Informativa sulla privacy
Ultimo aggiornamento: 15 luglio 2026
La presente informativa sulla privacy spiega, ai sensi degli artt. 13 e 14 del GDPR, come vengono trattati i dati personali (a) quando visitate il sito web aegis-firewall.com (Parte A) e (b) quando utilizzate il servizio Aegis, costituito dall’estensione per Chrome e dalla relativa API su aegis.kaino.io (Parte B).
1. Titolare del trattamento
Kaino GmbH
Grabenweg 68, 4° piano E5_2
6020 Innsbruck, Austria
Partita IVA: ATU77867578
Numero di iscrizione al registro delle imprese: 573644w
Telefono: +43 512 411012
E-mail: aegis@kaino.io (servizio Aegis) / hello@kaino.io
Sito web: https://kaino.io
Amministratori con potere di rappresentanza: Pius Fischer, Florian Köllich
Responsabile della protezione dei dati: non nominato. L’attività principale di Kaino GmbH consiste nella pseudonimizzazione di dati personali, non nel trattamento su larga scala di categorie particolari di dati (art. 9 del GDPR) né nella sorveglianza sistematica di persone. I presupposti di cui all’art. 37, par. 1 del GDPR non sono pertanto soddisfatti.
Parte A: Sito web aegis-firewall.com
2. Quali dati trattiamo sul sito web e perché
Modulo di contatto
Quando utilizzate il nostro modulo di contatto, trattiamo i dati da voi forniti (nome, indirizzo e-mail, oggetto e messaggio) nonché il vostro indirizzo IP, al fine di gestire la vostra richiesta e di rispondervi. La base giuridica è il vostro consenso e l’esecuzione di misure precontrattuali (art. 6, par. 1, lett. a e b del GDPR). Conserviamo questi dati per il tempo necessario a gestire la vostra richiesta e li cancelliamo successivamente, salvo obblighi legali di conservazione.
Protezione anti-spam (Cloudflare Turnstile)
Per proteggere il nostro modulo di contatto da abusi da parte di programmi automatizzati utilizziamo, ove attivato, il servizio Turnstile di Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Turnstile verifica, sulla base di segnali tecnici (tra cui indirizzo IP, informazioni su browser e dispositivo e modelli di interazione), se un input proviene da un essere umano. I seguenti dati vengono trasferiti ai server di Cloudflare, anche negli USA: il vostro indirizzo IP, informazioni tecniche su browser e dispositivo (tra cui user agent, proprietà del browser, impostazioni di schermo e lingua), i modelli di interazione all’interno del widget Turnstile (come i movimenti del mouse e i tempi) e il risultato della verifica sotto forma di token. I contenuti dei campi del modulo (nome, indirizzo e-mail, messaggio) non vengono trasmessi a Cloudflare. Cloudflare è certificata nell’ambito dell’EU-US Data Privacy Framework e, come garanzia aggiuntiva, sono in essere clausole contrattuali standard ai sensi dell’art. 46 del GDPR. Nella configurazione standard che utilizziamo (senza la cosiddetta pre-clearance), Turnstile non imposta alcun cookie e non crea profili degli utenti. La base giuridica è il nostro legittimo interesse a proteggere il sito web da un uso automatizzato abusivo (art. 6, par. 1, lett. f del GDPR). Cloudflare tratta questi dati per nostro conto sulla base di un contratto di responsabile del trattamento ai sensi dell’art. 28 del GDPR.
Dati di log del server
Quando si accede al sito web, nei log del server vengono trattati dati tecnicamente necessari (tra cui indirizzo IP, data e ora, pagina richiesta e tipo di browser) al fine di fornire il sito web in modo sicuro e affidabile. La base giuridica è il nostro legittimo interesse a un esercizio sicuro (art. 6, par. 1, lett. f del GDPR).
Cookie e consenso
Per impostazione predefinita questo sito web imposta soltanto una voce tecnicamente necessaria che memorizza la vostra scelta sui cookie. I cookie di analisi o di marketing vengono impostati solo dopo il vostro consenso esplicito. I dettagli si trovano nella nostra informativa sui cookie.
Analisi web (Google Analytics 4)
Questo sito web può utilizzare il servizio di analisi web Google Analytics 4. Ove attivato, viene utilizzato solo dopo il vostro consenso esplicito prestato tramite il banner dei cookie (art. 6, par. 1, lett. a del GDPR). Il fornitore è Google Ireland Limited, Gordon House, Barrow Street, Dublino 4, Irlanda. Google Analytics tratta dati di utilizzo pseudonimi (tra cui pagine visitate, durata della visita, posizione approssimativa e informazioni su browser e dispositivo) e imposta cookie _ga (dettagli e revoca nella nostra informativa sui cookie). Secondo Google, Google Analytics 4 non registra né memorizza indirizzi IP; l’indirizzo IP viene trattato solo brevemente al momento della raccolta per derivarne dati di posizione approssimativi e viene poi scartato. I dati sugli eventi memorizzati sui server di Google vengono cancellati automaticamente al termine del periodo di conservazione configurato nella proprietà Analytics (2 o 14 mesi). I dati possono essere trasferiti a Google LLC negli USA; Google è certificata nell’ambito dell’EU-US Data Privacy Framework e, come garanzia aggiuntiva, sono in essere clausole contrattuali standard ai sensi dell’art. 46 del GDPR. Google tratta questi dati per nostro conto sulla base di un contratto di responsabile del trattamento ai sensi dell’art. 28 del GDPR. Potete revocare in qualsiasi momento un consenso prestato, con effetto per il futuro, tramite le impostazioni dei cookie.
3. Destinatari e responsabili del trattamento (sito web)
Per fornire il sito web e recapitare le richieste di contatto ci avvaliamo di fornitori di servizi selezionati con cura (hosting, recapito delle e-mail e, ove attivata, analisi web). Essi trattano i dati esclusivamente per nostro conto e sulla base di contratti di responsabile del trattamento ai sensi dell’art. 28 del GDPR. Una comunicazione a terzi oltre a ciò avviene solo se vi siamo legalmente obbligati.
4. Periodo di conservazione (sito web)
Conserviamo i dati personali solo per il tempo necessario alle finalità sopra indicate o richiesto dai termini di conservazione previsti dalla legge. Successivamente i dati vengono cancellati.
5. Sicurezza
Adottiamo misure tecniche e organizzative adeguate per proteggere i vostri dati, tra cui la trasmissione cifrata (TLS/HTTPS).
6. Link esterni
La presente informativa sulla privacy non si applica ai siti web di terzi verso cui rimandiamo. Dei loro contenuti e della loro protezione dei dati sono responsabili i rispettivi fornitori.
Parte B: Il servizio Aegis (estensione per Chrome e API)
7. Ambito di applicazione
La presente Parte B si applica all’estensione per Chrome Aegis di Kaino GmbH e alla relativa API su aegis.kaino.io. Essa informa, ai sensi degli artt. 13 e 14 del GDPR, su quali dati personali vengono trattati.
Aegis riconosce e pseudonimizza i dati personali nei documenti prima che questi vengano trasmessi a piattaforme di chat basate sull’IA (come ChatGPT, Claude o Gemini). La trasmissione dei dati pseudonimizzati alla rispettiva piattaforma avviene esclusivamente mediante un’azione attiva dell’utente. Aegis esegue soltanto la pseudonimizzazione.
Per la rispettiva piattaforma di IA i dati trasmessi sono di fatto anonimi: essa riceve esclusivamente segnaposto e non ha in alcun momento accesso alla tabella di corrispondenza. Il ripristino dei dati reali è possibile solo nell’estensione del browser dell’utente.
8. Trattamento dei dati in base al piano
8.1 Aegis FREE
Anche nel piano FREE la pseudonimizzazione avviene lato server a cura di Kaino GmbH: i contenuti dei documenti vengono trasmessi in forma cifrata (HTTPS) a Kaino GmbH ed elaborati esclusivamente su infrastruttura UE (Hetzner, Germania; OVHCloud, Francia; Scaleway, Francia). Il flusso di dati corrisponde a quello dei piani PLUS e PRO (si veda la sezione 8.2); i piani si differenziano per limiti di utilizzo e funzionalità. I contenuti vengono elaborati esclusivamente in memoria e non vengono memorizzati lato server.
