Informativa sul Trattamento dei Dati Personali – Privacy Policy Unificata
Ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e delle Google API Services User Data Policy
Versione aggiornata al: 14 Gennaio 2026
Questa policy descrive le modalità di gestione dei dati relativi alle applicazioni collegate (di seguito complessivamente le “Applicazioni“):
- DettoFatto Copilota (Estensione Chrome)
- DettoFatto Gmail Connect (Add-on/Integrazione Gmail per Google Workspace)
- DettoFatto AI Voice (Servizi di sintesi e riconoscimento vocale)
L’informativa è resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 per definire i limiti e le modalità del trattamento dei dati, garantendo trasparenza sull’uso delle informazioni raccolte tramite il web, le integrazioni Google, i bot di messaggistica e i sistemi di intelligenza artificiale.
1. Titolare del Trattamento e Contatti
COMUNICA SRL, con sede legale in Via G. D’Alemagna 2 – 35134 PADOVA (PD), P.IVA IT04885820284, nella persona del legale rappresentante pro-tempore, è il Titolare del Trattamento.
Il Titolare determina le finalità e i mezzi del trattamento, la conservazione dei dati e le misure di sicurezza.
📧 Email per l’esercizio dei diritti e richieste privacy: contatto@dettofatto.cloud
2. Tipologia di Dati Trattati e Modalità di Raccolta
A. Dati di Navigazione (Sito Web)
I sistemi informatici acquisiscono automaticamente alcuni dati tecnici: indirizzi IP, tipo di browser, sistema operativo, pagine visitate e orari di accesso. Questi dati sono utilizzati solo in forma aggregata per analisi statistiche e sicurezza.
B. Dati Google User Data (Copilota e Gmail Connect)
In conformità con il protocollo OAuth 2.0, le Applicazioni accedono esclusivamente ai dati per i quali l’utente ha fornito esplicito consenso tramite la schermata di autorizzazione Google:
| Tipo di Dato | Descrizione | Quando viene acceduto |
| Contenuto Email | Oggetto, corpo del messaggio, mittente, destinatari e allegati | Solo su azione manuale dell’utente (es. “Crea Ticket”, “Genera Risposta”) |
| Metadati Email | Identificativi univoci dei messaggi (Message-ID) | Per collegare l’email al ticket nel gestionale |
| Contatti Google | Nomi e indirizzi email dalla rubrica | Per suggerire automaticamente il condominio/anagrafica associata |
| Etichette Gmail | Lettura e modifica delle etichette | Per organizzare e archiviare le email processate |
| Indirizzo Email Account | Email dell’utente autenticato | Per identificare l’operatore nelle operazioni |
Uso Limitato (Limited Use Disclosure): L’utilizzo da parte delle Applicazioni DettoFatto delle informazioni ricevute dalle API di Google aderisce alle Google API Services User Data Policy, inclusi i requisiti di “Limited Use”. In particolare:
- I dati Google vengono utilizzati esclusivamente per fornire o migliorare le funzionalità richieste dall’utente.
- Non utilizziamo i dati Google per pubblicità, marketing, profilazione o per scopi non correlati alle funzionalità dell’app.
- Non vendiamo i dati utente Google a terze parti.
- Non trasferiamo i dati utente Google a terze parti per scopi non correlati al funzionamento dell’app.
C. Dati Telegram (DettoFatto Telegram Bot)
- Identificativi: ID utente Telegram, nome e cognome (se pubblici), nome utente.
- Contenuti: Messaggi di testo, foto o documenti inviati volontariamente al bot per l’apertura di ticket o segnalazioni.
D. Dati Audio e Vocali (DettoFatto AI Voice)
- Registrazioni: File audio inviati dall’utente per la trascrizione (speech-to-text) o l’analisi.
- Dati derivati: Trascrizioni testuali generate dai modelli di Intelligenza Artificiale.
E. Dati forniti volontariamente (Moduli Contatti/Registrazione)
Nome, Email, Telefono e dati aziendali rilasciati per richiedere assistenza o attivare licenze d’uso.
