Informativa sul trattamento dei dati personali

Premessa

La presente Informativa sul Trattamento dei Dati Personali è redatta in conformità alla Legge federale svizzera sulla protezione dei dati (LPD) e, per gli utenti che si trovano in un Paese dell'Unione Europea, al Regolamento (UE) 2016/679 (GDPR). La Svizzera ha ottenuto il Giudizio di adeguatezza dalla Commissione europea, garantendo un livello di protezione equivalente a quello europeo.

La presente Informativa descrive come Good Karma Sagl tratta i dati personali degli utenti della piattaforma SaaS Fastmarketing, accessibile tramite il sottodominio cloud.fastmarketing.ch, e dei servizi correlati. L'Informativa si applica esclusivamente alla piattaforma SaaS e non al sito web fastmarketing.ch, che è disciplinato da una specifica informativa privacy separata.

Titolare del trattamento

Good Karma Sagl - Società a Garanzia Limitata di diritto svizzero

• Sede legale: Via Marco da Carona 5, 6900 Lugano (CH)
• Numero di identificazione delle imprese (IDE): CHE-203.385.424
• Capitale sociale: CHF 20.000 interamente versato
• Email per questioni privacy: privacy@goka.ch
• Sito web: https://fastmarketing.ch
• Piattaforma SaaS: https://cloud.fastmarketing.ch

Per garantire la massima trasparenza e assistenza agli interessati, qualsiasi richiesta di informazioni, esercizio di diritti o comunicazione relativa al trattamento dei dati personali può essere inviata direttamente al Titolare del Trattamento all'indirizzo privacy@goka.ch.

Trattamenti dei dati personali

1. Registrazione e accesso alla piattaforma Fastmarketing

Le informazioni e i dati richiesti per la registrazione e l'accesso alla piattaforma SaaS Fastmarketing vengono utilizzati per consentire al Cliente di accedere all'area riservata della piattaforma e di usufruire dei servizi online offerti dal Titolare del Trattamento. La registrazione è riservata esclusivamente a clienti business (B2B) che abbiano stipulato un contratto di licenza d'uso con Good Karma Sagl.

Tipologie di dati trattati: Dati identificativi dell'azienda cliente (ad es. ragione sociale, partita IVA, indirizzo). Dati del referente aziendale (ad. es. nome, cognome, email, telefono). Configurazioni account e preferenze di utilizzo della piattaforma.

Base giuridica del trattamento: Esecuzione del contratto di licenza software stipulato tra Good Karma e il Cliente (per gli utenti in Svizzera, ai sensi della normativa svizzera applicabile; per gli utenti nell'UE, art. 6, par. 1, lett. b) GDPR).

Conferimento dei dati: Obbligatorio per la stipulazione e l'esecuzione del contratto di licenza. Il rifiuto comporta l'impossibilità di registrarsi, utilizzare i servizi e adempiere agli obblighi contrattuali.

Conservazione dei dati: Per tutta la durata del rapporto contrattuale e per i 10 anni successivi alla cessazione, in conformità agli obblighi di legge svizzeri in materia fiscale e contabile. Le configurazioni di accesso vengono cancellate entro 30 giorni dalla cessazione del contratto.

2. Utilizzo della piattaforma CRM, marketing automation e business intelligence

La piattaforma Fastmarketing offre servizi integrati di gestione clienti (CRM), automazione marketing (MA), analisi dati di vendita (BI) e intelligenza artificiale (AI). Durante l'utilizzo di questi servizi, vengono trattati dati sia del Cliente che dei soggetti terzi (clienti, prospect, contatti) inseriti dal Cliente nella piattaforma.

Tipologie di dati trattati relativi al Cliente:

• Dati di utilizzo (ad es. log di accesso e funzioni utilizzate);
• Dati di performance (ad es. statistiche delle campagne e principali metriche di conversione ed engagement);
• Dati di configurazione (ad es. impostazioni personalizzate, automazioni, integrazioni attivate);
• Dati analitici (ad es. reportistica, dashboard e segmentazioni a fini di analisi);
• Dati di supporto (ad es. richieste di assistenza e comunicazioni con il supporto tecnico).

Tipologie di dati trattati relativi ai contatti del Cliente:

• Dati anagrafici e di contatto (ad es. nome, email, telefono, indirizzo postale).
• Dati comportamentali e di interazione (ad es. aperture, click, conversioni, navigazione sul sito del Cliente).
• Dati di segmentazione e profilazione (ad es. categorie, tag).
• Dati psicografici e di preferenza (ad es. interessi, preferenze, comportamenti di acquisto).
• Dati di comunicazione (ad es. cronologia delle comunicazioni, preferenze di contatto).

