Note legali
Informativa sulla privacy
1. Chi siamo
Sopmodo è un servizio software che aiuta le organizzazioni a trasformare spiegazioni vocali in procedure operative standard (SOP) scritte. La presente Informativa sulla privacy spiega come trattiamo i dati personali quando usi la web app Sopmodo o l’applicazione Android Sopmodo (insieme, il “Servizio”).
Sopmodo è stabilita nell’Unione europea ed è il titolare del trattamento dei dati descritti nella presente informativa.
La presente Informativa è fornita ai sensi degli articoli 12, 13 e 14 del Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679, “GDPR”).
2. Il nostro ruolo e quello del tuo datore di lavoro
Sopmodo è un servizio B2B. Abbiamo a che fare con due categorie distinte di interessati e assumiamo due ruoli diversi a seconda dei dati che trattiamo.
2.1 Quando accedi come titolare di un account, siamo noi il titolare del trattamento (art. 4, par. 7)
Se crei un account Sopmodo o vi accedi, raccogliamo direttamente e decidiamo come utilizzare le informazioni del tuo account (la tua email di lavoro, il nome visualizzato, il ruolo, gli identificativi di autenticazione). Per tali informazioni siamo il titolare del trattamento.
2.2 Quando registri SOP per conto della tua organizzazione, il tuo datore di lavoro è il titolare e noi siamo il responsabile del trattamento (art. 4, par. 8; art. 28)
Quando usi il Servizio per registrare, generare o archiviare contenuti SOP per la tua organizzazione, ossia l’audio che pronunci nel telefono, le foto che scatti, i passaggi che l’AI redige da tali input, i valori che inserisci nei campi personalizzati dei modelli, il tuo datore di lavoro (l’organizzazione cliente titolare dell’abbonamento Sopmodo) è il titolare del trattamento di tali dati personali. Noi li trattiamo secondo le sue istruzioni documentate, in base a un separato Accordo sul trattamento dei dati.
Se hai domande su come il tuo datore di lavoro utilizza i contenuti SOP registrati su Sopmodo, rivolgiti prima alla funzione IT, HR o al Responsabile della protezione dei dati (DPO) del tuo datore di lavoro.
3. Quali dati personali trattiamo
3.1 Dati dell’account (siamo noi il titolare)
| Categoria | Esempi | Fonte |
|---|---|---|
| Identità | Nome visualizzato, indirizzo email | Tu / il tuo amministratore |
| Autenticazione | ID utente AWS Cognito (sub), password con hash (conservata da AWS Cognito, non da noi) | Tu / AWS Cognito |
| Stato dell'account | Ruolo (admin / membro), appartenenza all'organizzazione, data e ora di creazione dell'account, data e ora di disattivazione | Il Servizio |
| Sessione | Token di sessione e di refresh cifrati, archiviati in cookie httpOnly, Secure, SameSite=Lax | Il Servizio |
3.2 Contenuti SOP (il tuo datore di lavoro è il titolare; noi siamo il responsabile)
| Categoria | Esempi |
|---|---|
| Registrazioni vocali | Brevi narrazioni vocali acquisite dall’app Android durante le sessioni di registrazione. L’audio è elaborato sul dispositivo dal telefono, trasmesso direttamente a OpenAI Whisper per la trascrizione e non è conservato sui server di Sopmodo (vedi §5.3). |
| Trascrizioni e testo dei passaggi | L'output testuale prodotto dalla pipeline AI; rivisto e modificato dai tuoi colleghi. |
| Foto | Immagini JPEG acquisite durante la registrazione, caricate su AWS S3 e incorporate nella SOP risultante. |
| Valori dei campi personalizzati | Valori che il tuo amministratore ha chiesto agli operatori di compilare per ogni SOP (ad es. Cliente, Numero di lotto). |
| Metadati della SOP | Titolo, tag, autore, stato, data e ora. |
Le registrazioni vocali, le trascrizioni e le foto possono incidentalmente includere dati personali relativi a colleghi, clienti o membri del pubblico visibili o udibili durante la registrazione. Il tuo datore di lavoro è responsabile di garantire di disporre di una base giuridica ai sensi dell’art. 6 (e, ove applicabile, dell’art. 9) per tale trattamento.
