Vai al contenuto principale

Informativa sulla Privacy

Ultimo aggiornamento: 24 febbraio 2026

1. Introduzione

Veluvanto s.r.o. ("noi", "ci" o "nostro") si impegna a proteggere la tua privacy. La presente Informativa sulla Privacy spiega come raccogliamo, utilizziamo, divulghiamo e proteggiamo i tuoi dati personali quando utilizzi i servizi Veluvanto, in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento (UE) 2016/679) e la Legge Ceca n. 110/2019 Racc. sul trattamento dei dati personali.

2. Titolare del trattamento

Il titolare del trattamento dei tuoi dati personali è:

Veluvanto s.r.o.
Sede legale: Korunní 2569/108, Vinohrady, 101 00 Praga 10
IČO: 249 15 122
Email: privacy@veluvanto.com

Responsabile della Protezione dei Dati (DPO): Abbiamo stabilito che la nomina di un Responsabile della Protezione dei Dati non è obbligatoria ai sensi dell'Articolo 37 GDPR, data la natura e la portata delle nostre attività di trattamento (non trattiamo categorie particolari di dati su larga scala, non siamo un'autorità pubblica e non effettuiamo un monitoraggio sistematico su larga scala). Per tutte le questioni relative alla privacy, contattaci all'indirizzo privacy@veluvanto.com.

3. Dati personali che raccogliamo

Raccogliamo le seguenti categorie di dati personali:

3.1 Dati dell'account

  • Indirizzo email, nome e immagine del profilo (dal tuo account Google quando accedi tramite Google OAuth o dal tuo account Microsoft quando accedi tramite Microsoft OAuth)
  • Impostazioni e preferenze dell'account

3.2 Dati dei documenti

  • File caricati sul servizio (documenti, fatture, contratti, ecc.)
  • Metadati estratti dai documenti (date, entità, importi, tag)
  • Riassunti, traduzioni e categorizzazioni dei tuoi documenti generati dall'AI

3.3 Dati di utilizzo

  • Funzionalità utilizzate, azioni intraprese e interazioni con il servizio
  • Crediti AI consumati e stato dell'abbonamento

3.4 Dati tecnici

  • Indirizzo IP, tipo e versione del browser, tipo di dispositivo e sistema operativo
  • Identificatori di sessione e log di accesso
  • Timestamp delle azioni per scopi di sicurezza e audit

3.5 Dati di pagamento

  • Indirizzo di fatturazione e record delle transazioni (i dettagli della carta di pagamento sono elaborati direttamente da Paddle.com Market Limited, il nostro Merchant of Record, e non vengono memorizzati da noi)

Obbligo di fornire i dati (Art. 13(2)(e) GDPR): Fornire l'indirizzo email e i dati dell'account è un requisito contrattuale: senza di essi non è possibile creare un account o utilizzare il servizio. La fornitura dei dati di pagamento è necessaria per accedere ai piani a pagamento. La fornitura del contenuto dei documenti è facoltativa; scegli tu cosa caricare. Non hai l'obbligo legale di fornire quanto sopra, ma la mancata fornitura dei dati richiesti comporterà l'impossibilità di fornirti il servizio.

4. Basi giuridiche del trattamento

Trattiamo i tuoi dati personali sulla base delle seguenti basi giuridiche ai sensi dell'Articolo 6 GDPR:

Scopo Base giuridica Articolo GDPR
Fornitura e gestione del servizio Esecuzione di un contratto Art. 6(1)(b)
Autenticazione utente (Google OAuth) Esecuzione di un contratto Art. 6(1)(b)
Autenticazione utente (Microsoft OAuth) Esecuzione di un contratto Art. 6(1)(b)
Elaborazione dei pagamenti e fatturazione Esecuzione di un contratto Art. 6(1)(b)
Invio di comunicazioni relative al servizio Esecuzione di un contratto Art. 6(1)(b)
Sicurezza, prevenzione delle frodi, log di accesso Legittimo interesse Art. 6(1)(f)
Miglioramento del servizio e analisi Legittimo interesse Art. 6(1)(f)
Obblighi legali (registri fiscali, ecc.) Obbligo legale Art. 6(1)(c)
Comunicazioni di marketing (se acconsenti) Consenso Art. 6(1)(a)

5. Trattamento AI dei tuoi documenti

I tuoi documenti vengono elaborati utilizzando la tecnologia AI per fornire funzionalità quali la categorizzazione automatica, la ricerca full-text, l'estrazione di metadati, il riassunto, la traduzione e l'assistente chat AI.

