1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è CardeAI (di seguito anche "Titolare", "noi"), con sede in [INDIRIZZO DA INSERIRE], P.IVA [DA INSERIRE], C.F. [DA INSERIRE].
Per qualsiasi richiesta o esercizio dei diritti previsti dal GDPR, è possibile contattare il Titolare all'indirizzo email privacy@cardeai.it.
Il Titolare non è tenuto, ai sensi dell'art. 37 GDPR, alla nomina obbligatoria di un Responsabile della Protezione dei Dati (DPO). Per richieste relative alla protezione dei dati ci si può rivolgere direttamente al Titolare tramite i contatti sopra indicati.
2. Categorie di dati personali raccolti
Il Titolare tratta le seguenti categorie di dati personali:
2.1 Dati forniti volontariamente dall'utente
- Dati di contatto e identificativi: nome, cognome, ruolo aziendale, indirizzo email, nome dell'azienda — raccolti tramite il modulo "Contatti" o l'invio diretto via email a info@cardeai.it.
- Contenuto della comunicazione: il messaggio inviato attraverso il form e ogni successiva corrispondenza.
- Dati di consenso: registrazione del consenso prestato (data, modalità, contenuto).
2.2 Dati raccolti automaticamente durante la navigazione
- Dati tecnici di navigazione: indirizzo IP (in forma anonimizzata, qualora l'utente abbia prestato consenso ai cookie di analytics), tipo di browser, sistema operativo, pagina di provenienza, data e ora di accesso, pagine visitate. Tali dati sono trattati per esigenze tecniche, di sicurezza e di analisi aggregata anonima del traffico.
- Cookie: si rimanda alla Cookie Policy per il dettaglio dei cookie utilizzati.
2.3 Dati raccolti tramite fonti terze (per i prospect destinatari di campagne outreach)
Nell'ambito dei servizi forniti da CardeAI ai propri clienti business (servizi di prospezione B2B automatica), il Titolare può trattare in qualità di Responsabile del trattamento ex art. 28 GDPR dati professionali di contatto (nome, cognome, ruolo, email aziendale, settore, azienda di appartenenza) di soggetti decisori aziendali (cd. prospect) raccolti da fonti pubbliche o commerciali (es. Apollo.io, LinkedIn, registri camerali, siti aziendali). Il trattamento di tali dati è disciplinato da apposito Data Processing Agreement (DPA) stipulato con il cliente CardeAI, che agisce in qualità di Titolare del trattamento ai sensi del GDPR. I prospect destinatari hanno sempre la possibilità di esercitare il diritto di opposizione (opt-out) in ogni comunicazione ricevuta.
3. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica | Conferimento |
|---|---|---|
| Rispondere a richieste di informazioni, preventivi o demo inviate tramite il sito o via email | Art. 6, par. 1, lett. b) GDPR — esecuzione di misure precontrattuali su richiesta dell'interessato | Obbligatorio per la finalità |
| Adempimento di obblighi di legge (fiscali, contabili, antiriciclaggio) | Art. 6, par. 1, lett. c) GDPR — adempimento di un obbligo legale | Obbligatorio |
| Invio di comunicazioni commerciali e materiali informativi (newsletter, aggiornamenti su prodotti CardeAI) | Art. 6, par. 1, lett. a) GDPR — consenso specifico, libero, revocabile | Facoltativo; revocabile in ogni momento |
| Analisi aggregata anonima del traffico sul sito web | Art. 6, par. 1, lett. a) GDPR — consenso espresso tramite banner cookie | Facoltativo; revocabile in ogni momento |
| Difesa di un diritto in sede giudiziaria | Art. 6, par. 1, lett. f) GDPR — legittimo interesse del Titolare | Obbligatorio per legittimo interesse |
4. Destinatari dei dati e Responsabili del trattamento
I dati personali raccolti potranno essere comunicati alle seguenti categorie di soggetti, sempre nei limiti delle finalità sopra indicate:
- Personale autorizzato del Titolare, debitamente formato e vincolato da obblighi di riservatezza.
- Fornitori di servizi tecnici esterni (cd. Responsabili del trattamento), nominati ai sensi dell'art. 28 GDPR. I principali sono elencati nella tabella seguente.
- Autorità competenti, qualora richiesto da obblighi di legge.
4.1 Elenco dei principali Responsabili del trattamento (subprocessor)
| Soggetto | Servizio | Sede / paese | Garanzie |
|---|---|---|---|
| Microsoft Corporation | Hosting email (Microsoft 365), infrastruttura mittente | Stati Uniti / Irlanda (UE) | DPA standard Microsoft, SCC, Data Privacy Framework UE-USA |
| Anthropic PBC | Servizi di intelligenza artificiale (Claude API) | Stati Uniti | SCC ex art. 46 GDPR, Trust Center Anthropic, dati non usati per training |
| Airtable Inc. | Database gestionale (lead, risposte, opportunità) | Stati Uniti | SCC, certificazione SOC 2, Data Privacy Framework UE-USA |
| Instantly.ai | Invio cold email, gestione warmup, tracking | Stati Uniti | SCC ex art. 46 GDPR, DPA dedicato |
| n8n GmbH | Orchestrazione workflow di automazione | Germania (UE) | Trattamento all'interno dello SEE |
Un elenco completo e aggiornato dei subprocessor utilizzati può essere richiesto in qualsiasi momento scrivendo a privacy@cardeai.it.
