Vai al contenuto

L’AI che legge 200 pagine di capitolato in 30 secondi Scopri

Informativa sulla Privacy

Ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003

Art. 1 — Titolare del trattamento

Il titolare del trattamento dei dati personali è Nesso Labs S.r.l., con sede legale in Via Carlo Cattaneo 3, 25121 Brescia (BS), P.IVA 04754860981.

Email: [email protected]
PEC: [email protected]

Art. 2 — Responsabile della protezione dei dati (DPO)

Nesso Labs S.r.l. ha valutato i presupposti per la nomina del Responsabile della protezione dei dati (DPO) ai sensi dell'art. 37 del Regolamento (UE) 2016/679 e ha concluso che, allo stato attuale, la nomina non è obbligatoria, in quanto il trattamento non rientra nelle fattispecie di cui all'art. 37(1)(b) e (c) GDPR. La valutazione è documentata nel Registro delle Attività di Trattamento. Per qualsiasi questione relativa alla protezione dei dati personali: [email protected].

Art. 3 — Categorie di dati trattati

  • Dati identificativi e di contatto: nome, cognome, email, telefono
  • Dati aziendali: ragione sociale, P.IVA, codice fiscale, codice ATECO, sede legale, dati da Registro Imprese/CCIAA
  • Dati di navigazione e tecnici: indirizzo IP, browser, sistema operativo, pagine visitate, durata sessione, cookie
  • Dati caricati dall'utente: documenti aziendali, certificazioni, attestazioni SOA, bilanci, visure camerali
  • Dati di gare d'appalto: da fonti pubbliche ufficiali (ANAC BDNCP, MePA Consip, PVL ANAC, Gazzetta Ufficiale) ai sensi del D.Lgs. 36/2023
  • Output generati dall'AI: analisi requisiti, scoring A–E, bozze DGUE e dichiarazioni

Art. 4 — Fonti dei dati

  • Forniti direttamente dall'utente in fase di registrazione, configurazione del profilo e utilizzo della piattaforma
  • Raccolti automaticamente tramite log tecnici, cookie e strumenti analytics
  • Fonti pubbliche ufficiali: ANAC BDNCP, MePA (Consip), PVL ANAC, Gazzetta Ufficiale. Dati pubblicati ai sensi del D.Lgs. 36/2023, trattati sulla base del legittimo interesse (art. 6(1)(f) GDPR) per finalità di monitoraggio del mercato degli appalti pubblici

Art. 5 — Finalità e basi giuridiche del trattamento

FinalitàBase giuridicaObbligatorietà
Erogazione del servizio (monitoraggio, analisi AI; compilazione solo su piani legacy)Esecuzione contratto — Art. 6(1)(b)Necessario
Gestione account e autenticazioneEsecuzione contratto — Art. 6(1)(b)Necessario
Fatturazione, pagamenti, adempimenti fiscaliObbligo di legge — Art. 6(1)(c)Obbligatorio
Assistenza clienti e supporto tecnicoEsecuzione contratto — Art. 6(1)(b)Necessario
Prevenzione frodi e sicurezza piattaformaLegittimo interesse — Art. 6(1)(f)Automatico
Analisi aggregata utilizzo e miglioramento servizioLegittimo interesse — Art. 6(1)(f)Facoltativo (opt-out)
Comunicazioni commerciali e newsletterConsenso — Art. 6(1)(a)Facoltativo
Generazione output AI (compilazione — solo piani legacy o prodotto Cato)Esecuzione contratto — Art. 6(1)(b)Necessario per la compilazione (piani legacy / Cato)

Art. 6 — Trattamento mediante intelligenza artificiale

6.1 Funzionalità AI

Avvista utilizza modelli di linguaggio (LLM) forniti da OpenAI e Anthropic per:

  • Analizzare documenti di gara ed estrarre requisiti, scadenze e importi
  • Calcolare uno scoring di rilevanza A–E tra profilo aziendale e gare disponibili
  • Generare bozze di DGUE, dichiarazioni e documentazione amministrativa
  • Profilazione stazioni appaltanti e analisi della concorrenza storica

6.2 Classificazione AI Act

Lo scoring A–E è classificato come sistema AI a rischio limitato ai sensi del Regolamento (UE) 2024/1689 (AI Act). Ha natura consultiva, non produce effetti giuridici né decisioni vincolanti. Non rientra nelle categorie ad alto rischio (Allegato III). Ai sensi dell'art. 50 AI Act, gli utenti sono informati dell'interazione con un sistema AI.

6.3 Supervisione umana

Tutti gli output AI — analisi, scoring, bozze documenti — sono bozze di lavoro indicative che richiedono verifica e approvazione dall'utente prima di qualsiasi utilizzo. Il sistema AI non adotta decisioni autonome con effetti giuridici. La responsabilità per le dichiarazioni rese nel DGUE resta in capo al firmatario ai sensi del DPR 445/2000 (art. 76) e degli artt. 94–98 D.Lgs. 36/2023.

6.4 Addestramento modelli

I dati personali e i documenti caricati non vengono utilizzati per addestrare i modelli AI di OpenAI o Anthropic. L'elaborazione avviene tramite API di inference vincolate da DPA conformi al GDPR. Nesso Labs utilizza esclusivamente dati anonimizzati e aggregati per il miglioramento interno.

Art. 7 — Destinatari dei dati

  • AWS EMEA SARL (Lussemburgo) — infrastruttura cloud, data center UE
  • OpenAI Ireland Ltd — elaborazione AI/LLM tramite API
  • Anthropic PBC (USA) — elaborazione AI/LLM tramite API
  • Mollie B.V. (Paesi Bassi) — gateway pagamenti, soggetta a PSD2
  • Twilio SendGrid — email transazionali
  • PostHog Inc. — analytics di utilizzo
  • Google LLC (Google Analytics 4) — analytics, IP anonymization attiva, aderente EU-US DPF
  • Consulenti, professionisti legali e revisori — soggetti a obbligo di riservatezza

Art. 8 — Trasferimenti di dati extra-UE

Alcuni provider hanno sede negli Stati Uniti (OpenAI, Anthropic, Google, Twilio SendGrid). Il trasferimento è garantito da:

  • Clausole Contrattuali Standard (SCC) — Decisione 2021/914/UE
  • EU-US Data Privacy Framework — Decisione di adeguatezza 10 luglio 2023 (2023/1795). Nesso Labs verifica periodicamente l'iscrizione dei provider al DPF List
  • Per provider non coperti dal DPF: SCC con misure supplementari tecniche e organizzative

I trasferimenti sono documentati nel Registro delle Attività di Trattamento.

Art. 9 — Periodi di conservazione

CategoriaPeriodoBase
Dati contrattuali e fatturazioneDurata contratto + 10 anniArt. 2220 c.c.
Dati accountDurata account + 30 giorniContratto
Log tecnici e accesso12 mesiLegittimo interesse
Dati marketing/newsletterFino a revoca, max 24 mesiConsenso
Output AI (bozze, analisi)Durata account; cancellati su richiestaContratto
Cookie analyticsVedi Cookie PolicyLinee guida Garante 2021

Art. 10 — Diritti dell'interessato

Ai sensi degli artt. 15–22 del Regolamento (UE) 2016/679:

  • Accesso (art. 15) — conferma del trattamento e copia dei dati
  • Rettifica (art. 16) — correzione dati inesatti
  • Cancellazione (art. 17) — diritto all'oblio, salvo obblighi legali
  • Limitazione (art. 18) — sospensione trattamento
  • Portabilità (art. 20) — dati in formato strutturato
  • Opposizione (art. 21) — incluso marketing diretto
  • Revoca del consenso — in qualsiasi momento

Per esercitare i diritti: [email protected]. Risposta entro 30 giorni (prorogabili di 60 in caso di complessità).

Reclamo: Garante per la Protezione dei Dati Personali.

Art. 11 — Decisioni automatizzate (Art. 22 GDPR)

Lo scoring A–E è uno strumento di supporto decisionale consultivo. Non produce effetti giuridici né decisioni vincolanti. L'utente mantiene piena autonomia decisionale. Non è pertanto applicabile l'art. 22 GDPR. È comunque garantito il diritto di contestare lo scoring e richiedere revisione umana a [email protected].

Art. 13 — Modifiche alla presente informativa

Ultimo aggiornamento: 2026-04-06. Modifiche sostanziali comunicate via email con almeno 15 giorni di anticipo. La versione aggiornata sarà pubblicata su questa pagina.