Trasparenza
e protezione dei dati.
Questa pagina descrive in modo aggiornato i sub-responsabili del trattamento, le misure di sicurezza tecniche e organizzative, e le procedure operative del servizio Impulso AI. È richiamata espressamente nei contratti con i nostri Clienti ed è soggetta alle disposizioni dell'art. 28 del Regolamento UE 2016/679 (GDPR).
Chi tratta cosa, e perché.
Quando un'impresa cliente affida a Impulso AI l'affiancamento nella gestione dei propri canali social, si stabilisce un rapporto chiaro: il Cliente è Titolare del trattamento dei dati personali raccolti sui propri canali (follower, contatti, dati di engagement). Impulso AI è Responsabile esterno del trattamento, nominato formalmente nel contratto ai sensi dell'art. 28 GDPR.
Impulso AI tratta i dati personali del Cliente esclusivamente per erogare il servizio: pianificazione editoriale, generazione assistita di contenuti, pubblicazione programmata e reportistica mensile.
Mai per altre finalità. Non utilizziamo i dati dei nostri Clienti per marketing proprio, training di modelli AI di terzi, profilazione commerciale, cessione a terzi, o qualsiasi finalità diversa da quelle contrattuali.
Trattamento dei dati di chi visita questo sito.
La presente sezione descrive il trattamento dei dati personali di chi visita il sito impulsoai.cloud ed eventualmente entra in contatto con il Fornitore tramite i canali indicati. Il Titolare del trattamento di tali dati è Russo Giulio Cesare, P.IVA 18496971005.
Il sito non utilizza moduli di profilazione, sistemi pubblicitari di terze parti né form di contatto persistente. I soli dati personali eventualmente raccolti sono quelli che l'utente fornisce volontariamente scrivendo all'indirizzo email indicato nella sezione contatti, al fine di ricevere informazioni sui servizi del Fornitore o di richiedere l'audit gratuito del proprio brand. Tali dati sono trattati ai sensi dell'art. 6, par. 1, lett. b) GDPR (esecuzione di misure precontrattuali su richiesta dell'interessato) e conservati per il tempo necessario a evadere la richiesta e, in caso di mancata sottoscrizione di un contratto, per un periodo non superiore a dodici mesi dall'ultimo contatto utile.
I server che ospitano il sito possono raccogliere automaticamente, per finalità di sicurezza e di funzionamento tecnico, informazioni standard di accesso (indirizzi IP, user agent, timestamp). Tali informazioni non sono utilizzate per profilazione, sono conservate in forma aggregata o anonimizzata per il tempo strettamente necessario alla diagnostica e non vengono cedute a terzi. La base giuridica del trattamento è il legittimo interesse del Titolare alla sicurezza informatica e al corretto funzionamento del servizio (art. 6, par. 1, lett. f) GDPR).
L'interessato può esercitare i diritti previsti dagli artt. 15-22 GDPR secondo le modalità indicate nella sezione "Diritti dell'interessato" della presente pagina.
Cookie e tecnologie di tracciamento utilizzati.
Il sito utilizza esclusivamente cookie tecnici, ai sensi del Provvedimento del Garante per la protezione dei dati personali del 10 giugno 2021 e dell'art. 122 del D.Lgs. 196/2003 (Codice Privacy). I cookie tecnici sono strettamente necessari al funzionamento del sito e alla fruizione dei contenuti. Per la loro installazione non è richiesto il consenso preventivo dell'utente.
Il sito non utilizza cookie di profilazione, cookie pubblicitari o cookie di analisi statistica di terze parti. I caratteri tipografici utilizzati (Syne, DM Sans, JetBrains Mono) sono ospitati direttamente sul medesimo dominio del sito e non comportano richieste verso server esterni. Eventuali strumenti di analisi statistica futuri saranno selezionati nella forma cookieless (in particolare Plausible Analytics in modalità self-hosted, conforme per progettazione al GDPR), in modo tale da non rendere necessario alcun banner o consenso preventivo.
L'utente può in ogni momento disabilitare l'utilizzo di cookie tramite le impostazioni del proprio browser. La disabilitazione dei cookie tecnici può comportare il malfunzionamento di alcune funzionalità del sito.
Condizioni d'uso del sito impulsoai.cloud.
L'accesso al sito impulsoai.cloud e l'utilizzo dei contenuti pubblicati sono regolati dalle presenti condizioni. I contenuti del sito (testi, grafica, marchi, codice) sono di proprietà del Titolare o utilizzati su licenza, e sono protetti dalla normativa in materia di diritto d'autore e proprietà intellettuale. Ne è consentita la consultazione personale; sono vietati la riproduzione, la distribuzione e la modifica senza autorizzazione scritta.