5. Trasferimento dei dati verso paesi terzi
Alcuni dei Responsabili del trattamento sopra indicati hanno sede negli Stati Uniti d'America. Il trasferimento dei dati verso tali soggetti avviene sulla base delle seguenti garanzie, conformemente al Capo V del GDPR:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione (UE) 2021/914 del 4 giugno 2021;
- EU-U.S. Data Privacy Framework (decisione di adeguatezza della Commissione Europea del 10 luglio 2023), ove applicabile, per i fornitori certificati;
- Misure tecniche e organizzative supplementari, ove necessarie a seguito di Transfer Impact Assessment (TIA).
L'interessato può richiedere copia delle SCC stipulate o ulteriori informazioni sulle garanzie applicate scrivendo a privacy@cardeai.it.
6. Tempi di conservazione
I dati personali saranno conservati per i seguenti periodi:
- Dati di contatto raccolti tramite form per richieste informative non sfociate in contratto: 24 mesi dall'ultimo contatto, salvo richiesta anticipata di cancellazione.
- Dati relativi a rapporti contrattuali (clienti): per tutta la durata del contratto e per i 10 anni successivi alla cessazione, ai sensi degli obblighi civilistici e fiscali (art. 2220 c.c., DPR 600/1973).
- Dati raccolti per finalità di marketing previo consenso: fino a revoca del consenso o massimo 24 mesi dall'ultimo contatto.
- Log di navigazione tecnici: massimo 12 mesi.
- Cookie: secondo i tempi indicati nella Cookie Policy.
Al termine del periodo di conservazione i dati saranno cancellati o resi anonimi in forma irreversibile, salvo necessità di conservazione per la difesa di un diritto in giudizio.
7. Diritti dell'interessato
In qualunque momento, ai sensi degli artt. 15-22 GDPR, l'interessato può esercitare i seguenti diritti:
- Diritto di accesso (art. 15) — ottenere conferma dell'esistenza del trattamento e una copia dei dati;
- Diritto di rettifica (art. 16) — correggere dati inesatti o integrare dati incompleti;
- Diritto alla cancellazione / "diritto all'oblio" (art. 17) — ottenere la cancellazione dei dati nei casi previsti;
- Diritto di limitazione (art. 18) — limitare il trattamento in casi specifici;
- Diritto alla portabilità (art. 20) — ricevere i dati in formato strutturato e leggibile da dispositivo automatico;
- Diritto di opposizione (art. 21) — opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto;
- Diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca;
- Diritto di non essere sottoposto a decisioni automatizzate (art. 22) che producano effetti giuridici o significativi sulla persona.
I diritti possono essere esercitati gratuitamente inviando una richiesta a privacy@cardeai.it. Il Titolare risponderà entro 30 giorni dal ricevimento della richiesta, salvo proroga motivata di ulteriori 60 giorni nei casi previsti dall'art. 12 GDPR.
8. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio, tra cui:
- cifratura dei dati in transito (TLS 1.2+) e a riposo presso i sistemi dei subprocessor;
- controllo degli accessi basato sul principio del minimo privilegio e autenticazione a due fattori per il personale autorizzato;
- backup regolari e procedure di disaster recovery;
- configurazione robusta dell'infrastruttura email (SPF, DKIM, DMARC) per prevenire spoofing e abusi;
- monitoraggio continuo di eventuali violazioni e procedura interna di gestione del data breach conforme agli artt. 33-34 GDPR;
- formazione del personale sui temi della protezione dei dati personali.
9. Minori
I servizi offerti dal Titolare sono destinati esclusivamente a un pubblico B2B professionale e non sono rivolti a minori di 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora venga rilevata la presenza di dati di minori, gli stessi saranno prontamente cancellati.
10. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli interessati attraverso pubblicazione sul sito cardeai.it. Si invitano gli utenti a consultare periodicamente questa pagina per essere sempre aggiornati. La data dell'ultimo aggiornamento è indicata in cima al documento.
11. Diritto di reclamo all'autorità di controllo
L'interessato che ritenga che il trattamento dei propri dati personali violi il GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali (autorità di controllo italiana):
- sito web: www.garanteprivacy.it
- email: protocollo@gpdp.it
- PEC: protocollo@pec.gpdp.it
- indirizzo: Piazza Venezia, 11 — 00187 Roma
Ai sensi dell'art. 79 GDPR, l'interessato ha inoltre diritto a un ricorso giurisdizionale effettivo.
12. Contatti per la privacy
Per qualsiasi domanda relativa al trattamento dei dati personali o per esercitare i propri diritti:
- Email: privacy@cardeai.it
- Email generale: info@cardeai.it