Privacy Policy

PRIVACY POLICY EX ART. 13 E 14 DEL GDPR UE 2016/679

Progetto Appalti S.r.l. , con sede legale in Via delle Fornaci, 3 , La Spezia, 19123 La Spezia (SP), CF 01468370117 e P.IVA IT01468370117 (in seguito, “Titolare”), in qualità di titolare del trattamento, La informa ai sensi dell’art. 13 Regolamento UE 2016/679 (in seguito, “GDPR”) che i Suoi dati saranno trattati con le modalità e per le finalità descritte nei seguenti articoli, fermo restando che per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattare il Titolare Giulio Delfino all’indirizzo e-mail: gare@progettoappalti.it

  1. Ambito di applicazione

La presente informativa si applica al trattamento dei dati personali effettuato nell’ambito:

  1. del sito web https://progettoappaltia.it/ (di seguito, il “Sito”);
  2. della piattaforma software e dei servizi digitali denominati “Progetto AppaltIA” (di seguito, la “Piattaforma” o il “Servizio”);
  3. delle attività di richiesta demo, contatto, assistenza, onboarding, registrazione, autenticazione, prova gratuita, abbonamento ed erogazione del Servizio.

La Piattaforma fornisce strumenti digitali basati anche su tecnologie di intelligenza artificiale volti a supportare utenti e imprese nelle attività di consultazione, analisi, ricerca, organizzazione documentale, estrazione di informazioni, sintesi e supporto operativo in materia di gare, bandi, offerte e procedure connesse agli appalti pubblici di cui al D.Lgs. n. 36/2023 e s.m.i.

  1. Oggetto del Trattamento

Il Titolare tratta dati personali dell’interessato nell’ambito della navigazione sul Sito, della registrazione e gestione dell’account, dell’erogazione del Servizio, della richiesta di informazioni o demo, dell’assistenza tecnica e amministrativa, nonché dell’adempimento degli obblighi di legge connessi al rapporto contrattuale.

In particolare, il trattamento può avere ad oggetto, a seconda dei casi:

  • dati identificativi e di contatto, quali nome, cognome, indirizzo e-mail, numero di telefono, azienda o ente di appartenenza, ruolo professionale, indirizzo e dati fiscali;
  • dati relativi alla registrazione, autenticazione e sicurezza dell’account;
  • dati di navigazione e dati tecnici di utilizzo del Sito e della Piattaforma;
  • dati contenuti nei prompt, nei messaggi, nelle sessioni di chat, nelle richieste formulate dall’utente e nelle risposte generate dal sistema;
  • dati contenuti nei documenti, allegati e file caricati nella Piattaforma, nonché nel testo estratto, nei metadati, negli indici, negli embedding e nelle ulteriori informazioni derivate necessarie all’erogazione delle funzionalità del Servizio;
  • dati di utilizzo, diagnostica, log, metriche tecniche e informazioni relative all’impiego delle risorse applicative;
  • dati amministrativi, contabili, fiscali e di pagamento relativi al rapporto contrattuale.

Il trattamento riguarda i dati personali conferiti direttamente dall’interessato, quelli acquisiti attraverso l’utilizzo del Sito e della Piattaforma, nonché quelli eventualmente caricati o immessi nel Servizio dagli utenti autorizzati nell’ambito delle funzionalità rese disponibili da Progetto AppaltIA. La presente informativa si applica anche agli ambienti applicativi, dashboard, workspace e moduli accessibili dagli Utenti autorizzati.

Con riferimento ai dati personali contenuti nei documenti, file, prompt, chat, allegati e altri contenuti caricati nella Piattaforma per conto di un’organizzazione cliente, restano fermi i ruoli e le qualificazioni soggettive di cui al successivo articolo relativo alle tipologie di trattamento.

  1. Tipologie di Trattamento

3.1 - Trattamenti per cui la Società agisce quale Titolare del trattamento

La Società agisce quale titolare del trattamento, tra l’altro, per i trattamenti relativi a:

  1. navigazione sul Sito;
  2. gestione delle richieste di contatto, demo e informazioni;
  3. creazione e gestione degli account;
  4. autenticazione e sicurezza del Servizio;
  5. fatturazione, pagamenti e adempimenti amministrativo-contabili;
  6. assistenza tecnica e customer care;
  7. prevenzione di abusi, frodi e utilizzi impropri;
  8. invio di comunicazioni di servizio;
  9. adempimento di obblighi di legge;
  10. eventuali comunicazioni marketing, ove legittimamente consentite.

3.2 - Trattamenti per cui la Società agisce, di regola, quale Responsabile del trattamento

Con riferimento ai Dati contenuti nei documenti, nei file, nei prompt, nelle chat, negli allegati e negli altri contenuti caricati o immessi nella Piattaforma dagli utenti per conto dell’organizzazione cliente, la Società opera di regola quale responsabile del trattamento ai sensi dell’art. 28 GDPR, per conto del cliente che utilizza il Servizio e che resta titolare del trattamento dei dati contenuti in tali materiali.

In tali ipotesi:

  1. il cliente determina finalità e basi giuridiche del trattamento dei dati caricati nella Piattaforma;
  2. la Società tratta tali dati per fornire il Servizio, secondo istruzioni documentate del cliente e nei limiti del Data Processing Agreement (“DPA”) applicabile;
  3. la presente informativa integra, ma non sostituisce, l’informativa privacy del cliente verso i propri interessati.

Qualora l’utente utilizzi il Servizio in proprio, al di fuori di una struttura organizzativa cliente, la qualificazione dei ruoli andrà valutata in concreto in base all’effettiva configurazione del rapporto.

  1. Categorie di dati trattati

Nell’ambito del Sito e della Piattaforma possono essere trattate le seguenti categorie di dati personali.

4.1 - Dati identificativi, di contatto e di registrazione

  • nome e cognome;
  • indirizzo e-mail;
  • numero di telefono;
  • azienda/ente di appartenenza;
  • ruolo/funzione professionale, ove forniti;
  • dati inseriti in fase di registrazione e onboarding;
  • identificativi tecnici dell’account e stato dell’utenza.

4.2 - Dati di autenticazione e sicurezza

In tale contesto possono essere trattati:

  • identificativi tecnici dell’utente;
  • token di autenticazione e di rinnovo sessione;
  • log di accesso, eventi di sicurezza e dati tecnici strettamente necessari alla protezione del Servizio.

Le password non sono rese accessibili in chiaro alla Società.

4.3 - Dati di utilizzo della Piattaforma

Nell’ambito dell’uso del Servizio possono essere trattati, a titolo esemplificativo:

  • contenuto dei prompt e dei messaggi inviati dall’utente;
  • contenuto delle risposte generate dal sistema;
  • titoli delle conversazioni, sintesi, riepiloghi o metadati tecnici delle sessioni;
  • dati relativi al modello utilizzato, consumo di risorse, token, tempi di risposta, stato delle richieste;
  • dati tecnici e di diagnostica necessari per il funzionamento e la sicurezza del Servizio.

4.4 - Documenti, allegati e contenuti caricati

Gli utenti possono caricare o generare all’interno della Piattaforma documenti e contenuti quali, a titolo esemplificativo:

  • file PDF, DOCX, XLSX, P7M e altri formati documentali;
  • allegati, documenti di gara, atti amministrativi, modelli, dichiarazioni, schede tecniche, certificazioni, curricula, offerte, relazioni e altri materiali;
  • nomi dei file, metadati, testo estratto dai documenti, segmenti testuali, indici, vettori/embedding e informazioni derivate necessarie all’erogazione delle funzionalità di ricerca, recupero, analisi e supporto.

Tali materiali possono contenere dati personali di utenti, collaboratori, referenti, professionisti, dipendenti, amministratori, clienti, fornitori o terzi.

4.5 - Dati relativi al profilo utente

La Piattaforma può trattare immagini di profilo/avatar e ulteriori preferenze dell’account, ove utilizzate.

4.6 - Dati di navigazione

Durante la navigazione sul Sito o sulla Piattaforma possono essere raccolti dati tecnici quali:

  • indirizzo IP;
  • informazioni sul browser e sul dispositivo;
  • data e ora di accesso;
  • URL richiesti;
  • dati tecnici necessari alla sicurezza, alla prevenzione di abusi e al corretto funzionamento del servizio.

4.7 - Dati raccolti tramite moduli di contatto o richiesta demo

Quando l’utente compila un form di contatto, richiede una demo o invia una richiesta informativa, la Società può trattare:

  • nome e cognome;
  • e-mail;
  • numero di telefono;
  • azienda;
  • contenuto del messaggio e ogni ulteriore dato spontaneamente fornito.

4.8 - Dati di fatturazione e pagamento

In caso di attivazione di servizi a pagamento, la Società può trattare dati necessari alla fatturazione, alla gestione del rapporto contrattuale e agli adempimenti fiscali, inclusi:

  • dati anagrafici e fiscali;
  • indirizzo di fatturazione;
  • P.IVA/C.F.;
  • dettagli amministrativi del piano acquistato;
  • eventuali riferimenti a provider di pagamento, ove utilizzati.
  1. Finalità del trattamento

I dati personali sono trattati dal Titolare per finalità determinate, esplicite e legittime, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, limitazione della finalità, esattezza, integrità, riservatezza e limitazione della conservazione, ai sensi del Regolamento (UE) 2016/679.

Il Titolare tratta i dati personali per consentire la registrazione dell’utente, la creazione e gestione dell’account, l’autenticazione, l’accesso alla Piattaforma, l’erogazione delle funzionalità del Servizio e, più in generale, l’esecuzione del rapporto contrattuale o delle misure precontrattuali richieste dall’interessato. La base giuridica di tale trattamento è l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso, ai sensi dell’art. 6, par. 1, lett. b) del GDPR.

I dati personali sono altresì trattati per dare riscontro a richieste di informazioni, richieste di demo, richieste di contatto, attività di onboarding, supporto tecnico, assistenza amministrativa e customer care, nonché per la gestione delle comunicazioni con utenti e clienti. Anche in tal caso, la base giuridica del trattamento è rappresentata dall’esecuzione di misure precontrattuali adottate su richiesta dell’interessato e, ove già instaurato, dall’esecuzione del contratto ai sensi dell’art. 6, par. 1, lett. b) del GDPR; nei casi residuali, il trattamento può fondarsi sul legittimo interesse del Titolare a gestire correttamente le interlocuzioni connesse al Servizio, ai sensi dell’art. 6, par. 1, lett. f) del GDPR.

I dati personali sono inoltre trattati per finalità amministrative, contabili, fiscali e legali, ivi comprese la fatturazione, la gestione dei pagamenti, la tenuta della contabilità e l’adempimento di obblighi previsti dalla legge, da regolamenti o da ordini dell’autorità. In tali ipotesi, la base giuridica del trattamento è l’adempimento di obblighi legali cui è soggetto il Titolare, ai sensi dell’art. 6, par. 1, lett. c) del GDPR, nonché, per i profili strettamente collegati alla gestione del rapporto contrattuale, l’esecuzione del contratto ai sensi dell’art. 6, par. 1, lett. b) del GDPR.

Il Titolare può trattare i dati personali anche per finalità di sicurezza informatica, prevenzione di accessi non autorizzati, prevenzione di frodi, abusi e utilizzi impropri della Piattaforma, monitoraggio tecnico, gestione di incidenti, continuità operativa, protezione dell’integrità del Servizio e tutela dei diritti del Titolare. Tali trattamenti trovano fondamento nel legittimo interesse del Titolare a garantire la sicurezza, la disponibilità, la resilienza e l’affidabilità del Sito, della Piattaforma e dei relativi sistemi, ai sensi dell’art. 6, par. 1, lett. f) del GDPR.

I dati di contatto dell’utente o del cliente possono essere utilizzati per l’invio di comunicazioni strettamente connesse all’erogazione del Servizio, quali, a titolo esemplificativo, avvisi tecnici, notifiche di sicurezza, aggiornamenti essenziali della Piattaforma, comunicazioni organizzative, informazioni relative a scadenze, manutenzioni, modifiche operative o sospensioni del Servizio. Tali comunicazioni non hanno natura promozionale e si fondano sull’esecuzione del contratto e, ove necessario, sul legittimo interesse del Titolare a garantire la corretta gestione del rapporto e del Servizio, ai sensi dell’art. 6, par. 1, lett. b) e f) del GDPR.

Il Titolare può inoltre trattare dati personali strettamente necessari per attività di manutenzione correttiva, diagnostica tecnica, analisi delle performance, troubleshooting, miglioramento dell’esperienza d’uso e ottimizzazione delle funzionalità del Servizio, nei limiti in cui tali attività siano necessarie all’erogazione, alla stabilità o all’evoluzione tecnica della Piattaforma. La base giuridica del trattamento è costituita, a seconda dei casi, dall’esecuzione del contratto ai sensi dell’art. 6, par. 1, lett. b) del GDPR oppure dal legittimo interesse del Titolare a garantire qualità, continuità, sicurezza ed efficienza del Servizio, ai sensi dell’art. 6, par. 1, lett. f) del GDPR. Resta fermo che eventuali elaborazioni effettuate su dati effettivamente anonimizzati e non riconducibili a soggetti identificati o identificabili non costituiscono trattamento di dati personali.

Previo specifico, libero, informato e inequivocabile consenso dell’interessato, il Titolare può trattare i dati personali per finalità di marketing diretto, inclusi l’invio di newsletter, comunicazioni commerciali, materiale promozionale, aggiornamenti relativi al Servizio, informazioni su nuove funzionalità, eventi, iniziative e contenuti informativi o promozionali riferiti ai servizi offerti dalla Società, mediante strumenti automatizzati e/o tradizionali. La base giuridica di tale trattamento è il consenso dell’interessato, ai sensi dell’art. 6, par. 1, lett. a) del GDPR e dell’art. 130 del D.Lgs. 196/2003, ove applicabile. Il conferimento dei dati per tali finalità è facoltativo e il mancato rilascio del consenso non pregiudica in alcun modo l’accesso al Servizio o l’erogazione delle prestazioni contrattuali.

Solo previo autonomo e separato consenso dell’interessato, il Titolare potrà altresì comunicare i dati personali a partner, sponsor o altri soggetti terzi, affinché questi possano trattarli, in qualità di autonomi titolari del trattamento, per proprie finalità promozionali, commerciali o di marketing. In mancanza di tale consenso, i dati non saranno comunicati a terzi per finalità di marketing autonomo. Anche in questo caso, la base giuridica del trattamento è il consenso dell’interessato, ai sensi dell’art. 6, par. 1, lett. a) del GDPR.

I dati personali possono infine essere trattati per l’accertamento, l’esercizio o la difesa di un diritto del Titolare in sede stragiudiziale, giudiziale o amministrativa, nonché per la gestione di contestazioni, reclami e controversie. La base giuridica di tale trattamento è il legittimo interesse del Titolare alla tutela dei propri diritti, ai sensi dell’art. 6, par. 1, lett. f) del GDPR.

Il conferimento dei dati personali per le finalità connesse alla conclusione del contratto, all’erogazione del Servizio, alla gestione del rapporto, all’assistenza, alla sicurezza e all’adempimento di obblighi di legge è necessario; il mancato conferimento può comportare l’impossibilità di attivare l’account, utilizzare la Piattaforma, ricevere riscontro alle richieste o beneficiare delle funzionalità del Servizio. Il conferimento dei dati per finalità di marketing diretto o per la comunicazione a terzi per finalità promozionali è invece facoltativo e il mancato consenso non incide sull’utilizzo del Servizio.

Resta inteso che, con riferimento ai dati personali contenuti nei documenti, file, prompt, chat, allegati e altri contenuti caricati nella Piattaforma per conto di un’organizzazione cliente, la Società opera, di regola, quale responsabile del trattamento ai sensi dell’art. 28 del GDPR, nei limiti e secondo le istruzioni documentate del cliente titolare del trattamento, come meglio precisato nel Data Processing Agreement eventualmente applicabile.

L’interessato può revocare in qualsiasi momento il consenso eventualmente prestato per finalità di marketing o per la comunicazione dei dati a terzi, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

In estrema sintesi, le finalità di trattamento possono essere così riepilogate:

Finalità

Base Giuridica

Riferimento GDPR

Erogazione del Servizio e gestione del rapporto contrattuale

Esecuzione del contratto

Art. 6, par. 1, lett. b)

Registrazione e autenticazione dell’Utente

Esecuzione del contratto

Art. 6, par. 1, lett. b)

Fatturazione e gestione dei pagamenti

Obbligo legale

Art. 6, par. 1, lett. c)

Assistenza tecnica e supporto clienti

Esecuzione del contratto

Art. 6, par. 1, lett. b)

Sicurezza della Piattaforma e prevenzione abusi

Legittimo interesse

Art. 6, par. 1, lett. f)

Miglioramento del Servizio per il singolo Cliente

Legittimo interesse

Art. 6, par. 1, lett. f)

Adempimento di obblighi di legge

Obbligo legale

Art. 6, par. 1, lett. c)

Invio di comunicazioni commerciali e promozionali relative al Servizio

Consenso dell’interessato

Art. 6, par. 1, lett. a)

Invio di aggiornamenti di prodotto, nuove funzionalità e novità del settore

Consenso dell’interessato

Art. 6, par. 1, lett. a)

Contatto telefonico o via e-mail per finalità informative e commerciali

Consenso dell’interessato

Art. 6, par. 1, lett. a)

  1. Funzionamento del Servizio

Progetto AppaltIA utilizza sistemi di intelligenza artificiale e tecniche di elaborazione automatizzata per supportare il Cliente nella consultazione, analisi, recupero, sintesi, rielaborazione e organizzazione di informazioni e documenti.

Gli output generati dalla Piattaforma possono contenere errori, omissioni, semplificazioni, inesattezze, bias, inferenze non corrette, riferimenti incompleti o contenuti non aggiornati.

Per tale ragione:

  • il Servizio costituisce uno strumento di supporto e non sostituisce la valutazione umana, professionale, tecnica o legale;
  • l’utente e il cliente devono sempre verificare autonomamente, con controllo umano qualificato, correttezza, completezza, pertinenza e attualità degli output prima del loro utilizzo;
  • gli output non devono essere utilizzati come unica base per la predisposizione o presentazione di offerte, dichiarazioni, attestazioni, documenti di gara, comunicazioni ufficiali o decisioni aventi rilievo giuridico o economico.

