Informativa Privacy — Piattaforma e Servizi AI
StudioAgent S.r.l.
Via Martin Lutero 5 — 20126 Milano (MI) · P. IVA / C.F. 14642270962
Email: privacy@studioagent.it — PEC: studioagent@pec-mail.it
Ultimo aggiornamento: 26 giugno 2026
Ambito di applicazione. La presente Informativa disciplina il trattamento dei dati personali effettuato attraverso la piattaforma software SaaS (dashboard, API, assistente AI WhatsApp, assistente vocale AI, sistema di gestione email) ed è complementare alla Privacy Policy del sito web, che regola i dati dei visitatori e della waitlist tramite Iubenda.
Indice
- Definizioni
- Sezione 1 — StudioAgent come Titolare del Trattamento
- Sezione 2 — StudioAgent come Responsabile del Trattamento
- Trasferimenti Internazionali dei Dati
- Politica "No-Training" — Blindatura dei Dati
- Pseudonimizzazione e Minimizzazione all'Ingresso
- Tempi di Conservazione (Data Retention)
- Diritti degli Interessati
- Sicurezza dei Dati
- Modifiche alla presente Informativa
- Contatti
1. Definizioni
| Termine | Significato |
|---|---|
| Piattaforma | Il software SaaS "StudioAgent", inclusi dashboard web, API, assistente AI WhatsApp, assistente vocale AI e sistema di gestione email. |
| Cliente | Lo studio di amministrazione condominiale o il professionista che sottoscrive un abbonamento alla Piattaforma. |
| Utente Finale | Il condòmino, proprietario, inquilino, portiere, fornitore o qualsiasi persona che interagisce con la Piattaforma attraverso i canali configurati dal Cliente (telefono, WhatsApp, email). |
| Titolare del Trattamento | Il soggetto che determina finalità e mezzi del trattamento dei dati personali (Art. 4, n. 7, GDPR). |
| Responsabile del Trattamento | Il soggetto che tratta dati personali per conto del Titolare (Art. 4, n. 8, GDPR). |
| Sub-Responsabile | Il fornitore terzo che tratta dati personali per conto di StudioAgent nell'ambito dell'erogazione del servizio. |
| DPA | Il Data Processing Agreement stipulato tra il Cliente e StudioAgent ai sensi dell'Art. 28 GDPR. |
Sezione 1 — StudioAgent come Titolare del Trattamento
Questa sezione riguarda i dati dei Clienti diretti di StudioAgent (studi di amministrazione condominiale e professionisti che sottoscrivono un abbonamento).
1.1 Dati Personali Trattati
| Categoria di Dati | Esempi |
|---|---|
| Dati anagrafici e professionali | Nome, cognome, denominazione dello studio, codice fiscale, partita IVA, indirizzo della sede professionale. |
| Dati di contatto | Indirizzo email professionale, numero di telefono, indirizzo PEC. |
| Dati di fatturazione | Coordinate bancarie, dati della carta di credito o debito (elaborati esclusivamente da Stripe), storico delle fatture e dei pagamenti. |
| Credenziali di accesso | Indirizzo email, password (crittografata con hash unidirezionale), token OAuth per i servizi Google collegati (Gmail, Google Calendar). |
| Dati di utilizzo della Piattaforma | Log di accesso (timestamp, indirizzo IP, tipo di browser), statistiche aggregate di utilizzo delle funzionalità, preferenze di configurazione del sistema AI. |
1.2 Finalità e Basi Giuridiche
| Finalità del Trattamento | Base Giuridica (GDPR) |
|---|---|
| Erogazione del servizio contrattuale: creazione e gestione dell'account, configurazione dell'assistente AI, accesso alla dashboard e alle funzionalità. | Art. 6(1)(b) — Esecuzione del contratto di cui l'interessato è parte. |
