Trasparenza

Come VOXA usa
l'intelligenza artificiale

Un riepilogo onesto di cosa fa il sistema, su quali dati lavora, cosa decide la macchina e cosa decide la persona.

Ultimo aggiornamento: 28 aprile 2026 · Versione 1.0

1. Cosa fa Voxa

Voxa è una piattaforma rivolta ai ristoratori italiani per la gestione delle recensioni online pubblicate sul profilo Google del ristorante (e, in futuro, su altre piattaforme di recensioni). Il sistema svolge tre funzioni principali:

  • Genera bozze di risposta alle recensioni utilizzando un modello di intelligenza artificiale.
  • Analizza i contenuti per individuare aspetti ricorrenti (cibo, servizio, ambiente, prezzo, pulizia) e fornire al ristoratore un quadro di insieme.
  • Verifica la conformità delle recensioni ai cinque requisiti di liceità previsti dalla Legge 34/2026 (tempestività, autenticità, pertinenza, genuinità, attualità) e segnala al ristoratore quelle che potrebbero essere oggetto di reclamo all'AGCM.

2. Cosa Voxa non fa

Per chiarezza, è utile precisare anche i limiti del sistema:

  • Non pubblica risposte automaticamente. Ogni risposta generata viene sottoposta al ristoratore, che la approva, modifica o rifiuta prima della pubblicazione. Questo è un vincolo architetturale del sistema, non una configurazione.
  • Non profila i recensori. L'analisi degli aspetti opera sul testo della recensione, non sull'autore. Non vengono costruiti profili individuali, non viene assegnato alcun punteggio alle persone.
  • Non utilizza i dati per addestrare modelli IA. Né Voxa né il fornitore del modello (Anthropic) utilizzano i testi delle recensioni per addestrare i propri modelli, in forza degli accordi contrattuali in essere.
  • Non condivide dati a fini commerciali. I dati dei recensori non sono ceduti a terzi, non sono utilizzati per marketing, non sono incrociati con altre fonti.

3. Come funziona la generazione delle risposte

Quando una recensione arriva sul profilo Google del ristorante, il sistema compie i seguenti passi:

  • Lettura. Voxa legge il testo della recensione tramite l'API ufficiale di Google Business Profile, su autorizzazione del ristoratore (OAuth 2.0).
  • Analisi. Il testo viene analizzato per estrarre il sentimento per categoria (sentiment based on aspects) e per verificare i requisiti di liceità previsti dalla Legge 34/2026.
  • Generazione. Una bozza di risposta viene prodotta tenendo conto del tono di voce del ristorante, della lingua della recensione e di eventuali aspetti critici segnalati nel testo.
  • Approvazione umana. Il ristoratore visualizza la bozza nella propria area riservata, può modificarla, può rigenerarla, può rifiutarla. Solo dopo la sua approvazione esplicita la risposta viene pubblicata.
  • Tracciamento. Ogni passaggio è registrato in un audit trail interno (data, utente, versione del prompt, esito) per consentire la verifica successiva.

4. Quale modello di IA utilizziamo

Voxa utilizza i modelli della famiglia Claude, sviluppati da Anthropic, PBC (San Francisco, Stati Uniti). Il modello in produzione è Claude Sonnet 4.

Anthropic agisce come sub-responsabile del trattamento ai sensi dell'articolo 28 GDPR. Il trasferimento dei dati verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard della Commissione Europea (modulo 2). Anthropic si impegna contrattualmente a non utilizzare i dati ricevuti da Voxa per addestrare i propri modelli.

5. Quali dati vengono trattati

Il sistema tratta esclusivamente i dati che sono già pubblici sulla piattaforma Google Business Profile:

  • Nome visualizzato del recensore (così come compare pubblicamente accanto alla recensione su Google).
  • Testo della recensione.
  • Valutazione in stelle (da 1 a 5).
  • Data della recensione.
  • Eventuali risposte pubbliche già pubblicate dal ristoratore.

Non vengono mai trattati indirizzi email, numeri di telefono, dati di geolocalizzazione, o qualsiasi altro dato personale del recensore non reso pubblico dallo stesso.

6. Base giuridica del trattamento

La base giuridica del trattamento dei dati dei recensori è il legittimo interesse del ristoratore (art. 6, par. 1, lett. f GDPR) a gestire la propria reputazione online e a rispondere alle recensioni ricevute, posizione confermata dalle linee guida EDPB n. 28/2024 sul trattamento dei dati nel contesto di piattaforme pubbliche di recensioni.

Voxa opera come responsabile del trattamento (processor) per conto del ristoratore, che è il titolare del trattamento. Il rapporto è disciplinato da un Data Processing Agreement (DPA) sottoscritto tra le parti.

7. Sub-responsabili

Per fornire il servizio, Voxa si avvale di un numero contenuto di sub-responsabili, tutti vincolati da un DPA che impone obblighi di protezione dei dati non meno stringenti di quelli assunti da Voxa verso il ristoratore.

