IT
Informativa sulla privacy
Introduzione
Y4 Works Oy ("Suunta.ai", "noi" o "nostro") gestisce la piattaforma Suunta.ai, un servizio di pianificazione strategica basato su IA per le aziende. La presente Informativa sulla privacy spiega come raccogliamo, utilizziamo, divulghiamo e proteggiamo le informazioni personali quando utilizzi i nostri Servizi.
Suunta.ai è un servizio business-to-business (B2B). Questa Informativa sulla privacy si applica ai rappresentanti dei nostri clienti business e ai loro Utenti autorizzati.
Titolare del trattamento: Y4 Works Oy, Business ID: 2978296-6, Finlandia, Email: privacy@suunta.ai
1. Informazioni che raccogliamo
1.1 Informazioni fornite da te
Informazioni sull'account
| Dati | Obbligatorio | Finalità |
|---|---|---|
| Indirizzo email | Sì | Accesso account, comunicazioni |
| Nome e cognome | No | Personalizzazione |
| Numero di telefono | No | Contatto opzionale |
| Password | Sì* | Autenticazione |
| Foto profilo | No | Personalizzazione |
| Preferenza lingua | Sì (predefinito: finlandese) | Localizzazione |
| Fuso orario | Sì (predefinito: Europa/Helsinki) | Visualizzazione orari |
| Ulteriori dettagli profilo | No | Personalizzazione |
Gli utenti SSO si autenticano tramite Google o Microsoft e non hanno una password Suunta.ai.
Informazioni sull'organizzazione
| Dati | Obbligatorio | Finalità |
|---|---|---|
| Nome organizzazione | Sì | Identificazione account |
| Paese | Sì (predefinito: Finlandia) | Localizzazione, conformità |
| Città | No | Localizzazione |
| Settore | No | Personalizzazione del servizio |
| Dimensione dell'organizzazione | No | Personalizzazione del servizio |
| Sito web | No | Profilo organizzazione |
| Logo | No | Branding |
| Dettagli profilo organizzazione | No | Personalizzazione del servizio |
Dati aziendali
- Documenti e piani strategici
- OKR (Obiettivi e Risultati Chiave)
- KPI (Indicatori Chiave di Prestazione) e metriche
- Progetti e attività
- Documenti per analisi IA (fonti RAG)
- Conversazioni chat con il nostro assistente IA
- Altri dati aziendali inviati da te
Questi dati aziendali sono trattati per fornirti i nostri Servizi.
1.2 Informazioni raccolte automaticamente
Dati tecnici
| Dati | Finalità | Conservazione |
|---|---|---|
| Indirizzo IP | Sicurezza, prevenzione frodi | Sovrascritto al nuovo login |
| User agent (browser/dispositivo) | Sicurezza, gestione sessione | Durata sessione |
| Timestamp di accesso | Audit di sicurezza | Sovrascritto |
| Dati di sessione | Stato autenticazione | 14-30 giorni |
| Tentativi di accesso falliti | Protezione da brute-force | Azzerati al login riuscito |
Dati di utilizzo
| Dati | Finalità | Conservazione |
|---|---|---|
| Utilizzo funzionalità IA (token, modello, latenza) | Fatturazione, analytics | 365 giorni |
| Log attività (azioni eseguite) | Traccia audit | 12-36 mesi |
Importante: NON conserviamo i Suoi prompt di IA o le risposte generate dall'IA. Registriamo solo metadati sull'utilizzo dell'IA (come conteggio dei token e tempi di risposta).
1.3 Informazioni da terze parti
Single Sign-On (SSO) Se accede tramite Google o Microsoft, riceviamo il Suo nome, email e foto del profilo dal provider SSO.
Informazioni di pagamento Utilizziamo Stripe per l'elaborazione dei pagamenti. Stripe raccoglie e tratta direttamente i dati della Sua carta di pagamento. Riceviamo solo il Suo Stripe Customer ID e lo stato dell'abbonamento, mai i dettagli della carta.
Integrazioni Se colleghi servizi di terze parti (Slack, Google Workspace, ecc.), riceviamo i dati necessari all'integrazione come da te configurata.
