Informativa sulla privacy
Aggiornato l'8 luglio 2026
Siamo uno strato di integrazione sopra Google Vertex AI Search. Ricerca, generazione delle risposte e indicizzazione girano sull'infrastruttura Google Cloud. Questa informativa descrive quali dati vengono trattati, chi è responsabile di cosa e come vengono gestiti i diritti degli interessati.
Ruoli: chi è titolare, chi è responsabile
Il proprietario del sito che incorpora il widget è il titolare dei dati dei suoi visitatori e dei suoi contenuti. Noi agiamo come responsabile del trattamento per conto del proprietario, e Google Cloud è un sub-responsabile (trattamento all'interno di Vertex AI / Gemini). Per l'account del proprietario (email, pagamenti) siamo il titolare.
Trattiamo inoltre il testo delle richieste dei visitatori in misura limitata per finalità nostre — metriche di qualità e protezione dagli abusi; in quella parte ristretta agiamo come titolare autonomo. La base giuridica è il nostro legittimo interesse (art. 6(1)(f) GDPR) a mantenere il servizio operativo, sicuro e accurato; abbiamo effettuato una valutazione del legittimo interesse (LIA), e tale interesse non prevale sui diritti degli interessati.
I pagamenti sono gestiti da Paddle in qualità di Merchant of Record: rispetto alla transazione di pagamento, Paddle agisce come merchant of record e titolare autonomo dei dati di pagamento, non come nostro sub-responsabile.
Quali dati vengono trattati
- Contenuti del sito — le pagine pubbliche del proprietario vengono indicizzate affinché le risposte possano basarsi su di esse.
- Richieste dei visitatori — il testo della domanda viene inviato a Google Vertex/Gemini per generare una risposta.
- Dati tecnici dei visitatori — l'indirizzo IP viene elaborato transitoriamente in memoria per la protezione dagli abusi e il rate limiting e non viene conservato nei log o in un database (principio di minimizzazione dei dati).
- Metriche di utilizzo — conteggi delle richieste e qualità delle risposte (nessun contenuto oltre il necessario).
- Account del proprietario — email e dati di fatturazione (i pagamenti sono gestiti da Paddle in qualità di Merchant of Record; non conserviamo i dati della carta).
Il nostro sito pubblico può utilizzare cookie analitici — impostati solo con il tuo consenso; vedi la Cookie Policy per i dettagli.
Dati dei minori. Il servizio è un prodotto B2B e non è rivolto ai minori di 16 anni.
Dove e come vengono trattati i dati
La generazione delle risposte e l'indicizzazione girano nella regione Google Cloud selezionata in base ai termini enterprise di Google; per i clienti UE è selezionata per impostazione predefinita una regione UE. In base a tali termini, Google non utilizza i dati inviati a Vertex AI e all'API Gemini per addestrare i propri modelli. Analogamente, non utilizziamo i tuoi contenuti o le tue richieste per addestrare alcun modello.
L'operatore del servizio ha sede in Israele. I trasferimenti di dati personali dall'UE a Israele si basano sulla decisione di adeguatezza della Commissione europea per Israele; i trasferimenti verso i servizi di Google sono regolati dal Cloud Data Processing Addendum di Google e, ove necessario, dalle Standard Contractual Clauses (SCC) e/o dall'EU-US Data Privacy Framework.
Trasparenza sull'AI. Le risposte sono prodotte da intelligenza artificiale a partire dai contenuti indicizzati; l'interfaccia del widget indica che è l'AI a rispondere, e le risposte contengono link alle loro fonti.
Sub-responsabili
- Google Cloud — Vertex AI Search (Discovery Engine) e Gemini — indicizzazione, ricerca e generazione delle risposte; il trattamento è regolato dal Cloud Data Processing Addendum di Google. Per i dati dei clienti UE viene usata per impostazione predefinita una regione UE.
