Informativa Privacy — GeniReply
Ultimo aggiornamento: 15 aprile 2026 Versione: 1.0 — BOZZA da validare da legale prima della pubblicazione
Indice
- Titolare del trattamento
- A chi si rivolge questa informativa
- Tipologie di dati trattati
- Finalità e basi giuridiche
- Destinatari e sub-processor
- Trasferimenti extra-UE
- Periodi di conservazione
- Diritti dell'interessato
- Decisioni automatizzate
- Sicurezza
- Trattamento minori
- Modifiche alla policy
- Contatti e reclami
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è:
Contributo Utile S.r.l. Società Benefit Sede legale: Via Olimpo 47, 24030 Terno d'Isola (BG) — Italy P. IVA: IT04353080270 Codice fiscale: IT04353080270 Email: privacy@genireply.com PEC: [PEC_DA_COMPILARE] Telefono: [TELEFONO_DA_COMPILARE]
Responsabile della protezione dei dati (DPO): [DPO_NOME_DA_NOMINARE] · [DPO_EMAIL_DA_COMPILARE]
2. A chi si rivolge questa informativa
GeniReply svolge un doppio ruolo nel trattamento dei dati personali:
A. Se sei un cliente pagante di GeniReply — utilizzi la piattaforma per moderare con l'AI i commenti e i messaggi sulle tue Pagine Facebook e sui tuoi account Instagram Business — siamo Titolare per i tuoi dati di account, fatturazione, autenticazione.
B. Se hai commentato o inviato un messaggio su un canale social gestito con GeniReply da un nostro cliente — in questo caso siamo Responsabile del trattamento (ex art. 28 GDPR) e il Titolare è il nostro cliente. I tuoi dati sono trattati per conto suo in base al contratto di servizio (DPA) che abbiamo sottoscritto con lui. Per richieste relative ai tuoi dati, puoi rivolgerti direttamente a noi o al Titolare (nostro cliente).
C. Se stai visitando il sito web genireply.com — siamo Titolare per i dati di navigazione (vedi sezione Cookie).
3. Tipologie di dati trattati
3.1 Dati dei clienti paganti (Titolare)
- Dati anagrafici e aziendali: nome, cognome, ragione sociale, P. IVA, indirizzo di fatturazione, sede operativa.
- Dati di contatto: email, numero di telefono.
- Credenziali: email di login, password (conservata in forma cifrata tramite algoritmo bcrypt).
- Token OAuth Meta: token long-lived (60 giorni) rilasciati da Meta Platforms per consentire a GeniReply di operare sulle Pagine e sugli account Instagram che il cliente ha scelto di collegare. I token sono conservati cifrati nel nostro database.
- Dati di fatturazione: storico abbonamenti, fatture, metodi di pagamento (i dati di carta di credito completi sono gestiti esclusivamente da Stripe, non da noi — riceviamo solo il token di pagamento).
- Log di audit: azioni eseguite in piattaforma (accessi, modifiche alle regole, correzioni manuali delle classificazioni AI).
3.2 Dati degli utenti finali dei social (Responsabile)
- Contenuto pubblico dei commenti: il testo del commento pubblicato dall'utente sulla Pagina o sul post del nostro cliente.
- Username pubblico e ID utente Meta: identificatori pubblici forniti da Meta Platforms.
- Timestamp: data e ora del commento.
- Contenuto dei DM (messaggi privati): solo se il cliente ha attivato la gestione dei messaggi privati, limitatamente ai messaggi indirizzati al suo canale.
- Metadati commento: ID del post, ID del media, URL pubblico del post, eventuali tag di persone menzionate.
- Classificazione AI: la regola assegnata dall'algoritmo di intelligenza artificiale e l'eventuale correzione manuale applicata dal cliente per migliorare la classificazione futura.
3.3 Dati di navigazione sul sito genireply.com
- Indirizzo IP, user agent, pagine visitate, timestamp.
- Cookie tecnici di sessione (nessun cookie di profilazione di terze parti). Per dettagli vedi la Cookie Policy.