2. Come utilizziamo le Sue informazioni
| Finalità | Base giuridica (GDPR) |
|---|---|
| Fornitura dei Servizi (gestione account, funzionalità IA, archiviazione dati) | Esecuzione del contratto (Articolo 6(1)(b)) |
| Elaborazione pagamenti e gestione abbonamenti | Esecuzione del contratto |
| Invio di email transazionali (codici OTP, notifiche) | Esecuzione del contratto |
| Garantire la sicurezza e prevenire frodi | Legittimo interesse (Articolo 6(1)(f)) |
| Mantenere i log di audit per la conformità | Legittimo interesse / Obbligo legale |
| Migliorare i Servizi (analytics aggregati) | Legittimo interesse |
| Rispondere a richieste di supporto | Esecuzione del contratto |
| Adempiere a obblighi legali | Obbligo legale (Articolo 6(1)(c)) |
NON facciamo:
- Vendere le Sue informazioni personali
- Usare i Suoi dati per pubblicità
- Condividere i Suoi dati con data broker
- Usare i Suoi dati aziendali per addestrare modelli di IA (senza consenso esplicito)
3. Trattamento dei dati IA
3.1 Come funzionano le funzionalità IA
- I Suoi prompt e il contesto vengono inviati ai nostri provider IA (Anthropic, OpenAI, Google, Mistral)
- Il provider IA elabora la richiesta e restituisce una risposta
- Mostriamo la risposta a te
- Registriamo solo metadati (token utilizzati, tempo di elaborazione, costo)
3.2 Cosa conserviamo
| Conservato | Non conservato |
|---|---|
| Cronologia conversazioni chat (per continuità) | Prompt IA inviati ai provider |
| Metadati di utilizzo IA (token, latenza, costo) | Risposte dei provider IA |
| Embedding documenti (per ricerca) | Testo originale del documento dopo l'indicizzazione |
3.3 Trattamento dei dati da parte dei provider IA
- OpenAI: flag store=False per disabilitare la conservazione
- Anthropic: API standard senza addestramento sugli input
- Google Vertex AI: regione UE dove disponibile
- Mistral: provider basato nell'UE
Non consentiamo ai nostri provider IA di utilizzare i Suoi dati per l'addestramento dei modelli.
3.4 RAG (Analisi documenti)
- Il testo viene estratto dal tuo documento
- Il testo viene convertito in embedding vettoriali
- Il testo originale viene cancellato entro 24 ore
- Embedding e frammenti di testo vengono conservati per la ricerca
- La cancellazione di una fonte rimuove tutti i dati associati
4. Condivisione delle informazioni
4.1 Fornitori di servizi (Sub-responsabili)
| Fornitore | Finalità | Localizzazione |
|---|---|---|
| AWS | Hosting infrastruttura | UE (Stoccolma) |
| Anthropic | Elaborazione IA | USA |
| OpenAI | Elaborazione IA | USA |
| Elaborazione IA | UE/USA | |
| Mistral | Elaborazione IA | UE (Francia) |
| Stripe | Elaborazione pagamenti | USA/UE |
| Resend | Invio email | UE |
Per l'elenco completo, vedi il nostro Elenco dei sub-responsabili su https://suunta.ai/legal/subprocessors.
4.2 Integrazioni avviate dal Cliente
- Slack: messaggi, notifiche come configurato
- Google Workspace: eventi calendario, dati fogli come configurato
- Zapier/Make: payload webhook come configurato
Controlli quali integrazioni sono abilitate e quali dati vengono condivisi.
4.3 Requisiti legali
- Per conformità alla legge applicabile o a processi legali
- Per rispondere a richieste legittime delle autorità pubbliche
- Per proteggere i nostri diritti, privacy, sicurezza o proprietà
- In relazione a una fusione, acquisizione o vendita di beni
4.4 Con il Suo consenso
Possiamo condividere informazioni con terze parti quando hai dato un consenso esplicito.
5. Trasferimenti internazionali
5.1 Dove trattiamo i dati. Il trattamento principale avviene nell'UE (AWS Stoccolma, eu-north-1). L'elaborazione IA può avvenire negli USA tramite provider IA.
5.2 Garanzie di trasferimento. Per i trasferimenti fuori dal SEE, facciamo affidamento sulle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea, su misure supplementari come crittografia e controlli di accesso e sulle certificazioni dei provider (ad es. SOC 2, ISO 27001).