- Google Cloud Storage — staging intermedio del testo estratto per l'importazione nell'indice (nella stessa regione).
Paddle elabora gli abbonamenti e i pagamenti in qualità di Merchant of Record e, in tale ruolo, agisce come titolare autonomo anziché come sub-responsabile.
Un elenco aggiornato dei sub-responsabili è disponibile su richiesta. Diamo preavviso delle modifiche previste ai nostri sub-responsabili e forniamo la possibilità di opporsi.
Conservazione
Periodi di conservazione:
- Indirizzi IP dei visitatori — non conservati: elaborati solo transitoriamente in memoria per la protezione dagli abusi e scartati subito dopo la gestione della richiesta.
- Testo delle richieste dei visitatori — 90 giorni, dopodiché viene anonimizzato o cancellato; le metriche aggregate prive di dati personali possono essere conservate più a lungo.
- Artefatti di indicizzazione nello storage intermedio — cancellati secondo pianificazione, di norma entro 7 giorni.
- Indice del sito — finché il progetto è attivo; alla chiusura di un progetto, l'indice e le risorse correlate vengono cancellati.
- Dati dell'account del proprietario — finché l'account è attivo; dopo la chiusura vengono cancellati, fatti salvi i periodi di conservazione obbligatori (ad esempio, contabili e fiscali).
Diritti degli interessati (GDPR / CCPA / PPL israeliana)
Gli interessati possono richiedere l'accesso ai propri dati, la loro rettifica, cancellazione o la limitazione del trattamento, e possono opporsi al trattamento; ai sensi del CCPA — conoscere le categorie di dati, richiederne la cancellazione e opporsi a una "vendita" (non vendiamo dati). Poiché l'operatore ha sede in Israele, si applica anche la Protection of Privacy Law (PPL) come modificata dall'Amendment 13: diritti di accesso e rettifica, requisiti di trasparenza e notifica alla regulator dei gravi incidenti di sicurezza.
Come inviare una richiesta (DSAR). Le richieste relative ai dati dei visitatori sono indirizzate al proprietario del sito in quanto titolare — noi, come responsabile, lo assistiamo (individuazione e cancellazione dei dati, pulizia dei log, cancellazione del progetto). Le richieste relative ai dati dell'account del proprietario vanno inviate a noi tramite il modulo di contatto o al contatto privacy (vedi la sezione "Contatti"). Rispondiamo entro i termini stabiliti dalla legge applicabile (ai sensi del GDPR, generalmente entro un mese).
Non possiamo escludere per contratto gli obblighi imperativi del GDPR/CCPA/PPL — la responsabilità è ripartita per legge.
Sicurezza
I dati sono trasmessi tramite TLS; l'accesso dei service account segue il principio del privilegio minimo. Le richieste vengono sanificate e sottoposte a rate limiting prima di qualsiasi chiamata a un servizio a pagamento (protezione dall'injection e dal denial-of-wallet). I progetti sono isolati: ciascuno opera sul proprio indice. Per rilevare bot e abusi utilizziamo Google reCAPTCHA Enterprise, che elabora i segnali di interazione del visitatore nel rispetto delle condizioni sulla privacy di Google.
In caso di grave incidente di sicurezza che coinvolge dati personali, notifichiamo l'autorità competente (in Israele, la Privacy Protection Authority, PPA) e, ove richiesto dalla legge, gli interessati e il proprietario del sito, entro i termini applicabili.
Contatti
Operatore del servizio (titolare): [Operator name], osek n. [osek no.] — un lavoratore autonomo (osek) con sede in Israele. Indirizzo: [address].
Contatto privacy: [privacy@DOMAIN] o tramite il modulo di contatto. Invia a questo contatto le richieste degli interessati relative all'account del proprietario; per i dati dei visitatori, contatta il proprietario del sito in quanto titolare (vedi "Diritti degli interessati").
I dettagli tra parentesi quadre saranno compilati prima del lancio commerciale.