4. Finalità e basi giuridiche
| Finalità | Categoria di dati | Base giuridica |
|---|---|---|
| Erogazione del servizio SaaS ai clienti paganti | 3.1 | Esecuzione contrattuale — Art. 6(1)(b) GDPR |
| Moderazione automatizzata commenti/DM per conto del cliente | 3.2 | Contratto con il cliente (Art. 28 GDPR) e legittimo interesse del Titolare (cliente) a moderare i propri canali — Art. 6(1)(f) |
| Fatturazione e adempimenti fiscali | 3.1 | Obbligo legale — Art. 6(1)(c) GDPR |
| Sicurezza della piattaforma e prevenzione abusi | Tutte | Legittimo interesse — Art. 6(1)(f) GDPR |
| Analisi aggregate per miglioramento del servizio | Tutte (anonimizzate) | Legittimo interesse — Art. 6(1)(f) GDPR |
| Comunicazioni di servizio al cliente | 3.1 | Esecuzione contrattuale — Art. 6(1)(b) GDPR |
| Invio newsletter (solo con consenso) | Email cliente | Consenso — Art. 6(1)(a) GDPR |
Importante: non è richiesto il consenso dell'utente finale che commenta pubblicamente sui canali social dei nostri clienti. La base giuridica per il trattamento dei commenti pubblici è il legittimo interesse del Titolare (nostro cliente) alla moderazione dei contenuti pubblicati sul proprio canale, in linea con quanto previsto dalle Condizioni di Utilizzo della piattaforma Meta. I commenti pubblicati su una Pagina Facebook o su un post Instagram sono per loro natura pubblicamente visibili.
5. Destinatari e sub-processor
Per erogare il servizio, GeniReply si avvale dei seguenti sub-processor, con i quali ha sottoscritto accordi conformi all'Art. 28 GDPR:
| Sub-processor | Ruolo | Localizzazione |
|---|---|---|
| Meta Platforms Ireland Ltd. | Provider delle API Graph per leggere ed eseguire azioni su commenti e messaggi dei canali social collegati | Irlanda (trattamento anche negli USA) |
| Anthropic PBC | Servizio di Intelligenza Artificiale (Claude Haiku per classificazione commenti, Claude Sonnet per generazione risposte). I testi dei commenti vengono inviati all'API Anthropic per il solo scopo della classificazione/risposta. Nessun dato è usato per addestrare i modelli — garanzia contrattuale Anthropic | USA |
| Hetzner Online GmbH | Hosting dei server applicativi e del database PostgreSQL | Germania (Falkenstein / Helsinki) |
| Cloudflare Inc. | DNS, CDN, Web Application Firewall | USA con edge nodes in UE |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti degli abbonamenti | Irlanda |
| Google Firebase (Google Ireland Ltd.) | Autenticazione e notifiche push dell'app mobile (in fase di sviluppo) | Irlanda (trattamento anche negli USA) |
L'elenco aggiornato dei sub-processor è consultabile su richiesta scrivendo a privacy@genireply.com.
6. Trasferimenti extra-UE
Alcuni sub-processor possono trattare dati al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. Per questi trasferimenti GeniReply adotta:
- Clausole contrattuali tipo (SCC) 2021/914 della Commissione Europea.
- Adesione al Data Privacy Framework EU-USA dove il sub-processor sia certificato.
- Transfer Impact Assessment documentata per ciascun trasferimento.
- Misure supplementari tecniche e organizzative (cifratura in transito, minimizzazione dei dati trasferiti).
Il dettaglio delle garanzie è disponibile su richiesta.
7. Periodi di conservazione
| Categoria | Periodo di conservazione |
|---|---|
| Dati account cliente attivo | Per tutta la durata del rapporto contrattuale |
| Dati account cliente cessato | Eliminazione entro 90 giorni dalla cessazione, salvo obblighi legali |
| Token OAuth Meta | Eliminati entro 30 giorni dalla disconnessione del canale o dalla cessazione dell'abbonamento |
| Commenti e DM ingestiti | 24 mesi dalla ricezione, poi anonimizzazione (restano solo metriche aggregate) |
| Dati di fatturazione | 10 anni (obbligo fiscale italiano — DPR 600/1973) |
| Log di audit e sicurezza | 24 mesi |
| Dati di navigazione sito | 12 mesi |
| Feedback di apprendimento classificazione AI | Per tutta la durata dell'account, usati in forma derivata (embedding) anche dopo anonimizzazione del testo originale |
8. Diritti dell'interessato
In qualità di interessato, hai i diritti previsti dagli artt. 15-22 GDPR:
- Diritto di accesso (art. 15): ottenere conferma del trattamento e copia dei tuoi dati.
- Diritto di rettifica (art. 16): chiedere la correzione di dati inesatti.
- Diritto alla cancellazione (art. 17 — "diritto all'oblio"): ottenere la cancellazione dei dati quando non sono più necessari alle finalità per cui sono stati raccolti.
- Diritto di limitazione (art. 18): chiedere la limitazione del trattamento in caso di contestazione.
- Diritto alla portabilità (art. 20): ricevere in formato strutturato e leggibile i tuoi dati.
- Diritto di opposizione (art. 21): opporsi al trattamento per motivi legittimi.
