Privacy Policy

Piattaforma SegreteriaZen

Ultimo aggiornamento: 1 dicembre 2024

Premessa

La presente Privacy Policy descrive le modalità di trattamento dei dati personali degli utenti (di seguito "Utenti" o "Professionisti") che si registrano e utilizzano la piattaforma SegreteriaZen (di seguito "Piattaforma" o "Servizio").

La Piattaforma fornisce ai professionisti (commercialisti, consulenti del lavoro e altri professionisti) un servizio di segreteria virtuale basato su intelligenza artificiale, accessibile tramite WhatsApp Business API, integrato con sistemi di gestione agenda e knowledge base personalizzata.

La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, del Regolamento (UE) 2024/1689 (AI Act) e della Legge 132/2025 sull'intelligenza artificiale.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali degli Utenti della Piattaforma è:

2. Ruoli nel Trattamento dei Dati

2.1 Struttura dei ruoli

La Piattaforma opera secondo un modello B2B2C multi-tenant che prevede la seguente struttura di ruoli ai sensi del GDPR:

• Il Provider della Piattaforma (HPR DIGITAL MEDICINE S.R.L.) agisce come Titolare del trattamento per i dati degli Utenti registrati (Professionisti) e come Responsabile del trattamento (ex art. 28 GDPR) per i dati dei clienti finali dei Professionisti.
• Il Professionista (commercialista o altro professionista) che utilizza la Piattaforma agisce come Titolare autonomo del trattamento per i dati personali dei propri clienti che interagiscono tramite il servizio WhatsApp.

2.2 Data Processing Agreement

I rapporti tra il Provider e i Professionisti sono regolati da un Data Processing Agreement (DPA) conforme all'art. 28 GDPR, che definisce: oggetto e durata del trattamento, tipologie di dati trattati, categorie di interessati, obblighi di riservatezza, misure di sicurezza, condizioni per l'utilizzo di sub-responsabili, procedure per l'esercizio dei diritti degli interessati e gestione dei data breach.

3. Categorie di Dati Personali Trattati

3.1 Dati degli Utenti (Professionisti)

Trattiamo le seguenti categorie di dati:

• Dati identificativi e di contatto: nome, cognome, indirizzo email, numero di telefono, indirizzo dello studio professionale, codice fiscale, partita IVA.
• Dati professionali: ordine professionale di appartenenza, numero di iscrizione, specializzazioni.
• Dati di accesso: credenziali di autenticazione (password criptata), log di accesso, indirizzi IP.
• Dati di configurazione: preferenze dell'assistente virtuale, knowledge base personalizzata, configurazione agenda.
• Dati di pagamento: informazioni per la fatturazione e i pagamenti del servizio.
• Token OAuth: token di accesso per integrazioni con servizi terzi (Google Calendar) conservati in modo sicuro tramite Supabase Vault.

3.2 Dati dei clienti finali (trattati per conto del Professionista)

In qualità di Responsabile del trattamento per conto dei Professionisti, trattiamo:

• Numero di telefono WhatsApp e nome profilo
• Contenuto delle conversazioni con l'assistente virtuale AI
• Appuntamenti e relative informazioni
• Metadati delle comunicazioni (timestamp, stato consegna messaggi)

4. Finalità e Basi Giuridiche del Trattamento

4.1 Per i dati degli Utenti (Professionisti)

Esecuzione del contratto (art. 6.1.b GDPR)

Registrazione e gestione dell'account, erogazione del servizio di segreteria virtuale AI, gestione delle integrazioni (WhatsApp, Google Calendar), assistenza tecnica e supporto.

Adempimento di obblighi legali (art. 6.1.c GDPR)

Adempimenti fiscali e contabili, conservazione documentale obbligatoria, risposta a richieste delle autorità competenti.

Legittimo interesse (art. 6.1.f GDPR)

Prevenzione frodi e sicurezza della Piattaforma, miglioramento del servizio attraverso analisi aggregate e anonimizzate, tutela dei diritti in sede giudiziaria.

Consenso (art. 6.1.a GDPR)

Invio di comunicazioni commerciali relative a nuove funzionalità o servizi (newsletter), partecipazione a sondaggi o ricerche di mercato. Il consenso può essere revocato in qualsiasi momento.

4.2 Per i dati dei clienti finali

Il trattamento dei dati dei clienti finali avviene esclusivamente per conto e su istruzioni documentate del Professionista (Titolare), per le finalità da questi determinate nell'ambito dell'erogazione dei propri servizi professionali.

5. Utilizzo di Intelligenza Artificiale

5.1 Informativa AI Act

L'assistente virtuale è basato su tecnologia Google Vertex AI / Gemini e viene classificato come sistema AI a rischio limitato. Gli utenti finali che interagiscono via WhatsApp vengono informati esplicitamente, al primo contatto, che stanno comunicando con un sistema di intelligenza artificiale.

5.2 Funzionalità AI

Il sistema AI svolge le seguenti funzioni:

• Risposta automatica a domande frequenti basate sulla knowledge base del Professionista
• Gestione appuntamenti e interazione con Google Calendar
• Raccolta di informazioni preliminari per le richieste dei clienti
• Instradamento delle richieste complesse verso il Professionista

5.3 Supervisione umana

Ai sensi dell'art. 16 della Legge 132/2025, l'intelligenza artificiale costituisce uno strumento di supporto e non sostituisce il giudizio e la responsabilità del Professionista. È sempre garantita la possibilità di escalation a un operatore umano e il Professionista mantiene piena supervisione sulle interazioni significative.

5.4 Decisioni automatizzate

Il sistema AI non adotta decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o incidano significativamente sugli interessati ai sensi dell'art. 22 GDPR. Le attività svolte (gestione appuntamenti, risposte informative) non costituiscono decisioni automatizzate rilevanti ai fini del GDPR.

6. Destinatari dei Dati

6.1 Categorie di destinatari

I dati personali possono essere comunicati a:

• Personale autorizzato: dipendenti e collaboratori del Titolare, debitamente istruiti e vincolati alla riservatezza.
• Fornitori di servizi IT: soggetti che forniscono servizi tecnici per il funzionamento della Piattaforma, nominati Responsabili del trattamento.
• Autorità competenti: quando richiesto dalla legge o per tutelare i diritti del Titolare.

6.2 Sub-responsabili del trattamento

Per l'erogazione del Servizio ci avvaliamo dei seguenti sub-responsabili:

• Meta Platforms Ireland Ltd / WhatsApp Ireland Ltd (Irlanda/USA) - Servizio di messaggistica WhatsApp Business API
• Google Ireland Ltd / Google LLC (Irlanda/USA) - Servizi Vertex AI e Google Calendar
• Supabase Inc (USA/EU) - Database e infrastruttura cloud (configurato su region EU)

L'elenco aggiornato dei sub-responsabili è disponibile su richiesta. Eventuali modifiche saranno comunicate con almeno 30 giorni di preavviso, con diritto di opposizione.

7. Trasferimento dei Dati verso Paesi Terzi

Alcuni dei nostri sub-responsabili hanno sede negli Stati Uniti. I trasferimenti di dati verso gli USA avvengono sulla base delle seguenti garanzie:

• EU-US Data Privacy Framework: Meta Platforms Inc, WhatsApp LLC e Google LLC sono certificati ai sensi del DPF, come da decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
• Standard Contractual Clauses: Per i sub-responsabili non certificati DPF (es. Supabase), sono in vigore le Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione 2021/915.

Il database Supabase è configurato su region EU per minimizzare i trasferimenti di dati verso paesi terzi.

8. Periodo di Conservazione

I dati personali sono conservati per i seguenti periodi:

• Dati dell'account: per tutta la durata del rapporto contrattuale e per i successivi 10 anni per obblighi fiscali e legali.
• Conversazioni WhatsApp: conservate secondo le policy definite dal Professionista (Titolare), con periodo massimo di 24 mesi salvo diverse esigenze documentate.
• Log di accesso e sicurezza: 12 mesi per finalità di sicurezza informatica.
• Dati di fatturazione: 10 anni dalla data dell'operazione.
• Consensi marketing: fino alla revoca del consenso e per i successivi 2 anni a fini probatori.

9. Diritti degli Interessati

Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di:

• Accesso (art. 15): ottenere conferma del trattamento e copia dei dati personali.
• Rettifica (art. 16): correggere dati inesatti o integrare dati incompleti.
• Cancellazione (art. 17): ottenere la cancellazione dei dati, nei limiti previsti dalla legge.
• Limitazione (art. 18): limitare il trattamento in determinate circostanze.
• Portabilità (art. 20): ricevere i dati in formato strutturato e trasferirli ad altro titolare.
• Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse.
• Revoca del consenso (art. 7): revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.

10. Diritto di Reclamo

L'interessato ha diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:

11. Misure di Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

• Isolamento multi-tenant: Row Level Security (RLS) in Supabase per garantire la separazione completa dei dati tra i diversi Professionisti.
• Crittografia: cifratura dei dati at rest (AES-256) e in transit (TLS 1.2+).
• Controllo accessi: autenticazione a più fattori (MFA), Role-Based Access Control (RBAC), principio del minimo privilegio.
• Gestione sicura dei segreti: conservazione dei token OAuth tramite Supabase Vault con crittografia dedicata.
• Audit logging: registrazione di tutti gli accessi ai dati personali con retention di 12 mesi.
• Procedure di incident response: piano strutturato per la gestione dei data breach con notifica entro 72 ore.

12. Valutazione d'Impatto (DPIA)

Il Titolare ha effettuato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 GDPR, considerando l'utilizzo di nuove tecnologie (AI), il trattamento potenzialmente su larga scala e i trasferimenti verso paesi terzi. La DPIA è disponibile su richiesta per le autorità di controllo.

13. Cookie e Tecnologie Simili

Il sito web della Piattaforma utilizza cookie tecnici necessari al funzionamento e, previo consenso, cookie analitici per migliorare l'esperienza utente. Per informazioni dettagliate si rimanda alla Cookie Policy disponibile sul sito.

14. Modifiche alla Privacy Policy

Il Titolare si riserva di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche saranno comunicate tramite email e/o pubblicazione sul sito web della Piattaforma. La data dell'ultimo aggiornamento è indicata in cima al documento. L'utilizzo continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.

15. Contatti

Per qualsiasi domanda relativa alla presente Privacy Policy o al trattamento dei dati personali: