In vigore dal: 18 maggio 2026 Titolare del trattamento: Ovysion Technologies Ltd, società registrata in Inghilterra e Galles con numero di registrazione [NUMERO REGISTRAZIONE], sede legale [INDIRIZZO SEDE LEGALE]. Registrazione ICO: [NUMERO ICO]. Contatto per le questioni privacy: privacy@ovysion.com
Questa informativa è una bozza seria che deve essere rivista da un legale prima della pubblicazione. Le voci tra parentesi quadre devono essere compilate con i valori reali. I sub-processor indicati possono cambiare nel tempo — la versione live dell'informativa va mantenuta aggiornata.
1. Su questa informativa
La presente informativa descrive come Ovysion Technologies Ltd ("Ovysion", "noi") tratta i dati personali quando lei visita ovysion.com o delia.ovysion.com, quando interagisce con l'assistente vocale Delia sul nostro sito o sui siti dei nostri clienti, e quando entra in contatto con noi come cliente business o prospect.
Se lei è un cliente finale che parla con Delia sul sito di un'azienda (per esempio, il sito di un hotel o di una clinica estetica), nella maggior parte dei casi:
- L'azienda del cui sito si tratta è il titolare del trattamento — decide essa stessa perché e come la sua conversazione viene trattata.
- Ovysion è il responsabile del trattamento, e agisce secondo le istruzioni dell'azienda.
In questa situazione, l'informativa che sta leggendo descrive ugualmente cosa facciamo con i suoi dati, ma il titolare principale a cui rivolgere le richieste di esercizio dei diritti è l'azienda che gestisce il sito. Quando Ovysion agisce come titolare (per esempio, quando lei visita i nostri siti o entra direttamente in contatto con noi), la presente informativa si applica direttamente.
2. Chi siamo e come contattarci
Ovysion Technologies Ltd è un'azienda AI con sede nel Regno Unito che costruisce sistemi vocali e di automazione per aziende customer-facing in tutto il mondo. Abbiamo sede in [INDIRIZZO SEDE LEGALE] e siamo registrati presso l'Information Commissioner's Office del Regno Unito con il numero [NUMERO ICO].
Per qualsiasi questione privacy — domande, esercizio dei diritti, reclami — può scriverci a privacy@ovysion.com o per posta alla sede legale sopra indicata. Cerchiamo di rispondere entro 14 giorni; risponderemo comunque entro un mese al massimo, come previsto dall'art. 12(3) del GDPR.
Non abbiamo designato un Responsabile della Protezione dei Dati (DPO) perché il nostro trattamento non rientra nelle soglie previste dall'art. 37 del GDPR. Abbiamo nominato un referente interno per la privacy, raggiungibile all'indirizzo sopra indicato.
3. Quali dati raccogliamo, perché e su quale base giuridica
3.1 Quando visita ovysion.com o delia.ovysion.com
| Dato | Finalità | Base giuridica (art. 6 GDPR) | Conservazione |
|---|---|---|---|
| Indirizzo IP, tipo di browser, dispositivo, pagine visitate, referrer | Funzionamento tecnico, sicurezza, prevenzione abusi | Legittimo interesse (6(1)(f)) — gestire e proteggere il nostro sito | 90 giorni nei log del server |
| Registrazione del consenso ai cookie | Prova del consenso e per onorare la sua scelta | Obbligo legale (6(1)(c)) — la normativa ePrivacy/Codice Privacy ci impone di conservare questa registrazione | 12 mesi dall'ultima interazione |
| Eventi di analytics (se acconsente) | Capire come viene usato il sito per migliorarlo | Consenso (6(1)(a)) | 26 mesi |
Non usiamo cookie di marketing e non vendiamo dati a inserzionisti pubblicitari.
