Parte I — Informativa sulla privacy
La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e descrive le modalità con cui vengono trattati i dati personali raccolti tramite il sito usevoxa.io e la piattaforma app.usevoxa.io.
1. Titolare del trattamento
Il titolare del trattamento è Luca Lobascio, con sede a Milano (MI), Italia.
Contatto: team@usevoxa.io
2. Dati personali raccolti
a) Sito vetrina (usevoxa.io)
Il sito vetrina non raccoglie dati personali direttamente. Non sono presenti form di registrazione, newsletter, analytics di terze parti né cookie di profilazione. I soli dati tecnici trattati sono quelli generati automaticamente dalla connessione (indirizzo IP, tipo di browser, sistema operativo), gestiti dal provider CDN Cloudflare per finalità strettamente tecniche e di sicurezza.
b) Piattaforma (app.usevoxa.io)
Per l’erogazione del servizio vengono trattati:
- Dati di registrazione: nome, cognome, indirizzo email, nome dell’attività commerciale.
- Dati delle recensioni: testo delle recensioni pubblicate dai clienti del ristorante su piattaforme pubbliche (es. Google), nome o pseudonimo del recensore, valutazione numerica, data di pubblicazione.
- Dati generati dall’AI: bozze di risposta generate dal sistema, analisi di sentiment (ABSA), metriche aggregate di performance.
- Dati tecnici di sessione: indirizzo IP (anonimizzato nel monitoring), dati di navigazione, log di accesso.
3. Finalità e base giuridica
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio (gestione recensioni, generazione risposte AI, dashboard analytics) | Esecuzione del contratto (art. 6.1.b GDPR) |
| Compliance Legge 34/2026 (verifica requisiti liceità recensioni) | Obbligo legale (art. 6.1.c GDPR) |
| Trattamento dati dei recensori tramite AI per generare risposte | Legittimo interesse del titolare (art. 6.1.f GDPR), confermato dall’Opinione EDPB 28/2024 |
| Sicurezza della piattaforma (log, WAF, rate limiting) | Legittimo interesse (art. 6.1.f GDPR) |
| Comunicazioni di servizio (email transazionali) | Esecuzione del contratto (art. 6.1.b GDPR) |
4. Trattamento mediante intelligenza artificiale
Voxa utilizza il modello linguistico Claude, sviluppato da Anthropic (USA), per generare bozze di risposta alle recensioni. I dati personali contenuti nelle recensioni (nome/pseudonimo del recensore, testo) vengono inviati all’API di Anthropic esclusivamente per la generazione della risposta.
Anthropic non utilizza i dati inviati tramite API per l’addestramento dei propri modelli. Il trasferimento extra-UE è regolato da Clausole Contrattuali Standard (SCC, Modulo 2). Per informazioni dettagliate sul funzionamento dell’AI, si rimanda alla pagina Trasparenza IA.
Non viene effettuata alcuna profilazione automatizzata né alcuna decisione interamente automatica con effetti giuridici o significativi sugli interessati. Ogni risposta AI è soggetta a revisione umana prima della pubblicazione.
5. Destinatari e sub-responsabili
I dati personali possono essere comunicati ai seguenti sub-responsabili del trattamento, vincolati da specifici Data Processing Agreement (DPA):
| Sub-responsabile | Funzione | Sede | Trasf. extra-UE |
|---|---|---|---|
| Anthropic | Generazione risposte AI | USA | SCC Modulo 2 |
| Hetzner | Hosting server | Germania | No |
| Cloudflare | CDN, WAF, DNS | USA | DPF + SCC |
| Resend | Email transazionali | Irlanda (UE) | No |
| Sentry | Monitoraggio errori | UE | No |
| Zoho Mail | Email aziendale | UE | No |
I dati non vengono venduti, ceduti o comunicati a terzi per finalità di marketing.
6. Periodo di conservazione
- Dati dell’account: per tutta la durata del rapporto contrattuale e per 30 giorni successivi alla richiesta di cancellazione (periodo di grazia).
- Dati delle recensioni e risposte AI: per la durata del contratto. Le recensioni più vecchie di 24 mesi possono essere archiviate in conformità al limite di attualità previsto dalla Legge 34/2026.
- Log tecnici e di sicurezza: massimo 90 giorni.
- Backup cifrati: retention di 7 giorni, crittografati con age (X25519).
7. Diritti degli interessati
In qualità di interessato, hai il diritto di:
- Accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei dati personali.
- Rettifica (art. 16 GDPR): correggere dati inesatti o incompleti.
- Cancellazione (art. 17 GDPR): richiedere la cancellazione dei dati, nei limiti previsti dalla legge.
- Limitazione (art. 18 GDPR): ottenere la limitazione del trattamento in determinate circostanze.