| Fatturazione e contabilità: emissione di fatture, gestione dei pagamenti ricorrenti, rendicontazione fiscale obbligatoria. | Art. 6(1)(b) — Esecuzione del contratto; Art. 6(1)(c) — Adempimento di obblighi di legge (normativa fiscale e contabile). |
| Assistenza tecnica e customer support: gestione delle richieste di supporto, troubleshooting e manutenzione. | Art. 6(1)(b) — Esecuzione del contratto. |
| Comunicazioni sul prodotto: aggiornamenti sulle funzionalità, notifiche di manutenzione, avvisi di sicurezza e changelog. | Art. 6(1)(f) — Legittimo interesse a mantenere informato il Cliente sulle evoluzioni del servizio acquistato. |
| Sicurezza e prevenzione di abusi: monitoraggio tecnico per prevenire accessi non autorizzati, frodi o violazioni dei Termini di Servizio. | Art. 6(1)(f) — Legittimo interesse alla sicurezza dei sistemi e alla protezione dei dati di tutti i clienti. |
1.3 Tempi di Conservazione
| Tipologia di Dati | Periodo di Conservazione |
|---|---|
| Dati del profilo e dell'account | Per l'intera durata del rapporto contrattuale e per i successivi 10 (dieci) anni dalla cessazione del contratto, in conformità ai termini di prescrizione ordinaria e agli obblighi di conservazione contabile e fiscale (Art. 2220 c.c., D.P.R. 600/1973). |
| Dati di fatturazione e documenti fiscali | 10 (dieci) anni dall'emissione, in conformità agli obblighi civilistici e tributari. |
| Log tecnici di accesso e sicurezza | 6 (sei) mesi, salvo la necessità di conservazione più estesa per indagini su incidenti di sicurezza in corso. |
1.4 Destinatari dei Dati
I dati dei Clienti potranno essere comunicati esclusivamente a:
- —Stripe Payments Europe, Ltd. / Stripe, Inc.: per l'elaborazione sicura dei pagamenti e la gestione degli abbonamenti.
- —Resend, Inc.: per l'invio di email transazionali e comunicazioni operative (conferme d'ordine, notifiche di sistema, report e notifiche di handoff). Il contenuto di tali email può includere dati personali relativi agli utenti finali — ad esempio il nominativo e l'oggetto della segnalazione di un condòmino in una notifica di handoff.
- —Google Ireland Ltd.: per l'hosting dell'infrastruttura cloud e l'integrazione con i servizi Google (Gmail, Calendar) autorizzata dal Cliente tramite OAuth.
- —Iubenda S.r.l.: per la gestione del consenso ai cookie e la generazione della privacy policy del sito web.
- —Commercialista e consulenti fiscali: per l'assolvimento degli obblighi contabili e tributari.
- —Autorità competenti: ove richiesto da un obbligo di legge inderogabile.
L'elenco completo e aggiornato dei fornitori tecnologici è consultabile alla pagina Sub-Responsabili (Subprocessors).
Sezione 2 — StudioAgent come Responsabile del Trattamento
Questa sezione riguarda i dati degli Utenti Finali (condòmini, proprietari, inquilini, portinai, fornitori) le cui comunicazioni vengono elaborate dalla Piattaforma per conto del Cliente (l'amministratore di condominio).
2.1 Dichiarazione del Ruolo (Art. 28 GDPR)
Quando un Utente Finale invia un messaggio WhatsApp, effettua una chiamata telefonica o scrive un'email al recapito configurato dal Cliente sulla Piattaforma StudioAgent, il Titolare del Trattamento dei dati personali è e resta esclusivamente l'Amministratore di Condominio (il Cliente), il quale determina le finalità e i mezzi del trattamento nell'ambito del proprio mandato di gestione condominiale.
