siati.ai

Legal

Privacy

In vigore dal 10 maggio 2026

Questa informativa descrive come Swiss Innovative Arts and Technologies Institute (di seguito "SIATI", "noi") tratta i dati personali raccolti tramite il servizio siati.ai, in conformità al Regolamento (UE) 2016/679 (GDPR), alla Legge federale svizzera sulla protezione dei dati (nLPD del 25.9.2020) e alla Direttiva (UE) 2022/2555 (NIS2) nella misura applicabile.

1. Titolare del trattamento

Swiss Innovative Arts and Technologies Institute Aeroporto di Lodrino, Via Aeroporto 4, 6527 Lodrino, Svizzera Email: info@swiss-iat-institute.org

I servizi operativi (fatturazione, supporto, infrastruttura cloud) sono erogati per conto di SIATI da C41.ch SAGL (UID/IVA CHE-492.859.009 MWST, Via Livio 4, CH-6830 Chiasso), che agisce in qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR / art. 9 nLPD sulla base di un accordo di trattamento firmato.

2. Referente per la protezione dei dati

Per qualunque domanda relativa al trattamento dei tuoi dati personali, all'esercizio dei tuoi diritti o per segnalare un incidente: privacy@siati.ai

3. Categorie di dati trattati

a) Dati di account — indirizzo email, hash della password (Argon2id, mai in chiaro), nome, lingua preferita, data di registrazione, eventuale ragione sociale e indirizzo di fatturazione, partita IVA / UID.

b) Dati di fatturazione — saldo crediti in CHF, transazioni (ricariche, addebiti, rimborsi), numero fattura, gateway di pagamento utilizzato (Stripe, Apple App Store, Google Play). I dati della carta di credito non transitano e non sono conservati sui nostri sistemi: la tokenizzazione avviene direttamente presso il gateway PCI-DSS certificato.

c) Dati d'uso — modello chiamato, numero di token in input e output, latenza, identificatore della richiesta, timestamp, indirizzo IP (conservato per 30 giorni). Servono per riconciliare la fatturazione, applicare i limiti del piano e prevenire abusi.

d) Contenuti di inferenza — i prompt che invii e le risposte generate dai modelli non sono persistiti salvo nelle conversazioni di chat che salvi esplicitamente dal tuo account. I prompt non vengono mai utilizzati per addestrare modelli, né nostri né di terzi.

e) Comunicazioni — email di verifica account, recupero password, conferma fatture, notifiche di cancellazione account. Inviati tramite Resend (vedi §6).

f) Log di sicurezza — eventi di autenticazione (login riusciti, falliti, tentativi di brute-force bloccati), IP del client, user agent. Conservati per 90 giorni e utilizzati esclusivamente per indagini di sicurezza e per gli obblighi di notifica di violazione di cui al §9.

4. Finalità e basi giuridiche

Finalità Base giuridica (GDPR / nLPD)
Erogazione del servizio e gestione dell'account Esecuzione del contratto — Art. 6(1)(b) GDPR / Art. 31(2)(a) nLPD
Fatturazione e contabilità Obbligo legale (Codice delle Obbligazioni svizzero art. 957-958f, IVA) — Art. 6(1)(c) GDPR / Art. 31(1)(c) nLPD
Sicurezza della piattaforma, antifrode, rate-limit Interesse legittimo — Art. 6(1)(f) GDPR / Art. 31(1)(d) nLPD
Comunicazioni transazionali Esecuzione del contratto — Art. 6(1)(b) GDPR
Eventuali newsletter o comunicazioni promozionali Consenso esplicito e revocabile — Art. 6(1)(a) GDPR / Art. 31(1)(a) nLPD
Risposta alle autorità giudiziarie / regolatorie Obbligo legale — Art. 6(1)(c) GDPR

Non eseguiamo decisioni interamente automatizzate che producano effetti giuridici sull'utente, ai sensi dell'art. 22 GDPR / art. 21 nLPD. L'inferenza generativa che fornisci tu stesso al modello è uno strumento — tu ne resti il titolare e il decisore.

5. Tempi di conservazione

Categoria Periodo
Dati di account Per tutta la durata dell'account + 30 giorni di grazia in caso di cancellazione
Dati di fatturazione e fatture 10 anni (obbligo art. 958f CO svizzero)
Dati d'uso 12 mesi (riconciliazione fatture e rapporti annuali)
Indirizzo IP nei log d'uso 30 giorni
Log di sicurezza 90 giorni (1 anno se in corso un'indagine documentata)
Conversazioni di chat salvate Fino all'eliminazione da parte dell'utente
Contenuti di inferenza non salvati Non persistiti

6. Destinatari e sub-fornitori (sub-processori)

I tuoi dati possono essere comunicati ai seguenti fornitori, tutti vincolati da accordi di trattamento conformi all'art. 28 GDPR:

Fornitore Funzione Sede Trasferimento
Stripe Payments Europe Ltd. Pagamenti web Irlanda (UE) Intra-SEE
Apple Inc. App Store / IAP / StoreKit Stati Uniti EU-US Data Privacy Framework + SCC
Google Ireland Ltd. Play Billing Irlanda (UE) Intra-SEE (alcuni servizi periferici US — SCC)
Resend, Inc. Email transazionali Stati Uniti EU-US DPF + SCC
Cloudflare, Inc. DNS e protezione DDoS Stati Uniti (PoP CH) EU-US DPF + SCC
Synology, Inc. Storage di backup Taiwan, hardware in CH SCC
C41.ch SAGL Operatore tecnico, supporto Chiasso, CH Intra-CH

L'inferenza vera e propria (i tuoi prompt e le risposte dei modelli) non lascia mai la Svizzera: gira interamente sui nostri server in Ticino. Nessuno dei sub-processori sopra elencati ha accesso ai contenuti delle conversazioni.

