Informativa sulla Privacy

1. Titolare del Trattamento dei Dati

Nexum S.R.L.S (di seguito "Titolare", "noi", "Nexum" o "Società") è il Titolare del trattamento dei dati personali raccolti attraverso la piattaforma Luma, ai sensi e per gli effetti del Regolamento (UE) 2016/679 (di seguito "GDPR") e del D.Lgs. 196/2003 e s.m.i. (Codice Privacy).

La presente Informativa è resa ai sensi degli artt. 13 e 14 del GDPR a tutti i soggetti che interagiscono con la piattaforma Luma.

2. Definizioni e Ambito di Applicazione

La presente Informativa si applica al trattamento dei dati personali delle seguenti categorie di interessati:

• Utenti Registrati (Clienti): persone fisiche o giuridiche che creano un account sulla piattaforma Luma per configurare e gestire assistenti AI
• Utenti Finali: persone fisiche che interagiscono con gli assistenti AI configurati dagli Utenti Registrati
• Visitatori: soggetti che navigano sul sito web senza effettuare la registrazione

3. Descrizione del Servizio Luma

Luma è una piattaforma Software-as-a-Service (SaaS) che consente agli Utenti Registrati di:

• Creare e configurare assistenti virtuali basati su intelligenza artificiale
• Personalizzare l'aspetto e il comportamento degli assistenti
• Integrare gli assistenti in siti web e applicazioni di terze parti
• Raccogliere e gestire le conversazioni con gli utenti finali
• Configurare form di raccolta dati integrati nelle conversazioni
• Gestire prenotazioni e appuntamenti tramite gli assistenti (piani Standard e Premium)
• Accedere a funzionalità avanzate di knowledge base con tecnologia RAG (piano Premium)

4. Categorie di Dati Personali Trattati

4.1 Dati degli Utenti Registrati

Categoria	Dati Specifici	Natura
Dati identificativi	Nome, cognome (profilo privato) oppure ragione sociale (profilo business), indirizzo email	Obbligatorio
Dati di contatto	Indirizzo completo (via, CAP, città, provincia, paese), numero di telefono	Obbligatorio
Dati fiscali	Codice fiscale (persone fisiche), Partita IVA (aziende)	Obbligatorio per fatturazione
Credenziali di accesso	Indirizzo email, password (memorizzata in forma crittografata con algoritmo bcrypt)	Obbligatorio
Dati di pagamento	Elaborati esclusivamente da Stripe Inc. - Nexum non memorizza dati di carte di credito	Obbligatorio per piani a pagamento

4.2 Dati degli Utenti Finali

Gli Utenti Finali sono le persone che interagiscono con gli assistenti AI configurati dagli Utenti Registrati.

Categoria	Dati Specifici	Note
Contenuto delle conversazioni	Messaggi di testo scambiati con l'assistente AI	Necessario per l'erogazione del servizio
Dati da form	Eventuali dati inseriti nei form configurati dall'Utente Registrato (es. nome, email, telefono)	Variabili in base alla configurazione del singolo assistente
Dati tecnici	User-Agent del browser	Per statistiche aggregate e debug tecnico
Metadati conversazione	Identificativo univoco conversazione (UUID), data e ora, durata, numero messaggi	Generati automaticamente dal sistema

4.3 Dati raccolti automaticamente

• Cookie tecnici di sessione: necessari per il funzionamento dell'autenticazione e la sicurezza (token CSRF)
• Log di sistema: per finalità di sicurezza informatica e debug tecnico

5. Finalità e Base Giuridica del Trattamento

I dati personali sono trattati per le seguenti finalità e sulla base delle seguenti basi giuridiche:

Finalità	Base Giuridica	Riferimento GDPR
Registrazione account e gestione del rapporto contrattuale	Esecuzione di un contratto di cui l'interessato è parte	Art. 6, par. 1, lett. b)
Fornitura dei servizi della piattaforma Luma	Esecuzione contrattuale	Art. 6, par. 1, lett. b)
Elaborazione delle conversazioni tramite AI	Esecuzione contrattuale	Art. 6, par. 1, lett. b)
Gestione pagamenti e abbonamenti	Esecuzione contrattuale	Art. 6, par. 1, lett. b)
Emissione fatture e adempimenti contabili/fiscali	Adempimento di un obbligo legale	Art. 6, par. 1, lett. c)
Gestione richieste di assistenza (ticket di supporto)	Esecuzione contrattuale	Art. 6, par. 1, lett. b)
Sicurezza informatica della piattaforma	Legittimo interesse del Titolare	Art. 6, par. 1, lett. f)
Comunicazioni di servizio (es. scadenze, aggiornamenti)	Esecuzione contrattuale	Art. 6, par. 1, lett. b)
Miglioramento dei servizi (su dati aggregati e anonimizzati)	Legittimo interesse del Titolare	Art. 6, par. 1, lett. f)

5.1 Bilanciamento del Legittimo Interesse

Laddove il trattamento si basa sul legittimo interesse (art. 6, par. 1, lett. f), abbiamo effettuato un bilanciamento tra i nostri interessi legittimi e i diritti e libertà degli interessati:

• Sicurezza informatica: Il nostro interesse a proteggere la piattaforma da accessi non autorizzati, attacchi informatici e frodi prevale, in quanto tale protezione tutela anche i dati degli interessati stessi.
• Miglioramento dei servizi: Il trattamento avviene esclusivamente su dati aggregati e anonimizzati, pertanto non comporta rischi per i diritti degli interessati.

