Privacy Policy

1. Titolare del Trattamento

2. Tipologie di Dati Raccolti

Ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, raccogliamo le seguenti categorie di dati personali:

2.1 Dati Comuni a Tutti i Servizi

• Dati anagrafici e di contatto: nome, cognome, email, numero di telefono, ragione sociale, partita IVA
• Dati di navigazione: indirizzo IP, user agent, cookies, dati di sessione
• Dati team: ruoli utenti, permessi, inviti team
• Dati di utilizzo: statistiche utilizzo piattaforma, log attività

2.2 Dati Relativi al Servizio AI Voice (Voicebot)

• Dati relativi alle chiamate: registrazioni audio, trascrizioni automatiche, durata chiamata, timestamp, metadati
• Dati dei contatti: nome, email, telefono, azienda dei soggetti che contattano l'utente
• Dati di analisi vocale: sentiment analysis, lead score, segmentazione contatti, note, tag
• Minuti consumati: statistiche minuti utilizzati per il servizio voicebot

2.3 Dati Relativi al Servizio AI Chatbot

• Conversazioni testuali: messaggi inviati e ricevuti tra l'utente finale e il chatbot AI
• Visitor ID anonimo: identificativo tecnico univoco del visitatore (non associato a dati personali se non volontariamente forniti)
• Dati di contatto raccolti via chatbot: nome, email, telefono e campi personalizzati volontariamente forniti dall'utente finale tramite form integrato
• Metadati conversazione: timestamp, durata sessione, numero messaggi, pagina di provenienza, device/browser
• Knowledge base queries: domande frequenti, topic di interesse, pattern di utilizzo per miglioramento risposte
• Messaggi consumati: statistiche messaggi utilizzati per il servizio chatbot
• Dati WhatsApp (se integrato): numero di telefono WhatsApp, messaggi scambiati tramite integrazione WhatsApp Business

2.4 Dati del Quiz ROI (Calcola il tuo risparmio)

Attraverso il calcolatore ROI interattivo disponibile su /calcola-roi raccogliamo, previo consenso esplicito:

• Indirizzo email: fornito volontariamente per ricevere il report personalizzato
• Dati aziendali stimati: dimensione del team, volume richieste settimanali, tempo medio di risposta, costo orario del personale, volume richieste fuori orario (tutti forniti tramite selezione a scelta multipla, nessun campo testo libero)
• Risultati calcolati: ROI netto stimato, ore automatizzabili/anno, payback stimato, derivati matematicamente dalle risposte
• Metadati tecnici: pagina di provenienza, data e ora di compilazione
• Consenso marketing: flag booleano che registra se l'utente ha acconsentito a ricevere comunicazioni commerciali

2.5 Dati di Pagamento e Fatturazione

• Dati carta di credito/debito: ultime 4 cifre e tipologia carta (il numero completo è gestito esclusivamente dal processor PCI-DSS e non è mai accessibile al Titolare)
• Indirizzo di fatturazione: indirizzo completo per emissione fatture
• Dati fiscali: Partita IVA, Codice Fiscale, ragione sociale, codice SDI/PEC per fatturazione elettronica
• Storico transazioni: importi, date, stato pagamenti, fatture emesse
• Dati abbonamento: piano sottoscritto, periodo di fatturazione, stato abbonamento, sconti applicati

2.6 Dati da Fonti Terze (Art. 14 GDPR)

Il Cliente puo importare nella Piattaforma dati raccolti da fonti terze (portali immobiliari, LinkedIn, liste di contatti, CRM esterni). In tali casi, ai sensi dell'Art. 14 GDPR, il Cliente (in qualita di Titolare del trattamento) e responsabile di:

• Aver fornito o verificare la fornitura dell'informativa Art. 14 GDPR agli interessati entro il termine di 1 mese dalla raccolta dei dati presso la fonte terza
• Avere base giuridica valida per il trattamento di tali dati nella Piattaforma
• Documentare la provenienza dei dati nel registro trattamenti proprio

3. Finalità del Trattamento e Base Giuridica

3bis. Natura del Conferimento dei Dati (Art. 13.2.e GDPR)

Ai sensi dell'Art. 13.2.e GDPR, informiamo sulla natura obbligatoria o facoltativa del conferimento dei dati e sulle conseguenze del mancato conferimento:

4. Modalità del Trattamento

I dati personali sono trattati con strumenti automatizzati e manuali per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti.

