Titolare del trattamento
Ponte by Kulvir Singh
APS ItaPunjabi
Brescia, Italia
Email DPO/Contatto privacy: info@itapunjabi.com
Categorie di dati trattati
Dati comuni
- Dati identificativi: nome, cognome, indirizzo email
- Dati di autenticazione: password (solo in forma cifrata con bcrypt)
- Dati professionali: settore di appartenenza
- Dati tecnici anonimi: statistiche di utilizzo senza contenuto
Dati particolari (art. 9 GDPR)
Ponte non tratta dati particolari (salute, origine etnica, opinioni politiche, ecc.). Le conversazioni tradotte non vengono archiviate dalla struttura e non sono associate all'identità dell'utente. I dati vengono trattati esclusivamente per erogare il servizio di traduzione.
Finalità e basi giuridiche
| Finalità | Base giuridica | Articolo GDPR |
|---|---|---|
| Erogazione del servizio | Esecuzione contratto | 6.1.b |
| Gestione account e autenticazione | Esecuzione contratto | 6.1.b |
| Statistiche anonime di utilizzo | Legittimo interesse | 6.1.f |
| Comunicazioni di servizio | Esecuzione contratto | 6.1.b |
| Adempimenti fiscali e legali | Obbligo legale | 6.1.c |
Responsabili del trattamento (art. 28 GDPR)
I seguenti fornitori agiscono come responsabili del trattamento ai sensi dell'art. 28 GDPR. Con ciascuno è stato stipulato un Data Processing Agreement (DPA) conforme al Regolamento UE 2016/679.
- Fornitore servizi di hosting web — Infrastruttura server con sede in Europa. DPA firmato. Dati conservati esclusivamente su server europei.
- Fornitori di elaborazione audio AI — Trascrizione vocale e sintesi audio in tempo reale. Elaborazione istantanea: i dati audio non vengono conservati al termine dell'elaborazione. Certificazioni SOC 2 Type 2, ISO/IEC 27001:2022 e conformità GDPR. Dati elaborati su infrastrutture con sede nell'Unione Europea o con garanzie equivalenti (Clausole Contrattuali Standard). DPA firmato.
- Fornitore di servizi AI per traduzione e generazione testo — Traduzione in tempo reale dei contenuti trascritti. Elaborazione istantanea, nessuna conservazione dei contenuti. DPA firmato. Server EU disponibili.
- Fornitore infrastruttura edge/proxy — Intermediazione delle richieste API per riduzione latenza. Nessuna conservazione dei contenuti. DPA firmato. Server in Europa.
L'elenco completo e aggiornato dei responsabili del trattamento, con i relativi DPA, è disponibile su richiesta scrivendo a info@itapunjabi.com con oggetto "Responsabili del trattamento — art. 28 GDPR". Risponderemo entro 30 giorni.
Trattamento dei dati vocali e delle conversazioni
Le conversazioni non vengono archiviate dalla struttura e non sono associate all'identità dell'utente.
I dati audio vengono trasmessi ai fornitori di servizi AI esclusivamente per erogare la traduzione in tempo reale. L'elaborazione è istantanea: al termine della trascrizione e traduzione, nessun contenuto vocale o testuale della conversazione viene conservato dai fornitori. Ponte non mantiene archivi delle conversazioni sui propri server.
Vengono conservate esclusivamente statistiche anonime aggregate (numero di sessioni, lingua utilizzata, durata) prive di qualsiasi riferimento al contenuto dei colloqui o all'identità delle persone coinvolte.
Periodo di conservazione
- Dati account: fino alla cancellazione + 30 giorni per backup
- Log anonimi sessioni: 24 mesi
- Backup database: 90 giorni
- Log di accesso tecnici: 7 giorni (rotazione automatica)
- Contenuto conversazioni: non conservato
Diritti degli interessati (artt. 15-22 GDPR)
- Art. 15 — Diritto di accesso: ottenere conferma del trattamento e copia dei dati
- Art. 16 — Diritto di rettifica: correggere dati inesatti o incompleti
- Art. 17 — Diritto alla cancellazione: eliminare i propri dati ("diritto all'oblio")
- Art. 18 — Diritto di limitazione: sospendere temporaneamente il trattamento
- Art. 20 — Diritto alla portabilità : ricevere i dati in formato strutturato (JSON/CSV)
- Art. 21 — Diritto di opposizione: opporsi al trattamento per legittimo interesse
- Art. 22 — Diritto di non essere sottoposto a decisioni automatizzate
Misure di sicurezza adottate
- Crittografia HTTPS/TLS su tutte le comunicazioni
- Password cifrate con algoritmo bcrypt (costo 12)
- Accesso al database con credenziali dedicate e privilegi minimi
- Nessun contenuto di conversazione conservato su server
- Aggiornamenti di sicurezza regolari
- Accesso admin protetto da password separata
- Autenticazione token su tutti gli endpoint API interni
Trasferimenti internazionali
Alcuni fornitori di servizi AI possono elaborare dati su infrastrutture al di fuori dell'UE. Il trasferimento avviene sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione UE 2021/914). L'elaborazione è istantanea: i dati non vengono conservati dai fornitori al termine del processo di traduzione.
Violazioni dei dati (Data Breach)
In caso di violazione dei dati personali che comporti un rischio per i diritti degli interessati, provvederemo a notificare il Garante entro 72 ore (art. 33 GDPR) e gli interessati senza ingiustificato ritardo (art. 34 GDPR).