Le informazioni pubblicate sul sito hanno natura puramente illustrativa dei servizi offerti dal Fornitore e non costituiscono offerta al pubblico ai sensi dell'art. 1336 c.c.. La sottoscrizione effettiva del servizio avviene esclusivamente mediante stipula di apposito contratto scritto tra il Cliente e il Fornitore, che disciplina in modo completo e prevalente i diritti e gli obblighi delle parti, le modalità di erogazione, i corrispettivi, le condizioni di recesso, i livelli di servizio, la protezione dei dati personali e ogni altro aspetto del rapporto.
Il Fornitore si riserva il diritto di modificare in qualsiasi momento i contenuti del sito, l'elenco dei sub-responsabili, i pacchetti commerciali e i corrispettivi indicativi pubblicati. Le modifiche ai rapporti contrattuali in corso sono regolate esclusivamente dalle clausole del contratto sottoscritto con il singolo Cliente e dalla normativa applicabile.
Per ogni controversia relativa all'utilizzo del sito è competente in via esclusiva il Foro di Roma, salvo competenze inderogabili di legge.
Le categorie di fornitori tecnologici che usiamo per erogare il servizio.
Per erogare il servizio Impulso AI ricorre a sub-responsabili del trattamento, ognuno vincolato a obblighi di protezione dei dati non meno onerosi di quelli previsti nel contratto principale. Di seguito sono indicate le categorie di fornitori utilizzati e l'area geografica del trattamento. L'elenco nominativo aggiornato dei sub-responsabili è trasmesso a ciascun Cliente in sede di sottoscrizione contrattuale come allegato al contratto, e le eventuali modifiche sono comunicate via PEC con il preavviso previsto dalle clausole contrattuali.
Trasferimenti extra-UE. Per i sub-responsabili extra-UE, il trasferimento dei dati personali è coperto da Standard Contractual Clauses (SCC, Decisione UE 2021/914), eventuale certificazione EU-U.S. Data Privacy Framework, o decisione di adeguatezza della Commissione Europea ove applicabile.
Diritto di obiezione. Il Cliente, in qualità di Titolare del trattamento, può ottenere via PEC l'elenco nominativo aggiornato dei sub-responsabili e ha facoltà di obiettare a modifiche dell'elenco con le modalità e i tempi previsti dal contratto sottoscritto.
Come proteggiamo i dati che il Cliente affida al sistema.
Le misure di sicurezza sono progettate sulla base dell'art. 32 GDPR e proporzionate al rischio del trattamento, considerando la natura dei dati gestiti per i nostri Clienti (principalmente identificativi pubblici, metriche di engagement, asset visivi forniti).
Misure tecniche
Cifratura
Tutte le comunicazioni di rete cifrate via TLS 1.2+. Volumi di storage cifrati at rest.
Accesso amministrativo
Accesso ai sistemi di produzione consentito esclusivamente tramite credenziali sicure e meccanismi di autenticazione forte. Firewall attivo e principio di esposizione minima dei servizi di rete.
MFA sui sub-fornitori
Multi-factor authentication attiva sugli account presso tutti i sub-responsabili principali.
Gestione segreti
Credenziali di servizio e chiavi API conservate in vault cifrato, mai in plaintext. Rotazione periodica delle credenziali a maggiore privilegio.
Validazione webhook
Endpoint pubblici protetti con validazione HMAC per prevenire iniezioni non autorizzate.
Backup
Backup giornalieri della configurazione operativa e backup periodici della base dati, conservati cifrati e con verifica di ripristino.
Monitoraggio
Sistema di monitoraggio interno traccia esecuzioni anomale e notifica eventi critici in tempo quasi-reale.
Isolamento
Ambienti di produzione e sviluppo separati. Asset Cliente isolati per istanza.
Misure organizzative
- Accesso ai dati personali limitato per principio di necessità ai soli soggetti incaricati del trattamento. Eventuali collaboratori autorizzati ricevono formazione preventiva sul GDPR e sono nominati per iscritto.
- Registro interno dei trattamenti aggiornato e disponibile su richiesta dell'Autorità di controllo.
- Cifratura completa dei dispositivi utilizzati per accedere al sistema, tramite strumenti nativi del sistema operativo (BitLocker, FileVault, dm-crypt o equivalenti).
- Revisione periodica almeno annuale delle misure di sicurezza in funzione dell'evoluzione tecnologica e del rischio.
Cosa facciamo se qualcosa va storto.
