Privacy

Informativa sulla privacy

Come SetAIComply raccoglie, utilizza e protegge i vostri dati personali ai sensi del GDPR.

Ultimo aggiornamento: Marzo 2026

1. Introduzione

La presente informativa sulla privacy descrive come SetAIComply (di seguito «SetAIComply», «noi», «nostro») raccoglie, utilizza, conserva e protegge i dati personali dei propri utenti (di seguito «voi», «l'Utente») in relazione all'utilizzo della piattaforma SaaS SetAIComply dedicata alla conformità al Regolamento europeo sull'intelligenza artificiale (Regolamento (UE) 2024/1689, di seguito «Regolamento sull'IA»).

La presente informativa è redatta in conformità al Regolamento generale sulla protezione dei dati (UE) 2016/679 (di seguito «GDPR») e alla Legge n. 78-17 del 6 gennaio 1978 relativa all'informatica, ai file e alle libertà, nella sua versione modificata.

2. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

Ragione sociale: SetAIComply
Email di contatto: support@setaicomply.com

3. Dati raccolti e finalità del trattamento

3.1 Dati di identificazione e dell'account

Al momento della creazione del vostro account e durante l'utilizzo della piattaforma, raccogliamo i seguenti dati:

Cognome e nome
Indirizzo email professionale
Nome dell'azienda e settore di attività della vostra organizzazione
Ruolo all'interno dell'organizzazione
Password (memorizzata in forma crittografata)

Finalità: creazione e gestione del vostro account utente, autenticazione, comunicazioni relative al servizio.

Base giuridica: esecuzione del contratto (articolo 6.1.b del GDPR).

3.2 Dati di fatturazione

Per l'elaborazione dei vostri pagamenti, raccogliamo:

Indirizzo di fatturazione
Numero di partita IVA intracomunitaria (se applicabile)
Storico delle fatture e dei pagamenti

I dati delle carte di credito sono raccolti e trattati esclusivamente dal nostro fornitore di pagamento Stripe, Inc. e non vengono mai memorizzati sui nostri server.

Finalità: fatturazione, gestione degli abbonamenti, adempimento degli obblighi contabili e fiscali.

Base giuridica: esecuzione del contratto (articolo 6.1.b del GDPR) e obbligo legale (articolo 6.1.c del GDPR).

3.3 Dati di utilizzo della piattaforma

Raccogliamo dati relativi al vostro utilizzo della piattaforma:

Descrizioni e parametri dei sistemi di IA che registrate sulla piattaforma
Risultati della classificazione dei rischi e valutazioni di conformità
Documenti generati (documentazione tecnica dell'Allegato IV)
Storico delle azioni e registro di audit
Commenti e annotazioni

Finalità: fornitura del servizio di conformità al Regolamento sull'IA, generazione della documentazione, monitoraggio della conformità.

Base giuridica: esecuzione del contratto (articolo 6.1.b del GDPR).

3.4 Dati tecnici e di connessione

Raccogliamo automaticamente alcuni dati tecnici:

Indirizzo IP
Tipo e versione del browser
Sistema operativo
Pagine visitate e percorso di navigazione
Data e ora della connessione
Identificatori di sessione

Finalità: sicurezza della piattaforma, miglioramento del servizio, diagnostica tecnica, adempimento degli obblighi legali di conservazione dei dati di connessione.

Base giuridica: interesse legittimo (articolo 6.1.f del GDPR) e obbligo legale (articolo 6.1.c del GDPR).

3.5 Cookie

La nostra piattaforma utilizza cookie strettamente necessari per il funzionamento del servizio (autenticazione, preferenze di sessione). Non utilizziamo cookie pubblicitari né tracker di terze parti a scopo di profilazione. Per i cookie di analisi del pubblico, il vostro consenso viene ottenuto preventivamente in conformità all'articolo 82 della Legge francese sulla protezione dei dati.

4. Utilizzo dell'intelligenza artificiale

La nostra piattaforma utilizza servizi di intelligenza artificiale forniti da Anthropic, PBC (Claude API) per la generazione automatizzata di documentazione tecnica e l'assistenza nella classificazione dei sistemi di IA.

In questo contesto, alcuni dati descrittivi dei vostri sistemi di IA (descrizioni funzionali, casi d'uso, parametri tecnici) possono essere trasmessi all'API Anthropic Claude per l'elaborazione delle richieste. Tali dati sono utilizzati esclusivamente per generare risposte alle vostre richieste e non vengono utilizzati da Anthropic per addestrare i propri modelli, in conformità al nostro accordo di trattamento dei dati con questo sub-responsabile.

Nell'uso ordinario della piattaforma, nessun dato personale che identifichi direttamente persone fisiche viene trasmesso all'API Anthropic Claude.

5. Destinatari dei dati

I vostri dati personali sono accessibili esclusivamente a:

Il personale autorizzato di SetAIComply, strettamente nella misura necessaria per l'adempimento delle proprie funzioni
I nostri sub-responsabili del trattamento, alle condizioni descritte nella Sezione 6
Se del caso, le autorità competenti in risposta a un obbligo di legge o a un'ordinanza giudiziaria

Non vendiamo, affittiamo né condividiamo mai i vostri dati personali con terze parti per scopi commerciali o pubblicitari.

6. Sub-responsabili del trattamento e trasferimenti di dati

Utilizziamo i seguenti sub-responsabili del trattamento per il funzionamento della piattaforma:

Sub-responsabile	Finalità	Ubicazione dei dati	Garanzie
Railway Corporation	Hosting dell'applicazione, del database e della cache	Unione Europea (Amsterdam, Paesi Bassi)	Regione dati UE, SOC 2 Type II, DPA conforme al GDPR, crittografia a riposo, clausole contrattuali tipo dell'UE ove applicabile
Stripe, Inc.	Elaborazione dei pagamenti	Unione Europea	Certificato PCI DSS Livello 1, DPA conforme al GDPR
Anthropic, PBC	Generazione di documentazione assistita dall'IA (Claude API)	Stati Uniti	DPA conforme al GDPR, clausole contrattuali tipo (SCC) della Commissione Europea
Cloudflare, Inc.	Consegna di email transazionali e DNS	Unione Europea / edge globale	DPA conforme al GDPR, clausole contrattuali tipo (SCC) della Commissione Europea

I trasferimenti verso sub-responsabili del trattamento costituiti negli Stati Uniti — Anthropic (generazione assistita dall'IA) e Cloudflare (consegna di email transazionali e DNS) — sono disciplinati dalle clausole contrattuali tipo adottate dalla Commissione Europea (Decisione di esecuzione 2021/914), integrate da misure supplementari appropriate. Il trasferimento verso Anthropic riguarda esclusivamente i dati descrittivi dei sistemi di IA (nessun dato direttamente identificativo); il trasferimento verso Cloudflare riguarda l'indirizzo email e il contenuto dei messaggi transazionali che vi inviamo.

7. Sicurezza dei dati

Implementiamo misure tecniche e organizzative appropriate per garantire la sicurezza dei vostri dati, tra cui:

Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256)
Hosting su infrastruttura UE situata ad Amsterdam, Paesi Bassi (Railway)
Autenticazione sicura con hashing delle password (bcrypt)
Controllo degli accessi basato sui ruoli (RBAC)
Registrazione degli accessi e delle azioni
Backup crittografati regolari
Test e audit di sicurezza regolari
Politica di gestione degli incidenti di sicurezza

8. Periodi di conservazione dei dati

I vostri dati sono conservati per i seguenti periodi:

Dati dell'account: per la durata del vostro abbonamento, poi 3 anni dopo la chiusura dell'account ai fini della gestione dei contenziosi
Dati di fatturazione: 10 anni in conformità agli obblighi contabili e fiscali (articolo L.123-22 del Codice di commercio francese)
Dati di utilizzo (sistemi di IA, documenti): per la durata del vostro abbonamento, poi cancellati entro 90 giorni dalla chiusura dell'account, salvo obbligo legale contrario
Dati tecnici e log: 12 mesi in conformità alla legislazione applicabile (Decreto n. 2011-219 del 25 febbraio 2011)
Cookie: massimo 13 mesi in conformità alle raccomandazioni della CNIL

Allo scadere di tali periodi, i vostri dati vengono cancellati in modo permanente o resi anonimi in modo irreversibile.

9. I vostri diritti

In conformità al GDPR e alla Legge francese sulla protezione dei dati, disponete dei seguenti diritti sui vostri dati personali:

Diritto di accesso (articolo 15 del GDPR): ottenere la conferma che i vostri dati sono oggetto di trattamento e ottenerne una copia
Diritto di rettifica (articolo 16 del GDPR): richiedere la correzione di dati inesatti o il completamento di dati incompleti
Diritto alla cancellazione (articolo 17 del GDPR): richiedere la cancellazione dei vostri dati nei casi previsti dalla normativa
Diritto alla limitazione del trattamento (articolo 18 del GDPR): richiedere la sospensione del trattamento dei vostri dati in determinati casi
Diritto alla portabilità dei dati (articolo 20 del GDPR): ricevere i vostri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
Diritto di opposizione (articolo 21 del GDPR): opporsi al trattamento dei vostri dati basato su un interesse legittimo
Diritto di definire direttive post mortem: in conformità all'articolo 85 della Legge francese sulla protezione dei dati, definire direttive relative alla sorte dei vostri dati dopo il decesso

Per esercitare i vostri diritti, potete contattarci:

Via email: support@setaicomply.com

Ci impegniamo a rispondere alla vostra richiesta entro un mese dal ricevimento. Tale termine può essere prorogato di due mesi in caso di richieste complesse o numerose, nel qual caso sarete informati.

Avete inoltre il diritto di presentare un reclamo presso la Commission Nationale de l'Informatique et des Libertés (CNIL):

CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

Sito web: www.cnil.fr

10. Modifiche all'informativa sulla privacy

Ci riserviamo il diritto di modificare la presente informativa sulla privacy in qualsiasi momento. In caso di modifica sostanziale, sarete informati via email o tramite una notifica sulla piattaforma con almeno 30 giorni di anticipo prima dell'entrata in vigore delle modifiche. L'uso continuato della piattaforma dopo l'entrata in vigore delle modifiche costituisce accettazione dell'informativa modificata.

11. Contatto

Per qualsiasi domanda relativa alla presente informativa sulla privacy o al trattamento dei vostri dati personali, potete contattarci all'indirizzo: support@setaicomply.com.