La Piattaforma non è progettata per adottare, in via autonoma, decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici sull’interessato o incidano in modo analogo significativamente sulla sua persona ai sensi dell’art. 22 GDPR.

Il Servizio fornisce output di supporto all’operatore umano, che resta responsabile della valutazione finale e dell’adozione delle decisioni.

Salvo diversa espressa indicazione resa in forma chiara, separata e preventiva, la Società non utilizza i contenuti caricati dagli utenti o dal cliente nella Piattaforma, né i prompt, le chat, i documenti o gli output contenenti dati personali o dati aziendali riservati, per addestrare propri modelli generali di intelligenza artificiale per finalità autonome ulteriori rispetto all’erogazione del Servizio.

Nei limiti massimi consentiti dalla legge, la Società non garantisce che gli output generati dall’intelligenza artificiale siano privi di errori o pienamente idonei allo specifico scopo perseguito dall’utente o dal cliente. Restano fermi gli obblighi inderogabili di legge e i diritti riconosciuti agli interessati dalla normativa applicabile.

  1. Modalità di trattamento

Il trattamento dei dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 e 5 e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.

I dati personali sono trattati con strumenti elettronici e con modalità idonee a garantirne la sicurezza e la riservatezza, nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque per non oltre 10 anni dalla cessazione del rapporto per le Finalità di Servizio e per non oltre 5 anni dalla raccolta dei dati per le Finalità di Marketing.

La Società adotta misure tecniche e organizzative adeguate al rischio, tra cui, a titolo esemplificativo:

  • sistemi di autenticazione e gestione credenziali;
  • cifratura dei dati in transito ove applicabile;
  • segregazione logica dei dati;
  • sistemi di autorizzazione e controllo accessi;
  • registrazione e monitoraggio degli eventi di sicurezza;
  • backup, continuità operativa e misure di resilienza;
  • procedure di gestione degli incidenti;
  • monitoraggio degli accessi 24/7;
  • segregazione logica dei dati per cliente;
  • sistema di controllo accessi basato su permessi granulari.
  1. Isolamento dati

Ogni Cliente opera in un ambiente logicamente isolato. I dati di ciascuna azienda sono segregati e protetti da accessi non autorizzati. Non vi è alcuna condivisione di dati tra clienti diversi.

Ogni azienda può accedere esclusivamente ai propri dati aziendali tramite un sistema di controllo accessi basato su permessi granulari.

  1. Destinatari dei dati e sub-responsabili

I dati personali possono essere comunicati o comunque resi accessibili, nei limiti strettamente pertinenti alle finalità sopra indicate, alle seguenti categorie di destinatari:

  • fornitori di servizi cloud, hosting, storage e infrastruttura;
  • fornitori di servizi di autenticazione e gestione identità;
  • fornitori di servizi di intelligenza artificiale, elaborazione linguistica, indicizzazione, ricerca semantica e vector database;
  • fornitori di supporto tecnico, manutenzione e sicurezza;
  • consulenti legali, fiscali, amministrativi e revisori;
  • provider di pagamento e servizi contabili, ove utilizzati;
  • soggetti pubblici, autorità o enti cui la comunicazione sia dovuta per legge o per ordine dell’autorità.

La Società si avvale, tra gli altri, di fornitori tecnologici quali AWS Cognito, AWS S3, AWS Bedrock, AWS SQS, OpenRouter e Qdrant, nonché di eventuali provider IA sottostanti eventualmente raggiunti tramite i servizi di routing modellistico utilizzati dalla Piattaforma, nei limiti necessari all’erogazione del Servizio.

Tali soggetti operano, a seconda dei casi, quali responsabili del trattamento, sub-responsabili o autonomi titolari, secondo il ruolo concretamente ricoperto e nel rispetto della normativa applicabile.

Su richiesta, la Società rende disponibile l’elenco aggiornato dei responsabili e sub-responsabili rilevanti oppure lo pubblica in apposita sezione aggiornata del proprio sito o della documentazione contrattuale.

  1. Accesso ai dati

I dati del Cliente potranno essere resi accessibili per le finalità della presente informativa a società terze o altri soggetti (a titolo indicativo, istituti di credito, studi professionali e legali, società di servizi amministrativi e payroll, consulenti, addetti all’organizzazione di eventi, al marketing, e ai servizi commerciali, società di telemarketing, etc.) che, nella loro qualità di responsabili esterni del trattamento svolgono attività in outsourcing per conto di Progetto Appalti S.r.l. .