StudioAgent S.r.l. agisce esclusivamente in qualità di Responsabile del Trattamento ai sensi dell'Art. 28 del GDPR, trattando i dati degli Utenti Finali:
- —unicamente sulla base delle istruzioni documentate del Titolare, così come risultano dalla configurazione delle funzionalità nella dashboard e dal DPA sottoscritto;
- —per le sole finalità strettamente necessarie all'erogazione del servizio contrattuale;
- —senza alcun rapporto giuridico diretto con gli Utenti Finali e senza determinare autonomamente finalità proprie per il trattamento dei loro dati.
2.2 Dati Personali degli Utenti Finali Trattati
| Categoria di Dati | Fonte | Descrizione |
|---|---|---|
| Dati anagrafici e di contatto | Anagrafica condominiale caricata dal Cliente | Nome, cognome, indirizzo email, numero di telefono, indirizzo di residenza/condominio, unità immobiliare di riferimento. |
| Contenuto testuale delle comunicazioni | Messaggi WhatsApp, email in entrata e in uscita | Il testo libero digitato dall'Utente Finale nella conversazione, comprensivo di eventuali allegati testuali. |
| Contenuto vocale delle comunicazioni | Chiamate telefoniche al centralino AI | La registrazione audio della chiamata e la relativa trascrizione testuale generata dal motore di Speech-To-Text. |
| Metadati di comunicazione | Sistemi di telefonia e messaggistica | Data e ora della comunicazione, durata della chiamata, numero di telefono chiamante, identificativo del canale (WhatsApp, telefono, email). |
| Dati occasionalmente inclusi nel testo libero | Contenuto non strutturato inserito dall'utente | Il testo delle segnalazioni potrebbe occasionalmente contenere dati di natura finanziaria (es. IBAN), codici fiscali o informazioni sanitarie (es. barriere architettoniche per motivi di disabilità). Tali dati non sono sollecitati dalla Piattaforma. |
2.3 Funzionamento dell'Intelligenza Artificiale — Trasparenza
Ai sensi del Regolamento (UE) 2024/1689 (AI Act, Art. 50) e dei principi di trasparenza del GDPR (Artt. 13-14), informiamo che la Piattaforma utilizza sistemi di intelligenza artificiale secondo il flusso di elaborazione di seguito descritto.
2.3.1 Trascrizione e Sintesi Vocale (STT / TTS)
Quando un Utente Finale effettua una chiamata telefonica al centralino configurato dal Cliente:
- —Registrazione audio: la chiamata viene registrata per consentirne l'elaborazione automatizzata.
- —Speech-To-Text (STT): l'audio vocale viene trasmesso in tempo reale al servizio di ElevenLabs Inc. (Sub-Responsabile con sede negli USA), che effettua la trascrizione automatica del parlato in testo.
- —Text-To-Speech (TTS): le risposte generate dall'assistente vocale AI vengono convertite in voce sintetizzata tramite il medesimo servizio di ElevenLabs Inc., producendo la "voce" dell'assistente che l'utente ascolta.
- —Conservazione: la trascrizione testuale viene conservata per la gestione del ticket. L'audio originale viene conservato secondo i tempi indicati alla Sezione 7.
2.3.2 Elaborazione Semantica (LLM)
Il testo ottenuto — sia dalla trascrizione vocale, sia dai messaggi WhatsApp, sia dalle email — viene analizzato tramite i modelli di linguaggio di grandi dimensioni (LLM) forniti dai seguenti Sub-Responsabili:
- —Google Cloud AI (Vertex AI) — Google Ireland Ltd. (infrastruttura EU): per l'elaborazione semantica primaria, la categorizzazione delle richieste e la generazione delle bozze di risposta.
- —Anthropic, PBC — (API Claude, sede USA): per l'analisi semantica avanzata, la classificazione delle segnalazioni e la redazione automatica delle risposte per conto dell'amministratore.
Il sistema di intelligenza artificiale:
- —categorizza la segnalazione per tipologia (es. guasto urgente, richiesta documentale, comunicazione generica) e livello di priorità;
- —prepara una bozza di risposta coerente con i regolamenti condominiali, lo storico e le preferenze configurate dal Cliente;
- —non assume decisioni autonome: ogni azione sostanziale (invio di risposte definitive, attivazione di fornitori, approvazione di interventi) resta sotto il controllo e la supervisione umana dell'Amministratore e dei collaboratori dello Studio, salvo diversa configurazione esplicita del Cliente.
