sono memorizzati su file system (percorsi segregati per organizzazione/utente). Attualmente non viene applicata cifratura file “a livello applicativo”; la protezione a riposo dipende dalle misure del sistema operativo e del provider infrastrutturale.

9.3 Controlli di accesso e logging

  • segregazione logica per Organizzazione e controlli di autorizzazione;
  • log e audit di eventi e azioni utenti;
  • protezioni contro abusi (es. limitazione tentativi di login).

Nessuna misura può garantire sicurezza assoluta; la sicurezza dipende anche dalla corretta gestione delle credenziali da parte degli utenti e/o dell’Organizzazione.

10. Conservazione dei dati (retention)

AIsapiens conserva i dati per il tempo necessario alle finalità indicate e secondo impostazioni e limiti tecnici. Principi e tempi principali:

10.1 Documenti

  • upload temporanei grezzi (file di lavorazione): circa 24 ore (finalità di processing);
  • dati derivati e contenuti elaborati: secondo configurazioni dell’Organizzazione e logiche applicative (in particolare per i moduli attivi).

10.2 Comunicazioni

  • conservazione predefinita delle comunicazioni: 365 giorni, con configurabilità a livello organizzazione (se abilitata).

10.3 Log e audit

  • log di sistema/audit: 90 giorni (configurabile a livello organizzazione);
  • usage log: tipicamente 365 giorni (con possibilità di retention estesa in funzione di esigenze di rendicontazione);
  • run status log: 7 giorni;
  • tentativi di verifica: 30 giorni.

10.4 Export dati

  • file di export (XLSX/JSON/ZIP) generati su richiesta: conservati per 10 giorni, poi eliminati automaticamente.

10.5 Cessazione del servizio / account

  • in caso di cessazione del rapporto o disattivazione dell’account, AIsapiens elimina o rende inaccessibili i dati operativi entro 90 giorni, salvo obblighi legali o necessità tecniche;
  • backup: possono persistere fino a 90 giorni prima di essere sovrascritti/eliminati.

11. Cookie e tecnologie simili

La Piattaforma può utilizzare:

  • cookie/tecnologie essenziali: necessari per autenticazione, sessione, sicurezza, preferenze minime;
  • eventuali cookie di terze parti connessi a pagamenti o servizi integrati (es. componenti di checkout/gestione pagamenti).

AIsapiens non utilizza, allo stato, fornitori di analytics/monitoring esterni come Sentry/Datadog. Se in futuro verranno introdotti cookie non essenziali (es. analytics/marketing), verrà richiesto consenso quando previsto dalla normativa applicabile.

12. Diritti dell’interessato

Se applichi il GDPR o normativa equivalente, puoi esercitare i diritti previsti (nei limiti e condizioni di legge), tra cui:

  • accesso ai dati;
  • rettifica;
  • cancellazione;
  • limitazione;
  • portabilità;
  • opposizione (quando applicabile);
  • reclamo all’autorità di controllo competente (in Italia: Garante per la protezione dei dati personali).

12.1 Come esercitare i diritti

  • Utenti di un’Organizzazione (Cliente Business): normalmente la richiesta va indirizzata al Titolare (Organizzazione); AIsapiens assisterà l’Organizzazione nei limiti del ruolo di Responsabile.
  • Utenti per cui AIsapiens è Titolare: puoi scrivere a privacy@aisapiens.ai.

AIsapiens può richiedere informazioni ragionevoli per verificare l’identità del richiedente e prevenire accessi non autorizzati.

13. Minori

I Servizi non sono destinati a minori. L’acquisto è previsto solo per soggetti di età pari o superiore a 18 anni.

14. Comunicazioni, email e WhatsApp: responsabilità del Cliente e basi di liceità

Per funzionalità che trattano comunicazioni (IMAP/WhatsApp/audio), l’Utente/Organizzazione dichiara di avere titolo e base giuridica per:

  • accedere e trattare contenuti di caselle email collegate tramite credenziali fornite dal Cliente;
  • trattare e automatizzare messaggi WhatsApp tramite Meta;
  • trattare audio e trascrizioni (incluso l’uso di servizi AI terzi per trascrizione, dove attivato);
  • configurare eventuali invii/risposte automatiche nel rispetto di normative e policy applicabili.

15. Modifiche all’informativa

AIsapiens può aggiornare questa Informativa Privacy per motivi legali, tecnici o evoluzione dei Servizi. In caso di modifiche materiali, AIsapiens fornirà comunicazione via email con preavviso ragionevole quando applicabile.

16. Contatti

Per domande o richieste privacy: privacy@aisapiens.ai
Per segnalazioni sicurezza: info@aisapiens.ai
Per comunicazioni legali: legal@aisapiens.ai