Dati trattati:
- Contenuti dei documenti (i formati di file supportati sono indicati sulla pagina del prodotto Aegis)
- Dati personali riconosciuti (nomi, indirizzi e-mail, numeri di telefono, date di nascita, indirizzi)
- Tabella di corrispondenza (segnaposto ↔ dati originali), memorizzata localmente nell’estensione del browser (cancellazione automatica dopo 30 giorni)
Kaino GmbH agisce in qualità di responsabile del trattamento (art. 4, n. 8, art. 28 del GDPR) per conto dell’utente; si applica l’accordo sul trattamento dei dati.
Non viene effettuato alcun tracciamento dell’utilizzo.
8.2 Aegis PLUS e Aegis PRO
Per entrambi i piani i contenuti dei documenti vengono trasmessi in forma cifrata (HTTPS) a Kaino GmbH. La pseudonimizzazione assistita dall’IA avviene su infrastruttura UE tramite i sub-responsabili OVHCloud SAS (Francia) e Scaleway SAS(Francia). Il trattamento dei dati è identico. I piani si differenziano per limiti di utilizzo e funzionalità.
I formati di file supportati sono consultabili sulla pagina del prodotto Aegis. I file immagine vengono trasmessi come dati binari ad aegis.kaino.io. I metadati incorporati vengono rimossi lato server. L’elaborazione OCR (Optical Character Recognition) avviene lato server per estrarre il testo da documenti scansionati e immagini.
Flusso di dati:
- Il documento viene letto nel browser come file binario
- Il file completo viene trasmesso tramite HTTPS ad aegis.kaino.io
- Kaino GmbH esegue lato server una pre-elaborazione basata su regole, nella quale i dati personali già riconosciuti vengono sostituiti con segnaposto (minimizzazione dei dati).
- Il file pre-elaborato viene pseudonimizzato con l’ausilio dell’IA su infrastruttura UE (Hetzner, Germania; OVHCloud, Francia; Scaleway, Francia). Nei file immagine i metadati incorporati vengono rimossi in precedenza e viene eseguita un’elaborazione OCR.
- Il testo pseudonimizzato e la corrispondenza dei segnaposto vengono restituiti; nome del file, tipo di file e contenuto del documento vengono elaborati esclusivamente nella RAM e non vengono registrati né memorizzati lato server
Ulteriori dati trattati:
| Attività di trattamento | Dati | Base giuridica |
|---|---|---|
| Emissione della chiave di prodotto | Indirizzo e-mail, nome, ragione sociale: memorizzati in forma cifrata (Encryption-at-Rest) | Art. 6, par. 1, lett. b del GDPR (esecuzione del contratto) |
| Gestione dell’abbonamento | Stato dell’abbonamento, statistiche di utilizzo (numero di documenti elaborati) | Art. 6, par. 1, lett. b del GDPR (esecuzione del contratto) |
| Convalida dell’abbonamento | Verifica giornaliera dello stato dell’abbonamento tramite aegis.kaino.io | Art. 6, par. 1, lett. b del GDPR (esecuzione del contratto) |
| Elaborazione dei pagamenti | Indirizzo e-mail, informazioni di pagamento (tramite Stripe in qualità di titolare autonomo del trattamento) | Art. 6, par. 1, lett. b del GDPR (esecuzione del contratto) |
| Pseudonimizzazione dei documenti | Contenuto del documento (testo o file binario), nome del file, tipo di file | Art. 6, par. 1, lett. b del GDPR (esecuzione del contratto: pseudonimizzazione quale prestazione contrattuale nei confronti dell’utente). Per i dati di terzi contenuti nei documenti: si veda la sezione 10. |
| Comunicazione API | Lingua del browser | Art. 6, par. 1, lett. b del GDPR (esecuzione del contratto: comunicazione con l’utente nella sua lingua preferita) |
| Log di accesso al server | Indirizzo IP, marca temporale, user agent, URL richiesto, codice di stato HTTP, lingua del browser | Art. 6, par. 1, lett. f del GDPR (legittimo interesse: sicurezza operativa e risoluzione degli errori) |
Kaino GmbH non memorizza i contenuti dei documenti dopo l’elaborazione. I contenuti dei documenti vengono trattati esclusivamente dai responsabili del trattamento indicati nella sezione 12, all’interno dell’UE. Non avviene alcuna comunicazione ad altri terzi.
Base giuridica: art. 6, par. 1, lett. b del GDPR (esecuzione del contratto), art. 6, par. 1, lett. c del GDPR (obbligo legale: obblighi di conservazione fiscali e commerciali ai sensi del § 132 BAO e del § 212 UGB), art. 6, par. 1, lett. f del GDPR (legittimo interesse: log di accesso al server).
