Informativa sul Trattamento dei Dati Personali
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) — Versione 1.4, 27 aprile 2026
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è: Andrea Tagliazucchi, con sede legale in Via dell'Industria 63, 60024 Filottrano (AN), P.IVA 04190090367, indirizzo e-mail: privacy@ilprofai.com (di seguito, il "Titolare").
2. Responsabile della Protezione dei Dati (DPO)
Non è stato nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendo le condizioni previste dall'art. 37 GDPR. Per qualsiasi questione relativa al trattamento dei dati personali, è possibile contattare direttamente il Titolare all'indirizzo e-mail: privacy@ilprofai.com.
3. Definizioni e Ambito di Applicazione
La presente Informativa si applica al trattamento dei dati personali effettuato attraverso la piattaforma web "ProfAI" (di seguito, la "Piattaforma" o il "Servizio"), accessibile all'indirizzo www.ilprofai.com.
ProfAI è una piattaforma di tutoraggio scolastico basata su intelligenza artificiale, destinata a studenti delle scuole superiori. Per gli Studenti minorenni (under 18), il contratto di servizio è sottoscritto dal genitore o tutore legale; gli Studenti maggiorenni possono contrattare direttamente.
4. Categorie di Dati Personali Trattati
4.1 Dati forniti direttamente dall'Utente
- Dati di registrazione: nome, indirizzo e-mail, password (in forma cifrata), mese e anno di nascita, classe/anno scolastico.
- Dati di pagamento: i dati della carta di credito/debito sono trattati direttamente da Stripe, Inc. in qualità di responsabile del trattamento. Il Titolare non ha accesso ai numeri completi delle carte.
4.2 Dati generati dall'utilizzo del Servizio
- Conversazioni didattiche: testi delle sessioni di tutoraggio tra lo studente e il tutor AI, comprensivi di domande, risposte e progressi didattici.
- Immagini degli esercizi: le foto inviate dallo studente vengono elaborate dal modello AI per leggere il testo dell'esercizio. Le immagini non vengono archiviate permanentemente sui nostri server.
- Dati di utilizzo: durata delle sessioni, materie studiate, frequenza d'uso, timestamp delle interazioni.
- Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, dati di log, cookie tecnici.
4.3 Categorie particolari di dati
ProfAI non richiede né tratta intenzionalmente categorie particolari di dati personali (dati sensibili) ai sensi dell'art. 9 GDPR. Qualora lo studente inserisse spontaneamente tali informazioni nelle conversazioni con il tutor AI, questi dati saranno trattati esclusivamente per la finalità di erogazione del servizio didattico e non saranno estratti, profilati o utilizzati per altre finalità.
5. Finalità e Basi Giuridiche del Trattamento
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio di tutoraggio AI | Esecuzione del contratto (art. 6.1.b) | Durata del contratto + 12 mesi |
| Gestione dell'account e autenticazione | Esecuzione del contratto (art. 6.1.b) | Durata del contratto + 30 giorni |
| Fatturazione e adempimenti fiscali (inclusi dati Stripe Customer: email, indirizzo fatturazione, storico pagamenti) | Obbligo legale (art. 6.1.c; DPR 633/1972) | 10 anni dalla data della fattura |
| Log tecnici di sicurezza e diagnostica (Axiom): errori applicativi, anomalie, telemetria operativa contenente identificativi utente | Legittimo interesse (art. 6.1.f) | 30 giorni (auto-cancellazione) |
| Tracciamento errori applicativi (Sentry): stack trace, indirizzo IP, user agent, URL della pagina, sequenza di azioni recenti (breadcrumb), commit di rilascio | Legittimo interesse (art. 6.1.f) | 30 giorni (auto-cancellazione) |
| Miglioramento del servizio (dati anonimizzati) | Legittimo interesse (art. 6.1.f) | Illimitata |
| Assistenza clienti | Esecuzione del contratto (art. 6.1.b) | Durata + 12 mesi |
| Comunicazioni di servizio | Esecuzione del contratto (art. 6.1.b) | Durata del contratto |
| Marketing diretto (con consenso) | Consenso (art. 6.1.a) | Fino a revoca |
6. Trattamento dei Dati di Minori
ProfAI è destinato a studenti delle scuole superiori. Il trattamento dei dati personali dei minori avviene nel rispetto del D.lgs. 101/2018, Art. 2-quinquies, che fissa a 14 anni l'età minima per il consenso digitale autonomo in Italia.
- Studenti sotto i 14 anni: è necessario il consenso del genitore o tutore legale al trattamento dei dati personali, verificato tramite procedura dedicata (email di autorizzazione). Il contratto di servizio è stipulato dal genitore o tutore legale.
- Studenti dai 14 ai 17 anni: il consenso al trattamento dei dati può essere prestato autonomamente dallo Studente. Il contratto di servizio è comunque stipulato dal genitore o tutore legale (art. 1425 c.c.).
- Studenti maggiorenni (18+): il consenso e la sottoscrizione del contratto sono esercitati direttamente dallo Studente.
- Il Titolare verifica l'età dello Studente tramite la data di nascita fornita in fase di registrazione.
Garanzie specifiche per i minorenni: Le conversazioni non vengono utilizzate per profilazione commerciale. Il tutor AI tratta esclusivamente il nome dello Studente, la classe frequentata, la materia selezionata e il contenuto della conversazione in corso; non richiede né elabora altri dati personali (principio di minimizzazione, art. 5.1.c GDPR). Il Titolare non effettua decisioni automatizzate con effetti giuridici (art. 22 GDPR).
7. Responsabili del Trattamento
| Responsabile | Sede | Finalità | Garanzie |
|---|---|---|---|
| Anthropic, PBC | USA | Elaborazione AI (Claude) | SCC; no addestramento |
| Stripe, Inc. | Irlanda (UE) | Pagamenti | PCI-DSS Level 1 |
| Supabase, Inc. | Germania (UE) | Database, autenticazione | Crittografia at-rest |
| Vercel, Inc. | Germania (UE) | Hosting | Edge network EU |
| Upstash, Inc. | Germania (UE) | Caching, rate limiting | Dati in region EU |
| Axiom, Inc. | USA | Log tecnici di sicurezza e diagnostica | SCC; retention 30 giorni |
| Functional Software, Inc. (Sentry) | Germania (UE) | Tracciamento errori applicativi (server e client) | SCC; DPA; EU Data Residency; retention 30 giorni |
| Resend, Inc. | USA | Email transazionali | SCC; DPA |
| Google LLC | USA | Analytics (Google Analytics 4) | SCC; IP anonimizzato |
| Meta Platforms Ireland Ltd. | Irlanda (UE) | Misurazione campagne pubblicitarie (Meta Pixel + Conversion API per Facebook e Instagram). Solo previo consenso esplicito. | DPA Meta; SCC per trasferimenti USA; dati identificativi (email, ID utente) trasmessi in forma cifrata SHA-256 |
| TikTok Information Technologies UK Ltd. | Regno Unito | Misurazione campagne pubblicitarie (TikTok Pixel + Events API). Solo previo consenso esplicito. | DPA TikTok; SCC; UK GDPR adequacy decision; dati identificativi cifrati SHA-256 |
8. Trasferimento dei Dati Extra-UE
I trasferimenti verso Paesi terzi riguardano: Anthropic, PBC (USA) per l'elaborazione delle conversazioni tramite i modelli Claude; Axiom, Inc. (USA) per i log tecnici di sicurezza; Resend, Inc. (USA) per l'invio di email transazionali; Google LLC (USA) per Google Analytics 4; Meta Platforms (parent company USA, sussidiaria irlandese contraente) e TikTok (UK contraente, infrastruttura globale) per le misurazioni di marketing. Tutti i trasferimenti avvengono sulla base di Clausole Contrattuali Standard (SCC) e, ove applicabile, Transfer Impact Assessment (TIA). I dati personali trasmessi a Meta e TikTok sono in forma cifrata SHA-256 (email e ID utente) per ridurre l'esposizione.
9. Diritti dell'Interessato
Ai sensi degli artt. 15–22 del GDPR, l'Utente ha diritto di:
- Accesso (art. 15): ottenere conferma e accedere ai propri dati;
- Rettifica (art. 16): correzione di dati inesatti;
- Cancellazione (art. 17): cancellazione dei dati, salvo obblighi legali;
- Limitazione (art. 18): limitazione del trattamento;
- Portabilità (art. 20): dati in formato strutturato;
- Opposizione (art. 21): opporsi al trattamento;
- Revoca del consenso: in qualsiasi momento.
Per esercitare i propri diritti: privacy@ilprofai.com. Diritto di reclamo presso il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
10. Cookie
ProfAI utilizza cookie tecnici strettamente necessari al funzionamento del servizio (autenticazione, gestione della sessione). Questi cookie non richiedono il consenso dell'utente (art. 122, comma 1, D.lgs. 196/2003).
ProfAI può inoltre utilizzare cookie analitici di terze parti (es. Google Analytics) per analizzare l'utilizzo del servizio in forma aggregata. Tali cookie vengono installati solo previo consenso dell'utente, espresso tramite il banner cookie al primo accesso. Il consenso è revocabile in qualsiasi momento. Non vengono utilizzati cookie di profilazione per finalità pubblicitarie.
ProfAI utilizza un cookie first-party di attribuzione denominato profai_attribution: si tratta di un cookie analitico proprietario (non di terze parti) che consente di capire da quale canale social (Instagram, TikTok, Facebook) è arrivato l'utente al momento della registrazione. Il cookie contiene unicamente: sorgente (nome del canale), nome campagna/post, identificativo del post social e data del primo contatto. Non contiene dati personali, non viene condiviso con terze parti e non viene utilizzato per profilazione pubblicitaria. Durata massima: 30 giorni. Viene cancellato automaticamente dopo la registrazione. Base giuridica: legittimo interesse (art. 6.1.f GDPR) a misurare l'efficacia delle attività di comunicazione proprietarie. L'Utente può cancellare il cookie in qualsiasi momento dalle impostazioni del browser.
ProfAI utilizza inoltre, solo previo consenso esplicito espresso tramite il banner cookie, due cookie di marketing di terze parti:
- Meta Pixel (cookie
_fbp,_fbc): permette di misurare quanti utenti arrivano da Facebook e Instagram. Durata: 90 giorni. Titolare: Meta Platforms Ireland Ltd. (privacy policy). Le informazioni inviate (email e ID utente) sono cifrate SHA-256 prima della trasmissione. - TikTok Pixel (cookie
_ttp,ttclid): permette di misurare quanti utenti arrivano da TikTok. Durata: 13 mesi. Titolare: TikTok Information Technologies UK Ltd. (privacy policy). Anche qui le informazioni utente sono trasmesse cifrate SHA-256.
Base giuridica: consenso (art. 6.1.a GDPR e art. 122 D.lgs. 196/2003). Il consenso è revocabile in qualsiasi momento dalle impostazioni cookie del banner: alla revoca, gli script vengono rimossi e tutti i fire successivi cessano. Le finalità sono esclusivamente di misurazione aggregata dei canali social — non utilizziamo questi pixel per retargeting pubblicitario o per costruire profili individuali.
11. Misure di Sicurezza
- Crittografia in transito (TLS 1.2+) e at-rest
- Hashing password con bcrypt/argon2
- Controllo accessi basato su ruoli (RBAC)
- Monitoraggio e logging degli accessi
- Backup periodici crittografati
- Cap mensili di utilizzo per studente (messaggi ed esercizi interattivi)
12. Conversazioni con il Tutor AI
Le conversazioni vengono archiviate in forma cifrata (Supabase) e inviate ad Anthropic per l'elaborazione. Non vengono utilizzate per profilazione commerciale, pubblicità, cessione a terzi, né per addestramento di modelli AI.
L'Utente può richiedere l'esportazione o la cancellazione completa dello storico in qualsiasi momento. Conservazione: durata abbonamento + 12 mesi.
13. Normativa sull'Intelligenza Artificiale
In conformità al Regolamento (UE) 2024/1689 (AI Act), ProfAI non è classificato come sistema AI ad alto rischio (Allegato III), in quanto non è impiegato per valutazione scolastica, selezione o decisioni con effetti giuridici.
In conformità alla Legge 132/2025 (Legge AI italiana), Art. 4, ProfAI rispetta gli obblighi di trasparenza e informazione per i sistemi AI e le disposizioni sull'accesso dei minori di 14 anni ai sistemi AI.
Il Titolare opera in conformità con il DM 166/2025 del Ministero dell'Istruzione e del Merito, che riconosce il potenziale dell'AI come strumento di supporto alla didattica.
14. Modifiche
Il Titolare si riserva il diritto di modificare la presente Informativa, dandone comunicazione con almeno 30 giorni di preavviso in caso di modifiche sostanziali.
15. Legge Applicabile
La presente Informativa è regolata dalla legge italiana e dal GDPR. Foro competente: Tribunale di Ancona, salvo il foro del consumatore (art. 66-bis D.Lgs. 206/2005).