Privacy Policy
Vendus by Agentibus OÜ
Ultimo aggiornamento: 10 marzo 2026
Titolare del trattamento:
Agentibus OÜ (codice registro 17226791)
Harju maakond, Tallinn, Kesklinna linnaosa, Järvevana tee 9, 11314, Estonia
Email: info@agentibus.ai
Telefono: +372 5648 4014 · +39 392 676 2590
1. Introduzione
La presente Privacy Policy descrive come Agentibus OÜ ("noi", "nostro") raccoglie, utilizza, conserva e protegge i dati personali degli utenti ("Lei", "interessato") attraverso la piattaforma Vendus e i servizi correlati, incluse le interazioni via WhatsApp Business API.
Vendus è una piattaforma di qualificazione lead e prenotazione appuntamenti basata su intelligenza artificiale. Utilizziamo sistemi di AI per gestire conversazioni WhatsApp con i lead dei nostri clienti (di seguito "tenant"), qualificarli e proporre appuntamenti.
Questa informativa è redatta ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e dell'art. 50 del Regolamento (UE) 2024/1689 (AI Act).
2. Categorie di interessati
Trattiamo dati personali di due categorie di interessati:
- Lead: persone che hanno compilato un modulo Meta Lead Ads o un web form di un nostro cliente, e che interagiscono con il sistema via WhatsApp
- Utenti dashboard: operatori e amministratori che accedono alla piattaforma Vendus per gestire lead e configurare il servizio
3. Categorie di dati personali raccolti
3.1 Dati dei lead
| Categoria | Dati | Fonte |
|---|---|---|
| Dati identificativi | Nome, cognome | Modulo Meta Lead Ads / web form |
| Dati di contatto | Numero WhatsApp, email | Modulo Meta Lead Ads / web form |
| Contenuto conversazioni | Messaggi di testo inviati e ricevuti via WhatsApp | WhatsApp Business API |
| Messaggi vocali | Trascrizione testuale di messaggi vocali | Elaborazione automatica tramite OpenAI Whisper |
| Immagini | Descrizione testuale di immagini inviate | Elaborazione automatica tramite modelli AI |
| Dati derivati | Punteggio di qualificazione (0-100), data/ora appuntamento | Generati dal sistema AI |
| Dati di consenso | Timestamp del consenso, fonte del consenso | Registrati alla creazione del lead |
| Campi personalizzati | Campi aggiuntivi configurati dal tenant (es. città, interesse) | Modulo Meta Lead Ads |
3.2 Dati degli utenti dashboard
| Categoria | Dati | Fonte |
|---|---|---|
| Dati di accesso | Email, username, password (hash bcrypt) | Registrazione |
| Dati di sessione | Indirizzo IP, browser, sistema operativo | Accesso alla piattaforma |
| Dati analitici | Interazioni con la dashboard | FullStory (solo con consenso esplicito) |
4. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Rif. GDPR |
|---|---|---|
| Gestione delle conversazioni WhatsApp con i lead tramite AI | Legittimo interesse del tenant a contattare lead che hanno espresso interesse compilando un modulo | Art. 6(1)(f) |
| Qualificazione automatica dei lead (scoring 0-100) | Legittimo interesse con supervisione umana disponibile (modalità hybrid) | Art. 6(1)(f) |
| Proposta e gestione appuntamenti | Esecuzione di misure precontrattuali su richiesta dell'interessato | Art. 6(1)(b) |
| Invio followup e reminder | Legittimo interesse del tenant a completare il contatto commerciale | Art. 6(1)(f) |
| Trascrizione messaggi vocali e analisi immagini | Legittimo interesse per fornire assistenza completa | Art. 6(1)(f) |
| Analitiche dashboard (FullStory) | Consenso dell'utente dashboard | Art. 6(1)(a) |
| Sincronizzazione dati con CRM del tenant | Legittimo interesse del tenant alla gestione commerciale | Art. 6(1)(f) |
| Miglioramento del servizio (analisi aggregata) | Legittimo interesse al miglioramento del prodotto | Art. 6(1)(f) |
| Sicurezza e prevenzione abusi | Legittimo interesse alla sicurezza del servizio | Art. 6(1)(f) |
5. Processo decisionale automatizzato (Art. 22 GDPR / Art. 50 AI Act)
5.1 Descrizione del sistema AI
Vendus utilizza un sistema di intelligenza artificiale (basato sul modello Claude di Anthropic) per:
- Conversazione automatica: rispondere ai messaggi WhatsApp dei lead in modo conversazionale
- Qualificazione: assegnare un punteggio di qualificazione da 0 a 100 in base al contesto della conversazione
- Proposta appuntamento: suggerire e fissare appuntamenti quando il lead mostra interesse
5.2 Logica del trattamento
Il sistema analizza il contenuto testuale della conversazione (incluse trascrizioni di messaggi vocali e descrizioni di immagini) per valutare il livello di interesse del lead rispetto al servizio offerto dal tenant. Il punteggio di qualificazione riflette segnali come: risposte positive, domande specifiche sul servizio, disponibilità a fissare un appuntamento.
