La presente informativa descrive le modalità di trattamento dei dati personali degli Utenti che utilizzano il sito dallamaga.com ("il Servizio"), ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018. Il Servizio è offerto su base anonima: non è previsto alcun account utente, alcuna registrazione, alcuna profilazione.
A tutela della riservatezza del titolare, il nome e cognome completi e l'indirizzo completo della sede sono sempre disponibili su richiesta, scrivendo all'indirizzo email [email protected]. La richiesta riceve riscontro tempestivo.
Il Servizio è progettato per minimizzare la raccolta di dati personali (principio di data minimisation ex art. 5, par. 1, lett. c) GDPR). Vengono trattate esclusivamente le seguenti categorie:
Indirizzo IP, user-agent del browser, tipo e versione del sistema operativo, lingua impostata, timestamp di accesso, pagine visitate, riferimento (HTTP referer). Questi dati sono raccolti automaticamente dai sistemi informatici per il corretto funzionamento del Servizio, per finalità statistiche aggregate e di sicurezza (rilevazione abusi, anti-frode, anti-bot).
Identificativo tecnico della sessione (token effimero memorizzato lato client), Sibilla selezionata, modalità di interazione (voce/testo), timestamp di inizio e fine sessione, durata residua del credito acquistato.
Testo digitato dall'Utente, trascrizione vocale (in modalità voce), risposte generate dall'intelligenza artificiale, carte simboliche estratte. Tali contenuti sono processati in tempo reale ed elaborati esclusivamente per il tempo strettamente necessario alla generazione della risposta. Per il dettaglio sui tempi di conservazione si veda la sezione 03.
In modalità vocale, l'avvio della sessione richiede l'autorizzazione del browser all'accesso al microfono. Lo stream audio catturato è trasmesso in tempo reale, in forma cifrata, ai fornitori di intelligenza artificiale per la sola finalità di speech-to-text (trascrizione automatica in tempo reale) e text-to-speech (sintesi della risposta vocale).
La voce dell'Utente è trattata esclusivamente per le finalità sopra indicate e non è utilizzata per identificare univocamente l'Utente: di conseguenza, ai sensi dell'art. 4, n. 14 GDPR e delle Linee guida EDPB 3/2019, non costituisce dato biometrico e non rientra nelle categorie particolari di dati ex art. 9 GDPR. Lo stream audio non è registrato, conservato, archiviato o utilizzato per addestrare modelli vocali, né per finalità di profilazione.
Per ragioni intrinseche al funzionamento del microfono, lo stream può catturare rumori di sfondo, voci di terzi presenti, suonerie o contenuti audio di altri dispositivi. Tali contenuti, ove involontariamente captati, sono trattati con la stessa logica di effimeralità prevista per la voce dell'Utente. La responsabilità della loro liceità (consenso dei terzi presenti) ricade in via esclusiva sull'Utente, ai sensi dei Termini di Servizio.
Email di fatturazione (facoltativa, indicata in fase di acquisto del pacchetto), pacchetto acquistato, importo, identificativo della transazione Stripe, esito del pagamento. I dati della carta di credito non transitano dai server del titolare: sono raccolti, custoditi ed elaborati direttamente da Stripe Payments Europe Limited in qualità di titolare autonomo del trattamento.
In caso di richiesta di fattura elettronica: denominazione o nome e cognome, codice fiscale e/o partita IVA, codice destinatario o PEC, indirizzo di fatturazione.
Email inviate dall'Utente all'indirizzo [email protected]: contenuto del messaggio, eventuali allegati, indirizzo email del mittente.
Dati che il titolare NON raccoglie e NON desidera ricevere. Il Servizio non richiede e non desidera ricevere categorie particolari di dati ai sensi dell'art. 9 GDPR (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale) né dati relativi a condanne penali o reati (art. 10 GDPR). L'Utente è invitato a non condividere tali informazioni durante le sessioni; in ogni caso, la natura effimera del trattamento (vedi sezione 03) garantisce la rapida cessazione di qualsiasi contatto del titolare con tali dati.
I dati raccolti sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 GDPR:
Il conferimento dei dati strettamente necessari all'erogazione del Servizio è obbligatorio: il rifiuto comporta l'impossibilità di utilizzare il Servizio. Il conferimento dei dati relativi alla fatturazione elettronica è facoltativo, salvo richiesta espressa dell'Utente.
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono raccolti, secondo i seguenti tempi massimi:
Decorsi tali termini, i dati sono cancellati o resi anonimi in modo irreversibile.
Il Servizio è progettato secondo il principio della privacy by design (art. 25 GDPR), in modo da minimizzare strutturalmente la conservazione del contenuto delle conversazioni:
Tale architettura comporta una conseguenza importante per l'Utente: non è possibile recuperare il contenuto di una sessione passata. Si invita l'Utente che desideri conservare traccia della propria sessione a salvarne autonomamente copia durante lo svolgimento (screenshot o trascrizione manuale), nel rispetto delle previsioni di cui all'art. 9 dei Termini di Servizio sulla proprietà intellettuale dei contenuti generati.
Questa scelta progettuale è motivata dal fatto che le conversazioni con le Sibille possono toccare argomenti personali e intimi: la non-conservazione strutturale garantisce all'Utente la massima riservatezza possibile, ben oltre quanto strettamente richiesto dalla normativa.
Per l'erogazione del Servizio, il titolare si avvale di soggetti terzi qualificati che operano in qualità di responsabili del trattamento (art. 28 GDPR) o di titolari autonomi, ciascuno regolato da apposito accordo (Data Processing Agreement o equivalente). I sub-processori utilizzati alla data della presente versione sono:
Ruolo: elaborazione dei pagamenti elettronici.
Sede: Irlanda (Unione Europea).
Qualifica: titolare autonomo del trattamento per i dati di pagamento ai sensi della propria privacy policy.
Ruolo: generazione delle risposte testuali e vocali a partire dagli input dell'Utente.
Sede: Stati Uniti d'America (al di fuori dell'Unione Europea).
Qualifica: responsabili del trattamento ex art. 28 GDPR per i dati trasmessi via API commerciale.
Il titolare seleziona fornitori che, alla data della presente versione, dichiarano nelle proprie condizioni applicabili al canale API commerciale: (a) di non utilizzare gli input e gli output trasmessi per addestrare i propri modelli; (b) di applicare politiche di conservazione tecnica dei dati limitata e finalizzata esclusivamente alla sicurezza del servizio; (c) di garantire la conformità al GDPR mediante Standard Contractual Clauses approvate dalla Commissione Europea.
L'elenco aggiornato dei fornitori AI attualmente utilizzati è disponibile su richiesta scrivendo all'indirizzo [email protected]. Il titolare verifica periodicamente la persistenza delle condizioni sopra richiamate.
Ruolo: CDN, protezione DDoS, ottimizzazione di rete, DNS.
Sede: Stati Uniti d'America.
Trasferimento extra-UE: Standard Contractual Clauses ai sensi dell'art. 46 GDPR; Data Processing Addendum di Cloudflare automaticamente applicabile.
Ruolo: hosting dei server applicativi del Servizio.
Sede: Unione Europea (Italia — datacenter Milano).
Qualifica: responsabile del trattamento ex art. 28 GDPR.
Il titolare si riserva il diritto di modificare, sostituire o aggiungere sub-processori dandone comunicazione preventiva tramite aggiornamento della presente policy con preavviso minimo di 30 giorni in caso di modifiche sostanziali. L'Utente che si opponga motivatamente a un nuovo sub-processore può richiedere la cessazione del Servizio e il rimborso del credito residuo non utilizzato.
Alcuni sub-processori (Cloudflare, fornitori di intelligenza artificiale) hanno sede negli Stati Uniti d'America, paese al di fuori dello Spazio Economico Europeo. Il trasferimento dei dati personali verso tali soggetti avviene sulla base delle seguenti garanzie ai sensi del Capo V GDPR:
Particolare attenzione è prestata ai fornitori di intelligenza artificiale, le cui condizioni applicabili al canale API commerciale alla data della presente versione prevedono espressamente che i dati trasmessi (input e output, testuali e vocali) non sono utilizzati per addestrare i modelli, salvo opt-in espresso del cliente. Il titolare non ha prestato e non presterà tale opt-in per il Servizio. La conservazione tecnica dei prompt presso i fornitori AI è limitata a brevi periodi finalizzati esclusivamente alla sicurezza del servizio e all'individuazione di abusi.
Le sessioni in modalità vocale comportano la trasmissione in tempo reale di stream audio verso i fornitori di intelligenza artificiale con sede negli Stati Uniti. Tale trasferimento avviene in forma cifrata (TLS 1.2 o superiore), con le medesime garanzie giuridiche previste per il dato testuale (Standard Contractual Clauses art. 46 GDPR, eventuale Data Privacy Framework). Lo stream audio è elaborato in streaming: né il file audio in ingresso né quello in uscita vengono trattenuti dai fornitori oltre il tempo strettamente necessario al servizio di speech-to-text e text-to-speech, come dichiarato dalle loro policy applicabili.
L'Utente può ottenere copia delle garanzie applicate (Standard Contractual Clauses, attestazioni di adesione al Data Privacy Framework) scrivendo all'indirizzo [email protected].