La Piattaforma consente l’esportazione dei dati in formati comuni (CSV, XLSX, PDF, DOCX), a garanzia dell’effettivo esercizio del diritto alla portabilità.

  1. Trasferimento di dati verso paesi Extra-UE

Nell’ambito dell’erogazione del Servizio, alcuni dati personali possono essere trattati da fornitori o subfornitori stabiliti al di fuori dello Spazio Economico Europeo oppure da soggetti che, pur operando tramite infrastrutture o servizi accessibili dall’Unione Europea, possono comportare trasferimenti di dati personali verso Paesi terzi ai sensi del Capo V del GDPR.

In particolare, talune funzionalità della Piattaforma basate su servizi cloud, autenticazione, elaborazione documentale, ricerca semantica e modelli di intelligenza artificiale possono comportare il coinvolgimento di fornitori tecnologici o di subfornitori ulteriori, anche esteri, nei limiti strettamente necessari all’erogazione del Servizio.

Qualora si renda necessario effettuare un trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, il Titolare assicura che tale trasferimento avvenga nel rispetto della normativa applicabile e, in particolare, in conformità agli artt. 44 e ss. del GDPR. Il Titolare adotta, ove necessario, misure ragionevoli e proporzionate volte a minimizzare i dati trasferiti, limitare l’accesso ai soli soggetti autorizzati, selezionare fornitori che offrano adeguate garanzie in materia di protezione dei dati personali e disciplinare contrattualmente i rapporti con i relativi responsabili e sub-responsabili del trattamento.

L’elenco aggiornato dei fornitori e subfornitori rilevanti ai fini del Servizio, nonché le informazioni essenziali relative all’eventuale localizzazione del trattamento e alle garanzie adottate per i trasferimenti internazionali, sono resi disponibili dal Titolare su richiesta dell’interessato e/o del cliente, nei limiti consentiti dalla legge e tenuto conto delle esigenze di sicurezza del Servizio.

Resta inteso che, nei casi in cui la Società tratti dati per conto del cliente quale responsabile del trattamento ai sensi dell’art. 28 GDPR, i trasferimenti verso Paesi extra-SEE effettuati nell’ambito di tale rapporto sono altresì disciplinati dal Data Processing Agreement applicabile e dalle istruzioni documentate del cliente, ferma restando l’adozione delle garanzie richieste dal Capo V del GDPR.

  1. Conferimento e conservazione dei dati

Il conferimento dei dati contrassegnati come obbligatori è necessario per la registrazione, l’accesso e l’erogazione del Servizio. Il mancato conferimento può comportare l’impossibilità di attivare l’account, utilizzare la Piattaforma o ricevere riscontro alle richieste.

Il conferimento dei dati per finalità marketing è facoltativo e il mancato consenso non pregiudica l’utilizzo del Servizio.

I dati personali sono conservati per un periodo non superiore a quello necessario al conseguimento delle finalità per cui sono stati raccolti, salvo obblighi di legge o esigenze di tutela dei diritti del Titolare.

Salvo specifiche esigenze ulteriori debitamente documentate, si applicano i seguenti criteri di conservazione:

  1. dati di account, profilo e rapporto contrattuale: per la durata del rapporto e, di regola, fino a 24 mesi successivi alla cessazione, salvi obblighi di legge o contenziosi;
  2. contenuti di chat, prompt, risposte generate, documenti caricati, testo estratto, indici, embedding, vettori e metadati di workspace: per il tempo necessario all’erogazione del Servizio e, di regola, fino a 30 giorni dalla chiusura dell’account o dalla valida richiesta di cancellazione, salvo diversa istruzione del cliente, necessità di backup o obblighi di legge;
  3. copie di backup: entro un termine massimo di 90 giorni dal ciclo ordinario di sovrascrittura o dalla richiesta di cancellazione, fatti salvi tempi tecnici strettamente necessari;
  4. log di sicurezza e accesso: fino a 6 mesi, salvo ulteriore conservazione necessaria in caso di incidenti, indagini o contenziosi;
  5. dati di contatto/demo: fino a 12 mesi dalla richiesta, salvo instaurazione del rapporto contrattuale;
  6. dati trattati per finalità marketing: fino a 24 mesi dal rilascio del consenso o fino a sua revoca, se anteriore;
  7. dati di fatturazione e contabilità: per 10 anni o per il diverso termine previsto dalla legge;
  8. liste di opposizione/soppressione: per il tempo necessario a documentare e rispettare la volontà dell’interessato di non ricevere ulteriori comunicazioni.

Decorso il periodo di conservazione applicabile, i dati saranno cancellati o anonimizzati, compatibilmente con i tempi tecnici di propagazione della cancellazione sui sistemi e sui backup.

  1. Diritti dell’interessato

In conformità agli artt. 15-22 del GDPR, l’interessato ha diritto di:

  1. Accesso (art. 15): ottenere conferma del trattamento e accedere ai propri dati personali;
  2. Rettifica (art. 16): ottenere la correzione di dati inesatti o l’integrazione di dati incompleti;
  3. Cancellazione (art. 17): ottenere la cancellazione dei propri dati personali, ove sussistano le condizioni previste dalla legge;
  4. Limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla legge;
  5. Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare;
  6. Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse del Titolare;
  7. Revoca del consenso: ove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.

Le richieste possono essere inviate all’indirizzo e-mail gare@progettoappalti.it. Il Titolare provvederà a riscontrare la richiesta entro 30 giorni dal ricevimento.

L’interessato che ritenga che il trattamento dei propri dati personali sia effettuato in violazione del GDPR ha altresì diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it)

  1. Modalità di esercizio dei diritti

Potrà in qualsiasi momento esercitare i diritti inviando:

  • una raccomandata a.r. a Progetto Appalti S.r.l., Via delle Fornaci 3, 19123, La Spezia (SP)
  • una e-mail all’indirizzo gare@progettoappalti.it
  • accedendo al sito del Garante Privacy http://www.garanteprivacy.it
  1. Titolare del trattamento e responsabile della protezione dei dati

Il Titolare del trattamento è Progetto Appalti S.r.l., con sede legale in Via Fornaci 3, CF 01468370117 e P.IVA IT01468370117.

Progetto Appalti S.r.l. ha provveduto a nominare un responsabile della protezione dei dati raggiungibile alla email: gare@progettoappalti.it presso l’indirizzo della società.

  1. Modifiche alla presente informativa

Il Titolare si riserva il diritto di aggiornare la presente informativa in qualsiasi momento. Eventuali modifiche saranno comunicate via e-mail con almeno 5 giorni di preavviso. La versione aggiornata sarà sempre disponibile sulla Piattaforma e all’indirizzo gare@progettoappalti.it

  1. Rinvio alla documentazione tecnica allegata

Per una descrizione di carattere tecnico-operativo delle modalità di raccolta, archiviazione, organizzazione, trattamento, condivisione e gestione dei dati nell’ambito del servizio Progetto AppaltIA, si rinvia all’Allegato 1 alla presente informativa, recante “Panoramica su raccolta, archiviazione e condivisione dei dati”.

L’Allegato 1 ha funzione meramente descrittiva, esplicativa e integrativa della presente informativa, con particolare riguardo ai profili tecnici e architetturali del Servizio, e costituisce parte integrante della documentazione privacy del Servizio. In caso di contrasto tra i due documenti prevarrà quanto espressamente previsto dalla presente informativa.

PANORAMICA SU RACCOLTA, ARCHIVIAZIONE E CONDIVISIONE DEI DATI

1. Dati personali archiviati nel database

L’applicazione memorizza le seguenti categorie di dati personali:

    1. Dati dell’account utente

La tabella users contiene i dati personali principali, inclusi email, nome completo, numero di telefono e azienda. Memorizza anche l’ID AWS Cognito (cognito_sub), che funge da identificatore persistente tra sistemi. Altri dati includono i dettagli di registrazione (memorizzati come JSON e contenenti l’intero payload di registrazione), lo stato dell’account, i limiti di utilizzo, i contatori e i timestamp.
Nota: le password non sono memorizzate nel database dell’applicazione. L’autenticazione è gestita interamente da AWS Cognito.

    1. Sessioni di chat e messaggi

Il sistema memorizza il testo completo di tutti i messaggi degli utenti e delle risposte generate dall’IA. Memorizza inoltre dati derivati come i titoli delle sessioni e gli estratti dell’ultimo messaggio basati sull’input dell’utente. Vengono mantenuti riepiloghi progressivi delle conversazioni generati dall’IA. Gli estratti di documenti recuperati e utilizzati nelle risposte sono memorizzati insieme ai messaggi. Vengono inoltre registrati metadati, inclusi conteggi di token, modello utilizzato e latenza della risposta.

    1. Documenti e allegati

I file caricati vengono archiviati insieme ai loro nomi originali, che possono contenere dati personali. Il sistema estrae e memorizza il testo completo dei documenti caricati e genera riepiloghi basati su IA. I file sono archiviati in AWS S3 e i percorsi di archiviazione includono l’ID Cognito dell’utente.

    1. Tracciamento dei token e dell’utilizzo

Il sistema monitora l’utilizzo dei token per evento e in modo cumulativo per utente. L’utilizzo è inoltre suddiviso mensilmente per modello di IA.

    1. Dati del profilo

Le immagini del profilo utente (avatar) sono archiviate in AWS S3 e collegate all’account utente.

2. Password e autenticazione

Le password sono elaborate e archiviate esclusivamente da AWS Cognito. AWS è responsabile dell’hashing delle password e l’applicazione non ha accesso agli hash.
Dopo il login, l’applicazione imposta tre cookie nel browser dell’utente: un token JWT di accesso a breve durata, un refresh token a lunga durata e un nome utente utilizzato per le operazioni di rinnovo del token. Tutti i cookie sono trasmessi in modo sicuro tramite HTTPS e configurati con SameSite impostato su Strict.

3. Cookie e archiviazione locale

I cookie di autenticazione sono strettamente necessari per il funzionamento del servizio e vengono sempre impostati al login. Questi cookie non sono controllati dal banner di consenso.
Il banner di consenso si applica solo ai dati opzionali memorizzati nel local storage. Ciò include le preferenze di consenso dell’utente, dati di stato dell’interfaccia (come il tracciamento delle sessioni di chat), l’ultima selezione del modello IA utilizzato e le preferenze dell’interfaccia utente come lingua e tema.

È importante notare che l’implementazione attuale non distingue chiaramente nell’interfaccia utente tra cookie di autenticazione strettamente necessari e archiviazione opzionale regolata dal consenso.

4. Servizi di terze parti (sub-responsabili del trattamento)

L’applicazione utilizza i seguenti servizi di terze parti per il trattamento dei dati:

  • AWS Cognito elabora i dati di identità dell’utente, inclusi email, password, nome, numero di telefono e indirizzo, per finalità di autenticazione.
  • AWS S3 archivia file caricati, avatar e allegati.
  • AWS Bedrock elabora query degli utenti e testi dei documenti per generare embedding.
  • AWS SQS gestisce attività di elaborazione in background utilizzando identificatori di job e riferimenti di archiviazione.
  • OpenRouter elabora i messaggi completi della chat, inclusi input dell’utente e risposte dell’IA, ed è utilizzato per il routing e l’inferenza dei modelli IA.
  • Qdrant archivia porzioni di testo dei documenti, metadati, identificatori utente e nomi dei file per la ricerca semantica e vettoriale.

OpenRouter rappresenta un componente significativo del trattamento, poiché tutti i messaggi della chat vengono trasmessi ad esso. OpenRouter può instradare le richieste verso provider IA sottostanti come OpenAI, Anthropic, Google o altri, che possono agire come ulteriori sub-responsabili.

Nessuna piattaforma di analisi (come Google Analytics o Segment) è utilizzata nell’applicazione.

5. Conservazione e cancellazione dei dati

Attualmente non è implementato alcun meccanismo automatico di conservazione o scadenza dei dati. I dati vengono conservati indefinitamente salvo eliminazione esplicita.

Quando un amministratore elimina un account utente, vengono rimossi i seguenti dati: l’account Cognito e tutti i record associati nel database, inclusi dati utente, sessioni di chat, messaggi, documenti, utilizzo dei token, allegati e riferimenti agli avatar.

Tuttavia, alcuni dati non vengono eliminati come parte di questo processo. I file archiviati in AWS S3, inclusi documenti caricati, allegati delle chat e immagini del profilo, non vengono rimossi automaticamente. Inoltre, i dati archiviati in Qdrant, inclusi embedding dei documenti e metadati associati, non vengono eliminati.

Gli utenti possono eliminare singole sessioni di chat, rimuovendo i messaggi associati a tali sessioni.

6. Indirizzi IP e logging

Gli indirizzi IP non vengono memorizzati nel database dell’applicazione. Sono utilizzati temporaneamente in memoria esclusivamente per finalità di rate limiting.

7. Accesso amministrativo ai dati personali

Gli amministratori possono accedere e gestire i dati degli utenti, inclusa la visualizzazione di dettagli come email, nome, azienda, numero di telefono e ID Cognito. Possono monitorare le metriche di utilizzo, modificare i limiti dell’account, sospendere account e convertire account di prova in piani a pagamento.
Gli amministratori possono eliminare account utente, soggetti alle limitazioni descritte nella sezione sulla conservazione dei dati.

Gli amministratori non hanno la possibilità di leggere i singoli messaggi di chat tramite l’interfaccia amministrativa attuale.

Torna alla home

Preferenze cookie

Usiamo cookie essenziali per mantenere l'app sicura e funzionante. Con il tuo consenso, usiamo anche cookie opzionali per migliorare prestazioni ed esperienza utente.

Puoi modificare la scelta dei cookie in qualsiasi momento dalle Impostazioni.