Privacy Policy

1. Titolare del Trattamento

Il Titolare del trattamento dei dati è Flowvenue SRL, con sede legale in Viale Giorgio Ribotta 11, 00144 Roma (P.IVA IT18366041004, REA RM-1780474). Contatti: info@flowvenue.com, PEC flowvenue@pecimprese.it.

2. Finalità del Trattamento

I dati personali raccolti attraverso il sito e i servizi di CRM conversazionale sono trattati per le seguenti finalità:

• Fornitura dei servizi richiesti (gestione account, CRM, assistenza clienti).
• Funzionalità assistite da intelligenza artificiale (assistente conversazionale, automazione e progettazione processi).
• Comunicazioni di servizio e miglioramento dell'esperienza utente.
• Attività di marketing diretto previo consenso.
• Analisi statistiche e profilazione, se autorizzata
• Adempimento obblighi di legge.

3. Base Giuridica

Il trattamento si fonda su:

• Esecuzione di un contratto (art. 6.1.b GDPR);
• Obblighi legali (art. 6.1.c GDPR);
• Consenso dell'interessato (art. 6.1.a GDPR) per attività di marketing e profilazione;
• Legittimo interesse del Titolare (art. 6.1.f GDPR), bilanciato con i diritti dell'interessato, per finalità di sicurezza e miglioramento dei servizi.

4. Tipologia di Dati

• Dati identificativi (nome, cognome, email, telefono, azienda).
• Dati di navigazione (indirizzi IP, log, cookie).
• Dati relativi alle conversazioni gestite tramite la piattaforma CRM.
• Eventuali categorie particolari di dati (art. 9 GDPR) solo se conferiti volontariamente dall'utente durante l'uso del servizio e trattati con misure di protezione rafforzate.
• Dati identificativi (nome, email, telefono), dati di navigazione (IP, cookie), dati delle conversazioni CRM, eventuali categorie particolari solo se conferite volontariamente.

5. Modalità e Sicurezza

I dati sono trattati con strumenti elettronici e misure tecnico-organizzative adeguate (cifratura, pseudonimizzazione, controlli di accesso) in conformità ai principi di privacy by design e by default.

6. Conservazione

I dati saranno conservati per un periodo non superiore a quello necessario al conseguimento delle finalità:

• Dati contrattuali: fino a 10 anni dalla cessazione del rapporto (obblighi civilistici e fiscali).
• Dati di marketing: fino a revoca del consenso e comunque non oltre 24 mesi.
• Dati di profilazione: massimo 12 mesi.

7. Comunicazione e Trasferimenti

I dati potranno essere comunicati a:

• Fornitori di servizi IT, hosting, cloud provider (es. AWS).
• Fornitori di autenticazione e identità (es. Auth0).
• Fornitori di modelli linguistici (LLM), ove utilizzati con credenziali gestite da Flowvenue (es. Anthropic, OpenAI) — vedi Sez. 7-bis e DPA Allegato 2.
• Consulenti e professionisti esterni (legali, fiscali, tecnici).
• Autorità pubbliche nei casi previsti dalla legge.
• Eventuali trasferimenti verso Paesi extra-UE saranno effettuati solo verso soggetti con decisioni di adeguatezza della Commissione UE o mediante Clausole Contrattuali Standard (artt. 44-49 GDPR).

7-bis. Intelligenza artificiale e modelli linguistici (LLM)

Flowvenue utilizza modelli linguistici di grandi dimensioni (LLM) per funzionalità conversazionali, progettazione processi, traduzione assistita e casi d'uso analoghi. A seconda della configurazione dell'organizzazione e del piano sottoscritto, l'inferenza LLM può avvenire secondo uno o più dei seguenti percorsi:

• LLM gestito da Flowvenue — inferenza tramite provider approvati (predefinito Anthropic Claude Sonnet 4.6; modelli OpenAI o Anthropic alternativi tra quelli supportati, ove abilitati). I contenuti necessari all'inferenza possono essere trasmessi a tali fornitori quali sub-responsabili, secondo i rispettivi termini (incluso, ove applicabile, divieto di utilizzo dei contenuti API/Enterprise per l'addestramento dei modelli). Elenco sub-responsabili: DPA Allegato 2.
• Bring Your Own Key (BYOK) — se l'organizzazione configura credenziali proprie (OpenAI, Anthropic o endpoint compatibile, inclusi deployment cloud dedicati o infrastrutture LLM private/on‑premise), l'inferenza avviene presso il provider scelto dall'organizzazione, che non rientra nei sub-responsabili Flowvenue per tale percorso. Le chiavi dell'organizzazione sono memorizzate cifrate (AES-256-GCM).
• Client LLM esterni via MCP Server — l'organizzazione può collegare client LLM esterni (es. Claude, ChatGPT, Gemini, Copilot con supporto MCP) al MCP Server Flowvenue. L'inferenza LLM avviene sull'ambiente scelto dall'organizzazione; Flowvenue ospita strumenti MCP con autorizzazione (OAuth 2.0 con PKCE), ambiti, rate limiting e audit delle chiamate tool.

Per le organizzazioni clienti, maggiori dettagli contrattuali sono nel Data Processing Agreement (Sez. 5), nei Termini di Servizio (Sez. 10) e nella documentazione Information Security del sito compliance.

Le risposte generate dagli LLM possono contenere imprecisioni; per informazioni critiche (dati anagrafici, importi, configurazioni) si invita a verificare sempre lo stato nel backend deterministico della piattaforma (processi, oggetti dati, istanze).

8-bis. Utilizzo delle API Google

Flowvenue utilizza le API di Google (ad esempio Google Calendar, Gmail o altri servizi Google autorizzati dall'utente) esclusivamente per fornire le funzionalità richieste esplicitamente dall'utente all'interno della piattaforma di CRM conversazionale.

I dati ottenuti tramite le API Google:

• sono utilizzati solo per erogare le funzionalità richieste dall'utente;
• non vengono utilizzati per finalità pubblicitarie;
• non vengono condivisi con terze parti diverse da quelle strettamente necessarie all'erogazione del servizio;
• non vengono venduti né utilizzati per finalità di marketing o profilazione esterna.

Il trattamento dei dati provenienti dalle API Google avviene nel rispetto delle Google API Services User Data Policy, incluse le disposizioni sul Limited Use.

L'utente può revocare in qualsiasi momento l'accesso ai propri dati Google direttamente dalle impostazioni del proprio account Google o contattando il Titolare del Trattamento.

8. Diritti Interessati

Gli utenti hanno il diritto di:

• Accedere, rettificare e cancellare i propri dati (artt. 15-17 GDPR).
• Limitare o opporsi al trattamento (artt. 18-21 GDPR).
• Richiedere la portabilità dei dati (art. 20 GDPR).
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.
• Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)

9. Profilazione

Flowvenue utilizza sistemi di CRM conversazionale che possono includere processi di profilazione per migliorare l'interazione e fornire risposte personalizzate. Tali trattamenti avvengono solo previo consenso esplicito e garantendo all'utente la possibilità di richiedere intervento umano.

Le attività di marketing e profilazione non utilizzano in alcun modo dati provenienti dai servizi Google.

10. DPO

Flowvenue ha nominato un Responsabile della Protezione dei Dati (DPO), contattabile all'indirizzo: info@flowvenue.com

11. Aggiornamenti

La presente Privacy Policy potrà essere aggiornata in qualsiasi momento per adeguarsi a modifiche normative o ai servizi offerti. Le versioni aggiornate saranno pubblicate su questa pagina con data di revisione.

---