Informativa sulla privacy
Ultimo aggiornamento: aprile 2026
La versione tedesca della presente informativa sulla privacy è giuridicamente vincolante. Questa traduzione è fornita esclusivamente a scopo informativo.
Per Gardeo, la protezione dei tuoi dati personali è il principio fondamentale. La presente informativa sulla privacy ti spiega come raccogliamo, utilizziamo, conserviamo e proteggiamo i tuoi dati quando utilizzi la nostra piattaforma. Gardeo è gestito da Florian Wessels: flossels.ch, una ditta individuale di diritto svizzero, soggetta alla nuova legge federale sulla protezione dei dati (nLPD) e al Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea.
1. Titolare del trattamento
Florian Wessels: flossels.ch
Lorzenparkstrasse 23, 6330 Cham, Svizzera
E-mail: support@gardeo.ai
2. Dati che raccogliamo
2.1 Dati dell'account
Al momento della registrazione raccogliamo il tuo nome, il tuo indirizzo e-mail e la tua preferenza linguistica. Se accedi tramite OAuth, riceviamo il tuo nome e il tuo indirizzo e-mail dal provider di identità. Nessuna password OAuth viene memorizzata sui nostri server.
2.2 Dati di contenuto
I prompt che invii ai modelli di IA, le risposte generate, i documenti caricati, i metadati delle immagini generate e i template. Conserviamo sia le versioni originali sia quelle pseudonimizzate di questi dati. Puoi condividere singole conversazioni tramite un link unico: le conversazioni condivise sono accessibili pubblicamente (in sola lettura) a chiunque possieda il link e mostrano il contenuto dei messaggi e il nome di chi condivide.
2.3 Dati di utilizzo
L'utilizzo dei modelli di IA, il numero di token consumati, la latenza, i costi stimati e le entità di dati personali rilevate. Questi dati vengono utilizzati per la fatturazione, le dashboard e il miglioramento del servizio.
2.4 Dati di fatturazione
Il nome dell'azienda, l'indirizzo di fatturazione, la partita IVA e l'indirizzo e-mail di fatturazione. I dati della carta di credito sono elaborati esclusivamente da Stripe e non vengono mai memorizzati sui nostri server.
2.5 Dati tecnici
I log del server contenenti indirizzi IP, timestamp ed errori. Questi dati vengono conservati per motivi di sicurezza e vengono automaticamente eliminati dopo 30 giorni.
2.6 Dati di ricerca
Quando utilizzi Deep Research o la ricerca web, memorizziamo le query di ricerca, gli URL recuperati, i passaggi di analisi intermedi e i report sintetizzati. Le ricerche web vengono effettuate tramite un motore di metaricerca auto-ospitato e rispettoso della privacy (SearXNG) all'interno della nostra infrastruttura UE: nessun dato di ricerca viene trasmesso direttamente a motori di ricerca esterni.
2.7 Dati Enterprise Search
Quando colleghi fonti di dati di terze parti (come Google Drive, Gmail, Confluence, Notion, Slack, Salesforce, HubSpot o Microsoft 365), indicizziamo titoli, contenuti e metadati dei documenti di tali fonti. Questi dati vengono memorizzati come embedding vettoriali nel nostro database PostgreSQL ospitato nell'UE per la ricerca semantica. I dati indicizzati vengono eliminati quando l'integrazione viene disconnessa.
2.8 Dati di workflow e automazione
Memorizziamo le definizioni dei workflow, la cronologia di esecuzione, le configurazioni dei trigger e i dati di output dei workflow automatizzati. Le definizioni e i risultati dei job batch vengono conservati per la durata del job più 30 giorni. Se configuri dei webhook, i metadati degli eventi (ID documento, stato batch, risultati workflow) vengono inviati ai tuoi URL esterni specificati. I payload dei webhook sono firmati con HMAC-SHA256 e non contengono contenuto dei messaggi né dati personali.
2.9 Dati di feedback e interazione
Valutazioni dei messaggi (utile/non utile), segnalazioni di rilevamento PII, invii di feedback generale, screenshot opzionalmente allegati e informazioni del browser (user agent). Questi dati vengono utilizzati per migliorare la qualità del servizio e l'accuratezza del rilevamento PII.