- Portabilità (art. 20 GDPR): ricevere i dati in formato strutturato e leggibile da dispositivo automatico (export GDPR disponibile nella piattaforma).
- Opposizione (art. 21 GDPR): opporsi al trattamento basato su legittimo interesse.
Per esercitare i tuoi diritti, scrivi a team@usevoxa.io. Le richieste sono prese in carico entro 72 ore lavorative e completate entro 30 giorni dalla ricezione, come previsto dal GDPR.
Hai inoltre il diritto di proporre reclamo all’autorità di controllo competente: Garante per la protezione dei dati personali (www.garanteprivacy.it).
8. Misure di sicurezza
I dati personali sono protetti mediante misure tecniche e organizzative adeguate, tra cui:
- Crittografia in transito (TLS/HTTPS) e a riposo (backup cifrati age/X25519).
- Isolamento dei dati per cliente tramite Row-Level Security (RLS) su PostgreSQL.
- Autenticazione a due fattori (2FA TOTP) per gli account amministrativi.
- Web Application Firewall (WAF) e rate limiting.
- Anonimizzazione degli indirizzi IP nel sistema di monitoring (Sentry).
- Scansione continua delle dipendenze software per vulnerabilità note.
Per una descrizione più dettagliata delle misure di sicurezza, si rimanda alla DPIA disponibile su richiesta.
Parte II — Cookie Policy
9. Cosa sono i cookie
I cookie sono piccoli file di testo che i siti web salvano sul dispositivo dell’utente durante la navigazione. Vengono utilizzati per diverse finalità, dalla memorizzazione delle preferenze all’analisi del traffico.
10. Cookie utilizzati da Voxa
a) Sito vetrina (usevoxa.io)
Il sito vetrina non installa alcun cookie proprio. Cloudflare, in qualità di CDN, può impostare cookie strettamente tecnici per garantire la sicurezza e il corretto funzionamento del servizio:
| Cookie | Fornitore | Finalità | Durata | Tipo |
|---|---|---|---|---|
__cf_bm |
Cloudflare | Bot management, distinguere umani da bot | 30 minuti | Tecnico (strettamente necessario) |
__cflb |
Cloudflare | Bilanciamento del carico | Sessione | Tecnico (strettamente necessario) |
b) Piattaforma (app.usevoxa.io)
La piattaforma utilizza esclusivamente cookie tecnici necessari per l’autenticazione e il funzionamento del servizio:
| Cookie | Finalità | Durata | Flag | Tipo |
|---|---|---|---|---|
voxa_access_token |
Autenticazione dell’utente (JWT) | 15 minuti | HttpOnly, Secure, SameSite=Lax | Tecnico (strettamente necessario) |
voxa_refresh_token |
Rinnovo della sessione | 7 giorni | HttpOnly, Secure, SameSite=Lax | Tecnico (strettamente necessario) |
Oltre ai cookie di Cloudflare già indicati sopra, che possono essere impostati anche sulla piattaforma.
11. Cookie di profilazione e di terze parti
Voxa non utilizza cookie di profilazione, cookie pubblicitari, cookie di analisi del comportamento (analytics) né pixel di tracciamento di alcun tipo.
Non vengono utilizzati strumenti come Google Analytics, Facebook Pixel, o servizi analoghi.
12. Consenso e gestione dei cookie
Poiché Voxa utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio, non è richiesto il consenso preventivo dell’utente ai sensi dell’art. 5, comma 3, della Direttiva 2002/58/CE (ePrivacy) e delle Linee Guida del Garante Privacy del 10 giugno 2021 in materia di cookie e strumenti di tracciamento.
L’utente può in ogni caso configurare il proprio browser per rifiutare tutti i cookie o per ricevere un avviso prima dell’installazione. La disabilitazione dei cookie tecnici potrebbe compromettere il funzionamento della piattaforma.
13. Modifiche alla presente informativa
Il titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, pubblicando la versione aggiornata su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, gli utenti registrati sulla piattaforma verranno informati via email.
14. Contatti
Per qualsiasi domanda relativa alla presente informativa o per esercitare i propri diritti, è possibile scrivere a team@usevoxa.io.
Le richieste sono prese in carico entro 72 ore lavorative.
15. Riferimenti normativi
- Regolamento (UE) 2016/679 (GDPR)
- D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018
- Direttiva 2002/58/CE (ePrivacy)
- Linee Guida del Garante Privacy del 10 giugno 2021 su cookie e strumenti di tracciamento
- Regolamento (UE) 2024/1689 (EU AI Act)
- Legge 132/2025 (disposizioni sull’intelligenza artificiale)
- Legge 34/2026 (disciplina delle recensioni online)
- Opinione EDPB 28/2024 sul trattamento dati nell’ambito dei modelli AI
Domande sulla privacy?
Scrivici per ricevere informazioni sui tuoi dati o per esercitare i tuoi diritti.
Contattaci