Misure di sicurezza adottate (Art. 32 GDPR):

• Crittografia dei dati in transito (HTTPS/TLS 1.3)
• Crittografia dei dati a riposo nel database
• Autenticazione forte con hash bcrypt per le password
• Controllo accesso granulare per isolamento dati multi-tenant
• Backup giornalieri crittografati con retention 30 giorni
• Log di accesso e audit trail delle operazioni critiche
• Server primari ubicati in Unione Europea. Alcuni sub-responsabili (fornitori AI di modelli linguistici, embedding semantici e sintesi vocale) operano da USA: i trasferimenti sono protetti da Standard Contractual Clauses 2021/914/UE. Dettagli in sezione 6.2.
• Accesso ai dati limitato al personale autorizzato
• Monitoraggio continuo per rilevamento intrusioni
• Rate limiting per protezione da abusi sui chatbot
• Pagamenti gestiti tramite processore certificato PCI-DSS Level 1

5. Periodo di Conservazione dei Dati

Ai sensi dell'Art. 5.1.e GDPR (principio di limitazione della conservazione), i dati sono conservati per:

5.1 Dati Generali

• Dati contrattuali e di servizio: 5 anni dalla cessazione del rapporto contrattuale
• Dati fiscali e fatture: 10 anni (obbligo legale ex Art. 2220 C.C.)
• Log di sicurezza: 12 mesi
• Cookies tecnici: durata sessione
• Cookies analytics: 6 mesi (retention impostata dal provider analytics, vedi Cookie Policy)
• Consensi marketing: fino a revoca
• Accettazioni legali (T&C, Privacy): durata rapporto contrattuale + 10 anni

5.2 Dati AI Voice

• Registrazioni chiamate e trascrizioni: 24 mesi dall'ultima chiamata
• Dati contatti voice: 24 mesi dall'ultima interazione
• Dati sentiment analysis e lead scoring: 12 mesi dalla data di analisi

5.3 Dati AI Chatbot

• Conversazioni chatbot (messaggi): 24 mesi dall'ultima interazione
• Dati contatti raccolti via chatbot: 24 mesi dalla raccolta
• Visitor ID anonimi: 12 mesi
• Analytics chatbot giornalieri: 24 mesi
• Knowledge base: fino a cancellazione manuale da parte del Cliente

5.4 Dati di Pagamento

• Dati carta di credito (ultime 4 cifre, brand): fino a modifica/cancellazione metodo di pagamento
• Dati completi carta: gestiti e conservati esclusivamente dal processor PCI-DSS secondo le proprie policy (7 anni per obblighi fiscali)
• Storico transazioni: 10 anni (obbligo fiscale)
• Fatture elettroniche: 10 anni (Art. 2220 C.C.)

Decorsi tali termini, i dati saranno cancellati in modo sicuro o resi anonimi in forma irreversibile.

6. Comunicazione e Trasferimento dei Dati

I dati personali sono trattati dal Titolare e dal personale autorizzato, con server ubicati in data center certificati all'interno dell'UE.

6.1 Sub-responsabili del Trattamento (Elenco Completo)

Ai sensi dell'Art. 28 GDPR e Art. 13.1.e GDPR, forniamo l'elenco completo e aggiornato dei sub-responsabili del trattamento con cui il Titolare ha stipulato Data Processing Agreement (DPA) conformi al GDPR:

6.2 Trasferimenti Extra-UE e Garanzie Schrems II

Alcuni sub-responsabili hanno sede negli Stati Uniti. I trasferimenti extra-UE sono protetti dalle seguenti garanzie conformi alla sentenza Schrems II (CGUE C-311/18):

• Clausole Contrattuali Standard (SCC): Tutti i sub-responsabili extra-UE hanno firmato le Clausole Contrattuali Standard della Commissione Europea (Decisione 2021/914) con supplementary measures documentate.
• Provider pagamenti: Server primary in UE, processamento pagamenti localizzato in Europa ove possibile, accesso USA limitato a supporto tecnico con pseudonimizzazione.
• I provider di modelli AI: Dichiarano contrattualmente politiche di no-training sui dati dei clienti; i dati non sono conservati oltre i termini contrattuali per abuse detection. Encryption end-to-end, accesso minimizzato.
• Transfer Impact Assessment (TIA): Il Titolare ha condotto valutazione d'impatto sui trasferimenti extra-UE ai sensi Raccomandazioni EDPB 01/2020, con esito positivo (rischi residui mitigati da misure supplementari).