6. Ruoli nel Trattamento dei Dati

6.1 Nexum come Titolare del Trattamento

Nexum agisce in qualità di Titolare del trattamento ai sensi dell'art. 4, n. 7 del GDPR per:

• I dati personali degli Utenti Registrati (account, profilo, dati fiscali, pagamenti)
• I dati tecnici e di sicurezza relativi alla piattaforma
• I dati dei Visitatori del sito web

6.2 Nexum come Responsabile del Trattamento

Quando un Utente Registrato utilizza la piattaforma Luma per raccogliere dati personali dai propri Utenti Finali tramite gli assistenti AI:

• L'Utente Registrato è il Titolare del trattamento per i dati dei propri Utenti Finali
• Nexum agisce come Responsabile del trattamento ai sensi dell'art. 28 del GDPR

I rapporti tra Nexum e l'Utente Registrato, in relazione al trattamento dei dati degli Utenti Finali, sono disciplinati dal Data Processing Agreement (DPA), parte integrante dei Termini e Condizioni del servizio.

7. Destinatari e Comunicazione dei Dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

7.1 Responsabili del Trattamento (art. 28 GDPR)

Nexum si avvale dei seguenti sub-processors (responsabili del trattamento) per l'erogazione del servizio. Con ciascuno di essi è in vigore un Data Processing Agreement (DPA) conforme all'art. 28 GDPR:

Fornitore	Servizio	Sede	Garanzie GDPR	DPA
OVHcloud	Hosting e infrastruttura server	Francia (UE)	Trattamento in UE - GDPR compliant	Incluso nei TOS
Mailgun (Sinch MessageMedia LLC)	Invio email transazionali	USA/UE	SCC + DPF certificato	DPA Mailgun
OpenAI, Inc.	Elaborazione linguaggio naturale (LLM GPT-4)	USA	DPA + SCC (solo API Business)	DPA OpenAI
Anthropic PBC	Elaborazione linguaggio naturale (LLM Claude)	USA	DPA + SCC	Disponibile su richiesta
ElevenLabs, Inc.	Sintesi vocale e conversational AI	USA	DPA + SCC + Zero Retention Mode	DPA ElevenLabs
Stripe, Inc.	Elaborazione pagamenti e gestione abbonamenti	USA/Irlanda	DPF certificato + SCC	DPA Stripe

7.2 Altri Destinatari

• Autorità pubbliche: quando richiesto per obbligo di legge o provvedimento dell'autorità
• Professionisti e consulenti: commercialista, consulente legale (in qualità di soggetti autorizzati al trattamento ex art. 29 GDPR)

8. Trasferimenti di Dati verso Paesi Terzi

Alcuni dei nostri fornitori di servizi (OpenAI, Anthropic, Stripe, Mailgun) hanno sede negli Stati Uniti d'America, paese che non garantisce un livello di protezione dei dati equivalente a quello europeo.

Per i trasferimenti verso paesi terzi, adottiamo le seguenti garanzie ai sensi del Capo V del GDPR:

• EU-US Data Privacy Framework (DPF): per i fornitori certificati presso il Dipartimento del Commercio USA
• Clausole Contrattuali Standard (SCC): approvate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021
• Misure supplementari: crittografia dei dati in transito e a riposo, pseudonimizzazione ove applicabile, valutazione d'impatto del trasferimento (TIA)

9. Periodi di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR):

Categoria di Dati	Periodo di Conservazione	Motivazione
Dati account Utente Registrato	Durata del rapporto contrattuale + 10 anni	Prescrizione ordinaria ex art. 2946 c.c.
Documenti fiscali e fatture	10 anni dalla data di emissione	Art. 2220 c.c., DPR 600/73, DPR 633/72
Conversazioni AI (Utenti Finali)	12 mesi dalla data di creazione	Necessità operative del servizio
Dati form submission	12 mesi dalla raccolta	Necessità operative del servizio
Log di sistema	12 mesi	Sicurezza informatica e debug
Ticket di supporto	3 anni dalla chiusura	Gestione contestazioni e assistenza
Token di reset password	24 ore dalla generazione	Sicurezza

Decorsi i termini di conservazione, i dati vengono cancellati in modo sicuro o anonimizzati in forma irreversibile.

