Legal
Privacy
In vigore dal 10 maggio 2026
Questa informativa descrive come Swiss Innovative Arts and Technologies Institute (di seguito "SIATI", "noi") tratta i dati personali raccolti tramite il servizio siati.ai, in conformità al Regolamento (UE) 2016/679 (GDPR), alla Legge federale svizzera sulla protezione dei dati (nLPD del 25.9.2020) e alla Direttiva (UE) 2022/2555 (NIS2) nella misura applicabile.
1. Titolare del trattamento
Swiss Innovative Arts and Technologies Institute Aeroporto di Lodrino, Via Aeroporto 4, 6527 Lodrino, Svizzera Email: info@swiss-iat-institute.org
I servizi operativi (fatturazione, supporto, infrastruttura cloud) sono erogati per conto di SIATI da C41.ch SAGL (UID/IVA CHE-492.859.009 MWST, Via Livio 4, CH-6830 Chiasso), che agisce in qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR / art. 9 nLPD sulla base di un accordo di trattamento firmato.
2. Referente per la protezione dei dati
Per qualunque domanda relativa al trattamento dei tuoi dati personali, all'esercizio dei tuoi diritti o per segnalare un incidente: privacy@siati.ai
3. Categorie di dati trattati
a) Dati di account — indirizzo email, hash della password (Argon2id, mai in chiaro), nome, lingua preferita, data di registrazione, eventuale ragione sociale e indirizzo di fatturazione, partita IVA / UID.
b) Dati di fatturazione — saldo crediti in CHF, transazioni (ricariche, addebiti, rimborsi), numero fattura, gateway di pagamento utilizzato (Stripe, Apple App Store, Google Play). I dati della carta di credito non transitano e non sono conservati sui nostri sistemi: la tokenizzazione avviene direttamente presso il gateway PCI-DSS certificato.
c) Dati d'uso — modello chiamato, numero di token in input e output, latenza, identificatore della richiesta, timestamp, indirizzo IP (conservato per 30 giorni). Servono per riconciliare la fatturazione, applicare i limiti del piano e prevenire abusi.
d) Contenuti di inferenza — i prompt che invii e le risposte generate dai modelli non sono persistiti salvo nelle conversazioni di chat che salvi esplicitamente dal tuo account. I prompt non vengono mai utilizzati per addestrare modelli, né nostri né di terzi.
e) Comunicazioni — email di verifica account, recupero password, conferma fatture, notifiche di cancellazione account. Inviati tramite Resend (vedi §6).
f) Log di sicurezza — eventi di autenticazione (login riusciti, falliti, tentativi di brute-force bloccati), IP del client, user agent. Conservati per 90 giorni e utilizzati esclusivamente per indagini di sicurezza e per gli obblighi di notifica di violazione di cui al §9.
4. Finalità e basi giuridiche
| Finalità | Base giuridica (GDPR / nLPD) |
|---|---|
| Erogazione del servizio e gestione dell'account | Esecuzione del contratto — Art. 6(1)(b) GDPR / Art. 31(2)(a) nLPD |
| Fatturazione e contabilità | Obbligo legale (Codice delle Obbligazioni svizzero art. 957-958f, IVA) — Art. 6(1)(c) GDPR / Art. 31(1)(c) nLPD |
| Sicurezza della piattaforma, antifrode, rate-limit | Interesse legittimo — Art. 6(1)(f) GDPR / Art. 31(1)(d) nLPD |
| Comunicazioni transazionali | Esecuzione del contratto — Art. 6(1)(b) GDPR |
| Eventuali newsletter o comunicazioni promozionali | Consenso esplicito e revocabile — Art. 6(1)(a) GDPR / Art. 31(1)(a) nLPD |
| Risposta alle autorità giudiziarie / regolatorie | Obbligo legale — Art. 6(1)(c) GDPR |
Non eseguiamo decisioni interamente automatizzate che producano effetti giuridici sull'utente, ai sensi dell'art. 22 GDPR / art. 21 nLPD. L'inferenza generativa che fornisci tu stesso al modello è uno strumento — tu ne resti il titolare e il decisore.
5. Tempi di conservazione
| Categoria | Periodo |
|---|---|
| Dati di account | Per tutta la durata dell'account + 30 giorni di grazia in caso di cancellazione |
| Dati di fatturazione e fatture | 10 anni (obbligo art. 958f CO svizzero) |
| Dati d'uso | 12 mesi (riconciliazione fatture e rapporti annuali) |
| Indirizzo IP nei log d'uso | 30 giorni |
| Log di sicurezza | 90 giorni (1 anno se in corso un'indagine documentata) |
| Conversazioni di chat salvate | Fino all'eliminazione da parte dell'utente |
| Contenuti di inferenza non salvati | Non persistiti |
6. Destinatari e sub-fornitori (sub-processori)
I tuoi dati possono essere comunicati ai seguenti fornitori, tutti vincolati da accordi di trattamento conformi all'art. 28 GDPR:
| Fornitore | Funzione | Sede | Trasferimento |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Pagamenti web | Irlanda (UE) | Intra-SEE |
| Apple Inc. | App Store / IAP / StoreKit | Stati Uniti | EU-US Data Privacy Framework + SCC |
| Google Ireland Ltd. | Play Billing | Irlanda (UE) | Intra-SEE (alcuni servizi periferici US — SCC) |
| Resend, Inc. | Email transazionali | Stati Uniti | EU-US DPF + SCC |
| Cloudflare, Inc. | DNS e protezione DDoS | Stati Uniti (PoP CH) | EU-US DPF + SCC |
| Synology, Inc. | Storage di backup | Taiwan, hardware in CH | SCC |
| C41.ch SAGL | Operatore tecnico, supporto | Chiasso, CH | Intra-CH |
L'inferenza vera e propria (i tuoi prompt e le risposte dei modelli) non lascia mai la Svizzera: gira interamente sui nostri server in Ticino. Nessuno dei sub-processori sopra elencati ha accesso ai contenuti delle conversazioni.