6. Conservazione dei dati
6.1 Periodi di conservazione
| Tipo di dato | Periodo di conservazione |
|---|---|
| Account utenti attivi | Durata dell'utilizzo |
| Account utenti eliminati | Anonimizzati immediatamente |
| Dati organizzazione | Fino alla cancellazione organizzazione + 90 giorni (backup) |
| Metadati di utilizzo IA | 365 giorni |
| Log di audit (standard) | 24 mesi |
| Log di audit (critici) | 36 mesi |
| Registrazioni di fatturazione | 6 anni (legge finlandese) |
| Backup | 30 giorni |
6.2 Cancellazione dell'account
- Le Sue informazioni personali vengono anonimizzate
- La Sua email viene sostituita con un segnaposto
- Le Sue appartenenze all'organizzazione vengono rimosse
- Le Sue sessioni vengono revocate
- I log di audit sono conservati per la conformità (con ID attore anonimizzato)
6.3 Cancellazione dell'organizzazione
- Periodo di grazia di 30 giorni (annullabile)
- Tutti i dati dell'organizzazione vengono eliminati definitivamente
- Gli account utente rimangono ma perdono l'accesso all'organizzazione
- Viene creato un log di audit di conformità immutabile
7. I Suoi diritti
Ai sensi del GDPR, hai i seguenti diritti e puoi esercitarli tramite Impostazioni o contattando privacy@suunta.ai:
- Diritto di accesso (Articolo 15): Impostazioni → Esporta dati
- Diritto di rettifica (Articolo 16): Impostazioni → Profilo
- Diritto alla cancellazione (Articolo 17): Impostazioni → Elimina account / Elimina organizzazione
- Diritto alla limitazione (Articolo 18): Email privacy@suunta.ai
- Diritto alla portabilità dei dati (Articolo 20): Impostazioni → Esporta dati
- Diritto di opposizione (Articolo 21): Email privacy@suunta.ai
- Diritto di revocare il consenso: Impostazioni → Preferenze marketing
Hai inoltre il diritto di presentare reclamo a un'autorità di controllo. In Italia, questa è:
Garante Privacy
Piazza Venezia 11, 00187 Roma
garante@gpdp.it
8. Cookie e tecnologie simili
8.1 Cookie che utilizziamo
| Cookie | Tipo | Finalità | Durata |
|---|---|---|---|
| session | Essenziale | Autenticazione | 14-30 giorni |
8.2 Cosa non utilizziamo
- Google Analytics
- Facebook Pixel
- Cookie di marketing
- Cookie di tracciamento di terze parti
8.3 Local storage
| Chiave | Finalità |
|---|---|
| sidebarCollapsed | Preferenza UI |
| theme | Tema di visualizzazione |
| userTimezone | Visualizzazione orari |
8.4 Script di terze parti
- Stripe (js.stripe.com): elaborazione pagamenti
- Google Fonts: tipografia
- Font Awesome: icone
Questi servizi possono impostare i propri cookie. Consulta le rispettive informative sulla privacy.
9. Sicurezza
9.1 Misure tecniche
- Crittografia: TLS 1.2+ in transito, AES-256 a riposo
- Sicurezza password: hashing PBKDF2-SHA256
- Sicurezza sessione: cookie HttpOnly, Secure, SameSite
- Controllo accessi: basato sui ruoli, isolamento per organizzazione
9.2 Misure organizzative
- Obblighi di riservatezza per il personale
- Formazione sulla sicurezza
- Procedure di risposta agli incidenti
- Valutazioni di sicurezza periodiche
9.3 Le Sue responsabilità
- Mantieni la password al sicuro
- Usa una password forte e unica
- Segnala immediatamente attività sospette
- Disconnettiti su dispositivi condivisi
10. Privacy dei minori
Suunta.ai è un servizio B2B destinato a professionisti. I Servizi non sono destinati a persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente informazioni personali da minori.
11. Modifiche a questa Informativa
Possiamo aggiornare questa Informativa sulla privacy di volta in volta. Ti notificheremo le modifiche sostanziali via email almeno 30 giorni prima che entrino in vigore e con un avviso evidente sul nostro sito. L'uso continuato dei Servizi dopo tali modifiche costituisce accettazione.
12. Contattaci
Per domande sulla privacy o per esercitare i Suoi diritti: Y4 Works Oy (Suunta.ai), Email: privacy@suunta.ai. Per richieste generali: team@suunta.ai.
13. Informazioni aggiuntive per utenti SEE
13.1 Sintesi basi giuridiche
| Attività di trattamento | Base giuridica |
|---|---|
| Gestione account | Contratto |
| Erogazione del servizio | Contratto |
| Elaborazione pagamenti | Contratto |
| Email transazionali | Contratto |
| Misure di sicurezza | Legittimo interesse |
| Audit logging | Legittimo interesse / Obbligo legale |
| Marketing (se aderito) | Consenso |
13.2 Responsabile della protezione dei dati
In quanto piccola impresa, non abbiamo nominato un DPO formale. Per richieste sulla protezione dei dati, contatta: privacy@suunta.ai.
13.3 Processo decisionale automatizzato
Non prendiamo decisioni automatizzate che producano effetti legali o similmente significativi su di te. Le funzionalità IA forniscono raccomandazioni e analisi, ma le decisioni finali sono prese da te.