Il trattamento di dati di terzi contenuti nei documenti avviene nell’ambito del trattamento per conto del titolare ai sensi dell’art. 28 del GDPR (si veda la sezione 10). I dettagli sono disciplinati nell’accordo sul trattamento dei dati (DPA), che entra in vigore con la sottoscrizione dell’abbonamento.
Bilanciamento degli interessi per i log di accesso al server (art. 6, par. 1, lett. f del GDPR): il legittimo interesse di Kaino GmbH al trattamento dei log di accesso al server (indirizzo IP, marca temporale, user agent, URL richiesto, codice di stato HTTP, lingua del browser) consiste nel garantire la sicurezza informatica, nel rilevare e respingere attacchi e abusi, nella risoluzione degli errori e nella garanzia della disponibilità del sistema, nonché nell’azione legale in caso di accessi non autorizzati. Il periodo di conservazione è limitato a 30 giorni. Gli interessi degli interessati sono tutelati dal breve periodo di conservazione e dall’utilizzo esclusivamente legato alla sicurezza. Sussiste un diritto di opposizione ai sensi dell’art. 21 del GDPR (si veda la sezione 20).
8.3 Aegis ENTERPRISE
ENTERPRISE è una soluzione concordata individualmente. Per impostazione predefinita Kaino GmbH offre IA self-hosted su server in Germania. A seconda dell’accordo, i clienti possono utilizzare anche altri servizi. In tal caso si applicano le disposizioni sulla protezione dei dati del rispettivo servizio.
Caratteristiche (variante self-hosted):
- Elaborazione IA su server tedeschi gestiti da Kaino GmbH
- Nessuna conservazione dei dati (zero-retention)
- Nessuna comunicazione di dati a terzi
- Accordo sul trattamento dei dati (DPA) ai sensi dell’art. 28 del GDPR
- Sviluppo che tiene conto dei requisiti di trasparenza e documentazione del regolamento (UE) 2024/1689 sull’IA
La base è costituita dall’accordo sul trattamento dei dati (DPA). Condizioni integrative o divergenti vengono concordate individualmente.
Base giuridica: art. 6, par. 1, lett. b del GDPR (esecuzione del contratto), art. 28 del GDPR (DPA).
9. Ulteriori funzioni
Ripristino nei download: al momento del download di file dalle piattaforme di chat IA supportate, i segnaposto vengono automaticamente sostituiti con i dati originali. L’estensione monitora i processi di download sulle pagine delle rispettive piattaforme e sostituisce i segnaposto riconosciuti nel testo scaricato. Questo trattamento avviene esclusivamente in locale nel browser.
Ripristino negli appunti: quando si copia testo dalle risposte sulle piattaforme di chat IA supportate, i segnaposto negli appunti vengono automaticamente sostituiti con i dati originali. A tal fine l’estensione registra un event listener per gli eventi di copia all’interno della pagina della rispettiva piattaforma. Questo trattamento avviene esclusivamente in locale nel browser.
Vista dei segnaposto: pagina riepilogativa per consultare la corrispondenza segnaposto ↔ dati originali. Memorizzata localmente, accessibile solo all’interno dell’estensione.
Base giuridica per tutte le funzioni locali: art. 6, par. 1, lett. b del GDPR (esecuzione del contratto).
10. Trattamento di dati di terzi nei documenti (art. 14 del GDPR)
I documenti che gli utenti elaborano tramite Aegis possono contenere dati personali di terzi (ad es. dipendenti, clienti, pazienti, partner commerciali).
Ripartizione dei ruoli:
- L’utente è il titolare del trattamento (art. 4, n. 7 del GDPR) per i dati personali di terzi contenuti nei suoi documenti.
- Kaino GmbH tratta questi dati esclusivamente in qualità di responsabile del trattamento (art. 28 del GDPR) per conto dell’utente, ai fini della pseudonimizzazione. I dettagli sono disciplinati nell’accordo sul trattamento dei dati (DPA).
