1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
- Ragione sociale: 4Care Service S.r.l.
- Sede legale: Via Privata Armenia 1, 20149 Milano (MI), Italia
- Partita IVA: IT11288300962
- Email: info@aidavoip.it
2. Data Protection Officer (DPO)
Il Responsabile della Protezione dei Dati (DPO) è raggiungibile ai seguenti recapiti:
- Email DPO: privacy@aidavoip.it (in alternativa info@aidavoip.it)
- Indirizzo postale: Via Privata Armenia 1, 20149 Milano (MI), Italia
3. Categorie di dati personali raccolti
AIDA VoIP raccoglie e tratta le seguenti categorie di dati personali, in modo diretto o tramite gli utenti del servizio:
Dati identificativi
- Nome, cognome
- Indirizzo email
- Numero di telefono
- Indirizzo postale
Dati relativi alle comunicazioni
- Registrazioni delle chiamate (se la funzione è abilitata dal cliente)
- Trascrizioni AI delle conversazioni
- Messaggi di chat e log conversazionali
- Messaggi WhatsApp Business inviati e ricevuti
- Email scambiate tramite il modulo email integrato
Dati tecnici
- Indirizzo IP
- User-agent del browser
- Informazioni sul dispositivo (sistema operativo, versione, tipologia)
- Timestamp di accesso e attività
Dati professionali
- Ragione sociale
- Partita IVA, codice fiscale
- Ruolo del singolo utente all'interno del team
Dati di pagamento
- I dati delle carte di credito sono gestiti esclusivamente da provider di pagamento terzi certificati PCI-DSS
- AIDA VoIP non memorizza direttamente i numeri di carta
- Dati IBAN per pagamenti SEPA conservati in forma cifrata
4. Finalità del trattamento e basi giuridiche
Ogni trattamento è giustificato da una specifica base giuridica ai sensi dell'art. 6 GDPR:
- Erogazione del Servizio — Art. 6.1.b GDPR (esecuzione di un contratto di cui l'interessato è parte).
- Comunicazioni di servizio (notifiche tecniche, modifiche al servizio, sicurezza account) — Art. 6.1.b GDPR.
- Marketing diretto (newsletter, novità prodotto) — Art. 6.1.a GDPR (consenso esplicito, revocabile in ogni momento con opt-out facile in calce a ogni email).
- Analytics anonimi e miglioramento del servizio — Art. 6.1.f GDPR (legittimo interesse del Titolare a migliorare la piattaforma).
- Adempimenti fiscali e contabili — Art. 6.1.c GDPR (obbligo legale).
- Processing AI per assistente vocale, chat AI e analisi conversazioni — Art. 6.1.b GDPR (esecuzione contratto, funzionalità core del Servizio).
5. Periodi di conservazione (Retention)
I dati sono conservati per il tempo strettamente necessario alle finalità del trattamento. In dettaglio:
- Dati account attivo: per tutta la durata del contratto + 10 anni dalla cessazione (obblighi fiscali e contabili italiani).
- Registrazioni delle chiamate: 90 giorni di default, configurabili dal cliente fino a un massimo di 12 mesi.
- Trascrizioni AI: 90 giorni dalla generazione.
- Log tecnici: 30 giorni.
- Backup: 30 giorni successivi alla cancellazione del dato in produzione, dopodiché eliminati definitivamente.
- Dati ai fini marketing: fino a opt-out dell'interessato o, in mancanza, 24 mesi di inattività.
6. Diritti dell'interessato (GDPR Art. 15-22)
Ogni interessato può esercitare in ogni momento i seguenti diritti:
- Diritto di accesso (Art. 15): ottenere conferma del trattamento e copia dei dati che lo riguardano.
- Diritto di rettifica (Art. 16): correggere dati inesatti o incompleti.
- Diritto alla cancellazione / oblio (Art. 17): ottenere la cancellazione dei dati nei casi previsti dalla legge.
- Diritto di limitazione (Art. 18): limitare il trattamento in caso di contestazione, illiceità o cessate finalità.
- Diritto alla portabilità (Art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Diritto di opposizione (Art. 21): opporsi al trattamento per motivi connessi alla situazione particolare o per finalità di marketing.
- Diritto di reclamo: proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
Per esercitare i diritti scrivere a: privacy@aidavoip.it. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta.
7. Trasferimenti dati extra-UE
Alcuni fornitori tecnologici utilizzati per erogare il Servizio (es. OpenAI, Twilio, Cartesia, Deepgram) sono basati negli Stati Uniti. Per garantire un livello adeguato di tutela, AIDA VoIP applica:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione UE 2021/914) per i trasferimenti UE-USA.
- Data Privacy Framework (DPF) per i fornitori certificati e aderenti al programma UE-USA Data Privacy Framework.