Il Servizio utilizza esclusivamente cookie tecnici e tecnologie equiparabili (sessionStorage, localStorage) strettamente necessari al funzionamento del sito e all'erogazione del Servizio richiesto dall'Utente. Per tali cookie, ai sensi dell'art. 122 D.Lgs. 196/2003 e delle linee guida del Garante Privacy del 10 giugno 2021, non è richiesto il consenso preventivo dell'Utente.
Il Servizio non utilizza cookie di profilazione, cookie pubblicitari, cookie di tracciamento di terze parti o pixel di marketing. Non è presente alcun tracker analytics di terze parti che richieda consenso.
L'utilizzo della modalità vocale richiede l'autorizzazione del browser all'accesso al microfono. Tale autorizzazione è gestita direttamente dal sistema operativo e dal browser dell'Utente, che presenta un prompt nativo al primo utilizzo. Il titolare non ha accesso al microfono al di fuori della sessione vocale espressamente avviata dall'Utente. Il permesso può essere revocato in qualsiasi momento dalle impostazioni di privacy del browser (sezione "Permessi del sito" o equivalente).
L'Utente può in ogni momento gestire o eliminare i cookie tramite le impostazioni del proprio browser. La disattivazione dei cookie tecnici può compromettere il funzionamento del Servizio.
Il titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza proporzionato al rischio, tra cui:
Nonostante le misure adottate, nessun sistema informatico può essere considerato assolutamente sicuro: in caso di violazione che possa comportare un rischio elevato per i diritti e le libertà degli interessati, il titolare provvederà alle comunicazioni previste dagli artt. 33 e 34 GDPR.
L'Utente, in qualità di interessato ai sensi del GDPR, può esercitare in qualsiasi momento e gratuitamente i seguenti diritti:
Per esercitare i propri diritti, l'Utente può scrivere all'indirizzo [email protected] specificando: (a) la natura del diritto esercitato; (b) gli elementi che consentano di identificare la posizione di interessato (ad esempio, indirizzo email utilizzato per l'acquisto, identificativo della transazione Stripe, data e orario approssimativo della sessione). Il titolare risponderà entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 in caso di particolare complessità, dandone comunicazione all'interessato.
Limite tecnico all'esercizio dei diritti sulle conversazioni. Poiché il contenuto dei consulti non viene conservato (vedi sezione 04), il titolare non sarà materialmente in grado di fornire copia o cancellazione di tali contenuti dopo il termine della sessione, in quanto già non più presenti nei propri sistemi. Sui dati conservati (transazioni, log tecnici, comunicazioni email) i diritti sono pienamente esercitabili nei termini di legge.
Il Servizio è riservato esclusivamente a soggetti che abbiano compiuto la maggiore età ai sensi della normativa italiana applicabile. Il titolare non raccoglie consapevolmente dati personali di minori.
Qualora il titolare venga a conoscenza del fatto che un soggetto minorenne ha utilizzato il Servizio rendendo dichiarazioni non veritiere in fase di accettazione dei Termini, provvederà tempestivamente alla cancellazione di tutti i dati a lui riferibili, fatta salva la conservazione dei dati strettamente necessari per assolvere obblighi di legge e per la difesa in giudizio.
I genitori o gli esercenti la responsabilità genitoriale che ritengano che un proprio figlio minore abbia utilizzato il Servizio sono invitati a segnalarlo tempestivamente all'indirizzo [email protected].
L'Utente che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali, secondo le modalità e i termini stabiliti dall'art. 77 GDPR e dal D.Lgs. 196/2003.
Sede: Piazza Venezia 11, 00187 Roma
Centralino: +39 06 696771
Email: [email protected] — PEC: [email protected]
Sito: www.garanteprivacy.it
L'Utente residente in altro Stato membro dell'Unione Europea può proporre reclamo all'Autorità di controllo del proprio paese di residenza, di lavoro o del luogo in cui si è verificata la presunta violazione. In particolare: per la Francia, la CNIL — Commission Nationale de l'Informatique et des Libertés (cnil.fr); per la Germania, l'Autorità per la protezione dei dati del Land di residenza o il BfDI (bfdi.bund.de).
La presente Privacy Policy può essere modificata in qualsiasi momento per adeguarla a nuovi requisiti normativi, all'evoluzione del Servizio o all'introduzione di nuovi sub-processori. Le modifiche saranno pubblicate su questa pagina con indicazione della data di entrata in vigore e della nuova versione.
In caso di modifiche sostanziali che incidano significativamente sui diritti degli interessati, il titolare provvederà a darne comunicazione tramite avviso evidente sul sito con almeno 30 giorni di anticipo rispetto all'entrata in vigore.
Si invita l'Utente a consultare periodicamente la presente policy per essere sempre informato sulle modalità di trattamento dei propri dati.