  • Anthropic (USA) — modello IA. Trasferimento extra-UE sulla base di SCC modulo 2.
  • Hetzner Online GmbH (Germania) — hosting dei server. Nessun trasferimento extra-UE.
  • Cloudflare (USA) — CDN e WAF. Trasferimento extra-UE sulla base di EU-US Data Privacy Framework e SCC modulo 2.
  • Resend (Irlanda) — invio email transazionali. Nessun trasferimento extra-UE.
  • Sentry (region UE) — monitoraggio errori, con scrubbing dei dati personali e anonimizzazione IP. Nessun trasferimento extra-UE.
  • Zoho Mail (data center UE) — email aziendale. Nessun trasferimento extra-UE.

L'elenco aggiornato dei sub-responsabili e dei rispettivi DPA è disponibile nella documentazione di compliance fornita ai clienti al momento della sottoscrizione del DPA.

8. Diritti dei recensori

Ai sensi degli articoli 15-22 GDPR, ogni persona che abbia scritto una recensione su un ristorante che utilizza Voxa ha diritto a:

  • ricevere conferma del trattamento e una copia dei propri dati (diritto di accesso);
  • ottenere la rettifica di dati inesatti (diritto di rettifica);
  • ottenere la cancellazione dei propri dati nei limiti consentiti dalla legge (diritto all'oblio);
  • ottenere la limitazione del trattamento o opporsi allo stesso (diritto di opposizione);
  • proporre reclamo al Garante per la Protezione dei Dati Personali (www.gpdp.it).

Poiché il titolare del trattamento è il ristoratore, le richieste vanno indirizzate in primo luogo al ristoratore stesso. In subordine, è possibile contattare Voxa all'indirizzo team@usevoxa.io: in tal caso inoltreremo la richiesta al titolare entro 72 ore.

9. Trasparenza obbligatoria sull'uso dell'IA

Le risposte alle recensioni pubblicate tramite Voxa sono generate con l'assistenza di un sistema di intelligenza artificiale e successivamente approvate da una persona fisica del ristorante. In conformità con:

  • Articolo 50 del Regolamento (UE) 2024/1689 (EU AI Act), che richiede di informare gli utenti dell'interazione con un sistema di IA;
  • Articolo 4 della Legge italiana 132/2025 sull'intelligenza artificiale, che richiede di informare i terzi che interagiscono con un sistema di IA;

ogni risposta pubblicata contiene una dicitura visibile che ne indica la natura assistita da IA. Voxa è classificato come sistema a rischio limitato ai sensi dell'EU AI Act.

10. Valutazione d'impatto (DPIA)

Voxa ha redatto una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'articolo 35 GDPR. La valutazione individua un insieme di rischi tipici del trattamento automatizzato di dati personali mediante sistemi di IA, tutti mitigati da misure tecniche e organizzative di livello state-of-the-art (cifratura at-rest e in-transit, isolamento multi-tenant a livello di database, autenticazione a due fattori per gli account amministratori, audit trail completo, anti prompt-injection, watermarking obbligatorio delle risposte).

Il rischio residuo complessivo è valutato come basso: la consultazione preventiva del Garante ai sensi dell'articolo 36 GDPR non risulta necessaria. La DPIA è disponibile su richiesta dei clienti e delle Autorità di controllo.

11. Misure di sicurezza

Le principali misure tecniche adottate sono:

  • cifratura HTTPS (TLS 1.3) su tutto il traffico, con certificati gestiti automaticamente;
  • cifratura at-rest dei backup tramite algoritmo age, con chiave privata custodita off-line;
  • isolamento multi-tenant a livello di database tramite Row-Level Security di PostgreSQL;
  • autenticazione a due fattori obbligatoria per gli account amministratori (TOTP);
  • monitoraggio degli errori con scrubbing dei dati personali e anonimizzazione degli indirizzi IP;
  • audit trail completo di ogni interazione con il modello IA (generazione, modifica, approvazione, pubblicazione).

12. Riferimenti normativi

  • Regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR).
  • Regolamento (UE) 2024/1689 del 13 giugno 2024 (EU AI Act).
  • Legge 132/2025 in materia di intelligenza artificiale.
  • Legge 34/2026 sulle recensioni online, in vigore dal 7 aprile 2026.
  • Linee Guida EDPB n. 28/2024 sul trattamento di dati personali nel contesto di piattaforme pubbliche di recensioni.
  • Linee Guida WP248 del Gruppo di Lavoro Articolo 29 sulla valutazione d'impatto sulla protezione dei dati.

13. Contatti

Per qualsiasi domanda relativa al trattamento dei dati o all'uso dell'intelligenza artificiale da parte di Voxa, è possibile scrivere a team@usevoxa.io.

Le richieste sono prese in carico entro 72 ore lavorative.

Domande sulla compliance?

Scrivici per ricevere la documentazione completa (DPA, DPIA, registro dei sub-responsabili) o per organizzare una demo del prodotto.

Contattaci