Informativa sulla Privacy

ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003

Ultimo aggiornamento: 17 febbraio 2026

La presente informativa descrive le modalità di trattamento dei dati personali da parte di Automazione IT, fornitore tecnologico di soluzioni di intelligenza artificiale conversazionale e automazione operativa per imprese. Il servizio è erogato in modalità SaaS (Software as a Service) multi-tenant e consente ai clienti business di gestire comunicazioni automatizzate su canali web, WhatsApp e Telegram.

L'utilizzo della piattaforma implica il trattamento di dati personali sia dei clienti business (di seguito “Clienti”) sia degli utenti finali che interagiscono con gli agenti AI configurati dai Clienti (di seguito “Utenti Finali”).

1. Titolare e Responsabile del Trattamento

Titolare del Trattamento

Automazione IT

Sede operativa: Italia

Email: privacy@automazioneit.it

PEC/Supporto: support@automazioneit.it

Distinzione dei ruoli ai sensi del GDPR

  • Automazione IT agisce come Titolare del trattamento (art. 4, par. 7, GDPR) con riferimento ai dati dei propri Clienti business raccolti in fase di registrazione, fatturazione e gestione del rapporto contrattuale.
  • Automazione IT agisce come Responsabile del trattamento (art. 4, par. 8, GDPR; art. 28 GDPR) quando tratta dati degli Utenti Finali per conto dei Clienti. In tale contesto il Cliente è il Titolare del trattamento rispetto ai propri Utenti Finali ed è tenuto a fornire loro un'adeguata informativa.

2. Categorie di Dati Personali Trattati

2.1 Dati dei Clienti B2B

  • Dati identificativi e di contatto: ragione sociale, nome referente, indirizzo email, numero di telefono
  • Dati di accesso: credenziali di autenticazione (password conservate in forma crittografata)
  • Dati di fatturazione: informazioni di pagamento elaborate tramite PayPal (non archiviate sui nostri sistemi)
  • Dati di configurazione: token API, numeri WhatsApp Business, bot Telegram, prompt AI personalizzati, domini web
  • Dati di utilizzo: metriche aggregate, log di accesso, timestamp delle operazioni

2.2 Dati degli Utenti Finali

Nell'ambito dell'erogazione del servizio, la piattaforma tratta per conto del Cliente:

  • Identificativi di canale: numero di telefono (WhatsApp), user ID (Telegram), identificativo sessione (web widget)
  • Contenuto delle comunicazioni: messaggi testuali, file allegati, immagini scambiati tramite i canali integrati
  • Metadati delle conversazioni: data, ora, canale di provenienza, stato della conversazione
  • Dati derivati dall'elaborazione AI: intenti rilevati, prenotazioni, richieste di escalation

2.3 Dati raccolti automaticamente

  • Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, user agent
  • Cookie e tecnologie analoghe: come descritto nella nostra Cookie Policy

3. Finalità del Trattamento e Base Giuridica

Esecuzione del contratto di servizio

Base giuridica: art. 6, par. 1, lett. b) GDPR

Trattamento necessario per la creazione e gestione dell'account, erogazione del servizio SaaS, gestione delle conversazioni tramite agenti AI, elaborazione dei pagamenti, fornitura di supporto tecnico.

Legittimo interesse del Titolare

Base giuridica: art. 6, par. 1, lett. f) GDPR

Analisi di dati aggregati e anonimizzati per il miglioramento del servizio, prevenzione di frodi e abusi, sicurezza della piattaforma, analisi statistica dell'utilizzo.

Adempimento di obblighi di legge

Base giuridica: art. 6, par. 1, lett. c) GDPR

Conservazione dei dati di fatturazione per obblighi fiscali e contabili previsti dalla normativa italiana, adempimento di richieste dell'autorità giudiziaria o amministrativa.

Consenso dell'interessato

Base giuridica: art. 6, par. 1, lett. a) GDPR

Invio di comunicazioni commerciali e promozionali, installazione di cookie non essenziali. Il consenso è liberamente revocabile in qualsiasi momento.

4. Responsabili Esterni del Trattamento

Per l'erogazione del servizio, Automazione IT si avvale dei seguenti fornitori terzi (sub-responsabili ai sensi dell'art. 28 GDPR), vincolati da specifici accordi sul trattamento dei dati (DPA):

Meta Platforms, Inc. — WhatsApp Cloud API

Dati trattati: messaggi, numeri di telefono e contenuti multimediali scambiati tramite WhatsApp Business Platform.

Finalità: ricezione e invio di messaggi per conto del Cliente.

Sede: Stati Uniti — trasferimento regolato da clausole contrattuali standard (SCC) e Data Privacy Framework UE-USA.

Privacy Policy WhatsApp →

Supabase, Inc. — Database e Autenticazione

Dati trattati: dati di account, conversazioni, configurazioni, log.

Finalità: archiviazione persistente, autenticazione, gestione multi-tenant.

Sede server: Unione Europea (Francoforte, Germania) — nessun trasferimento extra-UE.

Privacy Policy Supabase →

OpenAI, L.L.C. — Elaborazione AI

Dati trattati: contenuto delle conversazioni inviato per l'elaborazione linguistica.

Finalità: generazione di risposte AI, classificazione intenti, automazione conversazionale.

Sede: Stati Uniti — I dati inviati tramite API non sono utilizzati per l'addestramento dei modelli. Trasferimento regolato da SCC.

Privacy Policy OpenAI →

PayPal (Europe) S.à r.l. et Cie — Pagamenti

Dati trattati: email, ragione sociale, importo delle transazioni.

Finalità: elaborazione dei pagamenti e gestione degli abbonamenti.

Nota: i dati di pagamento sono gestiti interamente da PayPal (PCI-DSS compliant) e non sono archiviati sui nostri sistemi.

Privacy Policy PayPal →

Telegram FZ-LLC — Messaggistica

Dati trattati: messaggi e user ID scambiati tramite Telegram Bot API.

Finalità: ricezione e invio di messaggi per conto del Cliente.

Privacy Policy Telegram →

Fornitore VPS — Hosting infrastrutturale

Dati trattati: tutti i dati transitanti sulla piattaforma.

Finalità: hosting dell'applicazione, esecuzione dei processi server-side.

Sede server: Unione Europea — infrastruttura conforme agli standard di sicurezza del settore.

Automazione IT non cede, vende o condivide dati personali con terze parti per finalità di marketing o profilazione commerciale propria di tali terzi.

5. Trasferimenti Internazionali di Dati

Alcuni dei sub-responsabili sopra indicati hanno sede al di fuori dello Spazio Economico Europeo (SEE). In tali casi, il trasferimento dei dati avviene nel rispetto del Capo V del GDPR, mediante:

  • Decisione di adeguatezza della Commissione Europea, ove disponibile (es. Data Privacy Framework UE-USA)
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione 2021/914)
  • Misure supplementari di carattere tecnico e organizzativo, ove necessarie

I dati archiviati su Supabase e sul server VPS rimangono all'interno dell'Unione Europea e non sono soggetti a trasferimento extra-UE.

6. Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti:

Dati di account e configurazione: per tutta la durata del rapporto contrattuale e fino a 12 mesi dalla cessazione del servizio.

Conversazioni e messaggi: conservati per la durata dell'account attivo. Eliminabili su richiesta del Cliente.

Dati di fatturazione: 10 anni dalla chiusura dell'esercizio fiscale di riferimento, ai sensi dell'art. 2220 c.c. e della normativa tributaria italiana.

Log tecnici e di sicurezza: 90 giorni, salvo necessità di conservazione più lunga per indagini su incidenti di sicurezza.

Dati di analytics: conservati in forma aggregata e anonimizzata senza limite temporale.

7. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:

Diritto di accesso (art. 15)

Ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali.

Diritto di rettifica (art. 16)

Ottenere la correzione di dati personali inesatti o l'integrazione di dati incompleti.

Diritto alla cancellazione (art. 17)

Ottenere la cancellazione dei propri dati personali nei casi previsti dal GDPR.

Diritto di limitazione (art. 18)

Ottenere la limitazione del trattamento nelle circostanze previste dalla normativa.

Diritto alla portabilità (art. 20)

Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare.

Diritto di opposizione (art. 21)

Opporsi al trattamento dei propri dati fondato sul legittimo interesse, compresa la profilazione.

Come esercitare i diritti

L'interessato può esercitare i propri diritti inviando una richiesta scritta a:

Email: privacy@automazioneit.it

La richiesta deve contenere: nome completo, indirizzo email associato all'account (se applicabile) e specifica indicazione del diritto che si intende esercitare. Rispondiamo entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di richieste complesse, previa comunicazione motivata.

Reclamo all'Autorità di Controllo

Qualora l'interessato ritenga che il trattamento dei propri dati violi il GDPR, ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:
Piazza Venezia 11 — 00187 Roma
www.garanteprivacy.it — Email: protocollo@gpdp.it

8. Misure di Sicurezza

Automazione IT adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio:

  • Crittografia in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS/TLS
  • Crittografia a riposo: password conservate con algoritmi di hashing sicuri (bcrypt)
  • Isolamento multi-tenant: Row Level Security (RLS) a livello di database per la segregazione dei dati
  • Autenticazione sicura: gestita tramite Supabase Auth con supporto a token JWT
  • Backup: copie di sicurezza automatiche giornaliere su infrastruttura ridondante
  • Monitoraggio: log di sicurezza, rate limiting e protezione da prompt injection
  • Controllo degli accessi: principio del privilegio minimo per tutti gli operatori

9. Processi Decisionali Automatizzati

La piattaforma utilizza sistemi di intelligenza artificiale per l'elaborazione automatizzata delle conversazioni. Tali sistemi:

  • Generano risposte automatiche sulla base delle istruzioni configurate dal Cliente
  • Classificano gli intenti degli Utenti Finali per l'instradamento delle richieste
  • Rilevano situazioni di escalation che richiedono intervento umano

Tali trattamenti non producono effetti giuridici significativi sugli Utenti Finali e il Cliente può configurare in qualsiasi momento l'escalation verso un operatore umano. L'interessato ha comunque diritto di ottenere l'intervento umano ai sensi dell'art. 22 GDPR.

10. Cookie

Per informazioni sull'utilizzo dei cookie e delle tecnologie di tracciamento, si rimanda alla nostra Cookie Policy.

11. Protezione dei Minori

Il servizio è destinato esclusivamente a persone giuridiche e persone fisiche di età non inferiore a 18 anni. Automazione IT non raccoglie consapevolmente dati personali di minori. Qualora si venisse a conoscenza di un trattamento di dati di un minore, si procederà alla loro tempestiva cancellazione.

12. Modifiche all'Informativa

Automazione IT si riserva il diritto di aggiornare la presente informativa. Le modifiche sostanziali saranno comunicate ai Clienti via email con almeno 30 giorni di preavviso. La versione aggiornata sarà sempre disponibile a questa pagina con indicazione della data di ultimo aggiornamento.

13. Contatti per la Privacy

Per qualsiasi richiesta relativa al trattamento dei dati personali:

Referente per la protezione dei dati

Email: privacy@automazioneit.it

Supporto generale: support@automazioneit.it

Per richieste di eliminazione dei dati, consultare la pagina Richiesta di Eliminazione dei Dati.

Ultimo aggiornamento: 17 febbraio 2026

Conforme al GDPR (Regolamento UE 2016/679) e al D.Lgs. 196/2003 e s.m.i.