Aller au contenu principal
AIFORYA

Informativa sulla privacy

1. Introduzione e impegno

AIFORYA si impegna a proteggere la privacy dei suoi utenti e clienti. La presente Informativa sulla privacy (di seguito "l'Informativa") descrive come AIFORYA raccoglie, utilizza, protegge, conserva e condivide i Suoi dati personali. L'approccio è minimalista e rispetta i principi di "Privacy by Design".

La presente Informativa è conforme ai requisiti del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679), del UK General Data Protection Regulation (UK GDPR), del California Consumer Privacy Act (CCPA) e della Lei Geral de Proteção de Dados (LGPD) in Brasile.

2. Titolare del trattamento e DPO

  • Titolare del trattamento: AIFORYA (impresa individuale), 1 rue de Stockholm, 75008 Parigi, Francia. SIREN 498 592 104.
  • DPO: È stato designato un Responsabile della Protezione dei Dati. Contatto: dpo@aiforya.fr.

3. Dati personali raccolti — approccio minimalista

AIFORYA raccoglie solo i dati strettamente necessari per le finalità definite di seguito.

| Finalità | Categorie di dati | Base giuridica | Conservazione | | :--- | :--- | :--- | :--- | | Gestione dell'account e degli abbonamenti | Email, nome, password con hash, tipo di abbonamento, storico delle transazioni | Esecuzione del contratto | Durata dell'abbonamento + 3 anni | | Fatturazione e contabilità | Indirizzo postale, paese, partita IVA intracomunitaria (se applicabile) | Obbligo legale | 10 anni | | Supporto clienti | Contenuto degli scambi, ID cliente, storico del problema | Esecuzione del contratto / Interesse legittimo | 5 anni dopo l'ultima interazione | | Sicurezza e manutenzione | Log di connessione (IP, User-Agent, data, azioni chiave) | Interesse legittimo | 12 mesi | | Misurazione dell'audience (anonimizzata) | Dati di navigazione anonimizzati | Consenso | 13 mesi | | Newsletter | Indirizzo email | Consenso | Fino alla cancellazione |

4. Cosa NON viene MAI raccolto (Privacy by Design)

  • Le chiavi API di servizi terzi (BYOK): le chiavi API che il cliente utilizza per i fornitori di IA (Anthropic, OpenAI, Google, ecc.) sono memorizzate in forma crittografata sulla sua installazione WordPress e non transitano mai attraverso i server di AIFORYA. AIFORYA non ha alcun accesso ad esse.
  • Il contenuto generato tramite le estensioni: i prompt inviati ai modelli di IA e le risposte vengono scambiati direttamente tra il server del cliente e il fornitore di IA. AIFORYA non intercetta, non legge, non memorizza e non analizza mai tali contenuti.
  • I dati di pagamento completi: le informazioni della carta di credito sono trattate direttamente da Stripe. AIFORYA non memorizza mai i numeri di carta né i CVV.
  • Il contenuto dei siti CMS: AIFORYA non accede, non legge e non memorizza mai il contenuto editoriale (articoli, pagine, dati degli utenti) dei siti dei clienti.

5. Destinatari e trasferimenti internazionali

I dati sono condivisi unicamente con i seguenti responsabili del trattamento essenziali:

| Responsabile del trattamento | Paese | Ruolo | Garanzia di trasferimento | | :--- | :--- | :--- | :--- | | Stripe Inc. | USA / Irlanda | Pagamenti e gestione degli abbonamenti | EU-US Data Privacy Framework (DPF) / CCT | | Vercel Inc. | USA | Hosting frontend, misurazione dell'audience previo consenso | EU-US DPF / CCT | | Railway Corp | USA | Hosting backend | Clausole Contrattuali Standard (CCT) | | Supabase Inc. | USA | Database | EU-US DPF / CCT | | Axeptio (Sirdata) | Francia (UE) | Piattaforma di gestione del consenso (CMP) | GDPR — nessun trasferimento fuori UE | | Resend, Inc. | USA | Invio di email transazionali (conferma contatto, newsletter) | EU-US DPF / CCT |

AIFORYA si assicura che qualsiasi trasferimento al di fuori dello Spazio Economico Europeo avvenga in conformità con i requisiti legali (CCT della Commissione Europea o quadro EU-US DPF).

