La presente informativa descrive come vengono trattati i dati personali degli utenti del servizio
Gigetto, accessibile all'indirizzo gigetto.ai, in conformità
al Regolamento UE 2016/679 («GDPR»).
In sintesi: Gigetto gira su infrastruttura 100% italiana. L'intelligenza
artificiale è ospitata sui nostri server (modelli self-hosted), quindi i tuoi messaggi non vengono
inviati a OpenAI, Google, Anthropic o ad altri servizi AI di terze parti. Utilizziamo
esclusivamente cookie tecnici di nostra proprietà (first-party), necessari a tenerti
collegato: nessun cookie di profilazione, nessun Google Analytics, nessun cookie di terze parti.
1. Titolare del Trattamento
SmartOne S.r.l.
Via Mazzini 40, 10123 Torino, Italia
P.IVA / C.F.: 13293890011
Email: amministrazione@smart-one.it
2. Dati che raccogliamo
Utenti registrati
Dati di registrazione: nome utente, indirizzo email, password (memorizzata
esclusivamente in forma cifrata con algoritmo bcrypt, mai in chiaro).
Dati di profilo (facoltativi): informazioni che scegli di fornire per personalizzare
le risposte (testo libero di profilo e, se le fornisci, indicazioni di località come città o coordinate
per insight contestuali quali meteo ed eventi).
Conversazioni: i messaggi scambiati con l'assistente, conservati per fornirti lo storico
delle chat e migliorare il servizio.
Feedback: le valutazioni (👍 / 👎) che esprimi sulle singole risposte.
Utenti non registrati (sessioni «guest»)
Codice sessione anonimo e contenuto della conversazione.
Indirizzo IP in forma anonimizzata: l'IP non viene mai memorizzato in chiaro, ma
unicamente come hash crittografico (SHA-256), utilizzato per limitare gli abusi e per ragioni di sicurezza.
Titolo e breve riassunto della sessione, numero di interazioni.
Dati tecnici e di sessione
Cookie tecnici strettamente necessari al funzionamento (vedi sezione 8).
Preferenze di interfaccia (es. tema chiaro/scuro), salvate localmente nel tuo browser e non trasmesse ai nostri server.
Non raccogliamo dati tramite cookie di analytics, non profiliamo gli utenti e non utilizziamo strumenti di tracciamento di terze parti.
3. Finalità del Trattamento
Erogazione del servizio di assistenza conversazionale basato su intelligenza artificiale.
Autenticazione, gestione e sicurezza dell'account.
Personalizzazione delle risposte sulla base del profilo che scegli di fornire.
Conservazione dello storico delle conversazioni per gli utenti registrati.
Miglioramento della qualità del servizio, anche tramite l'analisi aggregata dei feedback.
Prevenzione di abusi e attività fraudolente (rate limiting tramite hash dell'IP).
4. Base Giuridica
Contratto (art. 6.1.b GDPR): trattamento necessario per fornire il servizio richiesto.
Legittimo interesse (art. 6.1.f GDPR): sicurezza della piattaforma, prevenzione abusi e
miglioramento del servizio.
Consenso (art. 6.1.a GDPR): unicamente per eventuali comunicazioni marketing, ove
previste e separatamente richieste. Non è richiesto alcun consenso per cookie, poiché utilizziamo
esclusivamente cookie tecnici essenziali.
5. Conservazione dei Dati
Categoria
Periodo di conservazione
Account utenti registrati
Per la durata del rapporto contrattuale; cancellazione su richiesta.
Conversazioni utenti registrati
Per la durata dell'account, salvo cancellazione su richiesta dell'utente.
Sessioni guest (anonime)
Cancellate automaticamente dopo 7 giorni di inattività.
Feedback
Conservati in forma aggregata per il miglioramento del servizio.
Hash dell'IP
Conservato solo per il tempo necessario al rate-limiting e alla sicurezza.
Cookie di autenticazione
Vedi sezione 8 (24 ore / 30 giorni).
6. Dove vengono trattati i dati e con chi li condividiamo
Tutti i dati sono trattati e conservati in Italia. L'infrastruttura — sia il gateway applicativo
e i database, sia i modelli di intelligenza artificiale — è ospitata presso una server farm italiana
di proprietà/gestione del Titolare, integrata con storage cloud/NAS anch'esso situato in Italia. Non vi è alcun
trasferimento di dati personali al di fuori dell'Unione Europea.
I dati non vengono venduti a terzi. In particolare:
Nessun servizio AI di terze parti: l'elaborazione delle conversazioni avviene su modelli
di intelligenza artificiale self-hosted sui nostri server. I tuoi messaggi non vengono trasmessi a
OpenAI, Google, Anthropic o ad altri fornitori esterni.
Nessun analytics o tracker: non utilizziamo Google Analytics né strumenti di terze parti.
Contenuti multimediali: qualora una risposta includa un video di YouTube, questo viene
incorporato in modalità avanzata sulla privacy (dominio youtube-nocookie.com) e il caricamento
avviene solo se avvii volontariamente la riproduzione.
I dati possono essere trattati da personale autorizzato del Titolare e da eventuali fornitori di servizi
infrastrutturali (es. hosting/connettività) situati in Italia/UE, nominati Responsabili del trattamento ai sensi
dell'art. 28 GDPR.
7. Diritti dell'Utente
Ai sensi degli artt. 15-22 del GDPR, hai diritto di:
Accesso: ottenere copia dei tuoi dati personali.
Rettifica: correggere dati inesatti o incompleti.
Cancellazione («diritto all'oblio»): richiedere la cancellazione dei tuoi dati.
Portabilità: ricevere i tuoi dati in formato strutturato e leggibile da dispositivo automatico.
Limitazione e opposizione al trattamento in determinate circostanze.
Reclamo all'Autorità Garante per la protezione dei dati personali (garanteprivacy.it).
Utilizziamo esclusivamente cookie tecnici di nostra proprietà (first-party), necessari al
funzionamento del servizio e impostati direttamente dal dominio gigetto.ai. Non vengono impostati cookie
di terze parti, né cookie di profilazione o di analytics: per questo motivo non è presente
alcun banner di consenso ai cookie, in conformità alle linee guida del Garante.
Accesso alle aree protette da password (token firmato HMAC-SHA256).
24 ore
Tecnico — HttpOnly, Secure, SameSite=Strict
Preferenze interfaccia (es. tema)
Memorizzazione locale delle preferenze di visualizzazione.
Persistente (browser)
localStorage — non trasmesso al server
9. Sicurezza
Adottiamo misure tecniche e organizzative adeguate a proteggere i dati, tra cui:
Cifratura delle password con bcrypt (salt casuale);
Token di sessione firmati crittograficamente (HMAC-SHA256), trasmessi su cookie HttpOnly,
Secure e SameSite=Strict;
Connessioni cifrate HTTPS/TLS;
Memorizzazione degli indirizzi IP unicamente in forma di hash (SHA-256);
Infrastruttura ospitata su server gestiti direttamente in Italia.
10. Modifiche all'informativa
Ci riserviamo di aggiornare la presente informativa. Le modifiche saranno pubblicate su questa pagina con
l'indicazione della data di ultimo aggiornamento.