5.3 Supervisione umana
È disponibile una modalità "hybrid" in cui un operatore umano:
- Revisiona ogni risposta generata dall'AI prima dell'invio
- Può modificare il testo della risposta
- Può approvare o rifiutare l'invio
- Può intervenire in qualsiasi momento nella conversazione
Il tenant può attivare la modalità hybrid in qualsiasi momento dalla dashboard.
5.4 Diritto di contestazione
L'interessato ha il diritto di:
- Richiedere l'intervento umano inviando una richiesta a info@agentibus.ai
- Contestare una decisione automatizzata
- Esprimere la propria opinione sul trattamento
5.5 Trasparenza AI (Art. 50 AI Act)
Il sistema è un sistema di AI che interagisce direttamente con le persone. Se l'interessato chiede esplicitamente se sta parlando con un'intelligenza artificiale, il sistema fornisce piena disclosure sulla propria natura.
6. Trascrizione di messaggi vocali e analisi di immagini
Quando un lead invia un messaggio vocale via WhatsApp, il file audio viene:
- Scaricato temporaneamente dai server Meta
- Inviato al servizio OpenAI Whisper per la trascrizione in testo
- Eliminato dopo la trascrizione (non conservato come file audio)
Quando un lead invia un'immagine, questa viene:
- Scaricata temporaneamente dai server Meta
- Analizzata da un modello AI per generare una descrizione testuale
- Eliminata dopo l'analisi (non conservata come file immagine)
Solo le trascrizioni testuali e le descrizioni vengono conservate nei log delle conversazioni.
7. Destinatari e sub-responsabili del trattamento
I dati personali possono essere comunicati ai seguenti sub-responsabili del trattamento:
| Sub-responsabile | Finalità | Ubicazione | Garanzie |
|---|---|---|---|
| Anthropic, PBC | Modello AI conversazionale (Claude) | USA | SCCs + DPA |
| OpenAI, Inc. | Trascrizione audio (Whisper), analisi immagini (fallback) | USA | SCCs + DPA |
| Voyage AI, Inc. | Embeddings documentali per knowledge base | USA | SCCs + DPA |
| Supabase, Inc. | Hosting database (PostgreSQL) | UE (Francoforte) | Hosting in UE |
| Fly.io, Inc. | Hosting applicativo | UE | Hosting in UE |
| FullStory, Inc. | Analitiche dashboard (solo con consenso) | USA | Consenso + SCCs |
| Meta Platforms, Inc. | Consegna messaggi WhatsApp (WhatsApp Business API) | UE/USA | SCCs + DPA |
Nessun dato viene venduto a terzi né utilizzato per finalità di marketing di terze parti.
I dati inviati ad Anthropic e OpenAI tramite API non vengono utilizzati per l'addestramento dei loro modelli, come da rispettive policy API.
8. Trasferimenti internazionali di dati
Alcuni dati personali vengono trasferiti a responsabili del trattamento situati negli Stati Uniti (Anthropic, OpenAI, Voyage AI, FullStory).
Tali trasferimenti sono protetti da:
- Clausole Contrattuali Standard (SCCs) ai sensi dell'art. 46(2)(c) del GDPR, come approvate dalla Commissione Europea con Decisione di Esecuzione 2021/914
- Data Processing Agreement (DPA) con ciascun sub-responsabile
- Misure supplementari tecniche (crittografia in transito TLS 1.2+) e organizzative
9. Periodi di conservazione
| Categoria di dati | Periodo | Motivazione |
|---|---|---|
| Log delle conversazioni | 10 anni | Gestione del rapporto commerciale, assistenza e obblighi contabili |
| Log di elaborazione AI | 10 anni | Tracciabilità delle decisioni automatizzate e miglioramento del servizio |
| Log consegna webhook | 10 anni | Monitoraggio integrazioni e tracciabilità |
| Log sincronizzazione CRM | 10 anni | Tracciabilità delle sincronizzazioni |
| Dati dei lead | Fino a cancellazione esplicita o richiesta di erasure | Gestione del rapporto commerciale |
| Dati utenti dashboard | Fino a cancellazione dell'account | Accesso al servizio |
I dati scaduti vengono eliminati automaticamente da un processo schedulato giornaliero.