I tuoi documenti non vengono mai utilizzati per addestrare modelli AI. L'elaborazione tramite AI viene eseguita esclusivamente per fornirti il servizio. Il nostro fornitore di AI (Google LLC tramite Vertex AI) agisce come nostro responsabile del trattamento dei dati ai sensi del Google Cloud Data Processing Addendum ed è contrattualmente impossibilitato a utilizzare i tuoi dati per addestrare o migliorare i propri modelli AI.

Residenza dei dati in UE per l'elaborazione AI: L'inferenza AI per l'analisi dei documenti, la ricerca semantica, la traduzione, il riassunto e la chat AI viene eseguita tramite Google Cloud Vertex AI, configurato per utilizzare le regioni dei data center UE (europe-west). Il contenuto dei documenti inviato per l'elaborazione AI non lascia lo Spazio Economico Europeo.

Il trattamento tramite AI costituisce un trattamento automatizzato di dati personali. Per i consumatori che utilizzano il servizio per i propri documenti. Per i consumatori che utilizzano Veluvanto per uso personale, Veluvanto s.r.o. agisce in qualità di titolare del trattamento per i tuoi documenti. Per i clienti aziendali che caricano documenti contenenti dati personali di terzi (es. dati dei dipendenti, fatture dei clienti), Veluvanto s.r.o. agisce in qualità di responsabile del trattamento per conto del Titolare. Consulta il nostro Accordo sul Trattamento dei Dati (DPA) per i dettagli sugli accordi di trattamento B2B.

Per ulteriori informazioni sui nostri sistemi AI, consulta la nostra Informativa sulla Trasparenza AI.

6. Archiviazione e sicurezza dei dati

Prendiamo sul serio la sicurezza dei tuoi dati:

  • Tutti i documenti e i dati sono archiviati su Backblaze B2 object storage in data center UE (Amsterdam, Paesi Bassi); Backblaze possiede la certificazione SOC 2 Type II
  • I server applicativi girano su infrastruttura Hetzner Online GmbH in data center UE (Germania/Finlandia); Hetzner possiede la certificazione ISO/IEC 27001:2022 (valida 2025–2028)
  • I dati sono crittografati in transito (TLS 1.2+) e a riposo (AES-256)
  • Implementiamo rigorosi controlli di accesso e log di audit
  • Valutazioni e aggiornamenti periodici della sicurezza
  • L'accesso ai dati personali è limitato al personale autorizzato in base al principio di necessità

Notifica di violazione dei dati personali (Art. 33 e 34 GDPR)

a) Notifica all'autorità di controllo (Art. 33 GDPR)
In caso di violazione dei dati personali, notificheremo l'autorità di controllo competente senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne siamo venuti a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

b) Comunicazione agli interessati (Art. 34 GDPR)
Qualora una violazione dei dati personali possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, provvederemo a informare gli interessati senza indebito ritardo. La notifica sarà formulata con un linguaggio semplice e chiaro e conterrà almeno informazioni sulla natura della violazione, le sue probabili conseguenze e le misure adottate o proposte per attenuarne gli effetti. Qualora la notifica individuale richiedesse uno sforzo sproporzionato, garantiremo una comunicazione altrettanto efficace mediante un annuncio pubblico o una misura simile.

7. Condivisione dei dati e sub-responsabili del trattamento

Non vendiamo i tuoi dati personali. Possiamo condividere le tue informazioni solo nei seguenti casi:

7.1 Sub-responsabili del trattamento

Utilizziamo i seguenti fornitori di servizi terzi che potrebbero trattare i tuoi dati personali:

  • Google LLC — Identity provider (login tramite Google OAuth); i trasferimenti di dati verso gli Stati Uniti sono coperti dalle Clausole Contrattuali Standard (SCC)
  • Microsoft Corporation — Identity provider (login tramite Microsoft OAuth); il trattamento dei dati è regolato dal Data Protection Addendum di Microsoft
  • Paddle.com Market Limited — Elaborazione dei pagamenti e fatturazione (Merchant of Record); i trasferimenti di dati verso il Regno Unito sono coperti dalla Decisione di adeguatezza del Regno Unito
  • Google LLC (Vertex AI) — Inferenza di modelli AI (modelli Gemini) per l'elaborazione di documenti, ricerca semantica, chat AI, traduzione e riassunto; l'elaborazione è configurata per rimanere all'interno delle regioni Google Cloud dell'UE (europe-west); soggetta al Google Cloud Data Processing Addendum; i dati API non vengono utilizzati per l'addestramento dei modelli per impostazione predefinita
  • Backblaze, Inc. (B2 Cloud Storage) — Archiviazione a oggetti principale per documenti e backup; dati archiviati esclusivamente nell'UE (Amsterdam, Paesi Bassi); certificazione SOC 2 Type II; Informativa sulla privacy di Backblaze
  • IDrive, Inc. (e2 Cloud Storage) — Archiviazione a oggetti per disaster recovery di documenti e backup; dati archiviati esclusivamente nell'UE (Francoforte, Germania); certificazione SOC 2; nessuna durata minima di archiviazione
  • Hetzner Online GmbH — Infrastruttura cloud e server applicativi; dati archiviati esclusivamente nell'UE (Germania/Finlandia); certificazione ISO/IEC 27001:2022
  • Cloudflare, Inc. — Content Delivery Network (CDN) e servizi di sicurezza (protezione DDoS, ottimizzazione delle prestazioni); elabora i metadati delle richieste HTTP (indirizzo IP, user-agent, timestamp); i trasferimenti di dati verso gli Stati Uniti sono coperti dalle Clausole Contrattuali Standard (SCC)

7.2 Obblighi di legge

Potremmo divulgare i tuoi dati se richiesto dalla legge, da un ordine del tribunale o da un'autorità governativa, o quando riteniamo che la divulgazione sia necessaria per proteggere i nostri diritti o la sicurezza altrui.

7.3 Trasferimenti aziendali

In caso di fusione, acquisizione o vendita di asset, i tuoi dati personali potrebbero essere trasferiti. Forniremo un preavviso prima che i tuoi dati personali vengano trasferiti e diventino soggetti a una diversa informativa sulla privacy.

8. Trasferimenti internazionali di dati

Archiviamo ed elaboriamo i tuoi dati principalmente all'interno dell'Unione Europea. La tabella seguente descrive la residenza dei dati per ciascun sub-responsabile:

  • Backblaze, Inc. (B2 Cloud Storage — archiviazione principale): Tutti i documenti, i dati utente e i backup sono archiviati su Backblaze B2 nell'UE (Amsterdam, Paesi Bassi). Nessun trasferimento internazionale.
  • IDrive, Inc. (e2 Cloud Storage — archiviazione per disaster recovery): Le copie di backup dei documenti e dei dati sono archiviate su IDrive e2 nell'UE (Francoforte, Germania). IDrive, Inc. è una società statunitense; i trasferimenti di dati sono coperti dalle Clausole Contrattuali Standard (SCC).
  • Hetzner Online GmbH (infrastruttura): I server applicativi e l'infrastruttura di calcolo sono ospitati esclusivamente in Germania/Finlandia. Nessun trasferimento internazionale.
  • Google LLC (Vertex AI — elaborazione AI): Il contenuto dei documenti viene elaborato tramite Google Cloud Vertex AI configurato nelle regioni UE (europe-west). Non avviene alcun trasferimento al di fuori del SEE per l'inferenza AI.
  • Google LLC (autenticazione OAuth): La tua email e il tuo profilo Google vengono condivisi con Google durante l'accesso. Il trasferimento negli Stati Uniti è coperto dalle Clausole Contrattuali Standard (SCC, Decisione di esecuzione (UE) 2021/914 della Commissione).
  • Paddle.com Market Limited (pagamenti): L'indirizzo di fatturazione e i dati della transazione vengono condivisi con Paddle per l'elaborazione dei pagamenti. Il trasferimento nel Regno Unito è coperto dalla Decisione di adeguatezza del Regno Unito.
  • Cloudflare, Inc. (CDN / sicurezza): I metadati delle richieste HTTP (indirizzo IP, user-agent, timestamp) sono elaborati da Cloudflare. Il trasferimento negli Stati Uniti è coperto dalle SCC.

Puoi richiedere una copia delle relative garanzie di trasferimento contattandoci all'indirizzo privacy@veluvanto.com.

9. I tuoi diritti ai sensi del GDPR

Ai sensi del GDPR (Capo III), godi dei seguenti diritti:

  • Diritto di accesso (Art. 15): Richiedere una copia dei tuoi dati personali in nostro possesso
  • Diritto di rettifica (Art. 16): Richiedere la correzione di dati inesatti o incompleti
  • Diritto alla cancellazione / Diritto all'oblio (Art. 17): Richiedere la cancellazione dei tuoi dati
  • Diritto alla portabilità dei dati (Art. 20): Ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (archivio JSON o ZIP contenente i tuoi documenti e metadati). Contattaci per richiedere un'esportazione.
  • Diritto di opposizione al trattamento basato sul legittimo interesse (Art. 21(1)): Opporti al trattamento basato sui nostri legittimi interessi (es. sicurezza, analisi). Cesseremo il trattamento a meno che non dimostriamo motivi legittimi cogenti.
  • Diritto di opposizione al marketing diretto (Art. 21(2)): Hai un diritto assoluto di opporti in qualsiasi momento al trattamento dei tuoi dati personali per finalità di marketing diretto, senza eccezioni. Interromperemo immediatamente il trattamento in caso di opposizione.
  • Diritto di limitazione (Art. 18): Richiedere la limitazione del trattamento in determinate circostanze
  • Diritto di revocare il consenso (Art. 7(3)): Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente
  • Diritto di non essere sottoposto a processi decisionali automatizzati (Art. 22): Vedere la Sezione 10 di seguito

Per esercitare uno di questi diritti, contattaci all'indirizzo privacy@veluvanto.com. Risponderemo entro 1 mese. Potremmo aver bisogno di verificare la tua identità prima di soddisfare la tua richiesta.