2.3.3 Canali di Comunicazione — Instradamento
| Canale | Fornitore | Ruolo |
|---|---|---|
| Telefonia VoIP | Twilio Inc. / Telnyx Ireland Ltd. | Instradamento delle chiamate telefoniche verso l'assistente vocale AI. Telnyx opera integralmente su infrastruttura europea (EU). |
| WhatsApp Business | Meta Platforms Ireland Ltd. (via Twilio) | Ricezione e invio dei messaggi WhatsApp Business. Meta tratta altresì i metadati di consegna in qualità di titolare autonomo secondo le proprie condizioni di servizio. |
| Provider email del Cliente (Gmail API / Outlook / IMAP) / Resend, Inc. / Brevo (Sendinblue SAS) | Ricezione delle email tramite la casella del Cliente (Gmail, Outlook o IMAP); invio delle risposte e delle notifiche tramite Resend; invio massivo delle comunicazioni di servizio ai condòmini, per conto dell'amministratore, tramite Brevo (infrastruttura UE). |
4. Trasferimenti Internazionali dei Dati
4.1 Localizzazione Primaria dei Dati
I database di produzione della Piattaforma e lo storage primario dei dati risiedono all'interno dell'Unione Europea:
| Componente | Fornitore | Localizzazione |
|---|---|---|
| Database relazionale e vettoriale (PostgreSQL) | Supabase Inc. | Unione Europea |
| Cloud Hosting e Vertex AI | Google Cloud (Google Ireland Ltd.) | Unione Europea (EMEA) |
| Telefonia VoIP (Telnyx) | Telnyx Ireland Ltd. | Unione Europea |
4.2 Trasferimenti verso Paesi Terzi (USA)
Per l'elaborazione attraverso le API di intelligenza artificiale, alcune categorie di dati vengono trasmesse a fornitori con sede negli Stati Uniti d'America. Tali trasferimenti sono presidiati dalle seguenti garanzie, conformi al Capo V del GDPR (Artt. 44-49) e alla giurisprudenza della Corte di Giustizia UE (Schrems II, Causa C-311/18):
| Fornitore | Tipo di Dati Trasferiti | Garanzia di Trasferimento |
|---|---|---|
| Anthropic, PBC | Testo delle comunicazioni (dopo pseudonimizzazione) | Data Privacy Framework (DPF) + Clausole Contrattuali Standard (SCC) |
| ElevenLabs Inc. | Audio vocale (per STT) e testo (per TTS) | Clausole Contrattuali Standard (SCC) |
| Twilio Inc. | Metadati delle chiamate e dei messaggi WhatsApp | Data Privacy Framework (DPF) + Clausole Contrattuali Standard (SCC) |
| Railway Corp. | Dati in transito (webhooks) | Clausole Contrattuali Standard (SCC) |
| Resend, Inc. | Indirizzi email e contenuto delle notifiche (che può includere dati personali degli utenti finali) | Clausole Contrattuali Standard (SCC) |
| Stripe, Inc. | Dati di pagamento dei Clienti | Data Privacy Framework (DPF) + Clausole Contrattuali Standard (SCC) |
Le Clausole Contrattuali Standard (SCC) utilizzate sono quelle adottate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021. Il Data Privacy Framework (DPF) è il quadro di adeguatezza UE-USA riconosciuto dalla Commissione Europea con Decisione di Adeguatezza del 10 luglio 2023.
L'elenco completo e sempre aggiornato dei Sub-Responsabili è disponibile alla pagina: Sub-Responsabili del Trattamento (Subprocessors).