3.3 Telemetria del Servizio (siamo noi il titolare)
| Categoria | Esempi |
|---|---|
| Telemetria d'uso dell'AI | Per ogni esecuzione della pipeline: token di chat consumati, durata dell'audio, modello utilizzato, costo totale in crediti, data e ora, utente e organizzazione di origine. Qui non conserviamo il contenuto del prompt o della risposta. |
| Log applicativi | Log standard di richiesta/errore della web app e dell'API. Aggregati e conservati per finestre di debug limitate. |
| Cookie essenziali della web app | sm_access, sm_refresh, sm_username, strettamente necessari per l'autenticazione. |
Non utilizziamo analytics di terze parti, tracker pubblicitari o pixel di marketing. Non impostiamo alcun cookie non essenziale.
4. Perché trattiamo i tuoi dati: finalità e basi giuridiche (art. 6)
| Finalità | Dati personali utilizzati | Base giuridica |
|---|---|---|
| Autenticarti e concederti l'accesso al Servizio | Identità, autenticazione, stato dell'account | Contratto (art. 6, par. 1, lett. b) |
| Erogare il Servizio (archiviazione di SOP, foto, campi personalizzati) | Contenuti SOP | Contratto (art. 6, par. 1, lett. b) per i titolari di account. Per i contenuti SOP relativi ad altre persone si applica la base giuridica del tuo datore di lavoro. |
| Mettere in sicurezza il Servizio e rilevare gli abusi | Log applicativi, dati di sessione | Legittimo interesse (art. 6, par. 1, lett. f) |
| Misurare e fatturare il consumo di AI | Telemetria d'uso | Contratto (art. 6, par. 1, lett. b) |
| Comunicare modifiche essenziali al Servizio | Indirizzo email, nome visualizzato | Legittimo interesse (art. 6, par. 1, lett. f) |
| Adempiere a obblighi di legge | Quanto necessario | Obbligo legale (art. 6, par. 1, lett. c) |
Non ci basiamo sul consenso per nessuna delle attività sopra indicate, poiché tutti i trattamenti sono necessari al funzionamento del Servizio. Non svolgiamo attività di marketing diretto.
5. Chi altro tratta i tuoi dati
5.1 Sub-responsabili del trattamento
Per erogare il Servizio ci avvaliamo dei seguenti sub-responsabili del trattamento. Tutti sono vincolati da clausole sul trattamento dei dati conformi all’art. 28 del GDPR.
| Sub-responsabile | Ruolo | Dove opera |
|---|---|---|
| Amazon Web Services EMEA SARL, Amazon Cognito | Autenticazione degli utenti (password, sessioni, reimpostazione della password) | UE (Irlanda, eu-west-1) |
| Amazon Web Services EMEA SARL, Amazon S3 | Archiviazione delle foto | UE (Irlanda, eu-west-1) |
| Amazon Web Services EMEA SARL, Amazon RDS for PostgreSQL | Database applicativo (dati dell'account, testo delle SOP, telemetria) | UE (Irlanda, eu-west-1) |
| OpenAI, L.L.C., Whisper API | Trascrizione dell'audio (l'audio è inviato direttamente dal dispositivo Android, vedi §5.3) | Stati Uniti |
| OpenAI, L.L.C., Chat Completions API (compresa la visione) | Redazione dei passaggi SOP a partire da trascrizioni e foto | Stati Uniti |
Non vendiamo dati personali e non condividiamo dati personali con terzi per finalità di marketing.
5.2 Trasferimenti internazionali (artt. da 44 a 49)
Il trattamento da parte di OpenAI comporta il trasferimento di dati personali verso gli Stati Uniti. Per tale trasferimento ci basiamo sulle seguenti garanzie:
- il Data Privacy Framework UE-USA, ove OpenAI sia certificata;
- ove il DPF non sia applicabile, le Clausole contrattuali tipo 2021 della Commissione europea (Modulo 2, da titolare a responsabile) tra Sopmodo e OpenAI;
- una valutazione d’impatto del trasferimento (TIA) che abbiamo completato e che riesaminiamo periodicamente.
Una copia delle SCC o della nostra sintesi TIA attuale è disponibile su richiesta a Sopmodo tramite l’amministratore della tua organizzazione.
Il sub-trattamento dei dati personali da parte di AWS avviene all’interno dello Spazio economico europeo (Irlanda) e non richiede garanzie per il trasferimento verso paesi terzi ai sensi dell’art. 44.
5.3 Cosa viene inviato a OpenAI e cosa no
Questo punto è abbastanza importante da ripeterlo in termini semplici.
Quando registri sull’app Android, l’app:
- acquisisce l’audio sul dispositivo;
- invia brevi segmenti audio direttamente dal tuo telefono alla Whisper API di OpenAI per la trascrizione. I byte audio non transitano dai server di Sopmodo;
- invia la trascrizione risultante e (facoltativamente) foto a risoluzione ridotta direttamente alla Chat Completions API di OpenAI per redigere le istruzioni passo passo. Anche in questo caso, la chiamata è effettuata dal tuo dispositivo, non dal nostro backend;
- elimina il file audio grezzo dalla memoria del dispositivo dopo che la pipeline si è completata con successo;
- carica sui server di Sopmodo solo la SOP finale (titoli, testo dei passaggi, foto a piena risoluzione).
Cosa non inviamo a OpenAI:
- la tua email o il nome visualizzato dell’account;
- i dati dell’account di altri utenti;
- le altre SOP della tua organizzazione;
- qualsiasi dato non correlato alla registrazione appena effettuata.
Le condizioni dell’API di OpenAI (alla versione della presente bozza) stabiliscono che i dati inviati tramite API non sono utilizzati per addestrare i modelli di OpenAI. Aggiorneremo la presente Informativa se ciò dovesse cambiare.
6. Per quanto tempo conserviamo i tuoi dati: conservazione (art. 5, par. 1, lett. e)
| Dato | Conservazione |
|---|---|
| Dati dell'account | Per tutto il tempo in cui l'account è attivo. Cancellati o resi anonimi entro 30 giorni dalla cancellazione dell'account. |
| Contenuti SOP (controllati dal tuo datore di lavoro) | Per tutto il tempo in cui l'abbonamento del tuo datore di lavoro è attivo, o finché il tuo datore di lavoro non ci istruisce a cancellarli. Alla cessazione, cancellati o restituiti secondo il DPA entro 30 giorni. |
| Registrazioni vocali (transitorie) | Non conservate lato server. Mantenute sul dispositivo di registrazione per la durata della pipeline AI e poi cancellate automaticamente. |
| Telemetria d'uso dell'AI | Fino a 24 mesi per la riconciliazione della fatturazione e l'analisi delle tendenze. |
| Log applicativi / di sicurezza | Da 30 a 90 giorni |
| Backup | I backup del database conservano i record precedentemente cancellati per un massimo di 35 giorni prima di essere sovrascritti. |
Puoi richiedere una cancellazione anticipata (vedi §7).
7. I tuoi diritti (artt. da 15 a 22)
Quando siamo il titolare del trattamento dei tuoi dati, hai i seguenti diritti:
- Diritto di accesso (art. 15): richiedere una copia dei dati personali che deteniamo su di te.
- Diritto di rettifica (art. 16): chiederci di correggere dati inesatti.