Base giuridica del trattamento:

• Per i dati del Cliente, il trattamento è necessario all'esecuzione del contratto di licenza software.
• Per i dati dei contatti inseriti dal Cliente, quest'ultimo mantiene la qualifica di Titolare del trattamento ed è tenuto a garantire le idonee basi giuridiche previste dalla normativa applicabile. Good Karma agisce in qualità di Responsabile del trattamento (art. 28 GDPR ove rilevante).

Responsabilità del Cliente: Il Cliente è responsabile di basi giuridiche, informative e consensi; in caso di violazioni presunte, Good Karma potrà sospendere o limitare il trattamento e informarne il Cliente.

Lead acquisiti tramite moduli sui social network

Quando il Cliente raccoglie dati tramite moduli presenti su piattaforme social (es. "lead ads"), il Cliente agisce come Titolare del trattamento. In caso di raccolta dati per finalità marketing e/o profilazione il Cliente dichiara di aver consenso esplicito e documentabile, con opt-in separati per ciascun consenso. Il Cliente conserva la prova del consenso e della raccolta (ad es. data/ora, fonte/piattaforma e testo mostrato) e rispetta i termini d'uso della piattaforma social di provenienza.

Una volta importati in Fastmarketing, i dati sono trattati da Good Karma in qualità di Responsabile del trattamento, esclusivamente secondo le istruzioni documentate del Cliente e per le finalità selezionate dal Cliente. Good Karma non è tenuta a verificare la liceità della raccolta originaria; in caso di elementi che facciano ritenere una violazione, Good Karma potrà sospendere o limitare il trattamento e informarne il Cliente.

Profilazione e decisioni automatizzate

Profilazione dei contatti del Cliente: funzionalità di segmentazione, scoring e automazioni sono a disposizione dei Clienti, che agiscono come Titolari e definiscono finalità, basi giuridiche e logiche, fornendo informative e consensi ove richiesti. Good Karma opera come Responsabile.

Profilazione dei Clienti da parte di Good Karma: analisi limitate a performance e modalità d'uso della piattaforma per finalità di miglioramento del servizio, sicurezza, supporto e sviluppo funzionalità, nel rispetto di proporzionalità e trasparenza.

Conservazione dei dati: per tutta la durata del contratto; cancellazione definitiva entro 30 giorni dalla cessazione, salvo obblighi di legge o richiesta del Cliente per periodi più brevi.

3. Servizio SMS e comunicazioni marketing

La piattaforma non include un servizio nativo di invio SMS; consente integrazione opzionale con fornitori terzi attivati dal Cliente, che gestisce account, crediti, fatturazione e condizioni d'uso, assumendosi ogni responsabilità.

Tipologie di dati trattati: numeri di telefono dei destinatari, contenuti dei messaggi, dati tecnici/esito (es. consegna) e interazioni (es. click), reportistica e statistiche.

Base giuridica: nell'ambito del contratto tra Cliente e fornitore terzo; per marketing è richiesto consenso esplicito conforme a LTC e normative dei Paesi di destinazione; ogni messaggio deve includere meccanismo di opt-out (es. "STOP").

Fornitori terzi: qualificati e autorizzati; responsabilità d'uso in capo al Cliente. Good Karma consente gestione/ instradamento tecnico senza obblighi di verifica sull'erogazione.

Conservazione: per il tempo necessario a reportistica e risoluzione problemi, secondo le policy dei fornitori; contenuti possono essere conservati per periodi più brevi; liste di soppressione conservate per garantire l'esclusione dalle comunicazioni.

4. Richieste di assistenza tecnica e supporto

Tipologie di dati: contatti (nome, email, telefono), contenuti delle comunicazioni, dati tecnici necessari all'analisi e cronologia interazioni.

Base giuridica: legittimo interesse del Titolare a fornire assistenza e/o esecuzione del contratto.

Conferimento: facoltativo ma necessario per ricevere assistenza adeguata.

Conservazione: per il tempo necessario a gestire la richiesta.

5. Servizi di consulenza e formazione

Tipologie di dati: dati professionali/aziendali dei partecipanti, materiali condivisi (eventualmente registrati previo consenso), valutazioni, feedback, piani di sviluppo.