Nota su Data Retention AI Providers: I provider di modelli AI dichiarano contrattualmente politiche di no-training sui dati dei clienti. I dati delle conversazioni non sono utilizzati per migliorare i modelli generali e sono automaticamente eliminati dopo il periodo di retention contrattuale.

6.3 Natura del Trattamento: Controller vs Processor

Importante per i Clienti B2B: Nel contesto B2B SaaS multi-tenant, è fondamentale distinguere:

• V Support è Titolare del Trattamento (Data Controller) per i dati dei propri clienti diretti (utenti della piattaforma): dati account, credenziali, fatturazione, team, statistiche utilizzo.
• V Support agisce come Responsabile del Trattamento (Data Processor) per i dati raccolti tramite chatbot/voicebot configurati dai Clienti: conversazioni con end-user, contatti lead, registrazioni chiamate. In questo caso, il Cliente è il Titolare del Trattamento e determina finalità e mezzi del trattamento. V Support fornisce solo lo strumento tecnico e agisce su istruzioni del Cliente.
• Obblighi del Cliente (se Titolare): Quando il Cliente utilizza i chatbot/voicebot per raccogliere dati degli end-user (suoi clienti finali), deve:
  • Pubblicare propria Privacy Policy completa sul sito dove è installato il widget chatbot
  • Ottenere consenso esplicito degli end-user per raccolta dati via form chatbot
  • Informare gli end-user sulla presenza del voicebot all'inizio della chiamata
  • Garantire diritti GDPR degli end-user (accesso, cancellazione, portabilità, ecc.)
  • Configurare retention dei dati nelle impostazioni chatbot/voicebot secondo proprie policy

Per i dati degli end-user elaborati in qualità di Responsabile del Trattamento per conto del Cliente, la base giuridica è determinata dal Cliente (Titolare).

In caso di future modifiche che prevedano comunicazioni a terzi o trasferimenti extra-UE, l'utente sarà preventivamente informato e richiesto nuovo consenso ove necessario.

7. Diritti dell'Interessato (Artt. 15-22 GDPR)

L'interessato può esercitare in qualsiasi momento i seguenti diritti:

Per esercitare i diritti, scrivere a: assistenza@vsupport.it o vdigital@pec.it

Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta.

8. Diritto di Reclamo all'Autorità di Controllo

Ai sensi dell'Art. 77 GDPR, l'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali se ritiene che il trattamento violi la normativa vigente.

9. Processo Decisionale Automatizzato e Profilazione (Art. 22 GDPR)

La piattaforma utilizza algoritmi di intelligenza artificiale per:

9.1 Elaborazioni AI Voice

• Trascrizione Automatica: conversione speech-to-text delle chiamate vocali
• Lead Scoring: assegnazione automatica di punteggio ai contatti (0-100) basato su frequenza chiamate, durata conversazioni e sentiment
• Sentiment Analysis: classificazione automatica del tono emotivo delle conversazioni (positivo, neutro, negativo)
• Segmentazione: categorizzazione automatica contatti in "hot", "warm", "cold"

9.2 Elaborazioni AI Chatbot

• Generazione Risposte Automatiche: creazione automatica di risposte testuali basate su knowledge base personalizzata e modelli di intelligenza artificiale avanzati. Le risposte sono generate algoritmicamente senza intervento umano preventivo
• Recupero informazioni dalla knowledge base: selezione automatica delle informazioni pertinenti dall'archivio di conoscenza del Cliente per formulare risposte contestuali
• Classificazione Richieste: categorizzazione automatica delle domande utente per indirizzamento al contesto corretto
• Rilevamento Handoff: identificazione automatica di richieste che necessitano intervento umano

Tali elaborazioni sono funzionali alla fornitura del servizio (Art. 6.1.b GDPR). L'utente ha diritto a:

• Ottenere l'intervento umano per revisione delle classificazioni automatiche
• Esprimere la propria opinione sulle decisioni automatizzate
• Contestare e modificare manualmente i risultati (lead score, segment, sentiment)
• Per gli utenti finali del chatbot: richiedere in qualsiasi momento di parlare con un operatore umano cliccando su "Parla con un operatore" nel widget chatbot

10. Trasparenza sull'Utilizzo dell'Intelligenza Artificiale (AI Act - Reg. UE 2024/1689)

Ai sensi dell'Articolo 50 del Regolamento UE 2024/1689 (AI Act), relativo agli obblighi di trasparenza per i sistemi di IA a rischio limitato, informiamo che la Piattaforma utilizza sistemi di intelligenza artificiale come segue:

11. Cookies e Tecnologie di Tracciamento

Il sito utilizza cookies conformemente alla Direttiva ePrivacy 2002/58/CE e alle Linee Guida del Garante Privacy del 10 giugno 2021 (cookie banner obbligatorio per cookies non tecnici).