Il tuo diritto di opposizione al trattamento basato sul legittimo interesse (Art. 21(4) GDPR): Qualora trattassimo i tuoi dati sulla base dei nostri legittimi interessi (Art. 6(1)(f) GDPR — inclusi sicurezza, prevenzione delle frodi e analisi del servizio), hai il diritto di opporti in qualsiasi momento. In caso di opposizione, cesseremo tale trattamento a meno che non dimostriamo motivi legittimi cogenti che prevalgono sui tuoi interessi, diritti e libertà, o qualora il trattamento sia necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Per esercitare questo diritto, contatta privacy@veluvanto.com.

Diritto di proporre reclamo: Hai il diritto di proporre reclamo a un'autorità di controllo. Nella Repubblica Ceca, questa è:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Sito web: www.uoou.cz
Email: posta@uoou.cz

10. Trattamento automatizzato e profilazione

Veluvanto utilizza l'elaborazione automatizzata tramite AI per identificare ed estrarre metadati (date, entità, categorie, importi). Questo trattamento automatizzato:

  • Viene eseguito esclusivamente per fornirti il servizio
  • Non non producano effetti giuridici o incidano in modo analogo significativamente sulla sua persona
  • Non non costituiscano profilazione per scopi di marketing o decisionali

Puoi correggere in qualsiasi momento i metadati inesatti generati dall'AI nella visualizzazione dei dettagli del documento. Per ulteriori informazioni sui nostri sistemi AI e i loro limiti, consulta la nostra Informativa sulla trasparenza dell'AI.

11. Conservazione dei dati

Conserviamo i tuoi dati personali finché il tuo account è attivo o secondo necessità per fornire i servizi. Periodi di conservazione specifici:

  • Dati dell'account e documenti: Conservati fino alla cancellazione dell'account. In seguito alla cancellazione dell'account, i dati vengono eliminati definitivamente entro 30 giorni.
  • Registri di fatturazione: Conservati per 10 anni come richiesto dalla legge contabile ceca (Legge n. 563/1991 Racc.).
  • Log di sicurezza e di accesso: Conservati per 12 mesi.
  • Dati di utilizzo (funzionalità utilizzate, crediti AI consumati, interazioni): conservati per 24 mesi, quindi aggregati o eliminati.
  • Metadati generati dall'AI (riassunti, tag, entità estratte): conservati per tutta la durata del documento associato. Eliminati insieme al documento.
  • Consenso al marketing: Fino alla revoca del consenso.
  • Account terminati per superamento dei limiti di archiviazione: Account terminati a causa del superamento prolungato dei limiti di archiviazione (come descritto nella Sezione 19 dei Termini di Servizio) — tutti i dati personali e i documenti vengono eliminati definitivamente entro 30 giorni dalla terminazione, in conformità con l'Articolo 17 del GDPR.

I documenti spostati nel Cestino vengono conservati per 30 giorni prima della cancellazione definitiva.

12. Cookie

Utilizziamo cookie e tecnologie simili. Utilizziamo solo cookie strettamente necessari richiesti per il funzionamento del servizio (gestione della sessione e autenticazione). Non utilizziamo cookie di tracciamento o cookie pubblicitari di terze parti. Per informazioni dettagliate, consulta la nostra Informativa sui Cookie.

13. Privacy dei minori

Il nostro servizio non è rivolto a minori di 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se ritieni che abbiamo inavvertitamente raccolto dati di un minore, ti preghiamo di contattarci e provvederemo a cancellarli tempestivamente.

14. Modifiche alla presente Informativa

Potremmo aggiornare la presente Informativa sulla privacy di tanto in tanto. Ti informeremo di eventuali modifiche sostanziali via email e pubblicando la nuova informativa su questa pagina con una data di "Ultimo aggiornamento" aggiornata, almeno 30 giorni prima che le modifiche entrino in vigore. Per modifiche significative al modo in cui trattiamo i tuoi dati, richiederemo un nuovo consenso ove necessario.

15. Contattaci

Per qualsiasi domanda sulla presente Informativa sulla privacy, per esercitare i tuoi diritti o per qualsiasi dubbio relativo alla protezione dei dati:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
Email: privacy@veluvanto.com