Base giuridica: esecuzione del contratto; ove i partecipanti non siano parte del contratto, legittimo interesse del Titolare (per UE: art. 6, par. 1, lett. f) GDPR).

Conservazione: durata del rapporto e 3 anni successivi; eventuali registrazioni conservate per il tempo strettamente necessario e poi cancellate/anonimizzate.

6. Marketing e comunicazioni promozionali ai clienti

La piattaforma non gestisce iscrizioni né invia newsletter/promozioni (attività gestite dal sito fastmarketing.ch). Tramite la piattaforma si inviano solo comunicazioni di servizio (es. nuove funzionalità, aggiornamenti, segnalazioni tecniche).

Tipologie di dati: non si trattano dati a fini marketing in piattaforma; si usano dati di contatto per comunicazioni non promozionali necessarie all'erogazione del servizio.

Base giuridica: per promozionali si rinvia all'informativa del sito; per comunicazioni di servizio, esecuzione del contratto e/o legittimo interesse (UE: art. 6, par. 1, lett. b) e f) GDPR).

Conferimento: facoltativo per marketing (sito), necessario per comunicazioni di servizio.

Revoca del consenso: per marketing secondo modalità del sito; le comunicazioni di servizio non richiedono consenso.

Conservazione: per la durata del rapporto contrattuale e secondo "Misure di sicurezza e conservazione".

7. Integrazioni con servizi Google (Google Contacts)

Quando il Cliente attiva un'integrazione con un servizio Google, Fastmarketing accede ai dati dell'account Google connesso esclusivamente tramite le API ufficiali di Google, previa autorizzazione dell'utente tramite il flusso OAuth 2.0 di Google e previo consenso esplicito all'informativa specifica della singola integrazione.

Tipologie di dati trattati: variano in base al servizio Google attivato. Per Google Contacts, ad esempio: nome, cognome, indirizzi email, numeri di telefono, indirizzi postali, organizzazione, ruolo, note, foto profilo, etichette (gruppi Google Contacts), metadati di modifica, oltre all'indirizzo email e all'identificativo interno Google (sub) dell'account connesso per il riconoscimento dell'account stesso.

Finalità del trattamento: importare e aggiornare i contatti del Cliente all'interno del CRM Fastmarketing, sincronizzare in modo bidirezionale (se configurato) le modifiche effettuate nel CRM verso i servizi Google, fornire log tecnici per diagnostica, sicurezza e supporto.

Base giuridica: consenso specifico e libero dell'utente (per gli utenti in Svizzera: art. 6 cpv. 6 e art. 31 cpv. 1 LPD; per gli utenti UE: art. 6, par. 1, lett. a GDPR). L'integrazione con Google Contacts costituisce un servizio facoltativo e aggiuntivo rispetto alle funzionalità della piattaforma: l'attivazione avviene esclusivamente su iniziativa del cliente, che manifesta il proprio consenso in modo espresso e granulare sia attraverso il flusso di autorizzazione OAuth di Google, sia mediante la checkbox di accettazione presente nella pagina di attivazione dell'integrazione. Il consenso può essere revocato in qualsiasi momento disattivando l'integrazione dall'area di amministrazione dell'account o revocando l'autorizzazione dal pannello di sicurezza del proprio Google Account, senza alcun pregiudizio per la fruibilità degli altri servizi della piattaforma.

Informativa sull'uso limitato (Limited Use) — Google API Services User Data Policy: l'uso e il trasferimento da parte di Fastmarketing, verso qualsiasi altra applicazione, delle informazioni ricevute dalle API di Google sono conformi alla Google API Services User Data Policy, inclusi i requisiti Limited Use.

In particolare, i dati ricevuti dalle API Google:

• Non sono venduti a terze parti, per nessuna finalità;
• Non sono utilizzati per pubblicità, profilazione commerciale o retargeting;
• Non sono utilizzati per addestrare, riaddestrare o effettuare fine-tuning di modelli di intelligenza artificiale o machine learning, né da Good Karma né dai provider AI di terze parti utilizzati dalla piattaforma (Anthropic, OpenAI, Google DeepMind). Tali provider trattano i dati esclusivamente in esecuzione delle richieste invocate dagli agenti AI e non per finalità di training, in conformità ai Data Processing Agreement contrattualmente stipulati con ciascun provider (Sezione 9);
• Non sono letti da operatori umani, salvo previo consenso esplicito dell'utente per specifiche operazioni di supporto, per ragioni di sicurezza (es. indagini su abusi o violazioni), per adempiere a obblighi di legge, o per operazioni interne su dati previamente aggregati e anonimizzati;
• Non sono condivisi tra clienti Fastmarketing diversi;
• Restano soggetti ai requisiti Limited Use anche quando confluiscono nella memoria conversazionale degli agenti AI o negli audit log tecnici della piattaforma (Sezione 9.6); la disconnessione dell'integrazione Google comporta la cancellazione, entro 30 giorni, anche delle memorie e dei log che contengono dati derivati da tale integrazione.