3. Finalità del Trattamento e Base Giuridica
I dati sono raccolti per le seguenti finalità:
| Finalità | Descrizione | Base Giuridica |
| Esecuzione del Servizio | Fornire le funzionalità di assistenza, creazione ticket, gestione condomini e automazione d’ufficio | Art. 6(1)(b) GDPR – Esecuzione contratto |
| Integrazione Google | Trasformare email in ticket gestionali, classificazione automatica, applicazione etichette | Art. 6(1)(a) GDPR – Consenso esplicito (OAuth) |
| Analisi AI | Generazione di risposte, riassunti e trascrizioni tramite Intelligenza Artificiale | Art. 6(1)(a) GDPR – Consenso / Art. 6(1)(b) – Esecuzione servizio |
| Assistenza Clienti | Rispondere a quesiti tecnici e commerciali | Art. 6(1)(a) GDPR – Consenso |
| Sicurezza | Prevenzione di frodi, attacchi informatici e uso improprio | Art. 6(1)(f) GDPR – Legittimo interesse |
Nota sull’Intelligenza Artificiale: I dati inviati ai modelli di intelligenza artificiale (es. Google Gemini API) sono trattati in modalità “zero-retention” o “no-training” ove disponibile dai fornitori enterprise. I fornitori di servizi AI non utilizzano i dati trasmessi tramite API enterprise per addestrare i loro modelli pubblici.
4. Condivisione, Comunicazione e Destinatari dei Dati
I dati personali non sono oggetto di diffusione pubblica e non vengono venduti a terze parti.
I dati vengono comunicati esclusivamente ai seguenti soggetti, strettamente necessari per l’erogazione del servizio:
Destinatari dei Dati
| Destinatario | Tipologia di Dati Condivisi | Finalità | Luogo |
| Personale Autorizzato Comunica Srl | Tutti i dati necessari | Gestione tecnica e assistenza | Italia/EU |
| Infrastruttura DettoFatto Cloud | Contenuto email, allegati, metadati, anagrafiche | Creazione e gestione ticket, archiviazione | Italia/EU |
| Google Cloud Platform | Dati di hosting e log tecnici | Infrastruttura cloud | Italia/EU |
| Google LLC (Gemini API) | Testo email (senza allegati sensibili) | Generazione riassunti e risposte AI | Italia/EU |
| Provider Hosting/CDN | Log di accesso, IP | Sicurezza e performance | Italia/EU |
Dichiarazione Esplicita sulla Condivisione
- Non condividiamo i Dati Utente Google con broker di dati o rivenditori di informazioni.
- Non condividiamo i Dati Utente Google per finalità pubblicitarie, di marketing o profilazione.
- Non trasferiamo i Dati Utente Google a terze parti diverse da quelle sopra elencate, salvo obblighi di legge.
- Le terze parti sopra indicate sono vincolate da accordi contrattuali (Art. 28 GDPR) o decisioni di adeguatezza.
Trasferimento Extra-UE
Qualora i dati siano trasferiti negli USA (es. servizi Google), tale trasferimento avviene sulla base di:
- Decisioni di adeguatezza della Commissione Europea (EU-US Data Privacy Framework)
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
5. Misure di Sicurezza e Protezione dei Dati
Adottiamo rigorose misure tecniche e organizzative ai sensi dell’Art. 32 del Regolamento per proteggere i dati da accessi non autorizzati, perdita, alterazione o divulgazione:
Misure Tecniche
| Misura | Descrizione |
| Crittografia in Transito | Tutte le comunicazioni (web, app, API) utilizzano il protocollo HTTPS/TLS 1.2+ |
| Crittografia a Riposo | I dati sensibili archiviati nei database sono protetti con crittografia AES-256 |
| Autenticazione Sicura | Utilizziamo esclusivamente token OAuth 2.0 revocabili; non conserviamo mai le password Google o Telegram dell’utente |
| Accesso Limitato | L’accesso ai dati è ristretto al personale autorizzato con credenziali individuali e audit log |
| Backup Criptati | I backup sono conservati in forma criptata su infrastrutture georidondanti |
Misure Organizzative
- Data Minimization: Raccogliamo solo i dati strettamente necessari alla specifica funzione attivata dall’utente.