7. Trasferimenti internazionali
Quando un trasferimento al di fuori della Svizzera o dello Spazio Economico Europeo è necessario (es. invio email tramite Resend negli Stati Uniti), ci basiamo su una decisione di adeguatezza (EU-US Data Privacy Framework, in vigore dal 10.7.2023), integrata da Clausole Contrattuali Tipo (Decisione UE 2021/914) come secondo livello di garanzia in caso di invalidazione del DPF. Per ogni trasferimento è disponibile su richiesta una Transfer Impact Assessment (TIA).
8. I tuoi diritti
Hai il diritto di:
- Accesso ai tuoi dati personali (Art. 15 GDPR / Art. 25 nLPD)
- Rettifica dei dati inesatti (Art. 16 GDPR / Art. 32 nLPD)
- Cancellazione ("diritto all'oblio") — dalla pagina Impostazioni → Cancella account dell'app, oppure dal pannello web. La cancellazione è effettiva entro 30 giorni dalla richiesta; i dati di fatturazione vengono anonimizzati e conservati per il periodo di legge (Art. 17 GDPR / Art. 32 nLPD)
- Portabilità dei dati in formato strutturato JSON, gratuitamente (Art. 20 GDPR)
- Limitazione del trattamento (Art. 18 GDPR)
- Opposizione al trattamento basato su interesse legittimo (Art. 21 GDPR)
- Revoca del consenso in qualunque momento, senza pregiudicare i trattamenti svolti prima della revoca
- Reclamo all'autorità di controllo (vedi §10)
Per esercitare questi diritti scrivi a privacy@siati.ai. Rispondiamo entro 30 giorni dalla ricezione (termine massimo art. 12(3) GDPR / art. 25(7) nLPD, estensibile a 90 giorni per richieste particolarmente complesse, sempre dandotene comunicazione).
9. Sicurezza e notifica delle violazioni
Adottiamo misure tecniche e organizzative adeguate, allineate allo stato dell'arte (art. 32 GDPR / art. 8 nLPD):
- TLS 1.2/1.3 obbligatorio su tutti i canali esterni, HSTS attivo
- Cifratura delle password con Argon2id (raccomandazione OWASP)
- Segregazione di rete tra componenti, NetworkPolicy default-deny
- Rate-limit anti-abuso sugli endpoint di autenticazione
- Backup giornalieri della base dati con retention di 30 giorni
- Conservazione fisica dei server in datacenter ticinese con controllo accessi
- Roadmap di certificazione ISO/IEC 27001 (target 2026-2027)
- Allineamento ai requisiti NIS2 art. 21 per le misure di gestione del rischio cyber, nella misura applicabile come fornitore digitale di importanza crescente
In caso di violazione di dati personali che possa comportare un rischio per i tuoi diritti notifichiamo la violazione:
- al Preposto federale alla protezione dei dati e alla trasparenza (PFPDT/FDPIC) entro tempi conformi all'art. 24 nLPD;
- alle autorità di controllo UE competenti entro 72 ore (art. 33 GDPR);
- a te direttamente, senza ingiustificato ritardo, se la violazione presenta un rischio elevato (art. 34 GDPR / art. 24 nLPD).
10. Autorità di controllo e reclami
Hai diritto di presentare reclamo:
- in Svizzera: PFPDT — Feldeggweg 1, 3003 Bern — www.edoeb.admin.ch
- nell'Unione Europea: l'autorità di controllo del tuo Stato membro di residenza (elenco: edpb.europa.eu)
11. Cookie e tecnologie simili
Vedi la nostra Cookie Policy per il dettaglio di cookie tecnici e statistici, e per il pannello di gestione del consenso. I cookie statistici e di marketing sono disattivati di default e attivabili solo con il tuo consenso esplicito.
12. Minori
Il servizio non è rivolto a minori di 16 anni. Non raccogliamo intenzionalmente dati personali di minori. Se ritieni che un minore abbia creato un account, contattaci e provvederemo all'eliminazione immediata.
13. Modifiche
Possiamo aggiornare questa informativa periodicamente. La data in vigore è visibile in alto. Per modifiche sostanziali (nuove categorie di dati trattati, nuove finalità non-coperte dal contratto in essere, nuovi sub-processori a rischio) te lo comunichiamo via email almeno 14 giorni prima dell'entrata in vigore. La versione precedente resta consultabile su richiesta.
14. Contatti
Per qualunque domanda sul trattamento dei tuoi dati personali o sull'esercizio dei tuoi diritti:
privacy@siati.ai o, in alternativa, info@swiss-iat-institute.org