Avvertenza per gli utenti: in qualità di titolari del trattamento, siete gli unici responsabili di disporre di una base giuridica adeguata per il trattamento dei dati personali di terzi (ad es. legittimo interesse, consenso o base contrattuale). Ciò comprende in particolare l’obbligo di verificare autonomamente la liceità del trattamento prima della trasmissione ad Aegis e di valutare i rischi per i terzi interessati. In qualità di titolari del trattamento siete tenuti a informare i terzi interessati del trattamento ai sensi dell’art. 14 del GDPR, salvo che si applichi un’eccezione ai sensi dell’art. 14, par. 5 del GDPR. Kaino GmbH non risponde della trasmissione illecita di documenti da parte dell’utente. Nella misura in cui i documenti contengono categorie particolari di dati personali ai sensi dell’art. 9, par. 1 del GDPR (ad es. dati sanitari, dati sulle convinzioni religiose), l’utente è responsabile della sussistenza di un’eccezione ai sensi dell’art. 9, par. 2 del GDPR. Ulteriori dettagli sono disciplinati nell’accordo sul trattamento dei dati (DPA), § 3.1.
Art. 14, par. 5, lett. b del GDPR: nella misura in cui Kaino GmbH tratta dati di terzi in qualità di responsabile del trattamento, un’informazione diretta dei terzi interessati da parte di Kaino GmbH non è possibile, poiché Kaino GmbH non ha conoscenza dell’identità degli interessati né dispone di dati di contatto. L’obbligo di informare i terzi interessati spetta all’utente in qualità di titolare del trattamento.
11. Obbligo di fornire i dati (art. 13, par. 2, lett. e del GDPR)
Aegis FREE: per l’utilizzo non sono necessari dati personali (ad esempio un account).
Piani a pagamento (PLUS, PRO, ENTERPRISE): la fornitura di nome, ragione sociale, indirizzo e-mail e informazioni di pagamento è un presupposto contrattuale per l’utilizzo. Senza questi dati non è possibile sottoscrivere alcun abbonamento.
Elaborazione dei documenti: il caricamento di documenti è volontario. Aegis si attiva solo se l’utente carica un file da pseudonimizzare su una piattaforma di chat IA supportata.
12. Responsabili del trattamento e altri destinatari
OVHCloud (elaborazione IA: PLUS e PRO)
Pseudonimizzazione dei documenti assistita dall’IA ed elaborazione OCR.
- OVHCloud SAS, Roubaix, Francia
- Finalità: sub-responsabile per la pseudonimizzazione assistita dall’IA e l’elaborazione OCR dei contenuti dei documenti
- Ubicazione dei server: UE (Francia)
- DPA concluso ai sensi dell’art. 28 del GDPR
- Zero Data Retention: i contenuti dei documenti non vengono memorizzati da OVHCloud dopo l’elaborazione (elaborazione transitoria in memoria)
- I contenuti dei documenti trasmessi non vengono utilizzati da OVHCloud per l’addestramento o il miglioramento di modelli di IA
- Minimizzazione dei dati: prima della trasmissione all’elaborazione IA, Kaino GmbH esegue lato server una pre-elaborazione basata su regole, nella quale i dati personali già riconosciuti vengono sostituiti con segnaposto. I contenuti trasmessi all’elaborazione IA sono quindi già parzialmente pseudonimizzati.
- Informativa sulla privacy: ovhcloud.com/de/personal-data-protection
Scaleway (elaborazione IA: PLUS e PRO)
Pseudonimizzazione dei documenti assistita dall’IA ed elaborazione OCR.
- Scaleway SAS, Parigi, Francia
- Finalità: sub-responsabile per la pseudonimizzazione assistita dall’IA e l’elaborazione OCR dei contenuti dei documenti
- Ubicazione dei server: UE (Francia)
- DPA concluso ai sensi dell’art. 28 del GDPR
- Zero Data Retention: i contenuti dei documenti non vengono memorizzati da Scaleway dopo l’elaborazione (elaborazione transitoria in memoria).
- I contenuti dei documenti trasmessi non vengono utilizzati da Scaleway per l’addestramento o il miglioramento di modelli di IA.
- Minimizzazione dei dati: prima della trasmissione all’elaborazione IA, Kaino GmbH esegue lato server una pre-elaborazione basata su regole, nella quale i dati personali già riconosciuti vengono sostituiti con segnaposto. I contenuti trasmessi all’elaborazione IA sono quindi già parzialmente pseudonimizzati.
- Informativa sulla privacy: scaleway.com/en/privacy-policy
Hetzner Online (infrastruttura e hosting del sito web: tutti i piani)
Hosting dei server Kaino, dell’infrastruttura API e del sito web.
- Hetzner Online GmbH, Gunzenhausen, Germania
- Finalità: hosting dei server e infrastruttura per aegis.kaino.io nonché hosting del sito web
- Ubicazione dei server: Germania
- DPA concluso ai sensi dell’art. 28 del GDPR
- Informativa sulla privacy: hetzner.com/de/legal/privacy-policy
Stripe (piani a pagamento): titolare autonomo del trattamento
Elaborazione dei pagamenti tramite Stripe Checkout e Stripe Billing Portal. Per l’elaborazione del pagamento l’utente viene reindirizzato alla pagina di checkout ospitata da Stripe e vi inserisce i propri dati di pagamento direttamente presso Stripe. Stripe tratta questi dati sotto la propria responsabilità in materia di protezione dei dati ai sensi dell’art. 4, n. 7 del GDPR, non in qualità di responsabile del trattamento per conto di Kaino GmbH. A Stripe vengono trasmessi esclusivamente dati di fatturazione; i contenuti dei documenti non vengono in alcun momento comunicati a Stripe.
- Stripe Payments Europe, Ltd., Dublino, Irlanda
- Dati trattati: informazioni di pagamento, indirizzo e-mail, dati di fatturazione
- Kaino GmbH non ha accesso ai dati completi delle carte di credito
- Base giuridica per la trasmissione a Stripe: art. 6, par. 1, lett. b del GDPR (esecuzione del contratto: elaborazione dei pagamenti)
- Informativa sulla privacy: stripe.com/de/privacy
Consulente fiscale (piani a pagamento): titolare autonomo del trattamento
Per adempiere agli obblighi di conservazione fiscali e commerciali (§ 132 BAO, § 212 UGB), i dati di fatturazione vengono comunicati al consulente fiscale di Kaino GmbH. Il consulente fiscale tratta i dati sotto la propria responsabilità in materia di protezione dei dati (art. 4, n. 7 del GDPR) ed è soggetto al segreto professionale (§ 80 WTBG).
- Finalità: contabilità e conservazione a fini fiscali
- Dati comunicati: nome, ragione sociale, indirizzo e-mail, dati di fatturazione
- Periodo di conservazione: 7 anni ai sensi del § 132 BAO e del § 212 UGB
- Base giuridica: art. 6, par. 1, lett. c del GDPR (obbligo legale)
Hetzner Online GmbH, OVHCloud SAS e Scaleway SAS sono vincolate contrattualmente in qualità di responsabili del trattamento ai sensi dell’art. 28 del GDPR. Stripe Payments Europe, Ltd. tratta i dati di pagamento in qualità di titolare autonomo del trattamento. Il consulente fiscale tratta i dati di fatturazione in qualità di titolare autonomo del trattamento per adempiere agli obblighi legali di conservazione. Una comunicazione di dati personali a terzi oltre a ciò non avviene, salvo che sia necessaria per adempiere obblighi legali (art. 6, par. 1, lett. c del GDPR).
13. Trasferimenti di dati verso paesi terzi
FREE, PLUS e PRO: tutti i dati dei documenti vengono trattati esclusivamente all’interno dell’UE (Hetzner, Germania; OVHCloud, Francia; Scaleway, Francia). Non avviene alcun trasferimento di contenuti dei documenti verso paesi terzi.
ENTERPRISE (self-hosted): trattamento esclusivamente in Germania.
Stripe: Stripe Payments Europe, Ltd. (Irlanda) tratta esclusivamente dati di fatturazione in qualità di titolare autonomo del trattamento all’interno dell’UE. I contenuti dei documenti non vengono in alcun momento trasmessi a Stripe. Stripe può trasmettere dati di fatturazione a società collegate negli USA (Stripe, Inc.); il trasferimento è garantito dalla decisione di adeguatezza della Commissione europea relativa all’EU-US Data Privacy Framework (art. 45 del GDPR) nonché, in aggiunta, da clausole contrattuali standard ai sensi dell’art. 46, par. 2, lett. c del GDPR. Ulteriori informazioni sono disponibili nell’informativa sulla privacy di Stripe.
14. Periodi di conservazione nel servizio Aegis
| Categoria di dati | Periodo di conservazione | Luogo di conservazione |
|---|---|---|
| Tabella di corrispondenza (segnaposto ↔ dati originali) | Cancellazione automatica dopo 30 giorni o cancellazione manuale da parte dell’utente | Memoria locale del browser |
| Chiave di prodotto (chiave API) | Fino alla disinstallazione o alla cancellazione manuale | Memoria dell’estensione Chrome |
| Indirizzo e-mail, nome, ragione sociale | Fino alla cessazione dell’abbonamento; anonimizzazione irreversibile presso Kaino GmbH entro 30 giorni dalla cessazione. I dati di fatturazione fiscalmente rilevanti vengono conservati dal consulente fiscale per 7 anni (§ 132 BAO, § 212 UGB) e da Stripe, in qualità di titolare autonomo del trattamento, secondo i suoi obblighi di conservazione (si veda la sezione 12). | Kaino GmbH (in forma cifrata, Encryption-at-Rest) |
| Stato dell’abbonamento | Per la durata dell’abbonamento; anonimizzazione insieme ai dati anagrafici dei clienti entro 30 giorni dalla cessazione | Server Kaino GmbH (Hetzner, DE) |
| Statistiche di utilizzo (numero di documenti elaborati) | Per la durata dell’abbonamento. Dopo la cessazione, i dati anagrafici dei clienti vengono anonimizzati in modo irreversibile (si veda sopra). Le statistiche di utilizzo residue contengono esclusivamente contatori aggregati (numero di documenti, numero di categorie riconosciute per elaborazione) senza riferimenti a persone e non costituiscono dati personali ai sensi dell’art. 4, n. 1 del GDPR (cfr. considerando 26). | Server Kaino GmbH (Hetzner, DE) |
| Contenuti dei documenti (Kaino) | Nessuna memorizzazione dopo l’elaborazione | Server Kaino GmbH |
| Log di accesso al server | 30 giorni | Server Kaino GmbH (Hetzner, DE) |
| Dati di pagamento | Stripe tratta i dati di pagamento in qualità di titolare autonomo del trattamento; il periodo di conservazione è determinato dall’informativa sulla privacy di Stripe | Stripe Payments Europe, Ltd. |
In caso di disinstallazione dell’estensione, tutti i dati memorizzati localmente vengono cancellati automaticamente da Chrome.
15. Processo decisionale automatizzato (art. 22 del GDPR)
Non ha luogo alcun processo decisionale automatizzato, compresa la profilazione, ai sensi dell’art. 22 del GDPR. La pseudonimizzazione non costituisce una decisione con effetti giuridici, poiché non valuta aspetti personali degli interessati, ma serve esclusivamente al riconoscimento di modelli ai fini del miglioramento della protezione dei dati.
16. Sicurezza dei dati nel servizio Aegis
- Tutti i trasferimenti di dati tramite HTTPS/TLS
- Accesso all’API solo con una chiave di prodotto valida
- Dati anagrafici dei clienti (indirizzo e-mail, nome, ragione sociale) memorizzati in forma cifrata (Encryption-at-Rest)
- Elaborazione dei documenti esclusivamente su infrastruttura UE (Hetzner, Germania; OVHCloud, Francia; Scaleway, Francia)
- Nessuna memorizzazione dei contenuti dei documenti dopo l’elaborazione (elaborazione transitoria nella RAM)
Una descrizione dettagliata delle misure tecniche e organizzative ai sensi dell’art. 32 del GDPR è documentata nell’accordo sul trattamento dei dati (DPA), allegato 1.
Kaino GmbH non memorizza in modo permanente i contenuti dei documenti. Il trattamento avviene esclusivamente tramite l’infrastruttura dei responsabili del trattamento indicati nella sezione 12. Per le misure tecniche e organizzative dei fornitori di infrastruttura rimandiamo alla loro documentazione in materia di protezione dei dati e sicurezza:
- Hetzner Online GmbH: hetzner.com/de/legal/privacy-policy
- OVHCloud SAS: ovhcloud.com/de/personal-data-protection
- Scaleway SAS: scaleway.com/en/privacy-policy
17. Cookie e tracciamento nell’estensione
L’estensione non utilizza cookie né tracciamento dell’utilizzo.
18. Nessuna vendita di dati personali
I dati personali non vengono venduti da Kaino GmbH né comunicati a terzi dietro compenso.
19. Chrome Web Store: utilizzo limitato (Limited Use)
L’utilizzo delle informazioni ricevute tramite le API di Google avviene in conformità alla Chrome Web Store User Data Policy, inclusi i requisiti di utilizzo limitato (Limited Use).
L’estensione:
- utilizza i dati esclusivamente per la finalità dichiarata (pseudonimizzazione di dati personali)
- trasmette i contenuti dei documenti esclusivamente a responsabili del trattamento vincolati contrattualmente all’interno dell’UE (PLUS/PRO: analisi IA tramite OVHCloud SAS e Scaleway SAS su infrastruttura UE)
- non utilizza i dati per finalità pubblicitarie
- non vende dati degli utenti
- non consente l’accesso umano ai dati degli utenti, salvo con consenso esplicito, per motivi di sicurezza o per il rispetto di disposizioni di legge
Disposizioni comuni
20. I vostri diritti (artt. 15–22 del GDPR)
Nei confronti di Kaino GmbH avete i seguenti diritti riguardo ai vostri dati personali:
- Diritto di accesso (art. 15): informazioni sui dati trattati
- Diritto di rettifica (art. 16): rettifica dei dati inesatti
- Diritto alla cancellazione (art. 17): cancellazione dei vostri dati. I dati locali possono essere cancellati in qualsiasi momento tramite l’estensione o mediante disinstallazione.
- Diritto di limitazione del trattamento (art. 18): limitazione del trattamento
- Diritto alla portabilità dei dati (art. 20): diritto alla portabilità dei dati
Le richieste vengono evase senza ingiustificato ritardo e in ogni caso entro un mese dal ricevimento (art. 12, par. 3 del GDPR). Nei casi complessi il termine può essere prorogato di ulteriori due mesi; in tal caso ne sarete informati entro il primo mese.
Il trattamento dei dati da parte di Aegis si basa esclusivamente sull’art. 6, par. 1, lett. b del GDPR (esecuzione del contratto) e sull’art. 6, par. 1, lett. f del GDPR (legittimo interesse). Non viene richiesto alcun consenso; non sussiste pertanto alcun diritto di revoca ai sensi dell’art. 7, par. 3 del GDPR.
Diritto di opposizione (art. 21 del GDPR)
Nella misura in cui Kaino GmbH tratta dati personali sulla base di un legittimo interesse (art. 6, par. 1, lett. f del GDPR), il che riguarda esclusivamente i log di accesso al server, avete il diritto di opporvi in qualsiasi momento a tale trattamento per motivi connessi alla vostra situazione particolare.
In caso di opposizione, Kaino GmbH non tratterà più i dati in questione, salvo che sussistano motivi legittimi cogenti che prevalgono sui vostri interessi o che il trattamento serva all’accertamento, all’esercizio o alla difesa di un diritto in sede giudiziaria. L’utilizzo dei servizi Aegis a pagamento è volontario: potete cessarne l’utilizzo o disdire il vostro abbonamento in qualsiasi momento.
Contatto per tutte le richieste e le opposizioni: aegis@kaino.io
Diritto di reclamo (art. 77 del GDPR)
Avete il diritto di proporre reclamo a un’autorità di controllo per la protezione dei dati. Potete rivolgervi all’autorità di controllo del vostro luogo di residenza, del vostro luogo di lavoro o del luogo della presunta violazione.
Autorità competente per il titolare del trattamento:
Autorità austriaca per la protezione dei dati (Österreichische Datenschutzbehörde)
Barichgasse 40–42, 1030 Vienna
dsb@dsb.gv.at · https://www.dsb.gv.at
Un elenco di tutte le autorità di controllo per la protezione dei dati dell’UE è disponibile su: edpb.europa.eu/about-edpb/about-edpb/members
21. Modifiche alla presente informativa sulla privacy
Aggiorniamo la presente informativa sulla privacy quando i nostri trattamenti o la situazione giuridica cambiano. Le modifiche che incidono in modo sostanziale sul trattamento dei dati verranno annunciate via e-mail almeno 30 giorni prima della loro entrata in vigore e pubblicate in anticipo su https://kaino.io/aegis/privacy. Fa fede la versione di volta in volta pubblicata su questa pagina.
Kaino GmbH