- Misure tecniche aggiuntive (cifratura at-rest e in-transit, controllo degli accessi).
8. Processori terzi (Subprocessors)
In conformità all'Art. 28 GDPR, AIDA si avvale dei seguenti processori terzi per l'erogazione del servizio. Per ognuno è indicata la categoria di dati trattati, la località effettiva del trattamento, e la garanzia GDPR applicata per i trasferimenti extra-UE (ove pertinente).
| Processore | Servizio | Località trattamento dati | Garanzia GDPR / DPF |
|---|---|---|---|
| OVH Cloud SAS | Hosting infrastruttura + Object Storage backup | UE — Strasbourg (Francia) | Titolare con stabilimento UE — nessun trasferimento extra-UE necessario |
| iDrive Inc. (servizio E2) | Backup secondario crittografato | UE — Frankfurt (Germania) | Hosted in UE; provider USA → SCC firmate |
| Twilio Inc. | Gateway Voice/SMS/WhatsApp Business | USA (control plane, log, registrazioni) + UE Edge Frankfurt/Dublin (routing voce in tempo reale) | SCC firmate + Data Privacy Framework (DPF) certificato |
| Meta Platforms Ireland Ltd. / Meta Platforms Inc. | WhatsApp Business Platform | UE (data center europei per traffico EU) e USA (replica/backend Meta) | SCC firmate + DPF certificato |
| OpenAI LLC | Elaborazione AI (modelli GPT per assistente vocale e chat) | USA | SCC firmate + DPF certificato. Retention default OpenAI: contenuti elaborati conservati fino a 30 giorni per abuse monitoring (in linea con la Data Usage Policy di OpenAI) |
| Cartesia Inc. | Text-to-Speech (sintesi vocale) | USA | SCC firmate. I testi convertiti in audio non vengono conservati per training (in linea con il loro Data Processing Agreement) |
| Deepgram Inc. | Speech-to-Text (trascrizione audio) | USA | SCC firmate. Audio convertito in testo non viene conservato per training |
| Google LLC (Google Workspace + Calendar API + Cloud TTS opzionale) | Sync calendario, autenticazione OAuth, gestione token, eventuale TTS Cloud | UE (region europe-west) per dati EU; trasferimento residuo USA per servizi globali Google | SCC firmate + DPF certificato |
| Cloudflare Inc. | CDN, DDoS protection, edge proxy HTTPS | Rete Anycast globale; traffico utenti italiani tipicamente servito da edge UE (Milano, Madrid, Frankfurt) ma può transitare temporaneamente attraverso altri datacenter per ottimizzazione di rete. Cloudflare non memorizza payload utente oltre caching temporaneo | SCC firmate + DPF certificato |
Trasferimenti dati extra-UE — meccanismi di tutela
Per i processori con sede USA (Twilio, OpenAI, Cartesia, Deepgram, parti di Google e Meta), AIDA garantisce le seguenti tutele in conformità agli Artt. 44-49 GDPR:
- Standard Contractual Clauses (SCC) — contratti firmati con ciascun fornitore secondo le clausole tipo approvate dalla Commissione Europea (Decisione 2021/914).
- Data Privacy Framework (DPF) — molti fornitori (Twilio, Meta, OpenAI, Google, Cloudflare) sono certificati nel framework UE-USA approvato dalla Commissione Europea (Decisione del 10 luglio 2023), che garantisce protezione adeguata.
- Pseudonimizzazione e cifratura dove tecnicamente possibile (es. registrazioni audio cifrate at-rest).
- Data minimization — vengono trasmessi a fornitori USA solo i dati strettamente necessari all'erogazione del servizio.
Diritto dell'interessato
L'interessato ha il diritto di:
- Ricevere copia dei contratti SCC sottoscritti (su richiesta motivata a privacy@aidavoip.it).
- Conoscere quali dati specifici vengono trasferiti a quali fornitori.
- Opporsi a specifici processori dove tecnicamente fattibile (es. opt-out elaborazione AI con limitazione del servizio).
L'elenco aggiornato dei subprocessors è disponibile su richiesta scrivendo a privacy@aidavoip.it.
9. Integrazione WhatsApp Business
AIDA VoIP si integra con la WhatsApp Business Platform di Meta tramite Twilio in qualità di Business Solution Provider (BSP) ufficiale. Le conversazioni che gli Utenti Finali inviano al numero WhatsApp Business del cliente AIDA transitano sul backend di AIDA per essere consegnate, instradate e — se la funzione è abilitata — processate dall'assistente AI.
In dettaglio, in relazione a WhatsApp Business:
- I messaggi (testo, media, location, contatti) sono memorizzati su server localizzati nell'Unione Europea (OVH Cloud, Francia/Germania) per la durata della retention configurata dal cliente.
- I messaggi possono essere processati da modelli AI (OpenAI, Deepgram per audio) per generare risposte automatiche, classificare intenti e riassumere conversazioni — solo se il cliente ha abilitato esplicitamente la funzione AI.
- I numeri di telefono e i nomi profilo WhatsApp degli Utenti Finali sono trattati come dati identificativi con le stesse garanzie indicate in questa policy.
- AIDA VoIP rispetta integralmente le WhatsApp Business Policy e WhatsApp Commerce Policy di Meta. È vietato l'uso del canale per spam, messaggi non sollecitati o contenuti vietati.
- Riferimenti policy ufficiali: https://www.whatsapp.com/legal/business-policy
Il cliente AIDA, in qualità di operatore del proprio numero WhatsApp Business, è il titolare del trattamento dei dati dei propri Utenti Finali. AIDA opera come responsabile del trattamento ai sensi dell'Art. 28 GDPR sulla base del DPA (Data Processing Agreement) sottoscritto in fase contrattuale.
10. Come cancellare i tuoi dati
Per richiedere la cancellazione dei dati personali ai sensi dell'Art. 17 GDPR, seguire questi passaggi:
- Inviare un'email a privacy@aidavoip.it con oggetto: "Richiesta cancellazione dati GDPR Art. 17".
- Indicare nel corpo del messaggio: nome, cognome, indirizzo email associato all'account, ragione sociale dell'Azienda.
- Allegare copia di un documento d'identità in corso di validità per verifica.
- AIDA risponde entro 30 giorni con il dettaglio dei dati cancellati, dei dati che è obbligata a conservare per obblighi legali (es. fatturazione) e dei tempi di rimozione dai backup.
Per gli Utenti Finali delle Aziende clienti
Se sei un Utente Finale (es. hai chiamato o scritto su WhatsApp a un'Azienda cliente di AIDA VoIP) e desideri cancellare i tuoi dati, la richiesta deve essere indirizzata all'Azienda titolare (l'azienda con cui hai interagito), in quanto AIDA in questo scenario opera come responsabile del trattamento e procede su istruzione del titolare.
Per assistenza nel risalire all'Azienda corretta, scrivi a privacy@aidavoip.it indicando il numero o il canale tramite cui sei stato contattato.
11. Cookie e tecnologie simili
Il sito aidavoip.it utilizza le seguenti tipologie di cookie:
- Cookie tecnici (essenziali): necessari al funzionamento del sito. Non richiedono consenso.
- Cookie analitici anonimi: raccolgono informazioni aggregate sull'utilizzo del sito. Attivati solo previo consenso tramite banner.
- Cookie di marketing: utilizzati per misurare l'efficacia delle campagne. Attivati solo previo consenso esplicito tramite banner.
Il banner cookie consente di accettare, rifiutare e selezionare in modo granulare le categorie di cookie. Il consenso può essere revocato in ogni momento dalle preferenze cookie in fondo al sito.
Per maggiori dettagli consulta la Cookie Policy.
12. Sicurezza
AIDA VoIP adotta misure tecniche e organizzative appropriate per proteggere i dati personali, tra cui:
- Cifratura at-rest dei dati sensibili (database, registrazioni, backup) tramite AES-256.
- Cifratura in transit tramite TLS 1.3 su tutte le connessioni.
- Misure organizzative: controllo degli accessi basato su ruoli (RBAC), audit log delle operazioni, formazione periodica del personale sulla data protection.
- Disaster recovery con backup giornalieri cifrati su località geografica separata.
- Test di sicurezza periodici (vulnerability scanning, penetration test).
13. Minori
Il Servizio non è destinato a minori di 18 anni. AIDA VoIP non raccoglie consapevolmente dati personali di minori. Qualora rilevassimo che un account o dati raccolti riguardano un minore, procederemo immediatamente alla cancellazione. Genitori o tutori che ritengano sia stato registrato un minore possono scrivere a privacy@aidavoip.it.
14. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di apportare modifiche alla presente Privacy Policy in qualsiasi momento per adeguarla a variazioni normative o organizzative. Le modifiche sostanziali sono comunicate via email agli utenti registrati e pubblicate su questa pagina con almeno 30 giorni di preavviso. La data di ultimo aggiornamento è sempre visibile in cima al documento.
15. Contatti
Per qualsiasi domanda, richiesta o reclamo relativo alla presente Privacy Policy:
- Email privacy: privacy@aidavoip.it
- Email generale: info@aidavoip.it
- Telefono: +39 02 45073 566
- Indirizzo postale: 4Care Service S.r.l., Via Privata Armenia 1, 20149 Milano (MI), Italia