3.2 Quando parla con Delia (l'assistente nell'angolo di ovysion.com)
| Dato | Finalità | Base giuridica | Conservazione |
|---|---|---|---|
| Audio della sua parte di conversazione | Per rispondere alla sua domanda con un'AI vocale | Consenso (6(1)(a)) — viene prestato tramite la finestra di disclosure AI prima dell'inizio della chiamata | 30 giorni per l'audio, poi cancellato |
| Trascrizione dell'intera conversazione | Stessa finalità; utilizziamo le trascrizioni anche per individuare lacune nel sistema | Consenso e legittimo interesse per la qualità | 12 mesi |
| Nome, email, telefono, contesto aziendale (se li fornisce) | Per ricontattarla in merito alla sua richiesta | Consenso (6(1)(a)) | Fino a sua richiesta di cancellazione, o 24 mesi di inattività |
Le chiamate demo hanno un limite di 90 secondi. La finestra di disclosure AI la informa, prima dell'inizio della chiamata, che il microfono sarà attivo, che l'audio è registrato, che è trattato da servizi AI e qual è il periodo di conservazione. Può terminare la chiamata in qualsiasi momento.
3.3 Quando ci contatta come cliente business o prospect
| Dato | Finalità | Base giuridica | Conservazione |
|---|---|---|---|
| Suo nome, email di lavoro, datore di lavoro, ruolo | Rispondere alla sua richiesta; gestione del rapporto | Legittimo interesse (6(1)(f)) per le comunicazioni con i prospect; esecuzione del contratto (6(1)(b)) una volta divenuto cliente | 36 mesi dall'ultima interazione (prospect); durata del contratto + 10 anni (clienti, per obblighi fiscali italiani) |
| Note delle conversazioni commerciali | Gestione della pipeline, storico clienti | Legittimo interesse | Come sopra |
| Dati di fatturazione (ragione sociale, indirizzo, partita IVA, codice destinatario SdI, ultime 4 cifre del metodo di pagamento) | Emissione fatture, adempimenti fiscali | Esecuzione del contratto (6(1)(b)) e obbligo legale (6(1)(c)) per le scritture contabili | 10 anni (conservazione documenti fiscali ai sensi del DPR 600/1973) |
3.4 Quando usa Delia sul sito di un nostro cliente
In questa situazione agiamo come responsabili del trattamento per il cliente (l'azienda del cui sito si tratta). Trattiamo la conversazione secondo le istruzioni del cliente e nell'ambito del nostro Contratto di Trattamento dei Dati con essa. Le categorie e i tempi di conservazione sono in genere identici a quelli della sezione 3.2, ma il titolare che li decide è l'azienda, non Ovysion. Diriga le richieste di esercizio dei diritti prima a quell'azienda; noi la supporteremo nel risponderle.
Non utilizziamo le conversazioni dei clienti finali per addestrare i nostri modelli AI. I sub-processor (si veda la sezione 5) hanno proprie politiche sull'addestramento — laddove tale opzione sia disponibile, contrattualizziamo con loro la conferma che i dati dei clienti non sono utilizzati per addestrare i loro modelli fondazionali.
3.5 Categorie particolari di dati
Non sollecitiamo categorie particolari di dati (dati sulla salute, dati biometrici inclusi i voiceprint, convinzioni religiose, ecc.). Alcuni deployment di Delia (es. siti di cliniche estetiche) possono ricevere incidentalmente informazioni sulla salute dai clienti finali (es. menzioni di patologie). In quei deployment:
- La clinica, in qualità di titolare, ha la propria base giuridica ex art. 9 (di norma art. 9(2)(h) — erogazione di prestazioni sanitarie).
- Noi trattiamo questi dati solo secondo le istruzioni della clinica e nell'ambito del nostro DPA.
- Non utilizziamo tali contenuti per alcuna finalità ulteriore.
Non creiamo voiceprint biometrici. L'audio è trattato come dato personale ordinario, non come dato biometrico, perché non estraiamo né archiviamo caratteristiche al fine di identificare univocamente una persona fisica.
4. Cookie e tecnologie analoghe
I nostri siti usano un piccolo insieme di cookie e tecnologie analoghe, che rientrano in tre categorie: strettamente necessari, funzionali e analytics. L'elenco completo e le scelte a sua disposizione sono nella nostra Cookie Policy. Può revocare o modificare il consenso in qualsiasi momento dai controlli cookie accessibili dal footer di ogni pagina.
Non utilizziamo cookie pubblicitari o di tracciamento, e non condividiamo dati con network pubblicitari.
5. Sub-processor e destinatari
Per il funzionamento di Delia e della nostra infrastruttura, ci avvaliamo dei seguenti sub-processor. Essi trattano i dati personali solo secondo nostre istruzioni scritte e non possono utilizzarli per finalità proprie (fatta salva l'informativa di ciascun fornitore per eventuali utilizzi residuali in forma aggregata):
| Sub-processor | Ruolo | Region | Meccanismo di trasferimento |
|---|---|---|---|
| Vapi Inc. | Orchestrazione vocale (infrastruttura di chiamata real-time) | Stati Uniti, con routing UE ove disponibile | UK IDTA + Clausole Contrattuali Standard UE (modulo titolare-responsabile) |
| OpenAI Ireland Ltd / OpenAI LLC | Inferenza LLM per la generazione delle conversazioni | UE e Stati Uniti | UK IDTA + Clausole Contrattuali Standard UE; OpenAI dichiara zero retention sull'uso API |
| Anthropic PBC | Inferenza LLM (provider alternativo) | Stati Uniti | UK IDTA + Clausole Contrattuali Standard UE |
| ElevenLabs Inc. | Sintesi vocale text-to-speech | Stati Uniti | UK IDTA + Clausole Contrattuali Standard UE |
| Deepgram Inc. | Trascrizione speech-to-text | Stati Uniti | UK IDTA + Clausole Contrattuali Standard UE |
| Hostinger International Ltd | Hosting applicativo e database Postgres | Lituania (UE) | UE — nessun meccanismo di trasferimento richiesto |
| Stripe Payments Europe Ltd | Fatturazione abbonamenti per i nostri clienti business | Irlanda (UE) primario, infrastruttura USA per copertura globale | UE primario; Clausole Contrattuali Standard per fallback USA |
| Google Workspace (Google Ireland Ltd) | Email interne e collaborazione documentale | UE e USA | UE primario; Clausole Contrattuali Standard e UK IDTA per l'infrastruttura USA |
Rivediamo questa lista trimestralmente e la aggiorniamo qui quando i sub-processor cambiano. I clienti business sottoscritti al DPA possono iscriversi per ricevere notifica dei cambi di sub-processor con 30 giorni di anticipo — si veda l'Allegato III del DPA per la procedura operativa.
Non vendiamo dati personali a nessuno. Comunichiamo dati personali al di fuori di questa lista solo:
- Ai nostri consulenti professionali (avvocati, commercialisti) sotto i loro obblighi di riservatezza professionale.
- Ove richiesto dalla legge (es. ordine giudiziario o richiesta valida di un'autorità).
- Nell'eventualità di un'operazione societaria (fusione, acquisizione, cessione di azienda), all'entità acquirente sotto vincolo di riservatezza.
6. Trasferimenti internazionali
Poiché alcuni nostri sub-processor sono ubicati negli Stati Uniti, una parte dei dati personali è trasferita al di fuori del Regno Unito e dello SEE. Tuteliamo questi trasferimenti tramite:
- Le Clausole Contrattuali Standard UE (Decisione di Esecuzione (UE) 2021/914 della Commissione) come meccanismo primario per i trasferimenti di origine UE; e
- L'UK International Data Transfer Addendum (IDTA) emanato dall'ICO, allegato alle SCC, per i trasferimenti di origine britannica.
Abbiamo condotto valutazioni d'impatto sui trasferimenti per ciascun sub-processor statunitense e implementato misure supplementari (cifratura in transito e a riposo, pseudonimizzazione ove applicabile, restrizioni contrattuali sulle richieste di accesso governativo, impegni di non-training).
Una copia delle Clausole Contrattuali Standard è disponibile su richiesta a privacy@ovysion.com.
7. Per quanto tempo conserviamo i dati
I tempi di conservazione specifici sono indicati nella sezione 3. In sintesi:
- Registrazioni audio: 30 giorni, poi cancellate. Le chiamate demo su delia.ovysion.com seguono lo stesso periodo.
- Trascrizioni: 12 mesi per le nostre conversazioni demo; per i deployment dei clienti, deciso dal cliente (di norma 12-24 mesi).
- Dati lead e CRM: 36 mesi dall'ultima interazione.
- Registrazioni contabili: 10 anni (conservazione fiscale ai sensi della normativa italiana).
- Log del server: 90 giorni.
- Registrazioni del consenso ai cookie: 12 mesi dall'ultima interazione.
Al termine del periodo di conservazione, i dati vengono cancellati o anonimizzati. Quando i dati sono in backup cifrato, la cancellazione avviene entro 30 giorni dalla cancellazione nei sistemi live ed è documentata.
8. I suoi diritti
Ai sensi del GDPR e del Codice Privacy italiano (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018), lei ha i seguenti diritti:
- Accesso: a una copia dei dati personali che la riguardano.
- Rettifica: di chiederci di correggere dati inesatti.
- Cancellazione ("diritto all'oblio"): di chiederci di cancellare i suoi dati (fatte salve alcune eccezioni, come la conservazione richiesta dalla normativa fiscale).
- Limitazione: di chiederci di limitare l'uso dei suoi dati mentre si risolve una contestazione.
- Portabilità: di ricevere i suoi dati in un formato strutturato e leggibile da dispositivo automatico e di trasmetterli ad altri.
- Opposizione: di opporsi al trattamento basato su nostro legittimo interesse; rivaluteremo e o ci fermeremo o spiegheremo perché riteniamo prevalente il nostro interesse.
- Revoca del consenso: ove il trattamento si basi sul consenso (es. registrazione di una conversazione vocale), può revocarlo in qualsiasi momento. La revoca non pregiudica i trattamenti effettuati prima della revoca.
- Reclamo: al Garante per la protezione dei dati personali (www.gpdp.it) per i residenti in Italia, o all'Information Commissioner's Office del Regno Unito (ico.org.uk). Naturalmente, preferiamo che si rivolga prima a noi.
Per esercitare uno qualsiasi di questi diritti, scriva a privacy@ovysion.com. Potremmo aver bisogno di confermare la sua identità prima di rispondere (per esempio, chiedendole di rispondere dall'indirizzo email che abbiamo in archivio).
9. Decisioni automatizzate
Delia è un sistema di intelligenza artificiale. Quando interagisce con lei, le risposte che riceve sono generate automaticamente da modelli linguistici di grandi dimensioni. Tuttavia, Delia non assume autonomamente decisioni che producano effetti giuridici significativi su di lei — risponde a domande, fornisce informazioni e, dove configurata, prenota appuntamenti. Qualsiasi decisione che la coinvolga giuridicamente (es. approvazione di un trattamento, accettazione di un'offerta immobiliare) è presa dall'azienda umana che gestisce il sito.
Se desidera contestare un output specifico di Delia, scriva all'azienda del cui sito si tratta (è quella il titolare), o a noi a privacy@ovysion.com.
10. Sicurezza
Implementiamo misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui cifratura in transito (TLS 1.2+), cifratura a riposo, controlli di accesso basati sul principio del privilegio minimo, autenticazione a più fattori per tutti gli accessi amministrativi, separazione dei ruoli, revisione periodica dei log di accesso, scansione di vulnerabilità e procedure di risposta agli incidenti.
In caso di violazione di dati personali che possa comportare un rischio per i suoi diritti e libertà, notificheremo il Garante entro 72 ore e, ove il rischio sia elevato, comunicheremo la violazione agli interessati senza ingiustificato ritardo.
11. Minori
I nostri servizi non sono diretti ai minori di 16 anni e non raccogliamo consapevolmente i loro dati personali. Se ritiene che un minore ci abbia fornito dati personali, contatti privacy@ovysion.com e provvederemo alla cancellazione.
12. Modifiche a questa informativa
Possiamo aggiornare questa informativa con l'evolvere dei nostri servizi o della normativa. La data "In vigore dal" in cima riflette la data dell'ultima modifica. Le modifiche sostanziali saranno segnalate sul nostro sito per 30 giorni prima della loro entrata in vigore, e i clienti business esistenti saranno avvisati via email.
Un registro delle modifiche è mantenuto all'indirizzo /privacy/changelog.
13. Specifiche per i residenti in Italia
Oltre ai diritti sopra elencati:
- Può presentare reclamo al Garante per la protezione dei dati personali all'indirizzo www.gpdp.it.
- Le richieste in italiano possono essere inviate a privacy@ovysion.com in italiano; risponderemo in italiano.
- Per i clienti business basati in Italia, la nostra fatturazione rispetta i requisiti italiani di fatturazione elettronica; i dati di fatturazione sono trasmessi al Sistema di Interscambio (SdI) dell'Agenzia delle Entrate come richiesto dalla normativa italiana.
- Si applicano il Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e i Provvedimenti del Garante in materia di trattamenti elettronici, ove applicabili.