Privacy Policy

Titolare del trattamento: Gitogi Srl, Piazza IV Novembre 4, 20124 Milano — P.IVA 14288420962

Contatto del Titolare del trattamento: privacy@gitogi.com | PEC: pec@pec.gitogi.com

Ai sensi dell'Art. 37, par. 1, GDPR, la designazione del Responsabile della protezione dei dati (DPO) non è obbligatoria per Gitogi Srl, in quanto la società non effettua trattamenti su larga scala di categorie particolari di dati né monitoraggio sistematico degli interessati. Il Titolare è direttamente raggiungibile ai recapiti sopra indicati per qualsiasi richiesta relativa alla privacy.

1. Dati raccolti

Raccogliamo i dati personali che ci fornisci volontariamente attraverso i form di contatto, l'assessment AI Readiness, l'iscrizione alla newsletter, il download di risorse e l'interazione con il chatbot AI. I dati possono includere: nome, cognome, email, nome dell'azienda, ruolo, professione, dimensione dello studio.

2. Finalità del trattamento

I tuoi dati vengono trattati per le seguenti finalità:

3. Profilazione automatizzata e lead scoring

Utilizziamo un sistema di punteggio automatizzato (lead scoring) per classificare i contatti in base al loro livello di interesse, ai sensi dell'Art. 22 GDPR.

Il sistema è rule-based (non machine learning) e si basa esclusivamente su segnali comportamentali: tipo di email, professione dichiarata, dimensione dello studio, assessment completato, guide scaricate, iscrizione newsletter.

Non utilizziamo dati sensibili (Art. 9 GDPR) nel calcolo del punteggio.

Hai diritto a:

• Conoscere il punteggio che ti è stato assegnato
• Richiedere una spiegazione dei criteri utilizzati
• Contestare il punteggio e ottenere una revisione umana
• Opporti alla profilazione automatizzata (Art. 21 GDPR)

Per maggiori dettagli, consulta la pagina Trasparenza AI.

4. Chatbot AI

Il chatbot presente sul sito è un sistema di intelligenza artificiale generativa basato su Large Language Models (LLM) di terze parti, con Anthropic come provider primario e OpenAI come fallback.

• I messaggi della conversazione vengono inviati ai provider AI per generare le risposte
• Le conversazioni vengono salvate in Supabase Postgres e pianificate per la cancellazione dopo 90 giorni tramite il job retention-cleanup
• Non è necessario fornire dati personali per utilizzare il chatbot
• Se fornisci volontariamente dati personali nella conversazione, questi vengono trattati come sopra indicato
• I messaggi vengono analizzati automaticamente per estrarre eventuali dati di contatto forniti volontariamente (email, numero di telefono) al fine di associare la conversazione al profilo lead per finalità di follow-up commerciale

5. Conservazione dei dati

I dati vengono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, come indicato nella tabella alla sezione 2. Dove configurati, i job di cleanup applicano le finestre di retention descritte sotto. Per processori terzi e sistemi fuori piattaforma, la cancellazione può richiedere follow-up operativo secondo il workflow del fornitore.

6. Privacy by Design (Art. 25 GDPR)

• Minimizzazione dei dati: raccogliamo solo i dati personali strettamente necessari per ciascuna finalità
• Pseudonimizzazione: i log di audit AI registrano riepiloghi anonimi degli input (nessun identificativo personale)
• Cifratura in transito (TLS 1.3) e a riposo (AES-256-GCM per le chiavi API archiviate)
• Controlli di accesso basati sul principio del minimo privilegio per tutti gli archivi dati
• I job di cleanup sono implementati per più categorie, ma la loro esecuzione dipende dallo scheduler esterno configurato e non sostituisce i workflow di cancellazione presso i processori terzi
• Gestione granulare del consenso: opt-in separato per ciascuna finalità di trattamento
• Consent Mode v2: le tecnologie di analytics e marketing si attivano solo dopo il consenso esplicito dell'utente

7. Sub-responsabili del trattamento

I seguenti fornitori operano come responsabili del trattamento ai sensi dell'Art. 28 GDPR:

Località e garanzie sotto riportate riflettono le scelte di deployment configurate e i termini contrattuali in vigore con ciascun fornitore. Quando il trattamento avviene fuori dall'UE, il meccanismo di trasferimento specifico è indicato nella tabella e dettagliato alla sezione 8.

Non vendiamo né condividiamo i tuoi dati con terze parti per finalità di marketing.

8. Trasferimenti extra-UE

Alcuni dei nostri sub-responsabili hanno sede negli USA. Per ciascun fornitore statunitense, il meccanismo di trasferimento applicabile è il seguente:

• Anthropic PBC — EU-US Data Privacy Framework (DPF); Clausole Contrattuali Standard (SCCs) come garanzia supplementare
• OpenAI Inc. — EU-US Data Privacy Framework (DPF); Clausole Contrattuali Standard (SCCs) come garanzia supplementare
• Stripe Inc. — EU-US Data Privacy Framework (DPF); Clausole Contrattuali Standard (SCCs) come garanzia supplementare
• Google LLC — EU-US Data Privacy Framework (DPF); Clausole Contrattuali Standard (SCCs) come garanzia supplementare
• Resend Inc. — EU-US Data Privacy Framework (DPF)
• Sentry (Functional Software) — EU-US Data Privacy Framework (DPF)

Supabase, Upstash e PostHog trattano i dati esclusivamente all'interno dell'Unione Europea (Francoforte, DE) in base alle regioni di deployment da noi configurate.

Qualora la decisione di adeguatezza relativa al EU-US Data Privacy Framework venisse invalidata, i trasferimenti proseguiranno sulla base delle Clausole Contrattuali Standard già in essere con ciascun fornitore che le ha adottate, integrate ove necessario da misure tecniche supplementari.

9. I tuoi diritti (Art. 15-22 GDPR)

Hai diritto a:

• Accesso (Art. 15): ottenere copia dei tuoi dati personali
• Rettifica (Art. 16): correggere dati inesatti
• Cancellazione (Art. 17): richiedere l'eliminazione dei tuoi dati. Le richieste vengono gestite tramite i flussi self-service disponibili nel prodotto e, quando necessario, tramite follow-up operativo con i processori esterni secondo il loro workflow applicabile.
• Limitazione (Art. 18): limitare il trattamento
• Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato (JSON/CSV)
• Opposizione (Art. 21): opporti al trattamento basato su legittimo interesse
• Revoca del consenso (Art. 7.3): revocare il consenso in qualsiasi momento
• Revisione umana (Art. 22): richiedere una revisione umana delle decisioni automatizzate

Puoi esercitare i tuoi diritti:

• Tramite la pagina I tuoi dati (export e cancellazione self-service)
• Scrivendo a privacy@gitogi.com
• Tramite PEC a pec@pec.gitogi.com

Hai inoltre il diritto di presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

10. Cookie

Per la nostra policy sui cookie, consulta la Cookie Policy.

11. Intelligenza artificiale

Per informazioni dettagliate sull'uso dell'intelligenza artificiale su questo sito, consulta la pagina Trasparenza AI , progettata per supportare gli obblighi di trasparenza del Regolamento UE 2024/1689 (AI Act).

12. Trattamento in qualità di Responsabile — Piattaforma Aegis

Quando un'organizzazione cliente ("Titolare") utilizza la piattaforma Aegis (aegis.gitogi.com), Gitogi Srl agisce in qualità di Responsabile del trattamento ai sensi dell'Art. 28 GDPR con riferimento ai dati personali che il Titolare carica o genera all'interno della piattaforma.

In tale veste:

• L'ambito, le finalità e i mezzi del trattamento sono determinati esclusivamente dal Titolare
• Gitogi tratta tali dati unicamente sulla base delle istruzioni documentate del Titolare
• Il rapporto è regolato da un Accordo per il Trattamento dei Dati (DPA), disponibile alla pagina /dpa/
• L'elenco aggiornato dei sub-responsabili impiegati nelle operazioni Aegis è pubblicato alla pagina /sub-processori/
• Le misure di sicurezza tecniche e organizzative applicate ad Aegis sono descritte alla pagina /misure-sicurezza/

13. Trattamento nell'ambito di incarichi di consulenza

Nell'ambito degli incarichi di consulenza e assistenza (AI governance, conformità AI Act, metodologia AIRA), Gitogi Srl può trattare dati personali comunicati dal cliente. La base giuridica dipende dall'incarico:

• Art. 6, par. 1, lett. b) GDPR — esecuzione del contratto di consulenza
• Art. 28 GDPR — qualora Gitogi agisca come Responsabile per conto del cliente, sulla base di un DPA dedicato (/dpa/)

Utilizzo di strumenti AI nelle attività di consulenza. Per l'esecuzione dell'incarico, Gitogi può avvalersi di strumenti di intelligenza artificiale — tra cui, a titolo esemplificativo, Anthropic Claude, OpenAI ChatGPT e Google Gemini — per analizzare documenti, generare bozze o accelerare attività di ricerca. Si applicano le seguenti garanzie:

• Tutti gli strumenti AI sono configurati con opt-out dall'addestramento attivato: i dati del cliente non vengono utilizzati per addestrare modelli di terze parti
• Minimizzazione dei dati: solo i dati strettamente necessari per la specifica attività analitica vengono trasmessi allo strumento AI
• Ove possibile, i dati vengono pseudonimizzati o anonimizzati prima della trasmissione
• Gli output generati dall'AI vengono sempre verificati da un professionista qualificato prima della consegna al cliente
• Gli strumenti AI specifici e le finalità di trattamento sono documentati nell'allegato al DPA per ciascun incarico

14. Riferimenti incrociati ai documenti legali

• Accordo per il Trattamento dei Dati (DPA) — condizioni di trattamento ex Art. 28 GDPR per clienti Aegis e consulenza
• Elenco sub-responsabili — registro aggiornato dei sub-responsabili e procedura di notifica modifiche
• Misure di sicurezza — misure tecniche e organizzative ai sensi dell'Art. 32 GDPR
• Cookie Policy
• Trasparenza AI — informativa AI Act (Reg. UE 2024/1689)
• Termini di servizio

15. Lingua

La presente Informativa sulla Privacy è disponibile in italiano e in inglese. In caso di discrepanza tra la versione italiana e quella inglese, prevale la versione italiana.

Ultimo aggiornamento: 12 aprile 2026