7. Trasferimenti internazionali

Quando un trasferimento al di fuori della Svizzera o dello Spazio Economico Europeo è necessario (es. invio email tramite Resend negli Stati Uniti), ci basiamo su una decisione di adeguatezza (EU-US Data Privacy Framework, in vigore dal 10.7.2023), integrata da Clausole Contrattuali Tipo (Decisione UE 2021/914) come secondo livello di garanzia in caso di invalidazione del DPF. Per ogni trasferimento è disponibile su richiesta una Transfer Impact Assessment (TIA).

8. I tuoi diritti

Hai il diritto di:

  • Accesso ai tuoi dati personali (Art. 15 GDPR / Art. 25 nLPD)
  • Rettifica dei dati inesatti (Art. 16 GDPR / Art. 32 nLPD)
  • Cancellazione ("diritto all'oblio") — dalla pagina Impostazioni → Cancella account dell'app, oppure dal pannello web. La cancellazione è effettiva entro 30 giorni dalla richiesta; i dati di fatturazione vengono anonimizzati e conservati per il periodo di legge (Art. 17 GDPR / Art. 32 nLPD)
  • Portabilità dei dati in formato strutturato JSON, gratuitamente (Art. 20 GDPR)
  • Limitazione del trattamento (Art. 18 GDPR)
  • Opposizione al trattamento basato su interesse legittimo (Art. 21 GDPR)
  • Revoca del consenso in qualunque momento, senza pregiudicare i trattamenti svolti prima della revoca
  • Reclamo all'autorità di controllo (vedi §10)

Per esercitare questi diritti scrivi a privacy@siati.ai. Rispondiamo entro 30 giorni dalla ricezione (termine massimo art. 12(3) GDPR / art. 25(7) nLPD, estensibile a 90 giorni per richieste particolarmente complesse, sempre dandotene comunicazione).

9. Sicurezza e notifica delle violazioni

Adottiamo misure tecniche e organizzative adeguate, allineate allo stato dell'arte (art. 32 GDPR / art. 8 nLPD):

  • TLS 1.2/1.3 obbligatorio su tutti i canali esterni, HSTS attivo
  • Cifratura delle password con Argon2id (raccomandazione OWASP)
  • Segregazione di rete tra componenti, NetworkPolicy default-deny
  • Rate-limit anti-abuso sugli endpoint di autenticazione
  • Backup giornalieri della base dati con retention di 30 giorni
  • Conservazione fisica dei server in datacenter ticinese con controllo accessi
  • Roadmap di certificazione ISO/IEC 27001 (target 2026-2027)
  • Allineamento ai requisiti NIS2 art. 21 per le misure di gestione del rischio cyber, nella misura applicabile come fornitore digitale di importanza crescente

In caso di violazione di dati personali che possa comportare un rischio per i tuoi diritti notifichiamo la violazione:

  • al Preposto federale alla protezione dei dati e alla trasparenza (PFPDT/FDPIC) entro tempi conformi all'art. 24 nLPD;
  • alle autorità di controllo UE competenti entro 72 ore (art. 33 GDPR);
  • a te direttamente, senza ingiustificato ritardo, se la violazione presenta un rischio elevato (art. 34 GDPR / art. 24 nLPD).

10. Autorità di controllo e reclami

Hai diritto di presentare reclamo:

  • in Svizzera: PFPDT — Feldeggweg 1, 3003 Bern — www.edoeb.admin.ch
  • nell'Unione Europea: l'autorità di controllo del tuo Stato membro di residenza (elenco: edpb.europa.eu)

11. Cookie e tecnologie simili

Vedi la nostra Cookie Policy per il dettaglio di cookie tecnici e statistici, e per il pannello di gestione del consenso. I cookie statistici e di marketing sono disattivati di default e attivabili solo con il tuo consenso esplicito.

12. Minori

Il servizio non è rivolto a minori di 16 anni. Non raccogliamo intenzionalmente dati personali di minori. Se ritieni che un minore abbia creato un account, contattaci e provvederemo all'eliminazione immediata.

13. Modifiche

Possiamo aggiornare questa informativa periodicamente. La data in vigore è visibile in alto. Per modifiche sostanziali (nuove categorie di dati trattati, nuove finalità non-coperte dal contratto in essere, nuovi sub-processori a rischio) te lo comunichiamo via email almeno 14 giorni prima dell'entrata in vigore. La versione precedente resta consultabile su richiesta.

14. Contatti

Per qualunque domanda sul trattamento dei tuoi dati personali o sull'esercizio dei tuoi diritti:

privacy@siati.ai o, in alternativa, info@swiss-iat-institute.org