Informativa sulla Privacy
Ultimo aggiornamento: 20 marzo 2026Indice
- Titolare del trattamento e ambito territoriale
- Responsabile della Protezione dei Dati
- Quali dati raccogliamo
- Per cosa utilizziamo i tuoi dati (finalità del trattamento)
- Base giuridica del trattamento
- Destinatari dei dati
- Trasferimenti internazionali di dati
- Periodo di conservazione dei dati
- I tuoi diritti
- Dati di minori di età
- Dati specialmente sensibili e categorie speciali
- Decisioni automatizzate, profilazione e intelligenza artificiale
- Principi del trattamento e valutazione di impatto
- Misure di sicurezza tecniche e organizzative
- Politica dei cookie e immagazzinamento locale
- Collegamenti a terzi
- Informazioni specifiche per giurisdizione
- Modificazioni di questa politica
- Legge applicabile e giurisdizione
- Contatti
1. Titolare del trattamento e ambito territoriale
Il titolare del trattamento dei tuoi dati personali è:
- Denominazione sociale: Bilbao AI S.L.
- CIF: B-13759758
- Domicilio sociale: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spagna
- Email: info@afini.ai
- Siti web: https://test.afini.ai · https://afini.ai
Bilbao AI S.L. (in seguito, "Afini", "noi" o le "Piattaforme") è titolare e responsabile dei servizi di valutazione della personalità e del profilo cognitivo accessibili tramite questi siti web.
Ambito territoriale: Afini offre i suoi servizi a utenti in tutto il mondo. Questa Informativa sulla Privacy è stata progettata per conformarsi alla normativa di protezione dei dati applicabile in ogni giurisdizione in cui operiamo, inclusi — senza limitazioni — l'Unione Europea, lo Spazio Economico Europeo, il Regno Unito, gli Stati Uniti d'America, il Canada, il Brasile, l'Australia e il Giappone. In caso di conflitto tra disposizioni di diverse giurisdizioni, si applicherà la norma che offre un livello di protezione maggiore all'utente.2. Responsabile della Protezione dei Dati
Dato il carattere della nostra organizzazione e la natura dei dati trattati, Afini non è obbligata a designare un Responsabile della Protezione dei Dati (DPD/DPO) conforme all'articolo 37 del GDPR. Tuttavia, puoi dirigere qualsiasi consultazione relativa alla protezione dei tuoi dati personali a: info@afini.ai.
3. Quali dati raccogliamo
Raccogliamo e trattiamo le seguenti categorie di dati personali, secondo il servizio utilizzato e il momento dell'interazione:
3.1. Dati forniti all'acquisto o all'inizio di un test (test.afini.ai)
- Nome o pseudonimo
- Indirizzo di posta elettronica
- Età (opzionale)
- Sesso biologico (opzionale, per calibrazione normativa)
- Genere (opzionale)
- Paese di residenza (opzionale)
- Preferenza di pronomi (opzionale)
3.2. Dati forniti al momento della registrazione (afini.ai)
- Indirizzo di posta elettronica (obbligatorio, per autenticazione via magic link)
- Nome o pseudonimo (obbligatorio)
- Dati demografici di calibrazione (età, sesso biologico, paese — opzionali, per precisione normativa)
3.3. Dati generati durante la realizzazione di valutazioni
- Risposte individuali a ogni item dei questionari (scala Likert 1-5)
- Marca temporale di inizio e fine di ogni valutazione
- Versione e tipo di valutazione realizzata
3.4. Dati del risultato e del profilo cognitivo
- Punteggi dei 5 grandi tratti di personalità (Apertura, Coscienziosità, Estroversione, Gradevolezza, Stabilità Emotiva)
- Punteggi delle 30 sfaccettature di personalità (nelle versioni Avanzato e Completo)
- Punteggi di strumenti aggiuntivi in afini.ai (scale di attaccamento, stili di umorismo, e altri secondo l'evoluzione del servizio)
- Profilo cognitivo compilato (struttura JSON che integra i punteggi di tutti gli strati valutati)
- System prompt compilato (versione testuale del profilo utilizzata per l'iniez:ione nel modello di IA)
- Rapporto di personalità narrativo generato da IA
3.5. Dati di interazione con IA (afini.ai)
- Contenuto delle conversazioni con il modello di IA (messaggi dell'utente e risposte del sistema)
- Contabilità di utilizzo: numero di token di uscita consumati al mese (dato tecnico per il controllo della quota del piano). I token di ingresso non contano ai fini del limite mensile
- Numero di richieste giornaliere al servizio di IA
3.6. Dati di pagamento
Afini NON immagazzina, elabora né ha accesso ai dati della tua carta di credito o debito, numero di conto bancario ni alcun altro dato finanziario.
I pagamenti sono gestiti interamente da Stripe, Inc., che agisce come processore di pagamenti indipendente ed è responsabile del trattamento dei dati finanziari conforme alla sua propria Politica di Privacità e alla normativa PCI-DSS.
Afini riceve solo da Stripe una conferma di pagamento riuscito (stato della transazione e identificatore di sessione di Stripe). Non riceviamo i dati della carta né del mezzo di pagamento.
3.7. Dati tecnici che NON raccogliamo
Afini NON memorizza in modo persistente:
- Indirizzo IP dell'utente (trattato transitoriamente in memoria per il rate limiting, senza persistenza nel database)
- Impronta digitale del navigatore (browser fingerprint)
- Dati di geolocalizzazione precisa
- Identificatori del dispositivo
- Dati di navigazione o cronologia delle pagine visitate dentro o fuori le Piattaforme
- Cookie di tracciamento, analisi o pubblicità
4. Per cosa utilizziamo i tuoi dati (finalità del trattamento)
Trattiamo i tuoi dati personali esclusivamente per le seguenti finalità:
| Finalità | Dati utilizzati | Base giuridica |
| ----------- | ----------------- | ---------------- |
| Generare il tuo profilo di personalità Big Five | Risposte al test, versione del test | Esecuzione del contratto |
| Generare e inviarti il tuo rapporto di risultati | Nome, email, punteggi | Esecuzione del contratto |
| Permetterti di accedere ai tuoi risultati mediante collegamento personale | Email, token di sessione | Esecuzione del contratto |
| Elaborare il pagamento del servizio (tramite Stripe) | Conferma di pagamento | Esecuzione del contratto |
| Riscattare un codice di invito (voucher) | Codice di voucher, nome, email | Esecuzione del contratto |
| Compilare il tuo profilo cognitivo multistrato (afini.ai) | Punteggi di tutte le valutazioni realizzate | Esecuzione del contratto |
| Iniettare il tuo profilo nel modello di IA per personalizzare l'interazione (afini.ai) | Profilo cognitivo compilato | Esecuzione del contratto + Consenso |
| Contabilizzare l'utilizzo del servizio di IA per il controllo della quota (afini.ai) | Token consumati, richieste giornaliere | Esecuzione del contratto |
| Gestire il tuo abbonamento (afini.ai) | Email, piano, stato dell'abbonamento | Esecuzione del contratto |
| Autenticarti mediante magic link (afini.ai) | Esecuzione del contratto |
| Rispondere alle tue consultazioni o richieste | Email, nome | Interesse legittimo |
| Adempiere obblighi legali e fiscali | Dati di fatturazione | Obbligo legale |
Quello che NON facciamo con i tuoi dati:
- NON vendiamo i tuoi dati a terzi. Mai. In nessuna circostanza.
- NON condividiamo il tuo profilo di personalità, le tue risposte, i tuoi risultati né il tuo profilo cognitivo con terzi.
- NON effettuiamo profilazione pubblicitaria né segmentazione commerciale basata sulla tua personalità.
- NON utilizziamo i tuoi dati per inviarti pubblicità, newsletter o comunicazioni commerciali non richieste.
- NON creiamo profili di comportamento basati sulla tua navigazione.
- NON cediamo i tuoi dati a reti pubblicitarie, data broker né piattaforme di marketing.
- NON utilizziamo i tuoi dati per addestrare modelli di intelligenza artificiale né per ricerca senza il tuo consenso esplicito e indipendente.
- NON condividiamo il contenuto delle tue conversazioni con IA con il fornitore del modello né con nessun terzo.
5. Base giuridica del trattamento
Il trattamento dei tuoi dati si fonda sulle seguenti basi giuridiche conforme all'articolo 6.1 del GDPR:
a) Esecuzione di un contratto (articolo 6.1.b GDPR): Il trattamento è necessario per la prestazione del servizio che hai contrattato: la realizzazione di valutazioni di personalità, la generazione di rapporti, la compilazione del profilo cognitivo e l'interazione personalizzata con IA. L'acquisto del test, il riscatto di un codice di invito (voucher) o la contrattazione di un abbonamento costituiscono l'accettazione del servizio. b) Consenso (articolo 6.1.a GDPR): Per i dati demografici opzionali (età, genere, paese), la base giuridica è il tuo consenso libero, specifico, informato e inequivocabile, manifestato al momento del loro inserimento volontario. L'iniez:ione del profilo cognitivo nel modello di IA richiede inoltre il tuo consenso esplicito, che viene richiesto separatamente al momento dell'attivazione del servizio di interazione con IA. Puoi revocare questo consenso in qualsiasi momento scrivendo a info@afini.ai, senza che questo incida sulla liceità del trattamento basato sul consenso precedentemente dato. c) Interesse legittimo (articolo 6.1.f GDPR): Per l'attenzione di consultazioni e richieste che ci invii per posta elettronica, basato sul nostro interesse legittimo nel mantenere una comunicazione adeguata con gli utenti del nostro servizio. d) Obbligo legale (articolo 6.1.c GDPR): Per l'adempimento di obblighi fiscali e contabili conforme alla legislazione spagnola vigente (Legge Generale Tributaria, Codice di Commercio).6. Destinatari dei dati
I tuoi dati personali potranno essere comunicati ai seguenti destinatari, esclusivamente nella misura necessaria per le finalità descritte:
| Destinatario | Finalità | Ubicazione | Garanzie |
| ------------- | ----------- | ----------- | ----------- |
| Stripe, Inc. | Elaborazione dei pagamenti | USA / UE | Data Privacy Framework (DPF), clausole contrattuali tipo |
| Railway Corp. | Alloggiamento dell'API e database PostgreSQL | USA / UE | Clausole contrattuali tipo, misure tecniche complementari |
| Cloudflare, Inc. | Alloggiamento e distribuzione del sito web frontend (Cloudflare Workers) | USA / Rete globale | Data Privacy Framework (DPF), clausole contrattuali tipo |
| Anthropic PBC | Fornitore del modello di IA (LLM) per la generazione di rapporti e l'interazione personalizzata | USA | Data Privacy Framework (DPF), clausole contrattuali tipo, Anthropic Usage Policy (dati non utilizzati per l'addestramento) |
| Resend, Inc. | Invio di email transazionali | USA | Clausole contrattuali tipo |
In caso che un'autorità amministrativa o giudiziale ci richieda la comunicazione di dati conforme alla legislazione vigente, procederemo a farlo esclusivamente entro il quadro legale applicabile.
7. Trasferimenti internazionali di dati
Alcuni dei nostri fornitori di servizi possono trattare dati al di fuori dello Spazio Economico Europeo (SEE). In tutti i casi, garantiamo che detti trasferimenti dispongono di garanzie adeguate conforme al Capitolo V del GDPR:
- Stripe, Inc. (USA): Aderente all'EU-U.S. Data Privacy Framework (DPF), decisione di adeguatezza della Commissione Europea dell'10 luglio 2023. Inoltre, Stripe applica clausole contrattuali tipo (CCS) approvate dalla Commissione Europea.
- Railway Corp. (USA): Trasferimenti amparati da clausole contrattuali tipo (CCS) conforme alla Decisione di Esecuzione 2021/914 della Commissione Europea, complementati con misure tecniche aggiuntive (cifratura in transito e a riposo).
- Cloudflare, Inc. (USA / rete globale): Aderente all'EU-U.S. Data Privacy Framework (DPF). Inoltre, Cloudflare applica clausole contrattuali tipo (CCS) e misure tecniche complementari.
- Anthropic PBC (USA): Aderente all'EU-U.S. Data Privacy Framework (DPF). I dati inviati all'API commerciale di Anthropic sono elaborati in tempo reale e non sono conservati per l'addestramento. Garanzie aggiuntive: cifratura in transito (TLS 1.3), elaborazione senza persistenza di dati di richieste API.
- Resend, Inc. (USA): Trasferimenti amparati da clausole contrattuali tipo (CCS).
Afini ha realizzato una Valutazione di Impatto dei Trasferimenti (Transfer Impact Assessment — TIA) conforme alla dottrina della Corte di Giustizia dell'UE (caso C-311/18, Schrems II) per ognuno dei trasferimenti descritti, concludendo che le garanzie contrattuali e tecniche implementate assicurano un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR. Queste valutazioni sono revisionate periodicamente e sono disponibili per l'autorità di controllo a richiesta.
In nessun caso si trasferiscono dati a paesi che caschino di un livello adeguato di protezione senza le garanzie esigite dal GDPR.
Per utenti del Regno Unito: I trasferimenti di dati al di fuori del Regno Unito si amparano nel UK International Data Transfer Agreement (IDTA) e/o nell'Addendum del Regno Unito alle CCS dell'UE, conforme a quanto disposto dall'Information Commissioner's Office (ICO). Il Regno Unito riconosce l'EU-U.S. Data Privacy Framework Extension come base per i trasferimenti agli USA. Per utenti del Canada: I trasferimenti di dati al di fuori del Canada si realizzano conforme ai principi di PIPEDA (Sezione 4.1.3), assicurando che i fornitori di servizi offrano un livello di protezione comparabile mediante accordi contrattuali vincolanti. Per utenti del Brasile: I trasferimenti internazionali si amparano nelle garanzie dell'articolo 33 della LGPD, incluse clausole contrattuali specifiche e il rispetto di standard di protezione adeguati certificati dalla ANPD.8. Periodo di conservazione dei dati
Conserviamo i tuoi dati durante i seguenti periodi:
| Tipo di dato | Periodo di conservazione | Motivo |
| ------------- | ---------------------- | -------- |
| Risposte individuali al test (test.afini.ai) | Sono eliminate dal server una volta generato il rapporto di risultati. Non sono immagazzinate di forma permanente. | Minimizzazione di dati |
| Risposte a valutazioni (afini.ai) | Sono conservate mentre l'account utente è attivo, per permettere la ricalibrazione del profilo. Eliminazione su richiesta. | Esecuzione del contratto |
| Punteggi e risultati aggregati | Mentre mantengan il tuo collegamento di accesso attivo (test.afini.ai) o il tuo account attivo (afini.ai). Puoi richiedere l'eliminazione in qualsiasi momento. | Esecuzione del contratto |
| Profilo cognitivo compilato (afini.ai) | Mentre l'account utente è attivo. Si elimina dopo 90 giorni dalla cancellazione dell'account. | Esecuzione del contratto |
| System prompt compilato (afini.ai) | Identico al profilo cognitivo. | Esecuzione del contratto |
| Contenuto di conversazioni con IA (afini.ai) | Massimo 90 giorni dopo l'estrazione del profilo cognitivo, per la ricalibrazione con modelli migliorati. Eliminazione immediata disponibile su richiesta dell'utente. Eliminazione automatica dopo 90 giorni. | Consenso + minimizzazione di dati |
| Contabilità di token (afini.ai) | 12 mesi dal registro, rinnovabili per periodo di abbonamento. | Esecuzione del contratto |
| Rapporto di personalità | Mentre mantengan il tuo collegamento di accesso attivo o il tuo account attivo. | Esecuzione del contratto |
| Nome e posta elettronica | Massimo 12 mesi dalla realizzazione del test (test.afini.ai) o dalla cancellazione dell'account (afini.ai), salvo che tu non richieda precedentemente l'eliminazione. | Esecuzione del contratto |
| Dati di fatturazione / conferma di pagamento | 5 anni dalla data della transazione. | Obbligo legale (articolo 30 Codice di Commercio; articolo 70 Legge Generale Tributaria) |
| Dati di voucher / invito | 12 mesi dal suo riscatto o scadenza. | Interesse legittimo (audit e controllo) |
Trascorsi i periodi indicati, i dati saranno eliminati in modo sicuro o anonimizzati di manera irreversibile.
Principio di minimizzazione: Conserviamo solo i dati strettamente necessari per ogni finalità e durante il tempo minimo indispensabile. Eliminazione anticipata: Indipendentemente dai periodi precedenti, puoi richiedere l'eliminazione di uno qualsiasi dei tuoi dati in qualsiasi momento scrivendo a info@afini.ai, senza necessità di aspettare il compimento dei periodi indicati. Accoglieremo la tua richiesta entro il periodo massimo di un mese. Eliminazione di account (afini.ai): Al momento della richiesta dell'eliminazione del tuo account, saranno eliminati: il tuo profilo cognitivo, il system prompt compilato, i punteggi di tutte le valutazioni e i tuoi dati di identificazione. I dati di fatturazione saranno conservati durante il periodo legalmente obbligatorio (5 anni).9. I tuoi diritti
Conforme al GDPR (articoli 15 a 22) e alla legislazione nazionale di protezione dei dati, hai i seguenti diritti:
a) Diritto di accesso (articolo 15 GDPR): Ottenere conferma se trattiamo i tuoi dati e, nel caso, accedere ad essi e alle informazioni sul trattamento. b) Diritto di rettificazione (articolo 16 GDPR): Richiedere la correzione di dati personali inesatti o incompleti. c) Diritto di cancellazione ("diritto all'oblio") (articolo 17 GDPR): Richiedere l'eliminazione dei tuoi dati quando, tra gli altri casi, non siano più necessari per la finalità per la quale sono stati raccolti, tu ritiri il tuo consenso, o i dati siano stati trattati illecitamente. d) Diritto alla limitazione del trattamento (articolo 18 GDPR): Richiedere che il trattamento dei tuoi dati sia limitato in determinate circostanze (per esempio, mentre si verifica l'esattezza dei dati o la liceità del trattamento). e) Diritto alla portabilità (articolo 20 GDPR): Ricevere i tuoi dati personali in un formato strutturato, di uso comune e lettura meccanica (JSON o CSV), e trasmetterli a un altro titolare del trattamento. Nel caso di afini.ai, questo diritto include la possibilità di ottenere il tuo profilo cognitivo in formato JSON portatile. f) Diritto di opposizione (articolo 21 GDPR): Opporti al trattamento dei tuoi dati per motivi relazionati alla tua situazione particolare, quando il trattamento si basa nell'interesse legittimo. g) Diritto a non essere oggetto di decisioni individuali automatizzate (articolo 22 GDPR): Non essere oggetto di una decisione basata esclusivamente sul trattamento automatizzato, inclusa la profilazione, che produca effetti giuridici o ti incida significativamente. h) Diritto di ritirare il consenso per l'iniez:ione del profilo in IA (specifico di afini.ai): Puoi richiedere in qualsiasi momento che il tuo profilo cognitivo cessi di essere iniettato nel modello di IA, mantenendo accesso alle altre funzionalità del tuo account.Come esercitare i tuoi diritti:
- Invia un'email a info@afini.ai indicando il diritto che desideri esercitare, insieme a una copia della tua carta d'identità, passaporto u altro documento che accredi la tua identità.
- Risponderemo alla tua richiesta entro un periodo massimo di un mese dalla sua ricezione (ampliabile a due mesi in casi di particolare complessità, conforme all'articolo 12.3 GDPR).
- L'esercizio di questi diritti è gratuito, salvo che le richieste siano manifestamente infondate o eccessive (articolo 12.5 GDPR).
Diritto di reclamo presso l'autorità di controllo:
Se ritenan che il trattamento dei tuoi dati violi la normativa di protezione dei dati, hai il diritto di presentare un reclamo presso l'autorità di controllo competente del tuo paese di residenza:
- Spagna — AEPD (Agenzia Spagnola di Protezione dei Dati): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
- Regno Unito — ICO (Information Commissioner's Office): ico.org.uk
- Unione Europea — Altre autorità: Consulta l'autorità del tuo Stato membro in edpb.europa.eu
- Brasile — ANPD: www.gov.br/anpd
- Canada — OPC: www.priv.gc.ca
- Australia — OAIC: www.oaic.gov.au
- Stati Uniti — FTC: www.ftc.gov
- Giappone — PPC: www.ppc.go.jp
Per qualsiasi altra giurisdizione, contattaci a info@afini.ai e ti indicheremo l'autorità competente corrispondente.
10. Dati di minori di età
Il servizio di Afini non è indirizzato a minori di 16 anni. Non raccogliamo intenzionalmente dati di minori di 16 anni. Se sei minore di 16 anni, non utilizzare questo servizio né fornirci dati personali.
Se tu sei genitore, madre o tutore legale e sei a conoscenza che un minore di 16 anni sotto la tua responsabilità ha fornito dati personali ad Afini, contattaci a info@afini.ai e procederemo a eliminare detti dati immediatamente.
Il limite di 16 anni si stabilisce conforme alle norme europee sulla protezione dei minori online. Tuttavia, data la natura specialmente sensibile dei dati di personalità, Afini applica una soglia di protezione rafforzata di 16 anni.
Nota su soglie internazionali: Diverse giurisdizioni stabiliscono età minime diverse per il consenso digitale (13 anni negli USA sotto COPPA, 13 anni in Canada sotto PIPEDA, 16 anni nei Paesi Bassi e Germania, 15 anni in Francia, 14 anni in Austria e Italia, ecc.). Afini applica uniformemente la soglia di 16 anni per tutte le giurisdizioni, garantendo così il massimo livello di protezione indipendentemente dalla ubicazione dell'utente.11. Dati specialmente sensibili e categorie speciali
I dati derivati da valutazioni di personalità e dal profilo cognitivo, a seconda della loro interpretazione e contesto, potrebbero approssimarsi alla categoria di dati relativi alla salute psicologica o al profilo psicologico, categorie che godono di protezione rafforzata conforme all'articolo 9 del GDPR.
Afini adotta un approccio di massima cautela:
- Trattiamo i risultati delle valutazioni di personalità e il profilo cognitivo compilato con un livello di protezione equivalente a quello delle categorie speciali di dati, indipendentemente dal fatto che tecnicamente si qualifichino come tali.
- I risultati delle tue valutazioni e il tuo profilo cognitivo sono strettamente privati: solo tu hai accesso ad essi tramite il tuo collegamento personale o il tuo account utente.
- Non condividiamo, vendiamo, cediamo né mettiamo a disposizione di terzi i tuoi risultati di personalità né il tuo profilo cognitivo in alcuna circostanza.
- Non utilizziamo i risultati ni il profilo per prendere decisioni che ti incidono (lavorative, assicurative, creditizie o di qualsiasi altra natura).
- Non aggreghiamo ni anonimizziamo dati di personalità per creare studi, statistiche o prodotti derivati senza consenso esplicito e indipendente dell'utente.
- Il profilo cognitivo iniettato nel modello di IA si utilizza esclusivamente per personalizzare l'interazione del proprio utente, mai per classificarti, segmentarti ni per prendere decisioni automatizzate che ti incidano.
12. Decisioni automatizzate, profilazione e intelligenza artificiale
12.1. Elaborazione del profilo di personalità
Il servizio di Afini genera profili di personalità di forma automatizzata a partire dalle tue risposte a questionari psicometrici. Questi profili si basano su modelli scientifici validati (Big Five, teoria dell'attaccamento, stili di umorismo, ecc.) e si calcolano mediante algoritmi di punteggio statistico standardizzati e pubblicamente documentati.
12.2. Profilo cognitivo compilato e iniez:ione in IA (afini.ai)
Nella piattaforma afini.ai, i risultati di tutte le valutazioni si compilano in un profilo cognitivo strutturato (formato JSON). Questo profilo si converte in un system prompt (istruzioni di contesto) che si inietta in ogni conversazione con il modello di IA per personalizzare l'interazione.
Trasparenza sul funzionamento:- L'utente conosce in ogni momento quali dimensioni compongono il suo profilo (tratti, sfaccettature, scale di attaccamento, stili di umorismo, ecc.) e il suo livello di completezza.
- Il profilo si inietta come contesto del sistema nel modello di IA, con tecniche di cache (prompt caching) attivate per ottimizzare l'utilizzo di token e ridurre il costo dell'interazione.
- Il modello di IA riceve le istruzioni di personalizzazione ma non conserva il profilo tra sessioni.
- L'utente può consultare, scaricare e richiedere l'eliminazione del suo profilo in qualsiasi momento.
12.3. Portata della decisione automatizzata
- I profili generati hanno una finalità esclusivamente informativa e di consapevolezza di sé. Non vengono utilizzati per prendere nessuna decisione che produca effetti giuridici su di te né che ti incida significativamente allo stesso modo.
- I profili non si utilizzano per: selezione del personale, valutazione creditizia, determinazione di premi assicurativi, accesso a servizi, ni nessun altro processo di presa di decisioni che possa incidere sui tuoi diritti o interessi.
- Non esiste nessun sistema di scoring, classificazione, ranking ni categorizzazione di utenti oltre alla generazione del profilo individuale di consapevolezza di sé.
12.4. I tuoi diritti rispetto a decisioni automatizzate e all'uso di IA
Conforme all'articolo 22 del GDPR, hai diritto a:
- Ottenere l'intervento umano per la revisione del tuo profilo.
- Esprimere il tuo punto di vista sui risultati.
- Impugnare i risultati del profilo generato.
- Richiedere che il tuo profilo non sia iniettato nel modello di IA (mantenendo accesso alle altre funzionalità).
- Ottenere una spiegazione del significato di ogni dimensione del tuo profilo e di come influisce sull'interazione con IA.
Il risultato che ricevi è di carattere esclusivamente informativo e non ha nessun valore vincolante, diagnostico ni clinico. Sei libero di utilizzarlo, ignorarlo o interpretarlo come ritieni opportuno.
Per esercitare uno qualsiasi di questi diritti, contattaci a info@afini.ai.
13. Principi del trattamento e valutazione di impatto
13.1. Principi rettori (articolo 5 GDPR)
Il trattamento dei tuoi dati si rige in tutto momento dai seguenti principi:
- Liceità, lealtà e trasparenza: Trattiamo i tuoi dati di forma lecita, leale e trasparente, informandoti in tutto momento di come e per cosa li utilizziamo.
- Limitazione della finalità: I tuoi dati si raccolgono solo per finalità determinate, esplicite e legittime, e non saranno trattati in modo incompatibile con tali finalità.
- Minimizzazione di dati: Raccogliamo solo i dati adeguati, pertinenti e strettamente necessari per le finalità del trattamento.
- Esattezza: Manterremo i tuoi dati aggiornati e adotteremo le misure ragionevoli per sopprimere o rettificare senza demora i dati inesatti.
- Limitazione del termine di conservazione: Conserviamo i tuoi dati solo durante il tempo necessario per i fini del trattamento.
- Integrità e confidenzialità: Trattiamo i tuoi dati garantendo una sicurezza adeguata, inclusa la protezione contro il trattamento non autorizzato o illecito e contro la loro perdita, distruzione o danno accidentale.
13.2. Valutazione di Impatto sulla Protezione dei Dati (DPIA)
Dato che il trattamento di dati di personalità e profili cognitivi può comportare un rischio elevato per i diritti e le libertà degli interessati, Afini ha realizzato una Valutazione di Impatto sulla Protezione dei Dati (DPIA) conforme all'articolo 35 del GDPR. Questa valutazione copre sia il servizio di test.afini.ai sia il servizio di profilo cognitivo con IA di afini.ai.
La valutazione ha concluso che il rischio residuale del trattamento è moderato-basso, grazie alle seguenti misure mitiganti: eliminazione di risposte individuali dopo la generazione del rapporto (test.afini.ai), accesso esclusivo dell'utente ai suoi risultati e profilo, assenza di condivisione con terzi, cifratura in transito e a riposo fornita dall'infrastruttura, conservazione limitata delle conversazioni (massimo 90 giorni) con eliminazione self-service, politica di non addestramento del fornitore di IA (Anthropic API commerciale), e trasparenza sulla composizione e iniezione del profilo.