In caso di violazione di sicurezza che coinvolga dati personali di un Cliente, ne diamo comunicazione al Cliente entro 72 ore dall'avvenuta conoscenza, in coerenza con il termine previsto dall'art. 33 GDPR per la notifica all'Autorità di controllo. La comunicazione è trasmessa via PEC e contiene:
- Descrizione della natura della violazione, categorie e numero approssimativo di interessati e registrazioni interessate
- Probabili conseguenze
- Misure adottate o proposte per porre rimedio
- Punto di contatto per ulteriori informazioni
Notifica al Garante
Assistiamo il Cliente nell'eventuale notifica al Garante per la Protezione dei Dati Personali (entro 72 ore ai sensi dell'art. 33 GDPR) e, ove richiesto, nella comunicazione agli interessati ai sensi dell'art. 34 GDPR.
Esercizio dei diritti previsti dal GDPR.
In conformità agli articoli da 15 a 22 del Regolamento UE 2016/679 (GDPR), l'interessato può esercitare i diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità e opposizione, nei limiti e con le modalità previste dalla normativa applicabile. Le richieste possono essere trasmesse al Titolare del trattamento all'indirizzo di posta elettronica impulsoaiagency@gmail.com; il riscontro è fornito nei termini di legge ai sensi dell'art. 12 GDPR. È fatto salvo il diritto di proporre reclamo all'Autorità di controllo competente (Garante per la protezione dei dati personali, www.garanteprivacy.it).
Le richieste di esercizio dei diritti ricevute dal Fornitore in qualità di Responsabile esterno e relative a dati personali di cui il Cliente è Titolare sono inoltrate al Cliente entro 5 giorni lavorativi. Il Fornitore assiste il Cliente con misure tecniche adeguate, fornendo, ove richiesto, copia o estrazione dei dati personali interessati in formato strutturato di uso comune (CSV, JSON), nei limiti delle proprie capacità tecniche.
Verifica del rispetto degli obblighi.
Il Cliente ha diritto a un audit annuale documentale, consistente nella review della documentazione pubblicata nella presente pagina e nell'attestazione di conformità rilasciata dal Fornitore. L'audit documentale è gratuito e fornito dietro richiesta scritta con preavviso ragionevole.
Audit on-site o approfondimenti tecnici specifici sono disponibili al corrispettivo di € 80,00/h, con preavviso di 10 giorni lavorativi e nei limiti di disponibilità del Fornitore. Audit straordinari in caso di sospetta violazione di sicurezza sono accordati con preavviso di 5 giorni lavorativi.
Su richiesta scritta del Cliente, il Fornitore mette a disposizione, in formato strutturato, copia o estrazione della documentazione utile alla verifica del rispetto degli obblighi di cui all'art. 28 GDPR (registro dei trattamenti relativo al Cliente, descrizione delle misure di sicurezza, eventuali attestati di cancellazione).
Tempi di conservazione e procedure di cancellazione.
I dati personali trattati nell'ambito del servizio sono conservati per il tempo necessario al perseguimento delle finalità per cui sono stati raccolti e, in ogni caso, nel rispetto degli obblighi di conservazione previsti dalla normativa applicabile (in particolare dell'art. 2220 c.c. per i documenti contabili e fiscali, dieci anni). Al termine del periodo di conservazione i dati sono cancellati o resi definitivamente anonimi, salvo diverso obbligo di legge.
Alla cessazione del contratto, su scelta del Cliente comunicata via PEC entro 30 giorni dalla cessazione, Impulso AI procede alternativamente alla restituzione dei dati personali in formato strutturato di uso comune (CSV, JSON, ZIP cifrato), limitatamente ai dati identificativi del Cliente e ai contenuti pubblicati, oppure alla cancellazione definitiva di tutti i dati personali del Cliente dai sistemi del Fornitore e dei sub-responsabili. In assenza di scelta espressa entro il termine indicato si applica la cancellazione. La procedura è completata entro 90 giorni dalla scelta, tenuto conto dei tempi tecnici di rotazione dei backup. Su richiesta del Cliente, il Fornitore rilascia attestazione scritta dell'avvenuta cancellazione.
Come raggiungerci.
Per qualsiasi richiesta in materia di privacy, sicurezza, esercizio dei diritti o questioni contrattuali è possibile scrivere a:
- Email: impulsoaiagency@gmail.com
L'indirizzo PEC del Fornitore è indicato nei contratti commerciali sottoscritti con i Clienti per le comunicazioni formali. Comunicazioni ai sensi del GDPR e richieste di esercizio dei diritti sono comunque accettate all'indirizzo email sopra indicato.
Titolare di Impulso AI: Russo Giulio Cesare — Ditta individuale — P.IVA 18496971005 — Roma, Italia.