6. Sicurezza dei dati

  • Crittografia: TLS per tutte le comunicazioni, crittografia dei dati sensibili a riposo.
  • Controlli di accesso: politica del privilegio minimo.
  • Hashing: le password sono sottoposte ad hashing con algoritmi robusti e non reversibili.
  • Audit: test di intrusione e audit di sicurezza regolari.
  • Backup: procedure di backup e ripristino.

7. Diritti GDPR / UK GDPR

  • Diritto di accesso (art. 15): ottenere una copia dei dati detenuti.
  • Diritto di rettifica (art. 16): correggere dati inesatti.
  • Diritto all'oblio (art. 17): cancellare i dati.
  • Diritto di limitazione di trattamento (art. 18).
  • Diritto alla portabilità dei dati (art. 20).
  • Diritto di opposizione (art. 21).

Per esercitare tali diritti: dpo@aiforya.fr. Risposta entro 1 mese (prorogabile di 2 mesi in caso di complessità). Potrebbe essere richiesta una prova di identità.

L'utente ha il diritto di presentare un reclamo alla CNIL (in Italia, l'autorità di controllo competente è il Garante per la protezione dei dati personali: www.gpdp.it).

8. Diritti specifici (CCPA, LGPD)

  • California (CCPA): diritti di accesso, cancellazione e non discriminazione. AIFORYA non vende dati personali e rispetta i segnali "Do Not Track".
  • Brasile (LGPD): diritti simili a quelli del GDPR.

Contatto: dpo@aiforya.fr.

9. Clausole specifiche per l'IA generativa e il modello BYOK

AIFORYA opera secondo un modello Bring Your Own Key (BYOK). Le chiamate ai servizi di IA generativa vengono effettuate direttamente dall'estensione dal server del cliente verso il fornitore di IA, utilizzando la chiave API del cliente.

  • Flusso di dati: i prompt e le risposte dell'IA non transitano mai attraverso i server di AIFORYA.
  • Responsabilità: il cliente è l'unico responsabile dei dati che invia ai fornitori di IA e dei contenuti generati. Deve assicurarsi che i suoi utilizzi rispettino le politiche dei fornitori e le leggi applicabili.

10. Accesso tramite Google (Google Sign-In) — Use of Google User Data

AIFORYA propone, in modo opzionale, l'accesso alla sua applicazione web tramite Google Sign-In (OAuth 2.0 / OpenID Connect). Questa sezione descrive in modo esaustivo, in conformità con la Google API Services User Data Policy (inclusi i requisiti di Limited Use), come AIFORYA accede, utilizza, conserva e condivide i dati utente Google.

10.1. Ambiti (scope) richiesti

AIFORYA richiede esclusivamente i tre ambiti non sensibili standard di OpenID Connect:

  • openid — identificatore utente Google stabile (claim sub)
  • email — indirizzo e-mail principale dell'account Google
  • profile — nome completo, nome, cognome, lingua e URL dell'immagine del profilo

Non viene richiesto alcun ambito sensibile o riservato. AIFORYA non accede a Gmail, Drive, Calendar, Contacts, YouTube, Photos, né a qualsiasi altra API di prodotto Google contenente dati utente.

10.2. Dati effettivamente raccolti

All'accesso, AIFORYA raccoglie esclusivamente, da Google:

  • l'identificatore Google (sub),
  • l'indirizzo e-mail verificato,
  • il nome visualizzato e, ove disponibile, l'URL dell'immagine del profilo pubblica.

10.3. Finalità d'uso (Data Usage)

Questi dati vengono utilizzati unicamente per:

  • Autenticare l'utente nell'applicazione web AIFORYA (verifica dell'identità al momento del login);
  • Creare o recuperare l'account AIFORYA corrispondente all'utente;
  • Visualizzare il suo nome e indirizzo e-mail nel suo dashboard e nella pagina "Il mio account".

I dati utente Google non vengono mai utilizzati per scopi pubblicitari, di profilazione oltre l'autenticazione, di estrazione di liste contatti, di valutazione del merito creditizio, né per addestrare alcun modello di IA/ML generalizzato. Non vengono condivisi con partner di marketing.

