Privacy Policy

Come NormaAI tratta i dati aziendali necessari all'erogazione del servizio, ai sensi del GDPR.

Ultimo aggiornamento: Marzo 2026 · NormaAI v0.3

1. Titolare e Responsabile del Trattamento

L'Utente (Titolare del trattamento) affida a NormaAI S.r.l. (Responsabile del trattamento) il trattamento dei dati aziendali necessari all'erogazione del servizio, ai sensi dell'Art. 28 GDPR.

2. Dati Trattati

  • Profili aziendali (settore, dimensione, fatturato, giurisdizioni)
  • Query di compliance e cronologia conversazioni
  • Documenti caricati per analisi
  • Metadati di utilizzo del servizio

3. Base Giuridica e Finalità

I dati sono trattati sulla base della necessità contrattuale (Art. 6(1)(b) GDPR) per la sola finalità di erogazione del servizio di analisi di conformità normativa. Nessun dato viene condiviso con terzi per finalità diverse dal servizio.

3-bis. Prospecting e marketing diretto B2B

Per le sole comunicazioni commerciali B2B (outbound), NormaAI tratta dati di contatto professionali (nome, ruolo, email aziendale, organizzazione) raccolti da fonti pubbliche e professionali, sulla base del legittimo interesse al marketing diretto (Art. 6(1)(f) GDPR, Considerando 47). L'interessato può opporsi in qualsiasi momento e senza oneri (Art. 21), rispondendo «STOP» o scrivendo a privacy@normaai.org; ogni email include inoltre un header di disiscrizione (List-Unsubscribe). I contatti che si oppongono o non rispondono sono inseriti in una lista di soppressione e non più contattati.

4. Sub-Responsabili del Trattamento

  • Google LLC (Gemini API) — elaborazione query AI. Trasferimenti USA coperti da Standard Contractual Clauses (SCC) e Data Privacy Framework (DPF).
  • Resend, Inc. (USA) — invio di email transazionali e di servizio (outbound). Trasferimenti coperti da SCC.
  • Google Workspace / Gmail (USA) — casella di posta per la gestione delle risposte (inbound). Coperto da DPF/SCC.
  • Hetzner Online GmbH (Germania, UE) — hosting applicativo e database con data residency UE; nessun trasferimento extra-UE.

5. Conservazione

I dati sono conservati per la durata del contratto di servizio. Al termine, i dati vengono cancellati entro 90 giorni, salvo obblighi di legge.

6. Diritti dell'Interessato

L'Utente può esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione scrivendo a privacy@normaai.org.

7. Trasparenza AI (Art. 50 AI Act)

NormaAI utilizza il modello Gemini 2.5 Flash (Google) per generare analisi normative. La knowledge base contiene testi di 7 framework normativi EU (CSRD, CSDDD, AI Act, DORA, NIS2, EU Taxonomy, GDPR). Tutti gli output sono generati da intelligenza artificiale e richiedono verifica da parte di professionisti qualificati.