- Diritto alla cancellazione(art. 17): chiederci di cancellare i tuoi dati quando si applica l’art. 17, par. 1.
- Diritto di limitazione del trattamento (art. 18): chiederci di sospendere il trattamento mentre una controversia viene risolta.
- Diritto alla portabilità dei dati (art. 20): ricevere i dati del tuo account in un formato strutturato e leggibile da dispositivo automatico.
- Diritto di opposizione (art. 21): opporti al trattamento basato sul legittimo interesse.
- Processo decisionale automatizzato (art. 22): il Servizio non ti sottopone a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o similmente significativi. La pipeline AI redige un testo che gli esseri umani rivedono e modificano successivamente.
Quando siamo il responsabile del trattamento, indirizza le richieste di esercizio dei diritti prima al tuo datore di lavoro. Assisteremo il tuo datore di lavoro nel darvi seguito come richiesto dall’art. 28, par. 3, lett. e.
Per esercitare uno qualsiasi di questi diritti, chiedi all’amministratore della tua organizzazione di contattare Sopmodo per tuo conto. Rispondiamo entro un mese (art. 12, par. 3), prorogabile fino a due ulteriori mesi per le richieste complesse.
8. Diritto di proporre reclamo (art. 77)
Hai il diritto di proporre reclamo a un’autorità di controllo, in particolare nello Stato membro in cui risiedi abitualmente, lavori o in cui si è verificata la presunta violazione.
9. Sicurezza (art. 32)
- TLS 1.2+ per i dati in transito;
- cifratura AES-256 a riposo per i volumi AWS S3, RDS ed EBS;
- autenticazione tramite AWS Cognito (le password non sono mai viste dal personale di Sopmodo);
- controllo rigoroso degli accessi basato sui ruoli, secondo il principio del privilegio minimo;
- registrazione e allerta centralizzate per gli eventi rilevanti per la sicurezza;
- backup con accesso limitato;
- una procedura di risposta alle violazioni conforme agli artt. da 33 a 34.
Se rileviamo una violazione di dati personali che ti riguarda, ne daremo notifica all’autorità di controllo competente entro 72 ore (art. 33) e ti informeremo direttamente quando la violazione sia suscettibile di presentare un rischio elevato per i tuoi diritti e le tue libertà (art. 34).
10. Minori
Il Servizio è uno strumento di lavoro. Non raccogliamo consapevolmente dati personali di chiunque abbia meno di 16 anni.
11. Cookie e tecnologie analoghe
Impostiamo solo i cookie strettamente necessari al funzionamento del Servizio:
| Cookie | Finalità | Durata |
|---|---|---|
| sm_access | Contiene il token di autenticazione di breve durata. | Fino alla scadenza del token di accesso (in genere alcuni minuti). |
| sm_refresh | Consente la riautenticazione silenziosa così da non doverti far accedere ripetutamente. | 30 giorni |
| sm_username | Usato dal flusso di refresh per identificare l'account presso AWS Cognito. | 30 giorni |
Tutti e tre i cookie sono httpOnly, Secure e SameSite=Lax. Non utilizziamo cookie per analytics, pubblicità o qualsiasi finalità non essenziale. Poiché i cookie sono strettamente necessari ai sensi dell’art. 5, par. 3, della Direttiva ePrivacy, non è richiesto alcun banner di consenso.
12. Modifiche alla presente Informativa
Aggiorneremo la presente Informativa quando il Servizio cambierà in modo sostanziale, quando cambieranno i nostri sub-responsabili del trattamento o quando lo richiederà la legge applicabile. Le modifiche sono notificate via email all’amministratore dell’account della tua organizzazione e tramite l’aggiornamento della data di “Ultima revisione” in cima a questa pagina.
13. Contatti
Per copie delle SCC dei sub-responsabili, richieste relative al DPA o richieste di esercizio dei diritti, contatta Sopmodo tramite l’amministratore della tua organizzazione.