Conferimento dei dati: facoltativo. L'integrazione si attiva solo con autorizzazione esplicita dell'utente tramite OAuth 2.0 di Google e accettazione dell'informativa dedicata.

Conservazione: il refresh token OAuth è cifrato a riposo (AES-256-CBC) e conservato fino alla revoca dell'integrazione; i contatti sincronizzati sono conservati nel tenant del Cliente (isolato per id_utente_societa) e cancellabili in qualsiasi momento dal CRM; i log di sincronizzazione sono conservati per 30 giorni; i log di audit della decifratura del refresh token sono conservati per 90 giorni; i riferimenti Google ↔ Fastmarketing sono cancellati entro 30 giorni dalla revoca dell'integrazione.

Revoca: l'utente può in qualsiasi momento disconnettere l'integrazione dalla sezione Impostazioni → Integrazioni di Fastmarketing o revocare l'accesso direttamente da https://myaccount.google.com/permissions. A seguito della revoca, Fastmarketing cessa ogni chiamata alle API Google entro 24 ore.

Informative specifiche per singola integrazione Google:

• Informativa sul trattamento dati — Integrazione Google Contacts

8. Integrazioni con Meta Platforms (Meta Conversions API)

Quando il Cliente attiva l'integrazione con Meta Conversions API (di seguito "Meta CAPI"), Fastmarketing trasmette eventi di conversione direttamente dai propri server ai server di Meta Platforms, Inc. tramite le API ufficiali Meta, sulla base delle credenziali (Pixel/Dataset ID e Access Token) ottenute tramite il flusso OAuth 2.0 di Meta autorizzato dal Cliente, agendo come Responsabile del trattamento per conto del Cliente. I dati identificativi degli interessati sono cifrati con hash SHA-256 lato server prima della trasmissione: Meta riceve esclusivamente gli hash, mai i valori originali.

Tipologie di dati trattati: indirizzo email, numero di telefono (formato E.164), nome e cognome — tutti hashati con SHA-256 prima dell'invio; identificativo interno del contatto Fastmarketing (external_id); identificativi di fingerprint browser (cookie _fbc, _fbp, indirizzo IP, User-Agent) raccolti tramite i web form pubblici quando l'interessato compila un form collegato a una campagna Meta (Lead Ads o web form con tracking Pixel); metadati evento (timestamp, nome evento, eventuali parametri commerciali quali valore, valuta, ID prodotti) configurati dal Cliente nel nodo di campagna. Nessun dato sensibile ai sensi dell'art. 9 GDPR né dato personale degno di particolare protezione ai sensi dell'art. 5 lett. c LPD viene trasmesso.

Finalità del trattamento: misurazione delle conversioni pubblicitarie, ottimizzazione degli annunci su Facebook e Instagram, attribution cross-device, creazione di audience personalizzate e lookalike sotto il controllo del Cliente, log tecnici per diagnostica, sicurezza e supporto.

Base giuridica: legittimo interesse del Cliente Fastmarketing nelle proprie attività di marketing diretto (per gli utenti UE: art. 6, par. 1, lett. f) GDPR; per gli utenti in Svizzera: art. 31 cpv. 1 lett. e LPD), subordinato al consenso esplicito dell'interessato raccolto tramite il web form secondo la normativa applicabile (opt-in per finalità di marketing/profilazione). L'integrazione con Meta CAPI costituisce un servizio facoltativo e aggiuntivo rispetto alle funzionalità della piattaforma: l'attivazione avviene esclusivamente su iniziativa del Cliente, il quale dichiara di possedere il Pixel/Dataset Meta selezionato, di aver adempiuto ai propri obblighi di informativa e di raccolta dei consensi nei confronti degli interessati e di rispettare i Meta Business Tools Terms. La revoca avviene in qualsiasi momento disattivando l'integrazione dall'area di amministrazione dell'account, senza alcun pregiudizio per la fruibilità degli altri servizi della piattaforma.