- Privacy by Design: Le Applicazioni sono progettate per richiedere il minimo accesso necessario.
- Formazione: Il personale autorizzato riceve formazione periodica sulla protezione dei dati.
- Incident Response: Disponiamo di procedure documentate per la gestione di eventuali violazioni dei dati.
Revoca Accesso
L’utente può revocare in qualsiasi momento i permessi OAuth concessi alle Applicazioni DettoFatto tramite la pagina Impostazioni Sicurezza Account Google.
6. Periodo di Conservazione dei Dati
| Tipologia di Dati | Periodo di Conservazione |
| Dati Tecnici/Log di Navigazione | Fino a 12 mesi, salvo necessità di accertamento reati informatici |
| Dati di Servizio (Ticket/Anagrafiche) | Per tutta la durata del rapporto contrattuale e per i successivi 10 anni (obblighi fiscali/legali) |
| Dati Temporanei AI | I file audio o i frammenti di testo analizzati per la generazione di riassunti vengono eliminati immediatamente dopo l’esecuzione dell’operazione |
| Token OAuth | Fino alla revoca da parte dell’utente o scadenza naturale |
| Dati Contatti/Registrazione | Fino a revoca del consenso o richiesta di cancellazione |
Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro o anonimizzati irreversibilmente.
7. Diritti dell’Interessato (Artt. 15-22 GDPR)
L’interessato può, in qualsiasi momento, esercitare i seguenti diritti:
| Diritto | Articolo GDPR | Descrizione |
| Accesso | Art. 15 | Ottenere conferma del trattamento e copia dei propri dati |
| Rettifica | Art. 16 | Correzione di dati inesatti o integrazione di dati incompleti |
| Cancellazione (Oblio) | Art. 17 | Richiedere la rimozione dei dati non più necessari |
| Limitazione | Art. 18 | Limitare il trattamento in caso di contestazione |
| Portabilità | Art. 20 | Ricevere i dati in formato strutturato (es. JSON/CSV) per trasferirli ad altro titolare |
| Opposizione | Art. 21 | Opporsi al trattamento per motivi legittimi o per finalità di marketing |
| Revoca Consenso | Art. 7 | Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente |
Come Esercitare i Diritti
Le richieste vanno inviate a: contatto@dettofatto.cloud
Risponderemo entro 30 giorni dalla ricezione della richiesta, salvo casi di particolare complessità.
L’interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
8. Cookie Policy
Per informazioni sui cookie utilizzati dal sito web, consultare la Cookie Policy dedicata.
9. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di modificare la presente informativa in base all’evoluzione tecnologica, normativa o dei servizi offerti. Le modifiche sostanziali saranno comunicate tramite il sito web o via email agli utenti registrati.
Invitiamo gli utenti a consultare periodicamente questa pagina per verificare eventuali aggiornamenti.
10. Conformità alle Google API Services User Data Policy
Dichiarazione di Conformità: L’utilizzo da parte delle Applicazioni DettoFatto (DettoFatto Gmail Connect e DettoFatto Copilota) delle informazioni ricevute dalle API di Google aderisce integralmente alle Google API Services User Data Policy, inclusi i requisiti di Limited Use.
In particolare, confermiamo che:
- I dati Google User Data vengono utilizzati esclusivamente per fornire o migliorare le funzionalità dell’app visibili all’utente.
- Non trasferiamo i dati Google User Data a terze parti, eccetto:
- Quando necessario per fornire o migliorare le funzionalità dell’app
- Per conformarci a leggi applicabili
- Come parte di fusione/acquisizione con protezioni adeguate
- Non utilizziamo i dati Google User Data per pubblicità.
- Non consentiamo a persone di leggere i dati, eccetto con consenso esplicito dell’utente, per scopi di sicurezza, per conformità legale, o da parte di personale limitato per operazioni interne.
COMUNICA SRL
Via G. D’Alemagna 2 – 35134 PADOVA (PD)
P.IVA: IT04885820284
Email: contatto@dettofatto.cloud
Sito web: www.dettofatto.cloud