- Titolare del Trattamento
- Definizioni e Ambito di Applicazione
- Categorie di Dati Trattati
- Finalità e Base Giuridica del Trattamento
- Modalità del Trattamento
- Trasferimento dei Dati Extra-UE
- Sub-Responsabili del Trattamento
- Periodo di Conservazione dei Dati
- Diritti dell'Interessato
- Misure di Sicurezza
- Responsabilità dell'Utente
- Cookie e Tecnologie di Tracciamento
- Modifiche alla Presente Informativa
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
| Ragione sociale | Askéon Capital S.r.l. |
| Sede legale | Via Plana Giovanni 46 — 27058 Voghera (PV) |
| P.IVA / C.F. | 03012030189 |
| privacy@askeon.capital | |
| PEC | askeoncap@legalmail.it |
| Legale rappresentante | Umberto Callegari (Founder & Chairman) |
Per qualsiasi questione relativa al trattamento dei dati, l'Interessato può contattare il Titolare all'indirizzo privacy@askeon.capital.
2. Definizioni e Ambito di Applicazione
2.1 Cos'è un "dato protetto" nel contesto di Pulse
L'Utente di Askéon Pulse carica documenti contabili (bilanci in formato PDF o Excel) che possono contenere diverse categorie di informazioni. È fondamentale distinguere tra:
a) Dati contabili e finanziari dell'impresa
I dati di bilancio (Stato Patrimoniale, Conto Economico, Nota Integrativa) in quanto riferiti a una persona giuridica (società) non costituiscono, di per sé, "dati personali" ai sensi dell'Art. 4(1) GDPR. Tuttavia, nei bilanci delle PMI italiane — in particolare nelle imprese individuali, nelle SNC/SAS e nelle microimprese — i dati finanziari possono essere direttamente riconducibili a una persona fisica identificata o identificabile (il titolare, il socio accomandatario), configurandosi pertanto come dati personali.
b) Dati personali contenuti nei documenti caricati
I bilanci e i documenti correlati (verbali CdA, Nota Integrativa, relazione sulla gestione) contengono regolarmente:
— Nomi e cognomi di amministratori, sindaci, revisori e soci
— Codici fiscali di persone fisiche
— Compensi degli organi di amministrazione e controllo
— Dati relativi ai rapporti con parti correlate (persone fisiche)
— Informazioni su contenziosi che coinvolgono persone fisiche identificate
— Firme digitali o autografe
c) Dati che Pulse NON tratta
Askéon Pulse non è progettato per trattare e non richiede il caricamento di:
— Dati particolari (ex "sensibili") ai sensi dell'Art. 9 GDPR (salute, orientamento, appartenenza sindacale)
— Dati giudiziari ai sensi dell'Art. 10 GDPR
— Dati bancari personali (IBAN, numeri di carta di credito di persone fisiche)
3. Categorie di Dati Trattati
3.1 Dati dell'Utente (Account)
— Nome, cognome, indirizzo email, password (conservata in forma hashata, mai in chiaro)
— Ragione sociale e P.IVA dello studio/società (se forniti)
— Dati di fatturazione gestiti tramite processore di pagamento esterno (Askéon non memorizza dati di carta di credito)
— Log di accesso: indirizzo IP, timestamp, user-agent del browser
3.2 Dati Contenuti nei Bilanci Caricati
— Voci contabili dello Stato Patrimoniale e del Conto Economico (schema CEE)
— Contenuto testuale della Nota Integrativa e della Relazione sulla Gestione
— Dati anagrafici della società analizzata (denominazione, codice ATECO, sede)
— Dati personali incidentalmente presenti (nomi di amministratori, CF, compensi — cfr. Sezione 2.1.b)
3.3 Dati Derivati (Output di Analisi)
— Scoring, rating e dimensioni di analisi
— Report strutturati (IC Memo, Forensic Audit, Nota Integrativa narrativa)
— Risposte dell'AI Advisor basate sui dati del bilancio analizzato
4. Finalità e Base Giuridica del Trattamento
| Finalità | Base giuridica (GDPR) |
|---|---|
| Erogazione del servizio Pulse (analisi bilanci, generazione report) | Art. 6(1)(b) — Esecuzione contrattuale |
| Gestione account, autenticazione, supporto tecnico | Art. 6(1)(b) — Esecuzione contrattuale |
| Fatturazione e adempimenti fiscali | Art. 6(1)(c) — Obbligo legale |
| Miglioramento algoritmi di scoring e qualità dell'analisi | Art. 6(1)(f) — Legittimo interesse del Titolare |
| Comunicazioni commerciali su prodotti Askéon (previo consenso) | Art. 6(1)(a) — Consenso |
| Prevenzione frodi e sicurezza della piattaforma | Art. 6(1)(f) — Legittimo interesse del Titolare |
Legittimo interesse: Il Titolare ha condotto la valutazione di bilanciamento (Legitimate Interest Assessment) per le finalità basate sull'Art. 6(1)(f). Il legittimo interesse consiste nel miglioramento continuo della qualità dell'analisi finanziaria e nella sicurezza della piattaforma. L'Interessato può opporsi in qualsiasi momento (cfr. Sezione 9).
5. Modalità del Trattamento
5.1 Elaborazione dei Dati
I documenti caricati dall'Utente vengono elaborati attraverso un processo automatizzato che include estrazione dei dati contabili, analisi quantitativa e generazione di report. Tutte le comunicazioni avvengono tramite connessioni cifrate. I dati non vengono conservati dai fornitori di servizi esterni oltre il tempo strettamente necessario all'elaborazione.
5.2 Localizzazione dei Dati
I dati sono ospitati su infrastruttura cloud con server localizzati negli Stati Uniti d'America e nell'Unione Europea. I fornitori di servizi infrastrutturali sono selezionati in base a standard di sicurezza riconosciuti a livello internazionale. I pagamenti sono gestiti tramite processore conforme PCI-DSS Level 1. Per i dettagli sul trasferimento extra-UE si rimanda alla Sezione 6.
6. Trasferimento dei Dati Extra-UE
I dati personali trattati da Askéon Pulse vengono trasferiti negli Stati Uniti d'America per le finalità di elaborazione descritte alla Sezione 5. I trasferimenti avvengono nel rispetto del Capo V del GDPR (Artt. 44-49), sulla base delle seguenti garanzie:
a) EU-U.S. Data Privacy Framework (DPF)
Ove i sub-responsabili siano certificati nell'ambito del EU-U.S. Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023), il trasferimento avviene ai sensi dell'Art. 45 GDPR.
b) Clausole Contrattuali Tipo (SCC)
Per i sub-responsabili non coperti dal DPF, il trasferimento è regolato dalle Clausole Contrattuali Tipo adottate con Decisione di Esecuzione (UE) 2021/914 della Commissione, integrate da misure supplementari di natura tecnica (cifratura end-to-end, pseudonimizzazione) e organizzativa.
c) Transfer Impact Assessment
Il Titolare ha condotto una valutazione d'impatto del trasferimento (TIA) in conformità alle Raccomandazioni 01/2020 dell'EDPB. La TIA è disponibile su richiesta all'indirizzo privacy@askeon.capital.
7. Sub-Responsabili del Trattamento
Il Titolare si avvale dei seguenti sub-responsabili ai sensi dell'Art. 28 GDPR:
| Sub-responsabile | Trattamento effettuato |
|---|---|
| Fornitore servizi AI (USA) | Elaborazione AI: estrazione dati da bilanci, generazione report narrativi, AI Advisor. Nessuna retention dei dati oltre la singola richiesta API. |
| Fornitore servizi hosting (USA) | Hosting dell'applicazione web e del database. |
| Fornitore servizi di pagamento (USA) | Gestione pagamenti. Askéon non memorizza dati di carte di credito. Fornitore conforme PCI-DSS Level 1. |
| Fornitore servizi email (USA) | Invio email transazionali (conferme, notifiche). |
8. Periodo di Conservazione dei Dati
| Tipologia | Periodo di conservazione |
|---|---|
| Dati account Utente | Durata del rapporto contrattuale + 10 anni (obblighi fiscali ex Art. 2220 c.c.) |
| Bilanci caricati (PDF/Excel originali) | 90 giorni dalla data di caricamento, salvo diversa indicazione dell'Utente |
| Dati estratti e report generati | Durata dell'abbonamento attivo + 30 giorni, poi cancellazione irreversibile |
| Log di accesso e sicurezza | 6 mesi (Art. 132 D.Lgs. 196/2003) |
| Dati di fatturazione | 10 anni (Art. 2220 c.c., normativa fiscale) |
L'Utente può richiedere la cancellazione anticipata dei propri dati (inclusi bilanci e report) in qualsiasi momento, fatti salvi gli obblighi di conservazione imposti dalla legge.
9. Diritti dell'Interessato
Ai sensi degli Artt. 15-22 del GDPR, l'Interessato ha diritto di:
Accesso (Art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali;
Rettifica (Art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti;
Cancellazione (Art. 17): ottenere la cancellazione dei propri dati, nei limiti previsti dalla legge;
Limitazione (Art. 18): ottenere la limitazione del trattamento nei casi previsti;
Portabilità (Art. 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico;
Opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse, incluso il trattamento per finalità di miglioramento degli algoritmi;
Revoca del consenso (Art. 7): revocare in qualsiasi momento il consenso prestato per le comunicazioni commerciali.
Per esercitare i propri diritti, l'Interessato può inviare richiesta a privacy@askeon.capital. Il Titolare risponderà entro 30 giorni. In caso di mancata o insoddisfacente risposta, l'Interessato ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
10. Misure di Sicurezza
Il Titolare adotta le seguenti misure tecniche e organizzative ai sensi dell'Art. 32 GDPR:
Cifratura in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS con cifratura conforme agli standard di settore;
Cifratura a riposo: i dati memorizzati sono cifrati a riposo;
Autenticazione sicura: le credenziali degli utenti sono conservate in forma non reversibile; le sessioni sono protette con meccanismi anti-contraffazione;
Controllo accessi: segregazione dei dati per utente; ogni utente accede esclusivamente ai propri bilanci e report;
Minimizzazione: Pulse estrae solo le voci contabili necessarie all'analisi finanziaria; i dati personali incidentali non vengono indicizzati né utilizzati per finalità autonome;
Logging e monitoraggio: registrazione degli accessi e delle operazioni critiche per finalità di sicurezza e audit.
11. Responsabilità dell'Utente
11.1 Utente Commercialista / CFO
L'Utente che carica bilanci di propri clienti o della propria società dichiara e garantisce di:
— Essere legittimato al trattamento dei dati contabili caricati sulla piattaforma;
— Aver informato i soggetti i cui dati personali sono contenuti nei documenti caricati circa l'utilizzo di Askéon Pulse come strumento di analisi;
— Non caricare documenti contenenti categorie particolari di dati personali (Art. 9 GDPR) o dati giudiziari (Art. 10 GDPR).
11.2 Rapporto Titolare-Responsabile (DPA)
Quando l'Utente carica bilanci di terzi (es. clienti del proprio studio), l'Utente agisce come Titolare autonomo del trattamento e Askéon Capital agisce come Responsabile del trattamento ai sensi dell'Art. 28 GDPR. L'Accordo sul Trattamento dei Dati (DPA) è integrato nell'Art. 11 dei Termini e Condizioni del Servizio e viene accettato dall'Utente al momento della registrazione alla Piattaforma.
12. Cookie e Tecnologie di Tracciamento
La piattaforma Pulse utilizza esclusivamente:
Cookie tecnici strettamente necessari (sessione, autenticazione): non richiedono consenso ai sensi dell'Art. 122 D.Lgs. 196/2003;
Nessun cookie di profilazione o di terze parti per finalità di marketing.
13. Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate all'Utente tramite email e/o tramite avviso sulla piattaforma almeno 15 giorni prima della loro entrata in vigore. L'uso continuato della piattaforma dopo tale termine costituirà accettazione delle modifiche.