14. Misure di sicurezza tecniche e organizzative
Afini implementa misure tecniche e organizzative appropriate conforme all'articolo 32 del GDPR per garantire un livello di sicurezza adeguato al rischio:
Misure tecniche:
- Cifratura di tutte le comunicazioni mediante HTTPS/TLS 1.2+ (cifratura in transito).
- Cifratura a riposo fornita dal provider di infrastruttura (Railway/PostgreSQL). Afini valuta periodicamente cifratura aggiuntiva a livello di colonna.
- Accesso alla database ristretto mediante credenziali sicure e connessioni cifrate.
- Separazione logica dei dati di ogni utente (isolamento di sessioni).
- Token di accesso unici e non prevedibili per l'accesso ai risultati.
- Assenza di immagazzinamento di dati finanziari (delegato interamente a Stripe).
- Eliminazione self-service dell'account e dei dati (GDPR Art. 17).
- Autenticazione mediante magic link con rate limiting (afini.ai) — senza password immagazzinate.
- Comunicazione con l'API di Anthropic cifrata da capo a capo (TLS 1.3).
- Contabilità di token mediante operazioni atomiche in database (prevenzione di condizioni di corsa).
Misure organizzative:
- Accesso ai sistemi di amministrazione limitato esclusivamente al personale autorizzato.
- Principio di minimizzazione di dati: si raccolgono e conservano solo i dati strettamente necessari.
- Principio di limitazione della finalità: i dati si utilizzano solo per le finalità dichiarate in questa politica.
- Revisione periodica delle misure di sicurezza.
- Protocollo di notificazione di brecce di sicurezza conforme agli articoli 33 e 34 del GDPR: in caso di brecca, notificheremo all'autorità competente entro un termine massimo di 72 ore e, se corresponde, agli utenti interessati senza dilazione indebita.
15. Politica dei cookie e immagazzinamento locale
Per informazioni dettagliate sull'utilizzo di cookie in questi siti web, consulta la nostra Politica dei Cookie.
15.1. Cookie
Le Piattaforme utilizzano una minima quantità di cookie, limitati a quanto strettamente necessario per il funzionamento del servizio e l'elaborazione sicura dei pagamenti:
- Non utilizziamo cookie propri di tracciamento.
- Non utilizziamo cookie di analisi (non c'è Google Analytics, Hotjar, Mixpanel ni nessun altro servizio di analisi).
- Non utilizziamo cookie pubblicitari ni di retargeting.
- Non utilizziamo cookie di reti sociali.
- Stripe, il nostro gateway di pagamento, può stabilire cookie tecnici durante il processo di pagamento per la prevenzione della frode.
15.2. Immagazzinamento locale del navigatore (localStorage)
Utilizziamo l'immagazzinamento locale del navigatore (localStorage) esclusivamente per:
- Immagazzinare il tuo token di sessione che ti permette di accedere al tuo test in corso, ai tuoi risultati e al tuo account utente.
- Immagazzinare la tua preferenza di lingua.
- Questi token sono identificatori tecnici necessari per il funzionamento del servizio e non contengono dati personali.
- Non utilizziamo localStorage per tracciamento, profilazione ni nessuna altra finalità diversa dalla funzionalità essenziale del servizio.
15.3. Non tracciamento (Do Not Track)
Afini rispetta il segnale Do Not Track (DNT) del tuo navigatore. Tuttavia, dato che non effettuiamo nessun tipo di tracciamento o rastreamento, questo segnale non ha un effetto pratico aggiuntivo sul nostro servizio.
16. Collegamenti a terzi
Le Piattaforme possono contenere collegamenti a siti web di terzi (per esempio, Stripe per l'elaborazione dei pagamenti, Anthropic come fornitore della tecnologia di IA). Afini non è responsabile delle pratiche di privacy ni del contenuto di tali siti web esterni. Ti consigliamo di consultare le politiche di privacy di qualsiasi sito web di terzi che visiti.
17. Informazioni specifiche per giurisdizione
Questa sezione contiene informazioni aggiuntive richieste dalla legislazione di determinate giurisdizioni. Se risiedi in uno dei paesi o regioni indicati a seguire, le disposizioni di questa sezione si applicano inoltre a (e non in sostituzione a) le disposizioni generali di questa Informativa sulla Privacy.
17.1. Regno Unito (UK GDPR + Data Protection Act 2018)
Conforme alla legislazione del Regno Unito (UK GDPR e Data Protection Act 2018), i tuoi diritti di protezione dei dati sono equivalenti a quelli previsti nel GDPR. La base giuridica, conservazione di dati e diritti di accesso si applicano conforme alla legge britannica. Puoi presentare reclami all'ICO (Information Commissioner's Office).
17.2. Stati Uniti d'America
Per utenti negli Stati Uniti, inoltre questa Informativa sulla Privacy, rigono la Children's Online Privacy Protection Act (COPPA) per minori di 13 anni, così come le leggi statali di privacy della California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA) e Connecticut (CTDPA), tra gli altri. Hai diritto ad accedere, rettificare e sopprimere i tuoi dati, così come a opporti all'elaborazione. Afini non vende informazioni personali secondo la definizione della CCPA/CPRA.
17.3. Canada (PIPEDA e legislazione provinciale)
Per utenti in Canada, i tuoi dati sono trattati conforme a PIPEDA (Personal Information Protection and Electronic Documents Act) e alla legislazione provinciale applicabile (inclusa la Loi 25 del Quebec). Hai diritto ad accedere ai tuoi dati, richiedere la loro correzione, e conoscere come sono utilizzati.
17.4. Brasile (LGPD — Lei Geral de Proteção de Dados)
Per utenti in Brasile, i tuoi dati sono trattati conforme alla LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Hai diritto ad accedere ai tuoi dati, richiedere la loro correzione, portabilità, e soppressione. Puoi presentare reclami presso la ANPD (Autoridade Nacional de Proteção de Dados).
17.5. Australia (Privacy Act 1988 + APPs)
Per utenti in Australia, i tuoi dati sono trattati conforme al Privacy Act 1988 (Cth) e ai Australian Privacy Principles (APPs). Hai diritto ad accedere ai tuoi dati, richiedere la loro correzione, e presentare reclami presso l'OAIC (Office of the Australian Information Commissioner).
17.6. Giappone (APPI — Act on the Protection of Personal Information)
Per utenti in Giappone, i tuoi dati sono trattati conforme alla APPI (Act on the Protection of Personal Information). Hai diritto ad accedere, rettificare, sopprimere e richiedere la limitazione del trattamento dei tuoi dati. Puoi presentare reclami presso la PPC (Personal Information Protection Commission).
18. Modificazioni di questa politica
Afini si riserva il diritto di modificare questa Informativa sulla Privacy in qualsiasi momento per adattarla a novità legislative, giurisprudenziali o della nostra propria pratica aziendale.
Qualsiasi modifica sostanziale sarà comunicata tramite le proprie Piattaforme (mediante un avviso visibile nel sito web) e, se disponiamo del tuo indirizzo di posta elettronica, mediante un'email informativa.
La data dell'ultimo aggiornamento si indica sempre all'inizio di questo documento. Ti consigliamo di consultare questa politica periodicamente.
19. Legge applicabile e giurisdizione
Questa Informativa sulla Privacy è disciplinata dalla legislazione spagnola e europea come normativa principale, e inoltre dalla legislazione di protezione dei dati applicabile in ogni giurisdizione dove risiedono i nostri utenti:
Normativa principale (sede del titolare):
- Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 (Regolamento Generale sulla Protezione dei Dati — GDPR).
- Legislazione nazionale di protezione dei dati (Codice della Privacy italiano, ecc.).
- Direttiva 2000/31/CE (Direttiva sul Commercio Elettronico).
- Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio (Regolamento sull'Intelligenza Artificiale / AI Act).
Normativa aggiuntiva applicabile secondo la giurisdizione dell'utente:
- Regno Unito: UK General Data Protection Regulation (UK GDPR) e Data Protection Act 2018.
- Stati Uniti: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); e altre leggi statali di privacy applicabili. Children's Online Privacy Protection Act (COPPA) in relazione ai minori.
- Canada: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); e legislazione provinciale applicabile.
- Brasile: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
- Australia: Privacy Act 1988 (Cth) e Australian Privacy Principles (APPs).
- Giappone: Act on the Protection of Personal Information (APPI).
In caso di conflitto tra disposizioni di diverse giurisdizioni, si applicherà la norma che offre un maggior livello di protezione all'utente.
Per qualsiasi controversia derivante da questa politica, saranno competenti i Tribunali di Bilbao, con rinuncia espressa a qualsiasi altro foro che potrebbe corrispondere, senza pregiudizio dei diritti che la legislazione vigente riconosce ai consumatori e agli utenti nelle loro rispettive giurisdizioni di residenza, incluso il diritto inderogabile di ricorrere ai tribunali del suo domicilio nelle giurisdizioni dove così dispone la legge.
20. Contatti
Per qualsiasi consultazione, richiesta di esercizio di diritti o reclamo relazionato alla protezione dei tuoi dati personali:
- Email: info@afini.ai
- Indirizzo postale: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spagna
*Ultimo aggiornamento: 20 marzo 2026*