5. Politica "No-Training" — Blindatura dei Dati
StudioAgent S.r.l. dichiara formalmente e garantisce contrattualmente che:
- —Nessun dato personale, trascrizione testuale, email, traccia vocale o qualsiasi altro contenuto generato dagli Utenti Finali o dai Clienti viene utilizzato da StudioAgent per addestrare, migliorare, fare fine-tuning o comunque perfezionare modelli di intelligenza artificiale propri o di terze parti.
- —StudioAgent ha stipulato accordi commerciali vincolanti con ciascuno dei propri fornitori di modelli AI che escludono tassativamente l'utilizzo dei dati dei Clienti per l'addestramento dei modelli: Anthropic, PBC (i dati inviati tramite le API commerciali non sono utilizzati per il training); ElevenLabs Inc. (i dati audio e testuali elaborati tramite le API enterprise non sono utilizzati per il training); Google Cloud (Vertex AI) (i dati elaborati non sono utilizzati per addestrare i modelli fondazionali di Google).
- —I dati degli Utenti Finali vengono elaborati in modalità stateless (senza persistenza) dai modelli LLM: il contenuto della richiesta viene processato, la risposta viene restituita e il prompt non viene conservato dai sistemi del fornitore AI al termine dell'elaborazione.
6. Pseudonimizzazione e Minimizzazione all'Ingresso
In conformità ai principi di Privacy by Design e by Default (Art. 25 GDPR) e di minimizzazione dei dati (Art. 5(1)(c) GDPR), la Piattaforma implementa i seguenti meccanismi automatici prima di trasmettere il contenuto delle comunicazioni alle API dei modelli di intelligenza artificiale esterni:
- —PII Masking / Redaction automatico: algoritmi di riconoscimento e mascheramento dei dati personali identificativi (es. codici fiscali, IBAN, numeri di carte di credito, indirizzi completi). I dati mascherati vengono sostituiti con token non riconducibili all'interessato prima dell'invio all'API LLM.
- —Limitazione al contesto necessario: il prompt inviato al modello AI contiene esclusivamente le informazioni strettamente correlate alla comprensione e alla classificazione della segnalazione condominiale.
- —Segregazione per tenant: ogni istanza dell'assistente AI è logicamente isolata: i dati di un condominio non sono accessibili dall'assistente configurato per un condominio diverso, neppure se gestiti dallo stesso studio.
7. Tempi di Conservazione (Data Retention)
7.1 Durante il Rapporto Contrattuale
| Tipologia di Dati | Periodo di Conservazione |
|---|---|
| Trascrizioni testuali delle comunicazioni e ticket | Per la durata del contratto con il Cliente, accessibili nella dashboard. |
| Registrazioni audio delle chiamate | Conservate per un massimo di 90 (novanta) giorni dalla data della chiamata, salvo diversa configurazione del Cliente o obbligo di legge. |
| Log e metadati delle comunicazioni | Per la durata del contratto, utilizzati per statistiche aggregate e troubleshooting. |
7.2 Alla Cessazione del Contratto (Disdetta o Risoluzione)
| Fase | Azione | Termine |
|---|---|---|
| Periodo di grazia | Il Cliente può esportare o scaricare una copia dei propri dati dalla dashboard. | Entro 30 giorni dalla disdetta. |
| Cancellazione dai sistemi primari | Cancellazione definitiva o pseudonimizzazione irreversibile di tutti i dati personali degli Utenti Finali elaborati per quel tenant dai database di produzione. | Entro 60 giorni dalla cessazione. |
| Cancellazione dai backup di sicurezza | Eliminazione definitiva dai backup cifrati a rotazione, in conformità ai cicli tecnici di retention dei backup. | Entro 180 giorni dalla cessazione. |
Restano fermi i tempi di conservazione più lunghi previsti dalla legge per i dati contabili e fiscali del Cliente (cfr. Sezione 1, § 1.3).
