Informativa sul Trattamento dei Dati Personali (ai sensi dell’art. 13 del Regolamento UE 2016/679)
Versione: ArduTutor – Modalità Vetrina/Server Data di ultimo aggiornamento: 24 agosto 2025
La presente informativa descrive le modalità di trattamento dei dati effettuate per mezzo del software ArduTutor (“Software”), erogato in modalità “Server”, in conformità al Regolamento (UE) 2016/679 (“GDPR”). L’architettura del servizio è strutturata in aderenza ai principi di Privacy by Design e Privacy by Default (art. 25 GDPR).
1. Titolare del Trattamento
Il Titolare del Trattamento è Edoardo Salza. Dati di contatto: edoardo.salza@gmail.com
Il Titolare determina le finalità e i mezzi del trattamento dei dati necessari all’erogazione del servizio, agendo in conformità alla normativa vigente in materia di protezione dei dati personali.
2. Oggetto e Finalità del Trattamento
Il trattamento è improntato ai principi di minimizzazione (art. 5, par. 1, lett. c, GDPR) ed è strettamente limitato a quanto necessario per il corretto funzionamento del Software.
A. Tipologie di Dati Trattati
- Dati di Conversazione: Corrispondono ai quesiti testuali (“prompt”) formulati dall’utente e alle conseguenti risposte generate dal sistema (“output”). Il Software è progettato per operare senza trattare dati identificativi diretti; pertanto, l’utente è tenuto a non inserire categorie particolari di dati (art. 9 GDPR) o dati personali di terzi all’interno dei prompt.
- Dati Tecnici di Sessione: Consistono in un identificativo alfanumerico univoco e pseudonimo, generato casualmente all’avvio di ogni sessione. Tale dato non è ricollegabile all’identità dell’interessato né al suo indirizzo IP.
B. Finalità del Trattamento
- Erogazione del servizio (Finalità Principale): I Dati di Conversazione sono trattati al solo fine di processare la richiesta dell’utente e fornirgli una risposta pertinente, secondo la logica di funzionamento di un assistente basato su IA.
- Gestione tecnica della sessione (Finalità Correlata): I Dati Tecnici di Sessione sono utilizzati esclusivamente per garantire la corretta funzionalità tecnica dell’interazione e per distinguere le sessioni attive, non per finalità di profilazione o tracciamento.
3. Base Giuridica e Natura del Conferimento
La base giuridica che legittima il trattamento dei dati sopra descritti è il consenso dell’interessato (art. 6, par. 1, lett. a, GDPR). Tale consenso è manifestato in modo libero, specifico e inequivocabile attraverso un’azione positiva (c.d. opt-in), consistente nell’accettazione esplicita della presente informativa prima dell’avvio dell’interazione con il Software. Il conferimento dei dati è facoltativo ma indispensabile per l’erogazione del servizio.
4. Modalità e Periodo di Conservazione
In ossequio al principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR), i dati sono trattati con un’architettura “stateless”. I Dati di Conversazione e i Dati Tecnici di Sessione sono trattati esclusivamente nella memoria volatile (RAM) del sistema per il tempo strettamente necessario all’elaborazione della singola interazione.
I dati vengono cancellati integralmente e irrimediabilmente al verificarsi della prima tra le seguenti condizioni: a) la chiusura della sessione da parte dell’utente (es. chiusura della scheda del browser); b) il decorrere di un termine di 30 minuti di inattività.
Non è prevista alcuna forma di conservazione o storicizzazione dei dati successiva alla terminazione della sessione.
5. Diritti dell’Interessato
In conformità agli artt. 15-22 del GDPR, l’interessato ha diritto di esercitare i propri diritti. Data la natura del trattamento, si specifica quanto segue:
- Diritto di accesso (art. 15) e di rettifica (art. 16): Sono esercitabili dall’utente in tempo reale durante la sessione attiva, avendo egli pieno controllo sugli input forniti.
- Diritto alla cancellazione (art. 17, “diritto all’oblio”): È garantito by design, poiché la cancellazione è automatica e coeva alla terminazione di ogni sessione, non sussistendo alcuna conservazione ulteriore.
- Diritto di limitazione (art. 18) e di opposizione (art. 21): L’interruzione della sessione da parte dell’utente costituisce di fatto un’opposizione al trattamento e ne determina l’immediata cessazione.
6. Ambito di Comunicazione e Trasferimento dei Dati
Per l’espletamento del servizio, il Titolare comunica i Dati di Conversazione (prompt) a Google LLC, quale fornitore del servizio API Gemini. Google opera, a seconda dei casi specifici disciplinati nei propri termini di servizio, quale Responsabile del Trattamento (ai sensi dell’art. 28 GDPR) o Titolare autonomo.
Il trasferimento non include alcun dato identificativo diretto dell’utente finale, ma unicamente il contenuto testuale del prompt e la chiave API di autenticazione di proprietà del Titolare del Trattamento. L’eventuale trasferimento di dati al di fuori dello Spazio Economico Europeo da parte di Google LLC è disciplinato da idonee garanzie giuridiche (es. Standard Contractual Clauses).
7. Misure di Sicurezza
Il Titolare adotta adeguate misure di sicurezza tecniche e organizzative per garantire un livello di protezione adeguato al rischio, in conformità all’art. 32 del GDPR, tra cui:
- Comunicazione Cifrata: Utilizzo del protocollo TLS/HTTPS per proteggere i dati in transito.
- Assenza di Autenticazione: L’accesso anonimo elimina i rischi associati alla gestione delle credenziali utente.
- Architettura Stateless: La mancata persistenza dei dati costituisce la principale misura di mitigazione del rischio di accessi non autorizzati o data breach.