Conformità ai Meta Business Tools Terms: l'integrazione opera nel rispetto dei Meta Business Tools Terms. In particolare, i dati trasmessi a Meta tramite Conversions API:

• Sono utilizzati esclusivamente per misurazione e ottimizzazione delle campagne pubblicitarie del Cliente che ha attivato l'integrazione;
• Non sono venduti a terze parti, per nessuna finalità;
• Non sono utilizzati da Fastmarketing per addestrare modelli di intelligenza artificiale o machine learning generici (interni o di terzi);
• Non sono letti da operatori umani di Fastmarketing, salvo casi eccezionali di supporto tecnico richiesto esplicitamente dal Cliente, per ragioni di sicurezza (es. indagini su abusi o violazioni), per adempiere a obblighi di legge, o per operazioni interne su dati previamente aggregati e anonimizzati;
• Non sono condivisi tra Clienti Fastmarketing diversi.

Trasferimenti extra-UE: Meta Platforms, Inc. (e Meta Platforms Ireland Ltd. per gli utenti UE/CH) trasferisce i dati anche verso gli Stati Uniti e altri Paesi extra-UE. Il trasferimento è disciplinato dalle Clausole Contrattuali Standard (Decisione 2021/914/UE) integrate dall'adesione di Meta Platforms Inc. al EU–U.S. Data Privacy Framework.

Conferimento dei dati: facoltativo. L'integrazione si attiva solo con autorizzazione esplicita del Cliente tramite OAuth 2.0 di Meta e accettazione dell'informativa dedicata.

Conservazione: l'Access Token Meta è cifrato a riposo (AES-256-CBC) e conservato fino alla revoca dell'integrazione; i log tecnici delle chiamate API (tabella integrations_logs) sono conservati per 90 giorni; gli identificativi fingerprint (fbc/fbp/IP/UA) raccolti tramite web form sono conservati per tutto il ciclo di vita dell'interessato nel CRM e utilizzati solo se aggiornati negli ultimi 7 giorni (per fbc/fbp) secondo specifica Meta; i riferimenti Meta ↔ Fastmarketing sono cancellati entro 30 giorni dalla revoca dell'integrazione. La retention lato Meta è definita da Meta nella propria informativa.

Cancellazione su richiesta dell'interessato (art. 17 GDPR; art. 32 cpv. 2 lett. c LPD): Fastmarketing invia automaticamente un evento di Data Deletion (Meta CAPI Delete Event) verso Meta ogni volta che un contatto viene eliminato dal CRM. Meta riceve gli hash dell'interessato e procede alla cancellazione dei dati collegati ai propri database entro i tempi tecnici stabiliti dal proprio sistema.

Revoca: il Cliente può in qualsiasi momento disconnettere l'integrazione dalla sezione Impostazioni → Integrazioni di Fastmarketing. A seguito della revoca, Fastmarketing cessa ogni chiamata a Meta CAPI entro 24 ore.

Informative specifiche per singola integrazione Meta:

• Informativa sul trattamento dati — Integrazione Meta Conversions API

9. Servizi di Intelligenza Artificiale di terze parti

La piattaforma Fastmarketing integra funzionalità di intelligenza artificiale erogate attraverso provider AI di terze parti, utilizzati come Sub-responsabili del trattamento (art. 28 GDPR; art. 9 LPD) per consentire agli agenti AI di Revenue OS di elaborare richieste, generare contenuti, analizzare conversazioni e produrre audit automatizzati. La presente sezione si applica trasversalmente a tutte le funzionalità AI della piattaforma.

9.1 Provider AI utilizzati

Fastmarketing utilizza esclusivamente i piani API commerciali/enterprise dei seguenti provider, che escludono per default l'utilizzo dei dati trasmessi per finalità di training:

Per gli utenti svizzeri, i trasferimenti sono coperti dall'addendum svizzero alle Clausole Contrattuali Standard e dallo Swiss–U.S. Data Privacy Framework ove applicabile.

9.2 Dati trasmessi ai provider AI

La trasmissione di dati ai provider AI avviene secondo il principio di minimizzazione: viene trasmesso esclusivamente il contesto strettamente necessario all'esecuzione del task richiesto dall'agente, che può includere porzioni della cronologia conversazionale dell'agente, dati operativi del Cliente o dati ottenuti tramite integrazioni esterne (es. Google API, Sezione 7).

Tipologie di dati potenzialmente trasmessi: contenuto delle conversazioni con gli agenti AI; dati operativi del Cliente esplicitamente coinvolti nel task (es. testi da analizzare, contatti CRM, contenuti email); metadati tecnici di sessione (timestamp, identificativo agente, identificativo modello).