8. Diritti degli Interessati
8.1 Per i Clienti (Amministratori)
In qualità di Titolare del Trattamento dei dati degli Amministratori Clienti, StudioAgent garantisce l'esercizio di tutti i diritti previsti dal GDPR:
| Diritto | Riferimento GDPR | Descrizione |
|---|---|---|
| Accesso | Art. 15 | Ottenere conferma dell'esistenza di un trattamento e riceverne copia dei dati. |
| Rettifica | Art. 16 | Ottenere la correzione di dati inesatti o l'integrazione di dati incompleti. |
| Cancellazione | Art. 17 | Ottenere la cancellazione dei dati, nei limiti previsti dalla legge. |
| Limitazione | Art. 18 | Ottenere la limitazione del trattamento in presenza dei presupposti di legge. |
| Portabilità | Art. 20 | Ricevere i dati in formato strutturato e leggibile da dispositivo automatico. |
| Opposizione | Art. 21 | Opporsi al trattamento basato sul legittimo interesse. |
| Revoca del consenso | Art. 7(3) | Revocare in qualsiasi momento il consenso eventualmente prestato. |
Modalità di esercizio: scrivendo a privacy@studioagent.it o tramite la sezione dedicata nella dashboard.
8.2 Per gli Utenti Finali (Condòmini, Fornitori)
Poiché StudioAgent tratta i dati degli Utenti Finali esclusivamente in qualità di Responsabile del Trattamento, le richieste relative all'esercizio dei diritti (accesso, rettifica, cancellazione, opposizione, portabilità) devono essere rivolte al proprio Amministratore di Condominio, che è il Titolare del Trattamento.
StudioAgent, ricevuta l'istruzione dal Titolare, fornirà al Cliente tutta l'assistenza tecnica e organizzativa necessaria per evadere la richiesta (Art. 28(3)(e) GDPR), inclusa l'esportazione dei dati dell'interessato, la cancellazione selettiva dei messaggi e delle trascrizioni e la rettifica di eventuali dati anagrafici errati.
In ogni caso, l'Utente Finale conserva il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali — Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it.
9. Sicurezza dei Dati
StudioAgent adotta misure tecniche e organizzative conformi all'Art. 32 del GDPR per garantire un livello di sicurezza adeguato al rischio. Il dettaglio completo delle misure implementate è riportato nell'Allegato 2 del Data Processing Agreement (DPA). Le misure comprendono, a titolo esemplificativo e non esaustivo:
- —Cifratura in transito (TLS 1.3) e a riposo (AES-256) di tutti i dati personali;
- —Tenant isolation (segregazione logica multi-tenant) a livello di database e applicazione;
- —Autenticazione forte con supporto nativo alla 2FA;
- —Backup giornalieri cifrati con ridondanza geografica all'interno dell'Unione Europea;
- —Principio del privilegio minimo per l'accesso del personale ai dati in produzione;
- —Vulnerability assessment periodici e audit logging completo.
10. Modifiche alla presente Informativa
StudioAgent si riserva il diritto di modificare o aggiornare la presente Informativa in qualsiasi momento. In caso di modifiche sostanziali, i Clienti saranno informati tramite notifica nella dashboard e/o email con un preavviso di almeno 15 giorni prima dell'entrata in vigore. La versione aggiornata sarà pubblicata su questa pagina con l'indicazione della data di ultimo aggiornamento. L'uso continuato della Piattaforma dopo l'entrata in vigore delle modifiche costituirà accettazione della nuova versione.
11. Contatti
Per qualsiasi domanda, richiesta di chiarimento o esercizio dei diritti relativi al trattamento dei dati personali:
StudioAgent S.r.l.
Sede: Via Martin Lutero 5, 20126 Milano (MI)
P.IVA/C.F.: 14642270962
📧 PEC: studioagent@pec-mail.it
🌐 www.studioagent.it
Informativa redatta ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e dell'Art. 50 del Regolamento (UE) 2024/1689 (AI Act). Data di ultimo aggiornamento: 26 giugno 2026.