10.4. Conservazione e archiviazione

I dati utente Google vengono archiviati in un database PostgreSQL gestito da Supabase (regione UE — Frankfurt, eu-central-1), con crittografia a riposo e Row-Level Security. La conservazione è estesa per tutta la durata di vita dell'account utente. L'utente può cancellare il proprio account e tutti i dati associati in qualsiasi momento tramite https://www.aiforya.fr/it/mon-compte; la cancellazione diventa effettiva entro 30 giorni.

10.5. Condivisione e responsabili del trattamento

I dati utente Google non vengono mai venduti, ceduti, trasferiti o condivisi con terze parti per scopi pubblicitari o non legati alla finalità descritta sopra. L'unico responsabile del trattamento con accesso incidentale potenziale è il nostro fornitore di hosting di database gestito (Supabase, UE), nell'ambito di un Accordo di Trattamento dei Dati conforme al GDPR.

10.6. Conformità a Limited Use

L'utilizzo e il trasferimento da parte di AIFORYA, verso qualsiasi altra applicazione, delle informazioni ricevute dalle API Google sono strettamente conformi alla Google API Services User Data Policy, inclusi i suoi requisiti di Limited Use.

10.7. Controllo dell'utente

L'utente può, in qualsiasi momento:

  • Revocare l'accesso concesso ad AIFORYA tramite la pagina di gestione del proprio account Google: https://myaccount.google.com/permissions;
  • Cancellare tutti i dati conservati da AIFORYA tramite il flusso di eliminazione dell'account in-app nella pagina "Il mio account";
  • Esercitare i propri diritti GDPR (accesso, rettifica, cancellazione, portabilità, opposizione) contattando dpo@aiforya.fr (vedi sezione 7).

11. Cookie e tracciatori

Il sito aiforya.fr utilizza cookie e tecnologie simili (in particolare localStorage) per il suo corretto funzionamento, la misurazione dell'audience e il miglioramento dell'esperienza utente.

11.1. Piattaforma di gestione del consenso (CMP)

La gestione del consenso è assicurata da Axeptio, una CMP francese certificata. Il banner viene visualizzato al primo accesso al sito e consente all'utente di accettare, rifiutare o personalizzare le proprie scelte per categoria. Il pulsante "Rifiuta tutto" è tanto visibile e accessibile quanto il pulsante "Accetta tutto" (conformità CNIL). Le scelte vengono conservate per 6 mesi e possono essere modificate in qualsiasi momento tramite il link "Gestisci i miei tracciatori" nel piè di pagina.

Google Consent Mode v2 è implementato in modalità "Basic": tutti i segnali di consenso (analytics_storage, ad_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage) sono impostati su denied per impostazione predefinita, fino a quando l'utente non esprime la propria scelta.

11.2. Tracciatori necessari (strettamente essenziali)

Esenti da consenso (Articolo 82 Loi Informatique et Libertés) in quanto indispensabili per il funzionamento: sessione utente, preferenze linguistiche, registrazione della scelta di consenso stessa, memorizzazione del tema (chiaro/scuro), font web auto-ospitati (nessun trasferimento di indirizzo IP a CDN di terze parti).

11.3. Misurazione dell'audience (analytics)

Soggetti a consenso esplicito: Vercel Analytics (misurazione anonima del traffico, senza identificatore personale, durata massima 13 mesi). Questi tracciatori vengono attivati solo dopo l'accettazione esplicita della categoria "Misurazione dell'audience" nel banner di Axeptio.

11.4. Marketing e pubblicità

Attualmente su aiforya.fr non viene utilizzato alcun tracciatore pubblicitario o di remarketing. Questa categoria è riservata per eventuali campagne future (Google Ads, LinkedIn Ads), che sarebbero anch'esse soggette a consenso prima di qualsiasi installazione.

12. Modifiche all'informativa

AIFORYA si riserva il diritto di modificare la presente Informativa in qualsiasi momento. Ogni modifica sarà pubblicata su questa pagina con una nuova data di aggiornamento. In caso di modifiche sostanziali, verrà inviata un'informativa via email o tramite una notifica visibile sul sito.

Politique de confidentialité | AIFORYA