Esclusioni esplicite:

• Fastmarketing non utilizza gli agenti AI per il trattamento sistematico di categorie particolari di dati ex art. 9 GDPR / dati personali degni di particolare protezione ex art. 5 lett. c LPD; il Cliente si impegna a non configurare flussi di lavoro che comportino tale trattamento, salvo configurazioni specifiche concordate per iscritto con Good Karma;
• La trasmissione avviene unicamente in occasione di un'invocazione operativa dell'agente AI: non sono previsti trasferimenti automatici, batch o di backup dei dati del Cliente verso i provider AI.

Audit log delle invocazioni AI: ogni chiamata ai provider AI è registrata in un audit log tecnico che include input, output, modello utilizzato, timestamp e identificativo del Cliente. La retention dell'audit log è di 90 giorni, dopodiché i dati sono cancellati automaticamente. L'audit log è soggetto alle stesse misure di sicurezza descritte nella sezione "Misure di sicurezza e conservazione" e ai vincoli Limited Use ove contenga dati ottenuti tramite API Google (Sezione 7).

9.3 Garanzie contrattuali con i provider AI

I rapporti con i provider AI sono regolati da Data Processing Agreement specifici (Anthropic Commercial Terms & DPA, OpenAI API Data Processing Addendum, Google Cloud DPA per Vertex AI/Gemini API). Tali accordi prevedono:

• Esclusione del training: i dati trasmessi non vengono utilizzati dai provider per addestrare, riaddestrare o effettuare fine-tuning di modelli AI/ML, né di uso generale né dedicati. Fastmarketing non effettua fine-tuning di modelli sui dati dei Clienti.
• Retention limitata sul lato provider: i provider possono conservare temporaneamente input e output esclusivamente per finalità di sicurezza, monitoraggio abusi e adempimenti di legge, secondo le retention dichiarate nei rispettivi DPA (di norma 30 giorni). Trascorso tale periodo, i dati sono cancellati dai sistemi del provider.
• Trust & Safety automatizzato: i provider applicano sistemi automatici di rilevazione abusi e filtri di sicurezza sui contenuti trasmessi. Tale trattamento è limitato alla protezione dell'integrità del servizio e non comporta lettura sistematica da parte di operatori umani, salvo casi documentati di sospetta violazione delle policy d'uso.
• Sub-responsabili dei provider: ciascun provider AI può avvalersi di propri sub-responsabili infrastrutturali (es. servizi di cloud computing) elencati nei rispettivi DPA pubblici. I trasferimenti lungo questa catena sono coperti dalle Clausole Contrattuali Standard e/o dal Data Privacy Framework, come dettagliato nella Sezione 9.1.
• Riservatezza e isolamento: i dati di un Cliente non sono utilizzati per generare risposte verso altri clienti dei provider AI; non sono condivisi tra Clienti Fastmarketing diversi.
• Certificazioni: tutti i provider mantengono certificazioni SOC 2 Type II e ISO 27001 valide e verificabili pubblicamente.
• Limited Use estesa: per i dati ottenuti tramite API Google (Sezione 7) e trasmessi ai provider AI, le garanzie sopra descritte si combinano con i requisiti Limited Use della Google API Services User Data Policy, che restano vincolanti lungo l'intera catena di trattamento.

9.4 Attivazione e controllo da parte del Cliente

L'attivazione di funzionalità AI specifiche (ad es. integrazione di provider AI per agenti conversazionali, generazione contenuti, audit automatizzati, analisi di conversazioni) è subordinata al consenso esplicito del Cliente, manifestato all'attivazione del singolo modulo nell'area di amministrazione della piattaforma. Le funzionalità AI non sono attivate automaticamente all'apertura dell'account: ciascun modulo richiede un'attivazione consapevole del Cliente, con visualizzazione delle finalità del trattamento, dei provider AI coinvolti e delle implicazioni in termini di trasferimento dati.

Ciascun modulo AI può essere disattivato in qualsiasi momento, senza preavviso e senza pregiudizio per la fruibilità degli altri servizi della piattaforma. La disattivazione comporta la cessazione immediata delle invocazioni verso i provider AI e l'avvio dei processi di cancellazione delle memorie associate (Sezione 9.6).

9.5 Base giuridica del trattamento

Il trattamento operato tramite servizi AI di terze parti si fonda su:

• Esecuzione del contratto di licenza software con il Cliente, per le funzionalità AI integrate nei servizi attivati (per gli utenti UE: art. 6, par. 1, lett. b GDPR; per gli utenti svizzeri: normativa applicabile);
• Legittimo interesse del Cliente all'utilizzo di strumenti AI per ottimizzare le proprie attività di gestione clienti, marketing e revenue operations (per gli utenti UE: art. 6, par. 1, lett. f GDPR; per gli utenti svizzeri: art. 31 cpv. 1 LPD), nel bilanciamento con i diritti degli interessati;
• Consenso esplicito dell'utente, ove applicabile, raccolto attraverso i meccanismi di attivazione descritti nella Sezione 9.4.

I trasferimenti extra-UE verso i provider AI con sede negli Stati Uniti sono coperti dalle Clausole Contrattuali Standard (Decisione 2021/914/UE), dall'EU–U.S. Data Privacy Framework e, per gli utenti svizzeri, dall'addendum svizzero e dallo Swiss–U.S. Data Privacy Framework, secondo quanto dettagliato nella Sezione 9.1.

9.6 Memoria degli agenti AI, persistenza e audit log

Gli agenti AI di Revenue OS possono mantenere una memoria conversazionale persistente per garantire continuità d'uso, qualità dell'output e personalizzazione delle interazioni. Tale memoria è ospitata sull'infrastruttura Fastmarketing (non sui sistemi dei provider AI) ed è suddivisa in:

• Cronologia conversazione: storico dei messaggi scambiati con l'agente, conservato nel tenant del Cliente (isolato tramite Row Level Security PostgreSQL) per la durata del contratto, cancellabile granularmente dal Cliente in qualsiasi momento dall'area di amministrazione della piattaforma;
• Memorie sintetizzate: estratti operativi prodotti dall'agente per migliorare la pertinenza delle risposte successive (es. preferenze del Cliente, riferimenti ricorrenti), soggetti agli stessi vincoli di isolamento, accesso e cancellazione della cronologia;
• Audit log delle invocazioni AI: registro tecnico di input, output, modello e timestamp di ogni chiamata ai provider AI, conservato per 90 giorni per finalità di sicurezza, debugging e compliance, dopodiché cancellato automaticamente.

Quando la memoria conversazionale, le memorie sintetizzate o l'audit log contengono dati ottenuti tramite API Google (Sezione 7), tali dati restano soggetti alla Google API Services User Data Policy: non vengono utilizzati per training AI/ML interni o di terzi, non vengono condivisi tra Clienti diversi, non vengono letti da operatori umani salvo le eccezioni descritte nella Sezione 7.

La disattivazione di un modulo AI o la disconnessione di un'integrazione Google comporta la cancellazione, entro 30 giorni, delle memorie e dei log che contengono dati derivati da tale modulo o integrazione, fatti salvi gli obblighi di conservazione di legge.

Diritti dell'interessato

In conformità alla LPD e, per gli utenti UE, al GDPR, ogni interessato gode dei diritti previsti.

Definizione di interessato

• Quando Good Karma agisce come Titolare, gli Interessati sono i Clienti persone fisiche e i referenti dei Clienti persone giuridiche; i diritti possono essere esercitati direttamente verso Good Karma.
• Quando Good Karma agisce come Responsabile per conto del Cliente, gli Interessati sono i contatti caricati dal Cliente; i diritti si esercitano verso il Cliente (Titolare).

Diritti esercitabili

• Diritto di informazione e accesso
• Diritto di rettifica
• Diritto di cancellazione ("oblio")
• Diritto di limitazione del trattamento
• Diritto di portabilità dei dati
• Diritto di opposizione
• Diritto di non essere sottoposto a decisioni automatizzate

Modalità di esercizio dei diritti

Email: privacy@goka.ch (canale preferenziale)

Indirizzo postale:
Good Karma Sagl, Via Marco da Carona 5, 6900 Lugano (CH)

Le richieste devono contenere informazioni sufficienti per identificare l'interessato e specificare il diritto da esercitare. Good Karma può richiedere informazioni per verificare l'identità. Le richieste sono trattate gratuitamente salvo casi manifestamente infondati, eccessivi o ripetitivi.

Tempi di risposta

Entro 30 giorni (LPD) e 1 mese (GDPR; prorogabile fino a 2 mesi per richieste complesse o numerose, con comunicazione all'interessato).