10. Processo Decisionale Automatizzato e Profilazione

Gli assistenti AI elaborano i messaggi degli Utenti Finali attraverso modelli di linguaggio (LLM) per generare risposte pertinenti.

10.1 Natura del trattamento automatizzato

• Le risposte degli assistenti AI sono generate automaticamente sulla base del contesto della conversazione e delle istruzioni configurate dall'Utente Registrato
• Il sistema può effettuare operazioni automatizzate quali: prenotazioni, raccolta dati tramite form, invio di informazioni preconfigurate

10.2 Assenza di profilazione

Nexum non effettua profilazione degli Utenti Finali ai sensi dell'art. 4, n. 4 del GDPR. I dati delle conversazioni non vengono utilizzati per:

• Analizzare o prevedere aspetti personali
• Creare profili comportamentali
• Addestrare modelli di intelligenza artificiale
• Finalità di marketing diretto da parte di Nexum

11. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di:

Diritto	Descrizione	Riferimento
Accesso	Ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati	Art. 15 GDPR
Rettifica	Ottenere la correzione di dati inesatti o l'integrazione di dati incompleti	Art. 16 GDPR
Cancellazione	Ottenere la cancellazione dei dati ("diritto all'oblio") nei casi previsti	Art. 17 GDPR
Limitazione	Ottenere la limitazione del trattamento nei casi previsti	Art. 18 GDPR
Portabilità	Ricevere i dati in formato strutturato e trasmetterli a un altro titolare	Art. 20 GDPR
Opposizione	Opporsi al trattamento basato su legittimo interesse	Art. 21 GDPR
Revoca del consenso	Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente	Art. 7, par. 3 GDPR

11.1 Come esercitare i diritti

L'interessato può esercitare i propri diritti:

• Inviando una richiesta scritta a nexum.gaeta@gmail.com
• Tramite PEC a nexumgaetasrls@pec.it
• Tramite le funzionalità self-service disponibili nell'area riservata della piattaforma

Il Titolare fornirà riscontro entro 30 giorni dal ricevimento della richiesta, prorogabili di ulteriori 60 giorni in casi di particolare complessità, previa comunicazione all'interessato.

11.2 Diritto di proporre reclamo

L'interessato ha sempre il diritto di proporre reclamo all'Autorità di controllo competente:

12. Misure di Sicurezza

In conformità all'art. 32 del GDPR, Nexum adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio:

12.1 Misure tecniche

• Crittografia delle comunicazioni con protocollo TLS 1.2/1.3
• Crittografia delle password con algoritmo bcrypt (hashing con salt)
• Controllo degli accessi basato su ruoli (RBAC)
• Autenticazione con requisiti di complessità della password (minimo 8 caratteri, maiuscole, minuscole, numeri, caratteri speciali)
• Protezione contro attacchi CSRF, XSS, SQL Injection
• Backup giornalieri con crittografia
• Isolamento dei servizi tramite containerizzazione (Docker)
• Firewall e sistemi di monitoraggio

12.2 Misure organizzative

• Principio del minimo privilegio: accesso ai dati limitato al personale strettamente necessario
• Accordi di riservatezza con tutto il personale e i collaboratori
• Procedure documentate di gestione degli incidenti di sicurezza
• Registro delle attività di trattamento ex art. 30 GDPR

13. Utilizzo di Cookie

La piattaforma Luma utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio:

• Cookie di sessione: per gestire l'autenticazione dell'utente
• Cookie di sicurezza: per la protezione CSRF (Cross-Site Request Forgery)

Non utilizziamo cookie di profilazione, cookie analitici di terze parti né cookie per finalità di marketing.

I cookie tecnici non richiedono il consenso dell'interessato ai sensi dell'art. 122, comma 1, del D.Lgs. 196/2003 e del Provvedimento del Garante n. 229 dell'8 maggio 2014.

14. Età Minima

I servizi della piattaforma Luma sono destinati esclusivamente a persone che abbiano compiuto 18 anni di età.

Effettuando la registrazione, l'utente dichiara e garantisce di essere maggiorenne. Nexum non raccoglie consapevolmente dati personali di minori. Qualora venissimo a conoscenza di aver raccolto dati di un minore senza il consenso verificabile del genitore o tutore, provvederemo alla cancellazione tempestiva di tali dati.

15. Modifiche all'Informativa Privacy

Nexum si riserva il diritto di modificare, aggiornare o integrare la presente Informativa in qualsiasi momento, in conformità alla normativa vigente.

In caso di modifiche sostanziali:

• La nuova versione sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento
• Gli Utenti Registrati riceveranno comunicazione via email
• Ove le modifiche richiedano un nuovo consenso, questo sarà richiesto espressamente

Si invita l'utente a consultare periodicamente questa pagina per prendere visione dell'Informativa aggiornata.

16. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati personali o per l'esercizio dei diritti di cui all'art. 11 della presente Informativa: