Informativa sulla Privacy
Versione interna: v2.0
Ultimo aggiornamento: 9 maggio 2026
Sostituisce: v1.x (6 maggio 2026)
>
Modifiche sostanziali rispetto a v1.x: Integra l'utilizzo di Google Tag Manager, Google Analytics 4 e Google Ads (incluso Enhanced Conversions con hash SHA-256 dell'indirizzo email e invio server-side di conversioni offline dal webhook di Stripe), tutto sotto consenso preventivo dell'utente gestito tramite Google Consent Mode v2 con valore predefinito denied. Riscrive i paragrafi che affermavano di non utilizzare analitica né pubblicità, poiché tale affermazione ha cessato di essere accurata dopo l'attivazione del contenitore GTM e delle integrazioni pubblicitarie.
Indice
- Titolare del trattamento e ambito territoriale
- Responsabile della Protezione dei Dati
- Quali dati raccogliamo
- Per cosa utilizziamo i tuoi dati (finalità del trattamento)
- Base giuridica del trattamento
- Destinatari dei dati
- Trasferimenti internazionali di dati
- Periodo di conservazione dei dati
- I tuoi diritti
- Dati dei minori
- Dati particolarmente sensibili e categorie particolari
- Decisioni automatizzate, profilazione e intelligenza artificiale
- Pubblicità, misurazione delle conversioni e analitica web
- Principi del trattamento e valutazione di impatto
- Misure di sicurezza tecniche e organizzative
- Informativa sui cookie e archiviazione locale
- Link a terzi
- Informazioni specifiche per giurisdizione
- Modifiche a questa informativa
- Legge applicabile e foro competente
- Contatti
1. Titolare del trattamento e ambito territoriale
Il titolare del trattamento dei tuoi dati personali è:
- Denominazione sociale: Bilbao AI S.L.
- CIF: B-13759758
- Sede legale: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spagna
- Email: info@afini.ai
- Siti web: https://test.afini.ai · https://afini.ai
Bilbao AI S.L. (di seguito, "Afini", "noi" o le "Piattaforme") è titolare e responsabile dei servizi di valutazione della personalità e di profilo cognitivo accessibili tramite questi siti web.
Ambito territoriale: Afini offre i suoi servizi a utenti di tutto il mondo. Questa Informativa sulla Privacy è stata progettata per essere conforme alla normativa sulla protezione dei dati applicabile in ogni giurisdizione in cui operiamo, inclusi — senza limitazioni — l'Unione Europea, lo Spazio Economico Europeo, il Regno Unito, gli Stati Uniti d'America, il Canada, il Brasile, l'Australia e il Giappone. In caso di conflitto tra disposizioni di giurisdizioni diverse, si applicherà la norma che offre il livello di tutela più elevato per l'utente.2. Responsabile della Protezione dei Dati
Date le dimensioni dell'organizzazione e la natura dei dati trattati, Afini non è obbligata a designare un Responsabile della Protezione dei Dati (RPD/DPO) ai sensi dell'articolo 37 del GDPR. Puoi tuttavia inviare qualsiasi richiesta relativa alla protezione dei tuoi dati personali a: info@afini.ai.
3. Quali dati raccogliamo
Raccogliamo e trattiamo le seguenti categorie di dati personali, a seconda del servizio utilizzato e del momento dell'interazione:
3.1. Dati forniti al momento dell'acquisto o dell'avvio di un test (test.afini.ai)
- Nome o pseudonimo
- Indirizzo email
- Età (opzionale)
- Sesso biologico (opzionale, per calibrazione normativa)
- Genere (opzionale)
- Paese di residenza (opzionale)
- Preferenza di pronomi (opzionale)
3.2. Dati forniti al momento della registrazione (afini.ai)
- Indirizzo email (obbligatorio, per autenticazione tramite magic link)
- Nome o pseudonimo (obbligatorio)
- Dati demografici di calibrazione (età, sesso biologico, paese — opzionali, per precisione normativa)
3.3. Dati generati durante l'esecuzione delle valutazioni
- Risposte individuali a ciascun item dei questionari (scala Likert 1–5)
- Timestamp di inizio e completamento di ogni valutazione
- Versione e tipo di valutazione effettuata
3.4. Dati del risultato e del profilo cognitivo
- Punteggi dei cinque grandi tratti di personalità (Apertura, Coscienziosità, Estroversione, Gradevolezza, Stabilità Emotiva)
- Punteggi delle trenta sfaccettature di personalità (nelle versioni Avanzato e Completo)
- Punteggi di strumenti aggiuntivi in afini.ai (scale di attaccamento, stili di umorismo, valori e altri livelli secondo l'evoluzione del servizio)
- Profilo cognitivo compilato (struttura JSON che integra i punteggi di tutti i livelli valutati)
- System prompt compilato (versione testuale del profilo utilizzata per l'iniezione nel modello di IA)
- Report narrativo di personalità generato da IA
3.5. Dati di interazione con l'IA (afini.ai)
- Contenuto delle conversazioni con il modello di IA (messaggi dell'utente e risposte del sistema)
- Contabilizzazione dell'uso: numero di token di output consumati al mese (dato tecnico per il controllo della quota del piano). I token di input non contano ai fini del limite mensile
- Numero di richieste giornaliere al servizio di IA
3.6. Dati di pagamento
Afini NON memorizza, elabora né ha accesso ai dati della tua carta di credito o di debito, al numero di conto bancario o a qualsiasi altro dato finanziario.
I pagamenti sono gestiti interamente da Stripe, Inc., che agisce come processore di pagamento indipendente ed è responsabile del trattamento dei dati finanziari conformemente alla propria Informativa sulla Privacy e alla normativa PCI-DSS.
Afini riceve da Stripe esclusivamente una conferma del pagamento riuscito (stato della transazione, identificativo di sessione Stripe e importo pagato, in valuta e centesimi). Non riceviamo i dati della carta né del mezzo di pagamento.
3.7. Dati tecnici e di misurazione pubblicitaria/analitica (con il tuo consenso)
Quando concedi il consenso alle categorie "analitica" o "marketing" nel nostro banner cookie, gli strumenti corrispondenti possono inoltre trattare:
- Identificatori tecnici di cookie generati da Google (
_ga,_ga_<container_id>,_gcl_au,_gcl_aw,_gcl_dc) che associano gli eventi al tuo browser. - Indirizzo IP, raccolto e trattato da Google a fini di geolocalizzazione approssimativa e prevenzione delle frodi. Nello Spazio Economico Europeo Google applica per impostazione predefinita l'anonimizzazione dell'IP prima della memorizzazione (troncamento dell'ultimo ottetto in IPv4 o degli ultimi 80 bit in IPv6).
- Stringa User-Agent del browser.
- URL di origine e di destinazione all'interno della Piattaforma stessa (eventi di navigazione).
- Identificatori di campagna pubblicitaria (GCLID, *Google Click Identifier*) se sei arrivato alla Piattaforma da un annuncio.
- Hash SHA-256 del tuo indirizzo email trasmesso a Google per Enhanced Conversions (miglioramento dell'attribuzione delle conversioni pubblicitarie). L'hash è un identificatore derivato e non consente di recuperare la tua email in chiaro mediante inversione diretta, ma ai fini del GDPR è considerato dato personale pseudonimizzato.
Se rifiuti le categorie "analitica" e "marketing" o non rispondi al banner cookie, nessuno di questi dati viene trasmesso a Google: il contenitore di Google Tag Manager opera in Consent Mode v2 con valore predefinito denied (denied), e i servizi di Google ricevono solo *cookieless pings* senza identificatori.
3.8. Dati tecnici che NON raccogliamo in nessun caso
Afini NON raccoglie —con o senza consenso—:
- Impronta digitale del browser (browser fingerprint)
- Dati di geolocalizzazione precisa (GPS, Bluetooth)
- Identificatori di dispositivo (IDFA, AAID)
- Dati biometrici
- Categorie particolari di dati ai sensi dell'articolo 9 GDPR (salvo quanto derivi dai risultati stessi delle valutazioni di personalità, trattati conformemente alla sezione 11)
4. Per cosa utilizziamo i tuoi dati (finalità del trattamento)
Trattiamo i tuoi dati personali esclusivamente per le seguenti finalità:
| Finalità | Dati utilizzati | Base giuridica |
|---|
| Generare il tuo profilo di personalità Big Five | Risposte al test, versione del test | Esecuzione del contratto |
| Generare e inviarti il report dei risultati | Nome, email, punteggi | Esecuzione del contratto |
| Permetterti di accedere ai tuoi risultati tramite link personale | Email, token di sessione | Esecuzione del contratto |
| Elaborare il pagamento del servizio (tramite Stripe) | Conferma del pagamento, importo, identificativo di sessione | Esecuzione del contratto |
| Riscattare un codice di invito (voucher) | Codice voucher, nome, email | Esecuzione del contratto |
| Compilare il tuo profilo cognitivo multilivello (afini.ai) | Punteggi di tutte le valutazioni effettuate | Esecuzione del contratto |
| Iniettare il tuo profilo nel modello di IA per personalizzare l'interazione (afini.ai) | Profilo cognitivo compilato | Esecuzione del contratto + Consenso |
| Contabilizzare l'uso del servizio di IA per il controllo della quota (afini.ai) | Token consumati, richieste giornaliere | Esecuzione del contratto |
| Gestire il tuo abbonamento (afini.ai) | Email, piano, stato dell'abbonamento | Esecuzione del contratto |
| Autenticarti tramite magic link (afini.ai) | Esecuzione del contratto |
| Rispondere alle tue richieste o domande | Email, nome | Interesse legittimo |
| Adempiere a obblighi di legge e fiscali | Dati di fatturazione | Obbligo legale |
| Misurare le conversioni pubblicitarie e attribuire gli acquisti alle campagne (Google Ads, inclusi Enhanced Conversions e Offline Conversions inviate dal nostro backend) | Hash SHA-256 dell'email, identificativo di campagna (GCLID), importo e valuta della transazione, identificativo dell'acquisto | Consenso |
| Analisi statistica aggregata dell'uso del servizio (Plausible Analytics) | Pagine visitate, paese aggregato, browser aggregato — senza cookie né identificatori | Interesse legittimo (analitica web cookie-free conforme alle Linee guida EDPB 03/2023) |
| Analisi dettagliata del comportamento di navigazione (Google Analytics 4) | Identificatori di cookie di Google, IP anonimizzato, eventi di navigazione | Consenso |
| Gestione tecnica delle etichette pubblicitarie e analitiche (Google Tag Manager) | Identificatori tecnici del contenitore; nessun identificatore utente proprio | Consenso (il caricamento del contenitore è differito fino al consenso o viene eseguito con tutti i Consent Signals impostati su denied) |
- NON vendiamo i tuoi dati a terzi. Mai. In nessuna circostanza.
- NON condividiamo il tuo profilo di personalità, le tue risposte, i tuoi risultati né il tuo profilo cognitivo con terzi, incluso Google.
- NON effettuiamo segmentazione pubblicitaria basata sulla tua personalità, sui tuoi tratti, sulle tue sfaccettature o su qualsiasi inferenza derivata dal test. Le audience di Google Ads che utilizziamo —incluse le audience di *remarketing* basate sulle visite alla Piattaforma, *Customer Match* basate su liste email commerciali e *Similar Audiences* derivate dalle precedenti— sono costruite esclusivamente su eventi di conversione, visite a pagine specifiche e attributi pubblicitari standard di Google (parola chiave, intento di ricerca, ubicazione geografica generica, dispositivo). In nessun caso i tuoi punteggi di personalità, il tuo profilo cognitivo o le tue risposte ai questionari vengono utilizzati per costruire queste audience.
- NON utilizziamo i tuoi dati per inviarti newsletter o comunicazioni commerciali non richieste.
- NON creiamo profili di comportamento pubblicitario propri basati sulla tua navigazione dentro o fuori dalla Piattaforma.
- NON cediamo i tuoi dati a ulteriori reti pubblicitarie oltre Google Ads, né a *data broker*, né a piattaforme di marketing.
- NON utilizziamo i tuoi dati per addestrare modelli di intelligenza artificiale né per ricerca senza il tuo consenso esplicito e indipendente.
- NON condividiamo il contenuto delle tue conversazioni con l'IA con il fornitore del modello né con alcun terzo.
- NON trasmettiamo a Google (né a qualsiasi altro fornitore pubblicitario) il tuo profilo cognitivo, i tuoi punteggi, le tue risposte ai questionari né il contenuto delle conversazioni con l'IA.
5. Base giuridica del trattamento
Il trattamento dei tuoi dati si fonda sulle seguenti basi giuridiche ai sensi dell'articolo 6.1 del GDPR:
a) Esecuzione di un contratto (art. 6.1.b GDPR): Il trattamento è necessario per la prestazione del servizio che hai contrattato: la realizzazione di valutazioni di personalità, la generazione di report, la compilazione del profilo cognitivo e l'interazione personalizzata con l'IA. L'acquisto del test, il riscatto di un codice di invito (voucher) o la sottoscrizione di un abbonamento costituiscono l'accettazione del servizio. b) Consenso (art. 6.1.a GDPR): Per i dati demografici opzionali (età, genere, paese), la base giuridica è il tuo consenso libero, specifico, informato e inequivocabile, manifestato fornendoli volontariamente. L'iniezione del profilo cognitivo nel modello di IA richiede inoltre il tuo consenso esplicito, che viene richiesto separatamente all'attivazione del servizio di interazione con l'IA. L'uso dei cookie di analitica (Google Analytics 4) e dei cookie pubblicitari (Google Ads, inclusi Enhanced Conversions e Offline Conversions) richiede ugualmente il tuo consenso preventivo, prestato tramite il banner cookie. Puoi revocare uno qualsiasi di questi consensi in qualsiasi momento, scrivendo a info@afini.ai oppure riaprendo il banner cookie dal link "Gestisci cookie" del piè di pagina, senza che ciò incida sulla liceità del trattamento basato sul consenso precedentemente prestato. c) Interesse legittimo (art. 6.1.f GDPR): Per l'evasione di richieste e quesiti che ci invii via email, sulla base del nostro interesse legittimo a mantenere un'adeguata comunicazione con gli utenti del nostro servizio. Anche per l'analitica d'uso aggregata e *cookie-free* tramite Plausible Analytics, conformemente alle Linee guida EDPB 03/2023 sull'ambito tecnico dell'articolo 5.3 della Direttiva ePrivacy: Plausible non memorizza informazioni sul terminale dell'utente, non utilizza identificatori unici persistenti e fornisce solo metriche aggregate, ragion per cui il suo uso non richiede consenso preventivo nel regime dei cookie. d) Obbligo legale (art. 6.1.c GDPR): Per l'adempimento di obblighi fiscali e contabili in conformità alla legislazione spagnola vigente (Legge Generale Tributaria, Codice di Commercio).6. Destinatari dei dati
I tuoi dati personali potranno essere comunicati ai seguenti destinatari, esclusivamente nella misura necessaria alle finalità descritte:
| Destinatario | Finalità | Ubicazione | Garanzie |
|---|
| Stripe, Inc. | Elaborazione dei pagamenti | USA / UE | Data Privacy Framework (DPF), clausole contrattuali tipo |
| Railway Corp. | Hosting dell'API e del database PostgreSQL | USA / UE | Clausole contrattuali tipo, misure tecniche complementari |
| Cloudflare, Inc. | Hosting e distribuzione del *frontend* (Cloudflare Workers) e mitigazione DDoS | USA / Rete globale | Data Privacy Framework (DPF), clausole contrattuali tipo |
| Anthropic PBC | Fornitore del modello di IA (LLM) per la generazione di report e l'interazione personalizzata | USA | Data Privacy Framework (DPF), clausole contrattuali tipo, politica di non addestramento sulle richieste alla API commerciale |
| Resend, Inc. | Invio di email transazionali | USA | Clausole contrattuali tipo |
| Holded Technologies, S.L. | Emissione di fatture semplificate (TicketBAI/BATUZ) senza dati personali dell'acquirente | Unione Europea (Spagna) | Responsabile del trattamento ai sensi dell'articolo 28 GDPR |
| Plausible Insights OÜ | Analitica web aggregata e *cookie-free* | Unione Europea (Estonia) | Trattamento all'interno del SEE; nessun trasferimento internazionale |
| Google LLC | Gestione delle etichette (Google Tag Manager), analitica web (Google Analytics 4), misurazione delle conversioni pubblicitarie (Google Ads) inclusi Enhanced Conversions e caricamento server-side di Offline Conversions dal webhook di Stripe, audience di *remarketing*, *Customer Match* e *Similar Audiences* | USA / Rete globale | Data Privacy Framework (DPF), clausole contrattuali tipo, anonimizzazione dell'IP nel SEE, Consent Mode v2 con valore predefinito denied, trasmissione subordinata al tuo consenso |
| Sentry (Functional Software, Inc.) | Tracciabilità degli errori tecnici nel backend e nel frontend | USA | Clausole contrattuali tipo, *scrubbing* automatico di PII nei payload |
7. Trasferimenti internazionali di dati
Alcuni dei nostri fornitori di servizi possono trattare dati al di fuori dello Spazio Economico Europeo (SEE). In tutti i casi garantiamo che tali trasferimenti dispongano di garanzie adeguate ai sensi del Capo V del GDPR:
- Stripe, Inc. (USA): Aderente all'EU-U.S. Data Privacy Framework (DPF), decisione di adeguatezza della Commissione Europea del 10 luglio 2023. Inoltre, Stripe applica clausole contrattuali tipo (SCC) approvate dalla Commissione Europea.
- Railway Corp. (USA): Trasferimenti coperti da clausole contrattuali tipo (SCC) ai sensi della Decisione di Esecuzione 2021/914 della Commissione Europea, integrati da misure tecniche aggiuntive (cifratura in transito e a riposo).
- Cloudflare, Inc. (USA / rete globale): Aderente all'EU-U.S. Data Privacy Framework (DPF). Inoltre, Cloudflare applica clausole contrattuali tipo (SCC) e misure tecniche complementari.
- Anthropic PBC (USA): Aderente all'EU-U.S. Data Privacy Framework (DPF). I dati inviati all'API commerciale di Anthropic vengono elaborati in tempo reale e non vengono conservati a fini di addestramento. Garanzie aggiuntive: cifratura in transito (TLS 1.3), elaborazione senza persistenza dei dati delle richieste API.
- Resend, Inc. (USA): Trasferimenti coperti da clausole contrattuali tipo (SCC).
- Google LLC (USA / rete globale): Aderente all'EU-U.S. Data Privacy Framework (DPF). Inoltre, Google applica clausole contrattuali tipo (SCC). I trasferimenti a Google avvengono su due piani:
1. *Client-to-Google*, eseguiti dal browser dell'utente al caricamento del contenitore di Google Tag Manager e dei pixel di Google Analytics 4 e Google Ads, subordinati al tuo consenso tramite Google Consent Mode v2 con valore predefinito denied.
2. *Server-to-Google*, eseguiti dal nostro backend su Railway al trigger del webhook checkout.session.completed di Stripe: inviamo all'endpoint dell'API di Google Ads (ConversionUploadService) i dati descritti nella sezione 6, esclusivamente quando la categoria "marketing" del banner è stata acconsentita e l'evento corrisponde a un acquisto finalizzato.
3. *Server-to-Google* per la gestione delle liste di audience pubblicitarie (Customer Match): caricamento periodico di liste di email in formato hash SHA-256 verso l'API di Google Ads (UserDataService) per mantenere vive le nostre audience pubblicitarie. Tale caricamento include solo gli indirizzi email di utenti che hanno acconsentito alla categoria "marketing" in qualche momento e per i quali non vi è evidenza di successiva revoca.
- Sentry (Functional Software, Inc., USA): Trasferimenti coperti da clausole contrattuali tipo (SCC). I *payload* di errore vengono filtrati per rimuovere i PII prima dell'invio.
Afini ha realizzato una Valutazione di Impatto dei Trasferimenti (Transfer Impact Assessment — TIA) ai sensi della dottrina della Corte di Giustizia dell'UE (causa C-311/18, *Schrems II*) per ciascuno dei trasferimenti descritti, concludendo che le garanzie contrattuali e tecniche implementate assicurano un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR. Tali valutazioni vengono riviste periodicamente e sono disponibili all'autorità di controllo su richiesta.
In nessun caso vengono trasferiti dati verso paesi privi di un adeguato livello di protezione senza le garanzie richieste dal GDPR.
Per utenti del Regno Unito: I trasferimenti di dati al di fuori del Regno Unito sono coperti dall'UK International Data Transfer Agreement (IDTA) e/o dall'UK Addendum alle SCC dell'UE, in conformità a quanto disposto dall'Information Commissioner's Office (ICO). Il Regno Unito riconosce l'EU-U.S. Data Privacy Framework Extension come base per i trasferimenti negli USA. Per utenti del Canada: I trasferimenti di dati al di fuori del Canada vengono effettuati in conformità ai principi del PIPEDA (Sezione 4.1.3), assicurando che i fornitori di servizi offrano un livello di protezione comparabile mediante accordi contrattuali vincolanti. Per utenti del Brasile: I trasferimenti internazionali sono coperti dalle garanzie dell'articolo 33 della LGPD, comprese clausole contrattuali specifiche e l'osservanza di standard di protezione adeguati certificati dall'ANPD.8. Periodo di conservazione dei dati
Conserviamo i tuoi dati per i seguenti periodi:
| Tipo di dato | Periodo di conservazione | Motivo |
|---|
| Risposte individuali al test (test.afini.ai) | Vengono eliminate dal server una volta generato il report dei risultati. Non vengono memorizzate in modo permanente. | Minimizzazione dei dati |
| Risposte alle valutazioni (afini.ai) | Conservate finché l'account utente è attivo, per consentire la ricalibrazione del profilo. Eliminazione su richiesta. | Esecuzione del contratto |
| Punteggi e risultati aggregati | Finché mantieni attivo il tuo link di accesso (test.afini.ai) o il tuo account attivo (afini.ai). Puoi richiederne l'eliminazione in qualsiasi momento. | Esecuzione del contratto |
| Profilo cognitivo compilato (afini.ai) | Finché l'account utente è attivo. Viene eliminato 90 giorni dopo la cancellazione dell'account. | Esecuzione del contratto |
| System prompt compilato (afini.ai) | Identico al profilo cognitivo. | Esecuzione del contratto |
| Contenuto delle conversazioni con l'IA (afini.ai) | Solo durante la sessione attiva. Non viene memorizzato in modo persistente dopo la chiusura della sessione. | Minimizzazione dei dati |
| Contabilizzazione dei token (afini.ai) | 12 mesi dalla registrazione, rinnovabili per periodo di abbonamento. | Esecuzione del contratto |
| Report di personalità | Finché mantieni attivo il tuo link di accesso o il tuo account attivo. | Esecuzione del contratto |
| Nome ed email | Massimo 12 mesi dall'esecuzione del test (test.afini.ai) o dalla cancellazione dell'account (afini.ai), salvo che tu ne richieda l'eliminazione anticipata. | Esecuzione del contratto |
| Dati di fatturazione / conferma di pagamento | 5 anni dalla data della transazione. | Obbligo legale (art. 30 Codice di Commercio; art. 70 Legge Generale Tributaria) |
| Dati di voucher / invito | 12 mesi dal riscatto o dalla scadenza. | Interesse legittimo (audit e controllo) |
| Registrazione del consenso ai cookie | 13 mesi dall'ultima manifestazione di consenso. | Obbligo legale (art. 22 LSSI-CE; Linee guida AEPD 2023) |
| Cookie e dati di Google Analytics 4 | Massimo 14 mesi dall'ultimo evento dell'utente (configurazione applicata in GA4 *User and Event Data Retention*). | Configurazione minima ragionevole; il dato viene anonimizzato alla scadenza |
| Cookie e dati di Google Ads (Enhanced Conversions e attribuzione) | 90 giorni per gli identificatori _gcl_*; 30 giorni la finestra di attribuzione delle conversioni predefinita. | Configurazione standard di Google Ads; finestra estendibile fino a 90 giorni se attivi la modellazione delle conversioni |
| Liste di *remarketing* e *Customer Match* in Google Ads | Fino a 540 giorni dall'ultima attività o dal caricamento del record (massimo consentito da Google). Eliminiamo qualsiasi lista non appena un utente revoca il consenso o esercita il diritto alla cancellazione. | Periodo massimo consentito dalla configurazione di Google Ads |
| Dati di Plausible Analytics | Non vengono memorizzati identificatori individuali; gli eventi aggregati vengono conservati fino a 5 anni per analisi storiche di tendenze. | Interesse legittimo (analitica aggregata) |
| Tracce di errore in Sentry | 90 giorni. | Interesse legittimo (debug) |
Trascorsi i periodi indicati, i dati saranno eliminati in modo sicuro o anonimizzati in modo irreversibile.
Principio di minimizzazione: Conserviamo solo i dati strettamente necessari per ciascuna finalità e per il tempo minimo indispensabile. Eliminazione anticipata: Indipendentemente dai periodi sopra indicati, puoi richiedere l'eliminazione di uno qualsiasi dei tuoi dati in qualsiasi momento scrivendo a info@afini.ai, senza dover attendere il compimento dei periodi indicati. Daremo seguito alla tua richiesta entro il termine massimo di un mese. Eliminazione dell'account (afini.ai): Quando richiedi l'eliminazione del tuo account, saranno eliminati: il tuo profilo cognitivo, il system prompt compilato, i punteggi di tutte le valutazioni e i tuoi dati di identificazione. I dati di fatturazione saranno conservati per il periodo legale obbligatorio (5 anni).9. I tuoi diritti
Ai sensi del GDPR (articoli da 15 a 22) e della LOPDGDD (articoli da 12 a 18), hai i seguenti diritti:
a) Diritto di accesso (art. 15 GDPR): Ottenere conferma se trattiamo i tuoi dati e, in tal caso, accedere ad essi e alle informazioni sul trattamento. b) Diritto di rettifica (art. 16 GDPR): Chiedere la correzione di dati personali inesatti o incompleti. c) Diritto alla cancellazione ("diritto all'oblio") (art. 17 GDPR): Chiedere la cancellazione dei tuoi dati quando, tra gli altri casi, non siano più necessari per le finalità per cui sono stati raccolti, tu revochi il consenso, o i dati siano stati trattati illecitamente. d) Diritto alla limitazione del trattamento (art. 18 GDPR): Chiedere che il trattamento dei tuoi dati sia limitato in determinate circostanze (ad esempio, mentre si verifica l'esattezza dei dati o la liceità del trattamento). e) Diritto alla portabilità (art. 20 GDPR): Ricevere i tuoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON o CSV) e trasmetterli a un altro titolare del trattamento. Nel caso di afini.ai, questo diritto include la possibilità di ottenere il tuo profilo cognitivo in formato JSON portabile. f) Diritto di opposizione (art. 21 GDPR): Opporti al trattamento dei tuoi dati per motivi connessi alla tua situazione particolare, quando il trattamento si basa sull'interesse legittimo. In particolare, puoi opporti al trattamento dei tuoi dati a fini di analitica aggregata con Plausible. g) Diritto a non essere sottoposto a decisioni individuali automatizzate (art. 22 GDPR): Non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o ti incida significativamente in modo analogo. h) Diritto di revocare il consenso all'iniezione del profilo nell'IA (specifico di afini.ai): Puoi chiedere in qualsiasi momento che il tuo profilo cognitivo cessi di essere iniettato nel modello di IA, mantenendo l'accesso alle restanti funzionalità del tuo account. i) Diritto di revocare il consenso ai cookie analitici e pubblicitari: Puoi revocare il tuo consenso a Google Analytics 4 e Google Ads in qualsiasi momento riaprendo il banner cookie dal link "Gestisci cookie" del piè di pagina. La tua nuova scelta sostituirà immediatamente la precedente, disabiliterà gli identificatori corrispondenti nel Google Consent Mode e rimuoverà i cookie associati nel ciclo di caricamento successivo. Come esercitare i tuoi diritti:- Invia un'email a info@afini.ai indicando il diritto che desideri esercitare, allegando una copia del tuo documento di identità, passaporto o altro documento che provi la tua identità.
- Risponderemo alla tua richiesta entro un termine massimo di un mese dal ricevimento (prorogabile a due mesi in casi di particolare complessità, ai sensi dell'art. 12.3 GDPR).
- L'esercizio di questi diritti è gratuito, salvo che le richieste siano manifestamente infondate o eccessive (art. 12.5 GDPR).
Se ritieni che il trattamento dei tuoi dati violi la normativa sulla protezione dei dati, hai diritto di presentare reclamo all'autorità di controllo competente del tuo paese di residenza:
- Spagna — AEPD (Agenzia spagnola per la protezione dei dati): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
- Regno Unito — ICO (Information Commissioner's Office): ico.org.uk
- Unione Europea — Altre DPA: Consulta l'autorità del tuo Stato membro su edpb.europa.eu
- Brasile — ANPD: www.gov.br/anpd
- Canada — OPC: www.priv.gc.ca
- Australia — OAIC: www.oaic.gov.au
- Stati Uniti — FTC: www.ftc.gov
- Giappone — PPC: www.ppc.go.jp
Per qualsiasi altra giurisdizione, contattaci a info@afini.ai e ti indicheremo l'autorità competente corrispondente.
10. Dati dei minori
Il servizio di Afini non è destinato a minori di 16 anni. Non raccogliamo intenzionalmente dati di minori di 16 anni. Se hai meno di 16 anni, non utilizzare questo servizio e non fornirci dati personali.
Se sei genitore o tutore legale e sei a conoscenza del fatto che un minore di 16 anni sotto la tua responsabilità ha fornito dati personali ad Afini, contattaci a info@afini.ai e provvederemo a cancellare immediatamente tali dati.
Il limite di 16 anni è stabilito ai sensi dell'articolo 7 della LOPDGDD, che fissa in 14 anni l'età minima per prestare il consenso in Spagna. Tuttavia, data la natura particolarmente sensibile dei dati di personalità, Afini applica una soglia di protezione rafforzata di 16 anni.
Nota sulle soglie internazionali: Diverse giurisdizioni stabiliscono età minime diverse per il consenso digitale (13 anni negli USA secondo il COPPA, 13 anni in Canada secondo il PIPEDA, 16 anni nei Paesi Bassi e in Germania, 15 anni in Francia, 14 anni in Austria e in Italia, ecc.). Afini applica uniformemente la soglia di 16 anni per tutte le giurisdizioni, garantendo così il massimo livello di tutela indipendentemente dall'ubicazione dell'utente.11. Dati particolarmente sensibili e categorie particolari
I dati derivati dalle valutazioni di personalità e dal profilo cognitivo, in funzione della loro interpretazione e del contesto, potrebbero avvicinarsi alla categoria dei dati relativi alla salute psicologica o al profilo psicologico, categorie che godono di tutela rafforzata ai sensi dell'articolo 9 del GDPR.
Afini adotta un approccio di massima cautela:
- Trattiamo i risultati delle valutazioni di personalità e il profilo cognitivo compilato con un livello di tutela equivalente a quello delle categorie particolari di dati, indipendentemente dal fatto che siano tecnicamente qualificati come tali.
- I risultati delle tue valutazioni e il tuo profilo cognitivo sono strettamente privati: solo tu vi hai accesso tramite il tuo link personale o il tuo account utente.
- Non condividiamo, vendiamo, cediamo né mettiamo a disposizione di terzi i tuoi risultati di personalità o il tuo profilo cognitivo in nessuna circostanza. Ciò include espressamente Google: né Google Analytics, né Google Ads, né Google Tag Manager, né alcun'altra piattaforma pubblicitaria ricevono in alcun momento il tuo profilo cognitivo, i tuoi punteggi di personalità o le tue risposte ai questionari.
- Non utilizziamo i risultati né il profilo per assumere decisioni che ti riguardino (lavorative, assicurative, creditizie o di qualsiasi altra natura).
- Non aggreghiamo né anonimizziamo dati di personalità per creare studi, statistiche o prodotti derivati senza consenso esplicito e indipendente dell'utente.
- Il profilo cognitivo iniettato nel modello di IA viene utilizzato esclusivamente per personalizzare l'interazione dell'utente stesso, mai per classificarlo, segmentarlo o prendere decisioni automatizzate che lo riguardino.
- Non realizziamo pubblicità personalizzata basata sulla personalità. Le campagne di Google Ads che eseguiamo possono includere audience di *remarketing* (utenti che hanno già visitato la Piattaforma), audience di *Customer Match* (costruite a partire da liste email a fini commerciali) e audience *Similar* derivate dalle precedenti. In nessun caso queste audience vengono costruite o arricchite con i tuoi punteggi di personalità, il tuo profilo cognitivo, le tue sfaccettature, le tue risposte ai questionari o qualsiasi altra inferenza derivata dalle valutazioni psicometriche. La linea è assoluta: i dati ex art. 9 GDPR non escono da Afini, nemmeno in forma aggregata o pseudonimizzata, verso alcuna piattaforma pubblicitaria.
12. Decisioni automatizzate, profilazione e intelligenza artificiale
12.1. Elaborazione del profilo di personalità
Il servizio di Afini genera profili di personalità in modo automatizzato a partire dalle tue risposte a questionari psicometrici. Questi profili si basano su modelli scientifici validati (Big Five, teoria dell'attaccamento, stili di umorismo, valori, ecc.) e vengono calcolati mediante algoritmi statistici di punteggio standardizzati e pubblicamente documentati.
12.2. Profilo cognitivo compilato e iniezione nell'IA (afini.ai)
Sulla piattaforma afini.ai, i risultati di tutte le valutazioni vengono compilati in un profilo cognitivo strutturato (formato JSON). Questo profilo viene convertito in un *system prompt* (istruzioni di contesto) che viene iniettato in ciascuna conversazione con il modello di IA per personalizzare l'interazione.
Trasparenza sul funzionamento:- L'utente conosce in ogni momento quali dimensioni compongono il suo profilo (tratti, sfaccettature, scale di attaccamento, stili di umorismo, valori, ecc.) e il suo livello di completezza.
- Il profilo viene iniettato come contesto di sistema nel modello di IA, con tecniche di cache (*prompt caching*) attivate per ottimizzare l'uso dei token e ridurre il costo dell'interazione.
- Il modello di IA riceve le istruzioni di personalizzazione ma non conserva il profilo tra le sessioni.
- L'utente può consultare, scaricare e richiedere la cancellazione del proprio profilo in qualsiasi momento.
12.3. Portata della decisione automatizzata
- I profili generati hanno una finalità esclusivamente informativa e di autoconoscenza. Non vengono utilizzati per assumere alcuna decisione che produca effetti giuridici su di te né che ti incida significativamente in modo analogo.
- I profili non vengono utilizzati per: selezione del personale, valutazione creditizia, determinazione di premi assicurativi, accesso a servizi né alcun altro processo decisionale che possa incidere sui tuoi diritti o interessi.
- Non esiste alcun sistema di *scoring*, classificazione, *ranking* o categorizzazione degli utenti oltre alla generazione del profilo individuale di autoconoscenza.
12.4. I tuoi diritti rispetto alle decisioni automatizzate e all'uso dell'IA
Ai sensi dell'articolo 22 del GDPR, hai diritto a:
- Ottenere l'intervento umano per la revisione del tuo profilo.
- Esprimere il tuo punto di vista sui risultati.
- Contestare i risultati del profilo generato.
- Chiedere che il tuo profilo non sia iniettato nel modello di IA (mantenendo l'accesso alle restanti funzionalità del tuo account).
- Ottenere una spiegazione del significato di ciascuna dimensione del tuo profilo e di come essa influisca sull'interazione con l'IA.
Il risultato che ricevi ha carattere esclusivamente informativo e non possiede alcun valore vincolante, diagnostico o clinico. Sei libero di utilizzarlo, ignorarlo o interpretarlo come ritieni opportuno.
Per esercitare uno qualsiasi di questi diritti, contattaci a info@afini.ai.
13. Pubblicità, misurazione delle conversioni e analitica web
Questa sezione illustra il funzionamento delle integrazioni pubblicitarie e analitiche che attiviamo unicamente con il tuo consenso.
13.1. Google Tag Manager (GTM)
Google Tag Manager è un *contenitore* (non uno strumento di misurazione in sé) che ci consente di aggiungere, modificare e disattivare etichette di misurazione e di pubblicità senza modificare il codice sorgente del sito. Il contenitore viene caricato con tutti i segnali di consenso (ad_storage, analytics_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage, security_storage) al valore predefinito denied tramite Google Consent Mode v2. Nessuna etichetta all'interno del contenitore si attiva con identificatori finché il tuo browser non trasmette un aggiornamento del consenso.
13.2. Google Analytics 4 (GA4)
Quando concedi il consenso alla categoria "analitica" si attivano i cookie _ga e _ga_<container_id> per identificare il tuo browser tra pagine e sessioni. GA4 ci consente di analizzare il comportamento di navigazione aggregato all'interno della Piattaforma. Il tuo indirizzo IP viene anonimizzato per impostazione predefinita nel SEE (troncamento IPv4/IPv6) prima della memorizzazione da parte di Google. La conservazione dei dati utente ed evento in GA4 è impostata a 14 mesi.
13.3. Google Ads — Conversion Tracking
Quando concedi il consenso alla categoria "marketing" si attivano gli identificatori _gcl_au, _gcl_aw e _gcl_dc per associare l'acquisto alla campagna pubblicitaria che ti ha portato. La conversione viene misurata al completamento del pagamento in Stripe.
13.4. Google Ads — Enhanced Conversions
Inoltre, quando dai il consenso alla categoria "marketing", trasmettiamo a Google un hash SHA-256 del tuo indirizzo email (calcolato nel browser, normalizzato in minuscolo e senza spazi) insieme ai dati della transazione. L'hash è un identificatore derivato: non permette di recuperare la tua email in chiaro, ma tecnicamente continua a essere un dato personale pseudonimizzato ai fini del GDPR. La sua unica finalità è migliorare l'attribuzione delle conversioni quando l'utente è connesso al proprio account Google con la stessa email.
13.5. Google Ads — Offline Conversions (Stripe → Google Ads, server-to-server)
Per coprire i casi in cui il browser dell'utente non attiva il pixel di conversione (perché chiude la scheda dopo il pagamento, perché il suo browser blocca il pixel, ecc.), il nostro backend attiva una chiamata server-to-server all'API di Google Ads (ConversionUploadService) dall'handler del webhook checkout.session.completed di Stripe. Questa chiamata include gli stessi campi descritti nella sezione precedente (hash SHA-256 dell'email + GCLID + importo + valuta + identificativo opaco dell'acquisto). È un trasferimento eseguito esclusivamente quando la categoria "marketing" del banner è stata acconsentita e l'evento corrisponde a un acquisto finalizzato. Viene utilizzato un identificativo opaco (order_id) per deduplicare rispetto all'evento attivato dal browser ed evitare conversioni contate due volte.
13.6. Plausible Analytics (senza consenso, *cookie-free*)
Plausible Analytics è un servizio di analitica web ospitato all'interno dell'Unione Europea (Estonia) che non utilizza cookie, non memorizza identificatori unici persistenti e non consente di seguire utenti individuali tra le sessioni. Fornisce solo metriche aggregate (visualizzazioni di pagina, paesi, browser, sorgenti di traffico) e pertanto non richiede il tuo consenso preventivo ai sensi delle Linee guida EDPB 03/2023 sull'ambito tecnico dell'articolo 5.3 della Direttiva ePrivacy. Se preferisci non comparire nemmeno in queste metriche aggregate, puoi attivare l'opzione "Do Not Track" del tuo browser (Plausible rispetta il segnale DNT) o utilizzare estensioni come uBlock Origin che blocchino plausible.io.
13.7. Audience pubblicitarie e *remarketing*
Afini può utilizzare le seguenti funzionalità di audience pubblicitarie di Google Ads, sempre subordinate al tuo consenso preventivo alla categoria "marketing":
- Audience di *remarketing* (Remarketing Lists for Search Ads): liste di utenti che hanno visitato in precedenza le nostre Piattaforme, costruite tramite i cookie
_gcl_*e altri identificatori standard di Google Ads. Servono a mostrarti annunci pertinenti quando torni a cercare termini correlati al nostro servizio. - Customer Match: liste di indirizzi email, trasmesse a Google in formato hash SHA-256, che ci consentono di indirizzare campagne verso persone già presenti nella nostra base dati commerciale (ad esempio, ex clienti a cui offrire un nuovo prodotto). L'uso di Customer Match richiede di dimostrare a Google di avere una base giuridica per farlo, che nel nostro caso è il tuo consenso esplicito alla categoria "marketing" del banner cookie oppure, se ci hai fornito la tua email in un altro contesto commerciale, il tuo consenso separato all'uso pubblicitario.
- *Similar Audiences* (audience simili): audience generate automaticamente da Google a partire dalle precedenti, ampliando la copertura verso profili pubblicitari statisticamente simili. La generazione viene effettuata da Google nei propri sistemi; noi non trasferiamo dati aggiuntivi a tale scopo.
Se attiviamo formati pubblicitari aggiuntivi che richiedano nuovi tipi di cookie o nuovi trasferimenti (ad esempio campagne Display, YouTube o altro inventario della rete Google), aggiorneremo questa informativa e riapriremo il banner di consenso per gli utenti interessati.
13.8. Inibizione e revoca
Puoi:
- Inibire all'origine: rifiutare le categorie "analitica" e "marketing" nel banner cookie alla sua prima comparsa.
- Revocare in qualsiasi momento: riaprire il banner dal link "Gestisci cookie" del piè di pagina e deselezionare le categorie. La tua nuova scelta avrà effetto nel ciclo di caricamento successivo della pagina.
- Bloccare a livello di browser: installare un blocco delle etichette (uBlock Origin, Privacy Badger) o disattivare JavaScript per
googletagmanager.com,google-analytics.comegoogleadservices.com. - Disabilitare la pubblicità personalizzata nel tuo account Google: accedere a https://adssettings.google.com/ e disattivare l'opzione corrispondente.
14. Principi del trattamento e valutazione di impatto
14.1. Principi guida (art. 5 GDPR)
Il trattamento dei tuoi dati è regolato in ogni momento dai seguenti principi:
- Liceità, correttezza e trasparenza: Trattiamo i tuoi dati in modo lecito, corretto e trasparente, informandoti in ogni momento su come e perché li utilizziamo.
- Limitazione della finalità: I tuoi dati vengono raccolti solo per finalità determinate, esplicite e legittime e non saranno trattati in modo incompatibile con tali finalità.
- Minimizzazione dei dati: Raccogliamo solo i dati adeguati, pertinenti e strettamente necessari per le finalità del trattamento.
- Esattezza: Manterremo i tuoi dati aggiornati e adotteremo misure ragionevoli per cancellare o rettificare senza ritardo i dati inesatti.
- Limitazione della conservazione: Conserviamo i tuoi dati solo per il tempo necessario alle finalità del trattamento.
- Integrità e riservatezza: Trattiamo i tuoi dati garantendo una sicurezza adeguata, inclusa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danno accidentale.
14.2. Valutazione d'impatto sulla protezione dei dati (DPIA)
Poiché il trattamento di dati di personalità e profili cognitivi può comportare un rischio elevato per i diritti e le libertà degli interessati, Afini ha realizzato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'articolo 35 del GDPR. Tale valutazione copre sia il servizio test.afini.ai sia il servizio di profilo cognitivo con IA di afini.ai e include un'analisi specifica delle integrazioni pubblicitarie descritte nella sezione 13.
La valutazione ha concluso che il rischio residuo del trattamento è moderato-basso, grazie alle seguenti misure mitigative: eliminazione delle risposte individuali dopo la generazione del report (test.afini.ai), accesso esclusivo dell'utente ai propri risultati e al proprio profilo, assenza di condivisione del profilo con terzi (incluso Google), cifratura integrale dei dati, non persistenza delle conversazioni con l'IA, politica di non addestramento del fornitore di IA (API commerciale di Anthropic), Google Consent Mode v2 con valore predefinito denied, segmentazione pubblicitaria senza uso di inferenze di personalità e trasparenza sulla composizione e sull'iniezione del profilo.
La DPIA è disponibile per consultazione su https://afini.ai/legal/dpia.
15. Misure di sicurezza tecniche e organizzative
Afini implementa misure tecniche e organizzative adeguate ai sensi dell'articolo 32 del GDPR per garantire un livello di sicurezza adeguato al rischio:
Misure tecniche:- Cifratura di tutte le comunicazioni tramite HTTPS/TLS 1.2+ (cifratura in transito).
- Cifratura del database a riposo (AES-256).
- Accesso al database limitato tramite credenziali sicure e connessioni cifrate.
- Separazione logica dei dati di ciascun utente (isolamento delle sessioni).
- Token di accesso unici e non prevedibili per l'accesso ai risultati.
- Assenza di memorizzazione di dati finanziari (delegata interamente a Stripe).
- Audit degli accessi agli endpoint di amministrazione.
- Autenticazione tramite magic link con *rate limiting* (afini.ai) — nessuna password memorizzata.
- Comunicazione con l'API di Anthropic cifrata end-to-end (TLS 1.3).
- Comunicazione con l'API di Google Ads cifrata end-to-end (TLS 1.3) e autenticata tramite OAuth 2.0 con *refresh token* ruotato.
- Contabilizzazione dei token tramite operazioni atomiche in database (prevenzione di race condition).
- Politica di Sicurezza dei Contenuti (CSP) restrittiva con *whitelist* esplicita delle origini consentite.
- Accesso ai sistemi di amministrazione limitato esclusivamente al personale autorizzato.
- Principio di minimizzazione dei dati: vengono raccolti e conservati solo i dati strettamente necessari.
- Principio di limitazione della finalità: i dati vengono utilizzati solo per le finalità dichiarate in questa informativa.
- Revisione periodica delle misure di sicurezza.
- Protocollo di notifica delle violazioni di sicurezza ai sensi degli articoli 33 e 34 del GDPR: in caso di violazione, notificheremo all'AEPD entro un termine massimo di 72 ore e, se del caso, agli utenti interessati senza ingiustificato ritardo.
16. Informativa sui cookie e archiviazione locale
Per informazioni dettagliate sull'uso dei cookie consulta la nostra Informativa sui Cookie.
Sintesi: Le Piattaforme utilizzano:- Cookie necessari per il funzionamento del servizio (sessione, lingua, registrazione del consenso, prevenzione delle frodi tramite Stripe e Cloudflare).
- Cookie di analitica e pubblicitari (Google Analytics 4, Google Ads) unicamente con il tuo consenso preventivo, gestiti tramite Google Consent Mode v2 con valore predefinito
denied. - Analitica aggregata cookie-free tramite Plausible Analytics, che non richiede consenso poiché non installa identificatori sul tuo dispositivo.
- localStorage del browser per memorizzare tecnicamente: token di sessione, preferenza di lingua, profilo attivo in afini.ai e registrazione locale del consenso.
Puoi revocare il consenso ai cookie di analitica e pubblicitari in qualsiasi momento riaprendo il banner dal link "Gestisci cookie" del piè di pagina.
Do Not Track (DNT): Plausible Analytics rispetta il segnale DNT del browser. Google Tag Manager e i servizi di Google non rispettano DNT in autonomia, ma la nostra integrazione con Consent Mode v2 garantisce che nessun identificatore di Google venga impostato finché tu non confermi il tuo consenso.17. Link a terzi
Le Piattaforme possono contenere link a siti web di terzi (ad esempio Stripe per l'elaborazione dei pagamenti, Anthropic come fornitore della tecnologia di IA, Google per i propri termini di servizio pubblicitari). Afini non è responsabile delle pratiche di privacy né dei contenuti di tali siti web esterni. Ti raccomandiamo di consultare le informative sulla privacy di qualsiasi sito web di terzi che visiti.
18. Informazioni specifiche per giurisdizione
Questa sezione contiene informazioni aggiuntive richieste dalla legislazione di determinate giurisdizioni. Se risiedi in uno dei paesi o regioni indicati di seguito, le disposizioni di questa sezione si applicano in aggiunta (e non in sostituzione) alle disposizioni generali di questa Informativa sulla Privacy.
18.1. Regno Unito (UK GDPR + Data Protection Act 2018)
Ai sensi della legislazione del Regno Unito (UK GDPR e Data Protection Act 2018), i tuoi diritti di protezione dei dati sono equivalenti a quelli previsti dal GDPR. Base giuridica, conservazione dei dati e diritti di accesso si applicano in conformità al diritto britannico. Puoi presentare reclami all'ICO (Information Commissioner's Office).
18.2. Stati Uniti d'America
Per gli utenti negli Stati Uniti, oltre alla presente Informativa sulla Privacy, si applicano il Children's Online Privacy Protection Act (COPPA) per i minori di 13 anni, nonché le leggi statali sulla privacy di California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA) e Connecticut (CTDPA), tra le altre. Hai diritto di accedere, rettificare e cancellare i tuoi dati, nonché di opporti al trattamento. Afini non vende informazioni personali ai sensi della definizione della CCPA/CPRA e non condivide informazioni a fini di pubblicità incrociata *contestuale* o comportamentale senza il tuo consenso. La trasmissione dell'hash dell'email a Google Ads per Enhanced Conversions, subordinata al tuo opt-in nel banner, potrebbe essere considerata "sharing" ai sensi della CPRA — puoi opporti esercitando il tuo diritto di rifiutare la categoria "marketing" del banner cookie.
18.3. Canada (PIPEDA e legislazione provinciale)
Per gli utenti in Canada, i tuoi dati vengono trattati ai sensi del PIPEDA (Personal Information Protection and Electronic Documents Act) e della legislazione provinciale applicabile (compresa la Loi 25 del Quebec). Hai diritto di accedere ai tuoi dati, richiederne la correzione e sapere come vengono utilizzati.
18.4. Brasile (LGPD — Lei Geral de Proteção de Dados)
Per gli utenti in Brasile, i tuoi dati vengono trattati ai sensi della LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Hai diritto di accedere ai tuoi dati, richiederne la correzione, la portabilità e la cancellazione. Puoi presentare reclami all'ANPD (Autoridade Nacional de Proteção de Dados).
18.5. Australia (Privacy Act 1988 + APPs)
Per gli utenti in Australia, i tuoi dati vengono trattati ai sensi del Privacy Act 1988 (Cth) e degli Australian Privacy Principles (APPs). Hai diritto di accedere ai tuoi dati, richiederne la correzione e presentare reclami all'OAIC (Office of the Australian Information Commissioner).
18.6. Giappone (APPI — Act on the Protection of Personal Information)
Per gli utenti in Giappone, i tuoi dati vengono trattati ai sensi dell'APPI (Act on the Protection of Personal Information). Hai diritto di accedere, rettificare, cancellare e richiedere la limitazione del trattamento dei tuoi dati. Puoi presentare reclami alla PPC (Personal Information Protection Commission).
19. Modifiche a questa informativa
Afini si riserva il diritto di modificare la presente Informativa sulla Privacy in qualsiasi momento per adattarla a novità legislative, giurisprudenziali o della propria prassi aziendale.
Qualsiasi modifica sostanziale sarà comunicata tramite le Piattaforme stesse (mediante avviso visibile sul sito web) e, qualora disponessimo del tuo indirizzo email, tramite email informativa.
La data dell'ultimo aggiornamento è sempre indicata all'inizio del presente documento. Ti raccomandiamo di consultare periodicamente questa informativa.
20. Legge applicabile e foro competente
La presente Informativa sulla Privacy è regolata dalla legislazione spagnola ed europea come normativa principale, e in aggiunta dalla legislazione sulla protezione dei dati applicabile in ciascuna giurisdizione in cui risiedono i nostri utenti:
Normativa principale (sede del titolare):- Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 (Regolamento Generale sulla Protezione dei Dati — GDPR).
- Legge organica 3/2018, del 5 dicembre, sulla Protezione dei Dati Personali e garanzia dei diritti digitali (LOPDGDD).
- Legge 34/2002, dell'11 luglio, sui Servizi della Società dell'Informazione e del Commercio Elettronico (LSSI-CE).
- Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio (Regolamento sull'Intelligenza Artificiale — AI Act).
- Direttiva 2002/58/CE (Direttiva ePrivacy), come trasposta nella legislazione spagnola tramite l'articolo 22.2 LSSI-CE.
- Regno Unito: UK General Data Protection Regulation (UK GDPR) e Data Protection Act 2018.
- Stati Uniti: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); e altre leggi statali sulla privacy applicabili. Children's Online Privacy Protection Act (COPPA) in relazione ai minori.
- Canada: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); e legislazione provinciale applicabile.
- Brasile: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
- Australia: Privacy Act 1988 (Cth) e Australian Privacy Principles (APPs).
- Giappone: Act on the Protection of Personal Information (APPI).
In caso di conflitto tra disposizioni di giurisdizioni diverse, si applicherà la norma che offre il livello di tutela più elevato per l'utente.
Per qualsiasi controversia derivante dalla presente informativa saranno competenti i Tribunali di Bilbao, con espressa rinuncia a qualsiasi altro foro eventualmente applicabile, fatti salvi i diritti che la legislazione vigente riconosce ai consumatori e agli utenti nelle rispettive giurisdizioni di residenza, incluso il diritto irrinunciabile di adire i tribunali del proprio domicilio nelle giurisdizioni in cui ciò sia previsto dalla legge.
21. Contatti
Per qualsiasi richiesta, esercizio di diritti o reclamo relativi alla protezione dei tuoi dati personali:
- Email: info@afini.ai
- Indirizzo postale: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spagna
*Ultimo aggiornamento: 9 maggio 2026*
13. Come impara Afini
Da maggio 2026 Afini incorpora un sistema di livelli dichiarati alimentato da tre vie possibili:
- Form manuali: scrivi direttamente nella dashboard.
- Moduli conversazionali: chat guidate con l'IA dove Afini estrae i pezzi rilevanti.
- Estrazione passiva: durante una conversazione libera, Afini rileva menzioni che possono essere rilevanti per il tuo profilo.
Gli indizi rilevati passano per un sistema a due assi — confidenza (quanto siamo sicuri) e sensibilità (quanto è delicata la categoria) — che decide la loro destinazione: auto-iniezione, notifica passiva o bandeja di scoperte. Gli indizi ad alta sensibilità o media confidenza vanno sempre alla bandeja perché tu decida.
14. I livelli dichiarati
Il tuo profilo cognitivo esteso ha 8 livelli dichiarati: Canone, Spazio negativo, Meta-preferenze, Cornice mentale, Attrezzatura operativa, Ritmi e geografia, Contesto vitale, Traiettoria intellettuale. Ogni livello ha la sua tabella, la politica di scadenza e il livello di sensibilità. Puoi vedere, modificare ed eliminare qualsiasi item dalla dashboard.
15. Il tuo diritto di rivedere e cancellare (GDPR Art. 22 / EU AI Act Art. 50)
- Bandeja di scoperte: tutti gli indizi rilevati passivamente aspettano il tuo via libera prima di essere iniettati nel profilo.
- GDPR Art. 22: non prendiamo decisioni automatizzate con effetti giuridici su di te. Il sistema inietta contesto a un LLM come prompt — la decisione reale resta tua e dell'IA.
- EU AI Act Art. 50.2: gli item di livelli provenienti da estrazione passiva sono marcati aiGenerated=true nel tuo JSON portabile.
- Diritto alla cancellazione:
DELETE /v1/account/datacancella TUTTE le tue tabelle. - Aparté metodologico: pubblichiamo su
/dashboard/methodologyla regola operativa esatta con soglie numeriche.
16. Dati che non catturiamo mai
Nomi concreti di terzi (figli, partner, capi, ecc.) in vital_context. Un validatore anti-PII server-side rifiuta qualsiasi tentativo con HTTP 422. Numeri di carta di credito. Localizzazione GPS esatta. Dati di minori di 16 anni.
14. Apprendimento nel chat (Fase 6, maggio 2026)
A partire da maggio 2026, gli utenti del piano Professional possono attivare due meccaniche aggiuntive di apprendimento automatico nel chat libero:
Micro-pulsanti inline. Mentre chatti, l'IA può offrirti micro-pulsanti discreti (✓ accetta / ✗ rifiuta) per aggiungere al tuo profilo affermazioni che rileva come stabili e chiare. Sono offerti solo per tre livelli specifici: il tuo canone estetico, il tuo spazio negativo (rifiuti) e le tue meta-preferenze (come vuoi essere trattato). I cinque livelli più sensibili (quadro mentale, equipaggiamento operativo, contesto vitale, ritmi, traiettoria) devi sempre dichiararli tu — non vengono mai proposti automaticamente. Estrazione passiva estesa. Ogni cinque turni di chat, un modello leggero (Haiku) analizza i tuoi messaggi per identificare (a) fatti di vita che possono andare direttamente alla tua Memoria, e (b) ipotesi sui tre livelli autorizzati che entrano nel tuo vassoio di Scoperte perché tu le accetti o rifiuti. Ogni ipotesi con sensibilità alta viene scartata silenziosamente. Il tuo controllo. Puoi disattivare entrambi i meccanismi in qualsiasi momento da Impostazioni → Estrazione automatica. Se li disattivi, i dati già salvati rimangono nel tuo profilo e li gestisci normalmente da Memoria e Scoperte. Conferma umana sempre. Nessun micro-pulsante salva nulla finché non lo accetti. Nessuna ipotesi estratta passivamente viene iniettata nel tuo profilo senza passare prima per il tuo vassoio di Scoperte. L'autonomia dell'utente su ciò che l'IA impara è assoluta: art. 22 GDPR e art. 50 AI Act sono rispettati by design.