Questa informativa spiega come trattiamo i dati personali quando usi i nostri servizi di agenzia AI (chatbot/agent, automazioni, voce, CRM/marketing).
Operiamo principalmente in Italia e trattiamo dati di utenti nell’UE/SEE. Non indirizziamo intenzionalmente i servizi a residenti in California; forniamo comunque un riepilogo diritti CCPA alla sezione dedicata.
Tipologie di dati che raccogliamo
Dati forniti dall’utente: nome, cognome, email, telefono, azienda, contenuti delle richieste.
Dati di pagamento/ fatturazione: gestiti tramite Stripe (noi non conserviamo integralmente i dati della carta).
Dati di interazione con l’IA: prompt, messaggi, file caricati, trascrizioni vocali/chiamate, output generati.
Dati tecnici: indirizzo IP, device, log, identificatori cookie, eventi analytics/marketing (gestiti via CRM/GoHighLevel).
Cookie e tecnologie simili: per funzionamento, analisi e marketing (vedi sezione “Cookie & Marketing”).
Finalità e basi giuridiche (GDPR)
Erogazione del servizio (esecuzione del contratto): fornire agenti/automazioni AI, supporto, gestione account.
Miglioramento sicurezza e qualità (legittimo interesse): prevenzione abusi/frodi, audit log, QA dei modelli.
Miglioramento prodotti e modelli AI (legittimo interesse; ove richiesto, consenso).
Marketing e remarketing (consenso): newsletter, campagne su canali autorizzati.
Obblighi legali: contabilità/fatturazione e adempimenti normativi.
Puoi revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento già effettuato.
Come usiamo i dati
Erogare e personalizzare i nostri servizi AI.
Analizzare le interazioni (in forma minima e necessaria) per quality assurance e miglioramento.
Comunicare aggiornamenti sul servizio e assistenza.
Eseguire analytics e campagne marketing solo se hai acconsentito.
Adempiere a obblighi legali e rispondere a richieste delle autorità.
Trattamenti specifici legati all’IA
Fornitori LLM/AI: possiamo inviare prompt, contenuti e metadati a provider come OpenAI, Anthropic, Google (Gemini), Grok, o modelli locali quando appropriato.
Uso per training: Comy AI non utilizza i contenuti dei clienti per addestrare modelli proprietari senza base giuridica adeguata. I fornitori LLM potrebbero trattare i dati per migliorare i loro servizi secondo le rispettive policy; ove disponibile, configuriamo l’opt-out di tale utilizzo.
Human review: possiamo effettuare revisioni umane strettamente necessarie per controllo qualità e sicurezza, applicando minimizzazione, accesso limitato e riservatezza.
Decisioni automatizzate: non adottiamo processi con effetti legali o significativamente analoghi basati unicamente su decisioni automatizzate. Gli output AI sono assistivi; le decisioni finali restano umane.
Destinatari e responsabili (processor)
Condividiamo dati solo con fornitori che agiscono per nostro conto, in base a Data Processing Agreement (DPA).
In particolare:
Supabase fornisce database e hosting, trattando dati di account, contenuti e log.
GoHighLevel (GHL) gestisce CRM, marketing e automazioni, trattando contatti, eventi, consensi e tracciamenti.
Stripe gestisce i pagamenti e tratta i dati di pagamento e fatturazione.
OpenAI, Anthropic, Google (Gemini) e Grok forniscono modelli linguistici AI e possono trattare prompt, contenuti e metadati tecnici.
Vapi e Retell gestiscono voce AI e telefonia, trattando audio, trascrizioni e metadati.
Vonage e Twilio forniscono servizi di telefonia e SMS, trattando numeri di telefono ed eventi di chiamata/SMS.
BuildMyAgent.io offre strumenti operativi per la gestione degli agenti AI, trattando metadati e configurazioni di flusso.
Potremmo inoltre coinvolgere consulenti IT/legali con obblighi di riservatezza.
Trasferimenti internazionali
La sede del Titolare è in Italia. Alcuni fornitori (es. LLM, telefonia, pagamenti) possono trattare dati al di fuori dello SEE. In tali casi adottiamo Clausole Contrattuali Standard (SCC), DPA e misure supplementari idonee. Quando usiamo regioni UE offerte dai fornitori, privilegiamo tali opzioni.
Conservazione dei dati
Account e contenuti: fino a cancellazione dell’account o richiesta di eliminazione, salvo obblighi legali.
Log tecnici/sicurezza: tipicamente 12 mesi.
Marketing: fino a revoca del consenso o 24 mesi di inattività.
Fatture/dati contabili: fino a 10 anni (obbligo di legge).
Backup: conservazione a rotazione (es. 30–90 giorni).
Applichiamo misure tecniche e organizzative adeguate, tra cui: cifratura in transito e a riposo, controlli di accesso e ruoli (RBAC), autenticazione a più fattori, backup, audit log, principio del least privilege, NDA e policy interne. Nessuna misura è assoluta: in caso di incidente, attiveremo le procedure di notifica previste.
Diritti degli interessati (UE/SEE)
Hai diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, nonché di revocare il consenso (per marketing/cookie). Puoi esercitare i diritti scrivendo a [email protected]. Hai inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
Diritti per residenti in California (CCPA/CPRA)
Non vendiamo i dati personali né effettuiamo “sharing” per cross-context behavioral advertising al di fuori del consenso marketing. Se ritieni applicabile la normativa californiana, puoi richiedere accesso/eliminazione e limitazione dell’uso di informazioni sensibili contattandoci a [email protected].
Cookie & Marketing
Usiamo cookie necessari (funzionamento), analitici e marketing (es. Google Ads, Meta, TikTok, tramite GHL). I cookie non necessari sono attivati solo con il tuo consenso. Puoi gestire le preferenze tramite il banner all’accesso o dalle impostazioni del browser. Se pubblichi una Cookie Policy separata, inserisci qui il link.
Minori
I servizi non sono destinati a minori. Se interagiscono, è richiesta la supervisione/autorizzazione di un maggiorenne. Se veniamo a conoscenza di dati di minori non autorizzati, li elimineremo.
Come esercitare richieste privacy
Contatto unico: [email protected] Tempo tipico di risposta: entro 30 giorni.
Modifiche a questa informativa
Potremmo aggiornare la presente policy. Le modifiche saranno pubblicate su questa pagina con data di entrata in vigore.
Note legali
Comy AI agisce come Titolare; i fornitori elencati operano come Responsabili.
Su richiesta B2B possiamo fornire/firmare un Data Processing Addendum (DPA).
Per i servizi LLM, l’uso dei dati è anche soggetto alle privacy policy dei rispettivi provider; ove disponibile, configuriamo impostazioni che limitano l’uso a training.
Informazioni di contatto
Comy AI – Via 4 Novembre 156, 24056 Fontanella (BG), Italia Email:[email protected]