- Diritto di non essere sottoposto a decisioni automatizzate (art. 22 — vedi sezione 9).
Come esercitare i diritti
Scrivi a privacy@genireply.com specificando:
- Il diritto che intendi esercitare.
- Una copia di un tuo documento di identità (necessario per verifica; la copia sarà eliminata dopo la verifica).
- Eventuali informazioni utili a identificare i dati a cui ti riferisci.
Rispondiamo entro 30 giorni dalla ricezione della richiesta (estendibili a 60 giorni per richieste complesse, previa comunicazione motivata).
Se sei un utente finale di un social gestito con GeniReply
Puoi richiedere la cancellazione di un commento specifico dalla nostra piattaforma scrivendo a privacy@genireply.com e indicando:
- La Pagina o l'account Instagram su cui hai commentato.
- La data approssimativa del commento.
- Il testo o il link al commento, se disponibile.
In alternativa, puoi attivare la procedura automatizzata all'URL: https://genireply.com/privacy#data-deletion
Diritto di reclamo
Puoi presentare reclamo al Garante per la Protezione dei Dati Personali: Piazza Venezia 11 — 00187 Roma · https://www.garanteprivacy.it · urp@gpdp.it
9. Decisioni automatizzate
La piattaforma GeniReply utilizza algoritmi di Intelligenza Artificiale (Claude di Anthropic) per:
- Classificare automaticamente i commenti ricevuti rispetto a un insieme di regole definite dal cliente Titolare.
- Generare bozze di risposta automatiche sulla base della regola classificata.
- Eseguire azioni automatizzate quali nascondere un commento, cancellarlo, bannare un utente, quando la regola matchata ha queste azioni abilitate dal cliente.
Queste decisioni possono produrre effetti giuridici o analoghi nei tuoi confronti (per esempio l'esclusione temporanea dalla possibilità di commentare su una Pagina).
Ai sensi dell'art. 22 GDPR hai diritto a:
- Ottenere intervento umano: ogni cliente dispone di un'area di revisione dove gli operatori umani possono approvare, modificare o annullare l'azione AI.
- Esprimere la tua opinione e contestare la decisione: scrivendo a privacy@genireply.com.
- Richiedere spiegazioni sulla logica della decisione: la classificazione si basa su regole pubblicamente documentate e su un modello linguistico che valuta la semantica del commento.
Logica, significatività e conseguenze: le regole di classificazione sono definite in anticipo da ciascun cliente e sono consultabili su richiesta. L'AI segue queste regole e può imparare dalle correzioni umane. Le conseguenze possibili sono: pubblicazione di una risposta, nascondere il commento, cancellazione del commento, ban dell'utente dalla Pagina.
10. Sicurezza
In ottemperanza all'art. 32 GDPR, GeniReply adotta misure tecniche e organizzative adeguate, tra cui:
- Cifratura at-rest: i volumi del database PostgreSQL sono cifrati.
- Cifratura in transit: tutti gli scambi avvengono via TLS 1.3.
- Cifratura dei token OAuth nel database.
- Controllo degli accessi basato su ruoli (RBAC).
- Autenticazione a due fattori per gli amministratori di sistema.
- Backup cifrati giornalieri, conservati per 30 giorni.
- Monitoraggio continuo dei log e segnalazione delle anomalie.
- Incident response: notifica al Garante entro 72 ore in caso di data breach, notifica agli interessati se il rischio è elevato (art. 33-34 GDPR).
11. Trattamento minori
Il servizio GeniReply non è destinato a utenti di età inferiore a 16 anni (ex art. 8 GDPR, recepimento italiano). Non raccogliamo consapevolmente dati di minori di 16 anni. Se un genitore o tutore si accorge che abbiamo raccolto dati di un minore, può scrivere a privacy@genireply.com per la cancellazione.
12. Modifiche alla policy
Eventuali modifiche significative a questa informativa saranno comunicate ai clienti paganti con almeno 30 giorni di anticipo via email. Le modifiche non sostanziali (chiarimenti, riformulazioni) saranno pubblicate direttamente su questa pagina con aggiornamento della data in testa.
13. Contatti e reclami
- Titolare del trattamento: Contributo Utile S.r.l. Società Benefit
- Email privacy: privacy@genireply.com
- DPO: [DPO_EMAIL_DA_COMPILARE]
- Autorità di controllo: Garante per la Protezione dei Dati Personali — https://www.garanteprivacy.it
Foro competente in via esclusiva: Tribunale di Palermo.
Questo documento è fornito in bozza tecnica per approvazione da parte di un legale specializzato in protezione dei dati prima della pubblicazione definitiva. I campi in parentesi quadre [...] devono essere compilati prima della pubblicazione.