2.10 Dati di sicurezza e autenticazione
Se attivi l'autenticazione a due fattori (TOTP), memorizziamo i segreti TOTP crittografati e i codici di backup hashati. Gli endpoint di sottoscrizione delle notifiche push vengono memorizzati per le notifiche del browser. Le immagini generate vengono memorizzate in AWS S3 (UE) insieme ai loro metadati.
3. Come utilizziamo i tuoi dati
| Finalità | Base giuridica |
|---|---|
| Fornitura del servizio della piattaforma di IA | Esecuzione del contratto (art. 6, par. 1, lett. B) GDPR) |
| Fatturazione e gestione degli abbonamenti | Esecuzione del contratto (art. 6, par. 1, lett. B) GDPR) |
| Pseudonimizzazione dei dati personali nei tuoi prompt | Interesse legittimo: protezione dei dati (art. 6, par. 1, lett. F) GDPR) |
| Analisi di utilizzo pseudonimizzate (Mixpanel, lato server, solo ID utente) | Interesse legittimo: miglioramento del servizio (art. 6, par. 1, lett. F) GDPR) |
| Notifiche via e-mail (avvisi, riepiloghi) | Esecuzione del contratto / Consenso |
| Monitoraggio degli errori (Sentry) | Interesse legittimo: affidabilità del servizio (art. 6, par. 1, lett. F) GDPR) |
4. Pseudonimizzazione dei dati personali
La pseudonimizzazione automatica è una funzionalità centrale di Gardeo. Prima che i tuoi dati vengano trasmessi ai provider di IA, il nostro motore di protezione dei dati personali (PII Engine), ospitato nell'UE, rileva automaticamente nomi, indirizzi, numeri di telefono, identificativi, dati sanitari e li sostituisce con segnaposto (PERSON_1, ADDRESS_1, ecc.). Solo il testo pseudonimizzato viene inviato ai modelli di IA. Le corrispondenze sono crittografate con AES-256-GCM e hanno una durata di 24 ore.
5. Conservazione e localizzazione dei dati
Tutti i dati vengono conservati e trattati nell'UE (Germania):
- Applicazione: Vercel (Francoforte, UE)
- Database: AWS RDS PostgreSQL (European Sovereign Cloud, Brandeburgo)
- Archiviazione file: AWS S3 (European Sovereign Cloud, Brandeburgo)
- Motore PII: AWS Fargate (European Sovereign Cloud, Brandeburgo)
- Cache: Upstash Redis (Francoforte, UE)
Gardeo è un'azienda svizzera. I tuoi dati sono disciplinati sia dalla nLPD svizzera sia dal GDPR dell'UE.
6. Condivisione dei dati con terzi
6.1 Provider di modelli di IA
I provider di IA ricevono esclusivamente dati pseudonimizzati. Non hanno alcun accesso ai tuoi dati personali originali.
- Anthropic (Claude): USA, SCC
- OpenAI (GPT, DALL-E): USA, SCC
- Google (Gemini): USA, SCC
- Mistral AI (Mistral): UE (Francia)
- xAI (Grok): USA, SCC
- Perplexity (Sonar): USA, SCC
- DeepSeek (DeepSeek)*: Cina, art. 49 GDPR
* I modelli ospitati in Cina sono disponibili solo dopo il tuo consenso esplicito e informato ai sensi dell'art. 49, par. 1, lett. A) GDPR. I dati vengono automaticamente pseudonimizzati prima della trasmissione. La Cina non dispone di una decisione di adeguatezza dell'UE. Le autorità cinesi possono avere accesso legale ai dati trattati in Cina in base alle leggi locali sulla cybersicurezza e sui dati. Con il tuo consenso, riconosci questi rischi.
6.2 Ricerca web
La ricerca web e Deep Research utilizzano SearXNG, un motore di metaricerca rispettoso della privacy ospitato nella nostra infrastruttura UE. Le query di ricerca non vengono trasmesse direttamente ai provider di ricerca esterni. Il contenuto delle pagine web recuperate viene elaborato temporaneamente per l'analisi e non viene conservato permanentemente oltre la sessione di ricerca.
6.3 Provider di infrastruttura
Consulta il nostro accordo sul trattamento dei dati per l'elenco completo dei sub-responsabili.
7. Cookie e tracciamento
Utilizziamo esclusivamente cookie di sessione essenziali per l'autenticazione. Non utilizziamo cookie di tracciamento o pixel pubblicitari. Mixpanel funziona esclusivamente lato server: nessun JavaScript lato client, nessun cookie. Sentry, il nostro strumento di monitoraggio degli errori, funziona lato client per rilevare errori dell'applicazione; non traccia il comportamento degli utenti e non imposta cookie. Puoi disattivare il tracciamento analitico nelle impostazioni del tuo account (art. 21 GDPR).
8. Conservazione dei dati
| Tipo di dati | Durata di conservazione |
|---|---|
| Conversazioni e messaggi | Fino alla cancellazione da parte dell'utente o secondo la politica di conservazione dell'organizzazione |
| Dati di corrispondenza PII | 24 ore (scadenza automatica) |
| Documenti caricati | Fino alla cancellazione da parte dell'utente |
| Log di utilizzo | 12 mesi |
| Log di audit | 24 mesi |
| Log del server | 30 giorni |
| Dati dell'account | Fino alla cancellazione dell'account |
| Sessioni Deep Research | Fino alla cancellazione da parte dell'utente |
| Indice Enterprise Search | Fino alla disconnessione dell'integrazione |
| Cronologia esecuzione workflow | 90 giorni |
| Risultati dei job batch | 30 giorni dopo il completamento |
| Immagini generate | Fino alla cancellazione da parte dell'utente |
| Feedback e segnalazioni PII | 12 mesi |
9. I tuoi diritti
In base al GDPR e alla nLPD hai i seguenti diritti:
- Accesso (art. 15): Puoi richiedere una copia dei tuoi dati tramite l'esportazione nelle impostazioni.
- Rettifica (art. 16): Puoi correggere i dati del tuo profilo nelle impostazioni.
- Cancellazione (art. 17): Puoi eliminare il tuo account e tutti i tuoi dati nelle impostazioni.
- Limitazione del trattamento (art. 18): Puoi richiedere la limitazione del trattamento contattandoci.
- Portabilità (art. 20): Puoi esportare i tuoi dati in formato JSON tramite le impostazioni.
- Opposizione (art. 21): Puoi opporti al trattamento basato sull'interesse legittimo contattandoci.
- Revoca del consenso: Puoi revocare il tuo consenso per i modelli ospitati in Cina in qualsiasi momento nelle impostazioni.
Trasparenza sull'intelligenza artificiale
Gardeo è una piattaforma basata sull'IA. Tutte le risposte testuali sono generate da grandi modelli linguistici (LLM) di vari fornitori. Gardeo non verifica in modo indipendente i contenuti generati dall'IA. Gli utenti dovrebbero verificare le informazioni importanti in modo indipendente. In conformità con l'EU AI Act (art. 52), ti informiamo che stai interagendo con sistemi di IA quando utilizzi le funzioni di chat, analisi documenti e generazione di contenuti.
10. Sicurezza dei dati
- TLS 1.3 per tutti i dati in transito
- Crittografia AES-256-GCM per le corrispondenze PII e le credenziali di integrazione
- Pseudonimizzazione automatica dei dati personali prima di qualsiasi trasmissione al di fuori dell'infrastruttura UE
- Controllo degli accessi basato sui ruoli (OWNER, ADMIN, MEMBER, VIEWER)
- Limitazione dell'ambito delle chiavi API e limitazione della frequenza delle richieste
- Log di audit di tutte le azioni amministrative
- SAML SSO e provisioning SCIM per i clienti enterprise
11. Minori
Il nostro servizio non è destinato a persone di età inferiore a 16 anni. Non raccogliamo consapevolmente dati di minori.
12. Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare la presente informativa sulla privacy. In caso di modifiche sostanziali, gli utenti saranno informati via e-mail. La data dell'ultimo aggiornamento indica la revisione più recente.
13. Contatti
Per domande sulla protezione dei dati, richieste di esercizio dei tuoi diritti o reclami:
E-mail: support@gardeo.ai
Florian Wessels: flossels.ch, Lorzenparkstrasse 23, 6330 Cham, Svizzera
Hai inoltre il diritto di presentare un reclamo a un'autorità di controllo. In Svizzera: l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).