Reclamo alle autorità di controllo

• Svizzera: Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
• Unione Europea: Autorità di controllo competente del Paese di residenza/lavoro o del luogo della presunta violazione

Destinatari dei dati e trasferimenti

I dati possono essere trattati da personale autorizzato di Good Karma e comunicati a:

• Fornitori tecnologici terzi (hosting, cloud, comunicazioni elettroniche, assistenza tecnica, telecomunicazioni) come Responsabili del trattamento;
• Consulenti e professionisti esterni (legali, fiscali, informatici) vincolati alla riservatezza;
• Autorità competenti ove richiesto per obblighi legali o ordini legittimi.

Good Karma assicura adeguati impegni contrattuali o legali per la protezione dei dati personali.

Trasferimenti internazionali

I dati sono archiviati principalmente in data center UE/SEE. Eventuali trasferimenti extra-UE avvengono solo verso Paesi con decisione di adeguatezza, destinatari statunitensi certificati ai sensi dell'EU–U.S./Swiss–U.S. Data Privacy Framework, o mediante Clausole Contrattuali Standard (Decisione 2021/914/UE) con misure tecniche/organizzative idonee e addendum svizzero ove applicabile.

Misure di sicurezza e conservazione

Good Karma adotta misure tecniche e organizzative adeguate (art. 32 GDPR e LPD) per garantire riservatezza, integrità e disponibilità dei dati e prevenire accessi non autorizzati, perdita, distruzione o uso improprio.

I dati sono trattati secondo i principi di minimizzazione e limitazione della conservazione: mantenuti solo per il tempo necessario alle finalità o per obblighi legali; successivamente cancellati o anonimizzati in modo sicuro.

Cookies e tecnologie di tracciamento

• Cookies tecnici necessari: indispensabili al funzionamento della piattaforma; non disattivabili.
• Cookies analitici: previo consenso, usati in forma aggregata e, ove possibile, pseudonimizzata/anonimizzata per analisi e miglioramento.
• Cookies di personalizzazione: previo consenso, memorizzano preferenze per esperienza più fluida (non per marketing comportamentale).

L'utente può gestire le preferenze tramite impostazioni del browser o, per i cookies non essenziali, mediante funzioni dedicate nella piattaforma (es. banner o pannello consensi). La disabilitazione dei cookies tecnici può compromettere il corretto funzionamento dei servizi.

La piattaforma mette a disposizione del Cliente strumenti di tracciamento da installare sui canali del Cliente (siti, app, email) per misurazione, automazioni e profilazione secondo le configurazioni impostate dal Cliente. Per questi trattamenti, il Cliente è Titolare e gestisce consensi, revoche e opt-out; Good Karma tratta i dati solo come Responsabile e non condivide i dati dei Clienti con altri Clienti né li utilizza per finalità proprie o di terzi diverse dall'erogazione della piattaforma.

Modifiche alla privacy policy

Procedura di modifica

Le modifiche sono comunicate con almeno 30 giorni di preavviso tramite email all'indirizzo associato all'account, avviso in piattaforma e pubblicazione della nuova versione sul sito di Good Karma con evidenza delle modifiche. Per modifiche non sostanziali, la sola pubblicazione è sufficiente.

Le modifiche sostanziali che cambiano significativamente le modalità di trattamento o i diritti degli interessati sono comunicate con 60 giorni di preavviso e, ove previsto, richiedono un nuovo consenso esplicito.

Accettazione delle modifiche

Il continuato utilizzo della piattaforma dopo l'entrata in vigore costituisce accettazione della nuova Informativa. Gli utenti che non accettano possono cessare l'uso e richiedere la cancellazione dei dati secondo la sezione "Diritti dell'Interessato". Per modifiche che richiedano nuovo consenso, sono implementati meccanismi di opt-in esplicito.

Disposizioni finali

Validità e vigenza

In vigore dal 23 aprile 2026 e valida fino a sostituzione secondo le procedure di modifica.

Lingua e interpretazione

Versione ufficiale in lingua italiana. In caso di discrepanze con traduzioni, prevale l'italiano. Interpretazione secondo il diritto svizzero in conformità alla LPD e, per gli utenti UE, al GDPR.

Separabilità delle clausole

La nullità/invalidità/inefficacia di una o più disposizioni non pregiudica le restanti. In caso di nullità parziale, la clausola è sostituita con disposizione valida che realizzi, nei limiti del possibile, lo stesso risultato.

Conformità normativa continuativa

Impegno a mantenere l'Informativa e le pratiche conformi alle normative applicabili, implementando aggiornamenti necessari per riflettere cambiamenti normativi o giurisprudenziali.