Informativa sul Trattamento dei Dati Personali
ex Art. 13 Regolamento UE 2016/679 – GDPR
Versione 1.0 — 9 aprile 2026
Martuccio AI S.r.l.s.
Via Fontevivo 19/F, 19125 La Spezia (SP)
C.F./P.IVA: 01603100114 | PEC: martuccioai@pec.it
Email privacy: info@martuccioai.com
Portale: dep.martuccioai.com
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
Martuccio AI Società a Responsabilità Limitata Semplificata (S.r.l.s.)
Sede legale: Via Fontevivo 19/F, 19125 La Spezia (SP)
C.F./P.IVA: 01603100114 | PEC: martuccioai@pec.it
Email privacy: info@martuccioai.com
Sito istituzionale: martuccioai.com | Portale DEP: dep.martuccioai.com
Il legale rappresentante pro tempore è Martin José Martuccio.
La società è iscritta alla sezione speciale del Registro delle Imprese dedicata alle Startup Innovative ai sensi del D.L. 179/2012, protocollo CCIAA n. 11255/2026 del 02/03/2026.
La società non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendo i presupposti di cui all'Art. 37 GDPR. Il referente interno per le questioni privacy è il legale rappresentante, contattabile all'indirizzo: info@martuccioai.com.
2. Descrizione del Servizio e Ambito di Applicazione
La presente Informativa si applica al trattamento dei dati personali effettuato nell'ambito dell'utilizzo del portale DEP – Digital Employee Platform (di seguito "Piattaforma"), accessibile all'indirizzo dep.martuccioai.com.
DEP è una piattaforma SaaS multi-tenant B2B che consente alle organizzazioni clienti (di seguito "Clienti") di configurare, addestrare e distribuire agenti di intelligenza artificiale ("Dipendenti Digitali") per l'automazione di processi aziendali.
La Piattaforma, nella fase attuale, è accessibile esclusivamente su invito diretto di Martuccio AI S.r.l.s. a referenti aziendali di organizzazioni prospect. Non è previsto accesso pubblico o self-registration.
3. Tipologie di Dati Trattati
3.1 Dati di Registrazione e Accesso
- Nome e cognome dell'utente invitato
- Indirizzo email (aziendale o personale)
- Credenziali di accesso (password in forma crittografata, token di sessione)
- Indirizzo IP e dati di navigazione tecnici
3.2 Dati di Utilizzo della Piattaforma
- Log di sessione e attività sulla Piattaforma
- Configurazioni degli agenti AI create dall'utente
- Contenuti caricati dall'utente nella base di conoscenza (RAG) — inclusi, a titolo esemplificativo, documenti aziendali, polizze, schede prodotto, FAQ
- Storico delle conversazioni tra l'utente e gli agenti AI
- Dati di telemetria aggregati sull'utilizzo delle funzionalità
3.3 Dati di Terzi Eventualmente Inseriti dall'Utente
L'utente potrebbe caricare nella Piattaforma documenti o informazioni contenenti dati personali di terzi (es. dati di clienti dell'organizzazione, dipendenti, contraenti). In tal caso, l'utente e l'organizzazione Cliente agiscono in qualità di Titolare autonomo del trattamento di tali dati di terzi, e Martuccio AI S.r.l.s. agisce in qualità di Responsabile del trattamento ai sensi dell'Art. 28 GDPR. Si rinvia al Data Processing Agreement (DPA) stipulato con l'organizzazione Cliente per la disciplina di questo rapporto.
Avvertenza: Martuccio AI S.r.l.s. non controlla né determina le tipologie di dati che l'utente sceglie di caricare. Si raccomanda vivamente di non caricare dati appartenenti a categorie particolari ex Art. 9 GDPR (dati sanitari, dati relativi a condanne penali, dati biometrici, ecc.) salvo previa valutazione di impatto (DPIA) e adeguata base giuridica.
4. Finalità e Basi Giuridiche del Trattamento
| Finalità | Base Giuridica (Art. 6 GDPR) |
|---|---|
| Erogazione del servizio demo e gestione dell'accesso alla Piattaforma | Art. 6(1)(b) — esecuzione di misure precontrattuali / accordo di demo |
| Comunicazioni operative relative al servizio (supporto, aggiornamenti) | Art. 6(1)(b) — necessità contrattuale |
| Miglioramento della Piattaforma e sviluppo di nuove funzionalità | Art. 6(1)(f) — legittimo interesse del Titolare |
| Adempimento di obblighi di legge (conservazione fiscale, sicurezza) | Art. 6(1)(c) — obbligo legale |
| Sicurezza informatica e prevenzione di abusi | Art. 6(1)(f) — legittimo interesse del Titolare |
| Tracciamento tecnico delle conversazioni AI (log di sistema) | Art. 6(1)(b) / Art. 6(1)(f) — necessità tecnica e miglioramento servizio |
Nota sul legittimo interesse: Il Titolare ha effettuato il bilanciamento di interessi previsto dall'Art. 6(1)(f) GDPR. L'interesse legittimo al miglioramento del servizio e alla sicurezza è proporzionato e non pregiudica in maniera significativa i diritti e le libertà fondamentali degli interessati, tenuto conto del contesto B2B della Piattaforma.
5. Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:
- Dati di accesso e registrazione: per tutta la durata del periodo demo e per i 12 mesi successivi alla sua conclusione, salvo obblighi di legge che richiedano conservazione più lunga.
- Storico conversazioni e contenuti caricati: per tutta la durata del periodo demo. Al termine del periodo demo, l'interessato potrà richiedere la cancellazione anticipata scrivendo a info@martuccioai.com. In assenza di richiesta, i dati saranno conservati per un massimo di 6 mesi dalla conclusione del periodo demo, salvo diverso accordo scritto.
- Log di sistema e telemetria: 90 giorni dalla generazione.
- Dati necessari per adempimenti fiscali/legali: 10 anni dalla relativa operazione, ai sensi della normativa fiscale italiana.
6. Trasferimenti Extra-UE e Sub-Processori
Per l'erogazione del servizio, Martuccio AI S.r.l.s. si avvale dei seguenti sub-responsabili del trattamento (sub-processori), alcuni dei quali situati al di fuori dello Spazio Economico Europeo (SEE):
| Sub-Processore | Servizio | Sede | Garanzia di Trasferimento |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione | USA (server EU disponibili) | SCCs ex Dec. UE 2021/914 + TIA |
| Railway Corp. | Hosting backend | USA | SCCs ex Dec. UE 2021/914 |
| Vercel Inc. | Hosting frontend | USA | SCCs ex Dec. UE 2021/914 |
| Anthropic PBC | Modello LLM (Claude) | USA | SCCs ex Dec. UE 2021/914 |
| OpenAI LLC | Modello LLM (GPT) | USA | SCCs ex Dec. UE 2021/914 |
| Upstash Inc. | Redis cache | USA | SCCs ex Dec. UE 2021/914 |
| Langfuse GmbH | Osservabilità AI, tracing | Germania (UE) | Intra-UE — nessuna garanzia aggiuntiva necessaria |
| Stripe Inc. | Gestione pagamenti | USA | SCCs + EU-US Data Privacy Framework |
I trasferimenti verso operatori extra-SEE avvengono nel rispetto delle garanzie appropriate previste dall'Art. 46 GDPR, mediante Standard Contractual Clauses (SCCs) approvate dalla Commissione europea con Decisione 2021/914/UE.
Nota sui modelli LLM: I contenuti delle conversazioni con gli agenti AI possono essere trasmessi ai provider LLM (Anthropic, OpenAI) per l'elaborazione in tempo reale. Tali provider non utilizzano i dati trasmessi tramite API per addestrare i propri modelli (in base ai rispettivi termini contrattuali API). Si raccomanda all'utente di non inserire nelle conversazioni dati personali non necessari all'attività dimostrata.
7. Sistemi di Intelligenza Artificiale — Disclosure
La Piattaforma DEP si avvale di sistemi di intelligenza artificiale generativa per la produzione di risposte automatizzate. In conformità con l'Art. 50 del Regolamento UE 2024/1689 (AI Act) e in anticipo rispetto alla sua piena applicabilità (2 agosto 2026), Martuccio AI S.r.l.s. informa che:
- Gli agenti AI presenti sulla Piattaforma sono sistemi automatizzati, non persone fisiche.
- Le risposte generate dagli agenti AI sono prodotte da modelli di linguaggio di grandi dimensioni (LLM) e possono contenere imprecisioni, errori o informazioni non aggiornate.
- L'output degli agenti AI non costituisce consulenza professionale di alcun tipo (legale, assicurativa, medica, finanziaria, fiscale o di altro genere).
- È sempre responsabilità dell'utente verificare le informazioni fornite dagli agenti AI prima di adottare decisioni operative o commerciali.
8. Diritti degli Interessati
In qualità di interessato ai sensi degli Artt. 15–22 GDPR, l'utente ha diritto di:
- Accesso (Art. 15): ottenere conferma del trattamento e copia dei dati personali
- Rettifica (Art. 16): far correggere dati inesatti o incompleti
- Cancellazione (Art. 17): richiedere la cancellazione dei propri dati ("diritto all'oblio"), nei casi previsti dalla norma
- Limitazione (Art. 18): richiedere la limitazione del trattamento in determinati casi
- Portabilità (Art. 20): ricevere i dati in formato strutturato e leggibile da macchina
- Opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso (Art. 7(3)): ove il consenso sia la base giuridica, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente
Per esercitare i propri diritti, l'interessato può scrivere a: info@martuccioai.com
Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta (termine prorogabile di ulteriori 60 giorni in caso di particolare complessità, ai sensi dell'Art. 12(3) GDPR).
L'interessato ha altresì il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it
9. Sicurezza dei Dati
Martuccio AI S.r.l.s. adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita, distruzione o divulgazione, tra cui:
- Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256)
- Autenticazione sicura con token JWT e gestione delle sessioni
- Row-Level Security (RLS) a livello database per l'isolamento tra tenant
- API key in formato hash (SHA-256) — mai conservate in chiaro
- Accesso ai sistemi limitato al personale autorizzato
In caso di violazione dei dati personali (data breach) che presenti rischi per i diritti e le libertà degli interessati, Martuccio AI S.r.l.s. notificherà l'Autorità Garante entro 72 ore dalla scoperta, ai sensi dell'Art. 33 GDPR, e informerà gli interessati quando richiesto dall'Art. 34 GDPR.
10. Cookie e Tecnologie di Tracciamento
La Piattaforma DEP utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio (gestione sessione, autenticazione). Non vengono utilizzati cookie di profilazione o tracciamento a fini pubblicitari.
Non è presente un cookie banner in quanto non necessario per i soli cookie tecnici, ai sensi delle Linee Guida del Garante per la protezione dei dati personali del 10 giugno 2021.
11. Modifiche alla Presente Informativa
Il Titolare si riserva di modificare la presente Informativa in qualsiasi momento, con effetto per il futuro. In caso di modifiche sostanziali, gli utenti attivi saranno informati via email all'indirizzo registrato. La versione aggiornata sarà sempre disponibile sul portale dep.martuccioai.com.
12. Legge Applicabile e Foro Competente
La presente Informativa è disciplinata dalla legge italiana e dal Regolamento UE 2016/679 (GDPR).
Per qualsiasi controversia relativa all'interpretazione o all'applicazione della presente Informativa, è competente, in via esclusiva, il Tribunale di La Spezia.