10. Diritti dell'interessato
Ai sensi del GDPR, Lei ha i seguenti diritti:
10.1 Diritto di accesso (Art. 15)
Può richiedere una copia di tutti i dati personali che deteniamo su di Lei, scrivendo a info@agentibus.ai.
10.2 Diritto di rettifica (Art. 16)
Può richiedere la correzione di dati personali inesatti o incompleti, scrivendo a info@agentibus.ai.
10.3 Diritto alla cancellazione (Art. 17)
Può richiedere la cancellazione definitiva di tutti i Suoi dati personali, scrivendo a info@agentibus.ai. La cancellazione è permanente e irreversibile. Vengono eliminati: dati anagrafici, conversazioni, log di elaborazione AI, risposte in attesa, reminder inviati, log di sincronizzazione CRM.
10.4 Diritto di opposizione (Art. 21)
Può opporsi in qualsiasi momento al trattamento automatizzato:
- Via WhatsApp: invii uno dei seguenti messaggi: STOP, ferma, basta, cancellami, opt-out, unsubscribe
- Via email: scriva a info@agentibus.ai
Effetto: tutti i messaggi automatici cessano immediatamente. I dati vengono conservati secondo la policy di retention, salvo richiesta di cancellazione.
10.5 Diritto alla portabilità (Art. 20)
Può richiedere i Suoi dati in formato strutturato e leggibile da macchina (JSON), scrivendo a info@agentibus.ai.
10.6 Diritto alla limitazione del trattamento (Art. 18)
Può richiedere la limitazione del trattamento in determinate circostanze, scrivendo a info@agentibus.ai.
10.7 Diritto di reclamo
Ha il diritto di presentare reclamo presso l'autorità di controllo competente:
- Andmekaitse Inspektsioon (Ispettorato estone per la protezione dei dati) — info@aki.ee
- Oppure presso l'autorità garante del Suo paese di residenza
11. Cookie e analitiche
La dashboard Vendus utilizza FullStory per analitiche di utilizzo. FullStory viene attivato esclusivamente dopo il consenso esplicito dell'utente tramite un banner di cookie consent.
- Se l'utente accetta: FullStory raccoglie dati di sessione (email, nome, interazioni con la dashboard)
- Se l'utente rifiuta: FullStory non viene caricato e nessun dato viene trasmesso
- L'utente può revocare il consenso in qualsiasi momento cancellando i cookie del browser
I lead che interagiscono via WhatsApp non sono soggetti a cookie o tracking analitico.
12. Sicurezza dei dati (Art. 32)
Adottiamo le seguenti misure tecniche e organizzative:
- Crittografia in transito: tutte le comunicazioni utilizzano TLS 1.2+
- Crittografia at rest: database ospitato su Supabase con crittografia a livello di infrastruttura
- Autenticazione: password degli utenti dashboard protette con hash bcrypt
- Isolamento multi-tenant: ogni tenant accede esclusivamente ai propri dati tramite Row-Level Security e filtri a livello applicativo
- Verifica webhook: firma HMAC-SHA256 per tutti i webhook in ingresso da Meta
- Minimizzazione dei dati: i file multimediali (audio, immagini) vengono eliminati dopo l'elaborazione; solo le trascrizioni e descrizioni testuali vengono conservate
13. Protezione dei minori
I nostri servizi non sono destinati a persone di età inferiore ai 16 anni. Non raccogliamo consapevolmente dati personali di minori. Se un genitore o tutore ritiene che un minore abbia fornito dati personali, ci contatti a info@agentibus.ai e provvederemo alla cancellazione.
14. Modifiche alla Privacy Policy
Ci riserviamo il diritto di aggiornare la presente Privacy Policy. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data "Ultimo aggiornamento". In caso di modifiche sostanziali, gli utenti della dashboard verranno notificati tramite l'interfaccia.
15. Contatti
Per qualsiasi domanda, richiesta di esercizio dei diritti o reclamo relativo al trattamento dei dati personali:
Agentibus OÜ
Harju maakond, Tallinn, Kesklinna linnaosa, Järvevana tee 9, 11314, Estonia
Email: info@agentibus.ai
Telefono: +372 5648 4014 · +39 392 676 2590
Per le richieste GDPR, rispondiamo entro 30 giorni dal ricevimento della richiesta, come previsto dall'art. 12(3) del GDPR.