11.1 Cookie HTTP

11.1bis Dati in LocalStorage

I seguenti dati sono memorizzati in localStorage del browser (non sono cookie HTTP e non vengono trasmessi automaticamente al server):

11.2 Visitor ID Chatbot e Fingerprinting (ePrivacy)

Il widget chatbot integrabile sui siti web utilizza tecnologie di tracciamento per garantire continuità conversazionale:

• Visitor ID anonimo: Identificativo univoco generato lato client (UUID v4 random) e memorizzato in localStorage del browser. Non è un cookie HTTP ma una tecnologia di tracciamento equiparabile ai fini ePrivacy. Durata: 12 mesi dalla prima visita.
• Finalità Visitor ID: Associare messaggi della stessa sessione conversazionale, prevenire spam chatbot (rate limiting 5 conversazioni/ora), riconoscere visitatori ricorrenti senza richiedere login. Base giuridica: Legittimo interesse (Art. 6.1.f GDPR) per funzionalità essenziali del servizio.
• Metadati sessione tracciati: User agent (browser/OS), indirizzo IP (solo hash per geolocalizzazione paese), pagina di provenienza (referer), timestamp interazioni, device type. Questi metadati NON costituiscono profilazione ex Art. 22 GDPR in quanto utilizzati solo per statistiche aggregate anonime e non per decisioni automatizzate sul visitatore.
• Nessun fingerprinting avanzato: V Support NON utilizza tecniche invasive di fingerprinting (canvas fingerprinting, font detection, WebGL fingerprinting) per tracciamento cross-site. Il Visitor ID è esclusivamente locale al dominio del sito del Cliente.

11.3 Gestione Preferenze e Revoca Consenso

Puoi modificare le tue preferenze sui cookies in qualsiasi momento tramite le impostazioni del tuo browser:

• Chrome: Impostazioni → Privacy e sicurezza → Cookie e altri dati dei siti
• Firefox: Preferenze → Privacy e sicurezza → Cookie e dati dei siti web
• Safari: Preferenze → Privacy → Gestisci dati siti web
• Edge: Impostazioni → Cookie e autorizzazioni sito → Cookie e dati dei siti

Nota: La disattivazione dei cookies tecnici (auth-access-token, auth-refresh-token) impedirà l'accesso alle funzionalità autenticate della piattaforma. La cancellazione del Visitor ID chatbot dal localStorage resetterà la cronologia conversazionale ma non impedirà l'utilizzo del chatbot.

Per maggiori informazioni e gestione delle preferenze: Cookie Policy Completa →

12. Modifiche alla Privacy Policy

La presente Privacy Policy può essere modificata nel tempo. Gli utenti saranno informati via email con almeno 30 giorni di preavviso per modifiche sostanziali. La versione aggiornata sarà sempre disponibile su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, potrebbe essere richiesta una nuova accettazione esplicita.

13. Referente Privacy

Titolare del trattamento e Referente Privacy: Victor Gobbetti, V Digital di Victor Gobbetti, P.IVA 05092370237. L'attività di V Digital non rientra nei casi di nomina obbligatoria del Data Protection Officer (DPO) ex Art. 37 GDPR (non autorità pubblica, non trattamento su larga scala di dati sensibili come attività principale). Il Titolare stesso svolge la funzione di Referente Privacy interno: risponde a richieste ex Artt. 15-22 GDPR, gestisce le procedure di data breach, sovrintende alla catena Art. 28 (DPA). Contatto: assistenza@vsupport.it con oggetto 'PRIVACY'.

14. Conformità, Certificazioni e DPIA

V Support è pienamente conforme al Regolamento Generale sulla Protezione dei Dati (GDPR) UE 2016/679. La nostra compliance è verificata attraverso:

• Revisioni periodiche della conformità GDPR condotte internamente, con supporto di consulenza legale esterna. Prossima revisione pianificata: Q2 2026.
• Data Protection Impact Assessment (DPIA) ai sensi Art. 35 GDPR condotta per trattamenti ad alto rischio:
  • DPIA per sistemi AI chatbot/voicebot (decisioni automatizzate su larga scala)
  • DPIA per registrazioni chiamate e trascrizioni vocali (potenziale biometria)
  • DPIA per trasferimenti extra-UE verso provider AI USA
  • Esito DPIA pre-lancio: Rischio residuo accettabile con misure di mitigazione implementate; revisione DPIA pianificata post-lancio e annualmente
  • Revisione DPIA: annuale o in caso modifiche sostanziali trattamento
• Monitoraggio qualità output AI attraverso verifiche periodiche interne sull'accuratezza delle risposte, sulla corretta gestione delle lingue supportate e sulla riduzione di eventuali bias discriminatori. Gli esiti delle verifiche sono documentati internamente e disponibili su richiesta motivata del Cliente Titolare ai sensi del presente DPA.
• SLA documentato per diritto alla cancellazione (Art. 17 GDPR):
  • Dati standard (conversazioni, contatti): max 30 giorni calendario
  • Dati sensibili (registrazioni vocali se richiesto expedited): max 72 ore
  • Certificato cancellazione fornito su richiesta
• Procedura breach notification conforme all'Art. 33-34 GDPR:
  • Notifica Autorità di Controllo (Garante Privacy): entro 72 ore dalla scoperta
  • Notifica interessati: via email all'indirizzo registrato, senza ingiustificato ritardo se alto rischio diritti/liberta'
  • Registro violazioni documentato e mantenuto per audit
  • Incident response plan documentato, prima esercitazione pianificata giugno 2026, cadenza semestrale dal go-live
• Registro attività di trattamento conforme Art. 30 GDPR:
  • Registro Titolare: finalità, categorie dati, destinatari, trasferimenti extra-UE, termini conservazione
  • Registro Responsabile: trattamenti per conto Clienti B2B (chatbot/voicebot end-user)
  • Disponibile per ispezione Garante su richiesta
• Documentazione tecnica disponibile per audit e Clienti B2B su richiesta a privacy@vsupport.it (Registro Trattamenti Art. 30, DPIA Executive Summary, TIA Extra-UE, Elenco Sub-Responsabili)

15. Trattamento Dati Vocali - Disposizioni Speciali

Ai sensi del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy italiano) e delle Linee Guida del Garante Privacy in materia di registrazioni audio/video, il trattamento delle registrazioni vocali e' soggetto a disposizioni speciali:

15.1 Informativa Pre-Chiamata Obbligatoria

Per i Clienti che attivano il servizio AI Voice (Voicebot): È obbligatorio fornire informativa pre-chiamata agli utenti finali prima di avviare la registrazione. Le modalità implementate sono:

• Disclosure verbale automatica: All'inizio di ogni chiamata gestita dal voicebot, viene riprodotto un messaggio audio automatico che informa: "Questa chiamata e registrata per erogare il servizio richiesto ai sensi dell'Art. 6.1(b) GDPR. Se non vuoi che la chiamata sia registrata, puoi riagganciare ora. Per maggiori informazioni sulla privacy, visita [sito Cliente]."
• Base giuridica: La registrazione delle chiamate gestite dal voicebot e' necessaria per l'esecuzione del servizio richiesto (Art. 6(1)(b) GDPR - esecuzione contratto). L'informativa pre-chiamata garantisce che il chiamante sia consapevole della registrazione prima di proseguire. L'utente puo' interrompere la chiamata in qualsiasi momento per non acconsentire.
• Link Privacy Policy Cliente: Il messaggio verbale deve includere riferimento alla Privacy Policy del Cliente (Titolare del trattamento per le registrazioni) dove sono dettagliati finalità, retention, diritti.
• Opt-out manuale: Gli utenti finali possono richiedere la cancellazione immediata della registrazione al termine della chiamata contattando il Cliente direttamente. V Support fornisce funzionalità di cancellazione entro 24 ore dalla richiesta.

15.2 Consenso Esplicito per Registrazioni (Cliente B2B)

Se il Cliente (Titolare del trattamento) desidera utilizzare registrazioni vocali per finalità diverse dal servizio base (es. training AI personalizzato, marketing, voice analytics avanzato), deve ottenere consenso esplicito preventivo dagli end-user tramite:

• Form opt-in separato sul sito web prima della chiamata
• Checkbox esplicita durante processo di prenotazione call
• IVR (Interactive Voice Response) con richiesta consenso vocale: "Premi 1 per acconsentire alla registrazione per finalità di miglioramento servizio"

15.3 Configurazione Retention Registrazioni

Il Cliente può configurare nelle impostazioni voicebot:

• Retention automatica: Da 7 giorni a 24 mesi (default: 12 mesi)
• Cancellazione automatica: Opzione per eliminazione automatica dopo X giorni senza interazioni
• Disabilitazione registrazione: Solo trascrizioni testuali senza audio (compliant con privacy stringente)
• Anonimizzazione: Rimozione automatica metadati identificativi (numero telefono, nome) dopo 90 giorni

15bis. Protezione dei Minori

La Piattaforma V Support è destinata esclusivamente a utenti maggiorenni (persone fisiche) e a operatori aziendali (B2B). Non raccogliamo consapevolmente dati personali di minori di 14 anni. Ai sensi dell'Art. 2-quinquies del D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018), il consenso al trattamento dei dati personali dei minori è valido a partire dai 14 anni; per i minori di età inferiore è richiesto il consenso del titolare della responsabilità genitoriale.

Se veniamo a conoscenza di aver raccolto dati di minori di 14 anni senza consenso del genitore/tutore, provvederemo alla cancellazione immediata. Per segnalazioni: assistenza@vsupport.it.

I chatbot/voicebot configurati dai Clienti su siti web rivolti a minori devono rispettare la normativa applicabile. Il Cliente è responsabile dell'implementazione delle misure appropriate per la protezione dei minori sul proprio sito.

15ter. Memoria cliente cross-canale

Per migliorare la continuità dell'assistenza ed evitare di chiedere ripetutamente al cliente finale informazioni già fornite, la Piattaforma può generare un riepilogo testuale ed una lista di "fatti rilevanti" (preferenze, budget indicativo, prodotto di interesse, lingua, ecc.) a partire dalle interazioni passate del cliente finale (chiamate voice, ticket, messaggi). Il Titolare del trattamento di questa funzione è il Cliente B2B; V Support agisce come Responsabile (Art. 28 GDPR).

Base giuridica: Art. 6(1)(f) GDPR: legittimo interesse del Cliente alla continuità del servizio di assistenza, bilanciato dal diritto di opposizione (Art. 21) e dal diritto di cancellazione (Art. 17) esercitabili in qualsiasi momento.

Categorie di dati e durata: il riepilogo è limitato a 1500 caratteri, i fatti rilevanti a un massimo di 10-20 entry. La memoria è rolling: viene sovrascritta ad ogni rigenerazione (massimo ogni 6 ore, oppure subito dopo un ticket/handoff). Nessuno storico storico di versioni precedenti è conservato come dato vivo.

Misure di sicurezza specifiche prima del trattamento AI:

• Codici Fiscali, IBAN, carte di credito (validate con algoritmo di Luhn), Partita IVA ed email vengono redatti automaticamente in placeholder (es. [CF], [IBAN], [CC]) prima dell'invio al modello linguistico generativo
• Le trascrizioni vengono neutralizzate contro prompt injection prima del trattamento AI
• L'output AI viene a sua volta sanitizzato (PII redact + injection strip) prima del salvataggio (defense in depth)
• L'input al modello linguistico contiene solo trascrizioni grezze, mai riepiloghi precedenti, così da prevenire il fenomeno del "drift" da compressione cumulativa
• Soglia di confidenza minima ≥0.7 per accettare un "fatto" estratto dall'AI

Sub-responsabili coinvolti: fornitore di infrastruttura cloud UE (server in Francoforte), gateway AI USA con SCC 2021/914 (per la generazione del riepilogo via modello linguistico generativo). L'elenco nominativo completo è disponibile su richiesta scritta a privacy@vsupport.it ex Art. 15 GDPR entro 30 giorni.

Diritti dell'interessato:

• Art. 15 (accesso): il riepilogo e i fatti rilevanti sono esportabili in formato JSON tramite l'interfaccia del Cliente B2B (tab "Memoria" nella scheda contatto), oppure su richiesta scritta a privacy@vsupport.it
• Art. 17 (cancellazione): cancellazione one-click dalla stessa interfaccia. Il riepilogo viene azzerato immediatamente. Una nuova memoria potrà essere ricostruita da eventi successivi salvo opt-out
• Art. 21 (opposizione): opt-out one-click che esclude il contatto da future rigenerazioni di memoria. Il flag è persistente e applicato in tutti i punti di lettura della memoria (fail-closed)

16. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati personali, contattare: