Informativa sul trattamento dei dati personali

ai sensi dell'art. 13 del Regolamento (UE) 2016/679 (GDPR)
Versione 1.1

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è Perl Consulting di Roberto Pugliese, con sede in Aurisina Cave, 46 – 34011 Duino-Aurisina (TS), P.IVA 01389360320, in persona del legale rappresentante Roberto Pugliese.

Contatti per esercizio diritti e questioni privacy:

• Email: privacy@perlconsulting.it
• PEC: roberto.pugliese@pec.it
• Indirizzo postale: Aurisina Cave, 46 – 34011 Duino-Aurisina (TS)

2. Tipologia di dati raccolti

Attraverso lo strumento di self-assessment AIRL pubblicato sul sito airl.perlconsulting.it il Titolare raccoglie e tratta le seguenti categorie di dati.

Dati identificativi e di contatto

• Nome e cognome
• Indirizzo email professionale
• Ruolo aziendale
• Denominazione dell'azienda di appartenenza
• Dimensione aziendale (categorica)
• Settore di attività

Dati relativi alle risposte fornite al questionario

• Risposte alle 45 domande della valutazione AIRL (scala Likert)
• Tempo di compilazione
• Risposta testuale libera alla domanda finale sulla principale sfida AI

Dati tecnici raccolti automaticamente

• Indirizzo IP (per finalità di sicurezza, non profilazione)
• Log tecnici di sistema

Avvertenza specifica sulla domanda aperta. L'interessato è espressamente avvisato di non inserire nella risposta libera dati personali di terzi (nominativi di colleghi, dirigenti, clienti, fornitori), né dati riservati strategici dell'azienda di cui non sia autorizzato a disporre. Il sistema AI utilizzato per la generazione del report è istruito a ignorare e non includere nel report eventuali dati personali di terzi.

Categorie di dati NON raccolti. Il Titolare non raccoglie categorie particolari di dati personali ai sensi dell'art. 9 GDPR (dati sanitari, biometrici, opinioni politiche, religiose, sindacali, orientamento sessuale) né dati relativi a condanne penali ex art. 10 GDPR.

3. Finalità e basi giuridiche del trattamento

Finalità A — Erogazione del servizio di assessment AIRL e generazione del report personalizzato

Il Servizio AIRL Assessment è strutturato come un'esperienza integrata che comprende, come elementi inscindibili del servizio stesso:

• Il calcolo deterministico del livello AIRL (1-9), del quadrante di maturità e dei punteggi nelle dimensioni TOE, sulla base delle risposte al questionario
• La generazione automatizzata del contenuto del report personalizzato (summary, strengths, gaps, actions) tramite sistema di intelligenza artificiale generativa fornito da Google LLC (modello Gemini 2.5 Flash), acceduto attraverso il gateway tecnico Lovable Inc.

La generazione AI del report è componente essenziale e non opzionale del Servizio: il Servizio è progettato e offerto in questa forma specifica. I dati conferiti dall'interessato (profilo aziendale, risposte al questionario, risposta aperta, score AIRL calcolato) vengono trasmessi al sistema AI tramite chiamata API protetta, esclusivamente per generare il contenuto strutturato del report. L'output del modello è vincolato a uno schema strutturato predefinito (tool-call build_report) che limita il sistema a produrre solo i campi previsti.

Base giuridica: esecuzione di un servizio richiesto dall'interessato (art. 6.1.b GDPR). L'utilizzo del Servizio implica l'accettazione della sua natura e architettura tecnica, descritta nella presente informativa e nei Termini di Servizio. L'interessato che non desideri il trattamento mediante intelligenza artificiale è libero di non utilizzare il Servizio.

Finalità B — Comunicazioni commerciali e di marketing

Comunicazioni relative ai servizi Perl Consulting (corsi di formazione AI, consulenza per regolamenti aziendali AI, sviluppo di soluzioni AI tramite partner).

Base giuridica: consenso libero, specifico, informato e revocabile (art. 6.1.a GDPR). Il consenso è prestato attraverso opt-in esplicito separato in fase di registrazione, default disattivato. Il consenso può essere revocato in qualunque momento scrivendo a privacy@perlconsulting.it o tramite l'area riservata dell'utente registrato. Il rifiuto o la revoca di tale consenso non pregiudica l'utilizzo del Servizio.

Finalità C — Reassessment AIRL periodico

Tracciamento della maturità AI dell'azienda nel tempo attraverso ripetizione periodica dell'assessment, su esplicita richiesta dell'interessato.

Base giuridica: consenso libero, specifico, informato e revocabile (art. 6.1.a GDPR), opt-in separato. Il consenso può essere revocato in qualunque momento. Il rifiuto o la revoca non pregiudica l'utilizzo del Servizio.

Finalità D — Benchmark statistico aggregato anonimo

Aggregazione delle risposte in forma irreversibilmente anonima per produrre il benchmark italiano AIRL, ai fini di ricerca statistica e di aggiornamento continuo del framework.

Base giuridica: legittimo interesse del Titolare alla produzione di statistiche aggregate (art. 6.1.f GDPR) ai fini di ricerca statistica art. 89 GDPR. Il trattamento avviene su dati che, una volta aggregati e anonimizzati, non sono più riferibili all'interessato.

4. Modalità di trattamento

I dati sono trattati con strumenti elettronici, ospitati su infrastruttura cloud nella region Unione Europea (Francoforte, AWS eu-central-1).

Misure tecniche e organizzative adottate ai sensi dell'art. 32 GDPR:

• Crittografia in transito tramite protocollo HTTPS/TLS
• Crittografia dei dati a riposo sul database
• Backup periodici cifrati
• Controllo degli accessi al pannello di amministrazione tramite autenticazione forte
• Log di sistema con retention limitata
• Procedure interne di gestione data breach con notifica al Garante entro 72 ore (artt. 33-34 GDPR)
• Sistema di logging strutturato delle chiamate al sistema AI per finalità di audit (retention 30 giorni, in forma minimizzata)

5. Comunicazione dei dati e responsabili esterni

I dati personali possono essere comunicati alle seguenti categorie di destinatari, in qualità di responsabili esterni del trattamento ai sensi dell'art. 28 GDPR.

• Supabase Inc. (USA, con istanza EU): fornitore di servizi di database e backend. Trattamento regolato da Data Processing Agreement e Standard Contractual Clauses Reg. UE 2021/914.
• Lovable Inc. (USA): fornitore della piattaforma di sviluppo applicativo e del gateway tecnico utilizzato per le chiamate ai modelli di intelligenza artificiale. Trattamento regolato dal DPA Lovable sottoscritto in modalità enterprise.
• Google LLC (USA): fornitore del modello Gemini 2.5 Flash, utilizzato per la generazione del report. Trattamento regolato dai Google Cloud / Google AI Studio Terms of Service e dal relativo DPA, con configurazione "no use of customer data for model training" attivata. Trasferimento extra-UE regolato da SCC e dalla Decisione di adeguatezza UE-USA Data Privacy Framework, ove applicabile.
• Resend o equivalente fornitore di email transazionali: per l'invio del report PDF.
• Calendly o equivalente strumento di prenotazione: solo se l'interessato sceglie attivamente di prenotare una call di confronto.

I dati non sono comunicati ad altri terzi né diffusi.

6. Trasferimento extra-UE

L'utilizzo di Supabase, Lovable, Google e altri fornitori statunitensi comporta possibili trasferimenti di dati personali al di fuori dell'Unione Europea.

Tali trasferimenti sono regolati da:

• Standard Contractual Clauses approvate dalla Commissione UE (Decisione 2021/914)
• Decisione di adeguatezza UE-USA Data Privacy Framework (10 luglio 2023), nei limiti della certificazione del singolo provider
• Misure supplementari documentate in un Transfer Impact Assessment condotto dal Titolare

7. Periodo di conservazione

Cessazione del Servizio e cancellazione dei dati

Fermi restando i periodi di conservazione sopra indicati, in caso di cessazione del Servizio AIRL Assessment per qualsiasi motivo (come previsto dai Termini di Servizio), il Titolare procederà a:

• Comunicare la cessazione agli utenti registrati con un preavviso minimo di 60 giorni, mediante email all'indirizzo fornito in fase di registrazione
• Consentire agli utenti registrati, nel periodo di preavviso, di esportare i propri dati e i report storici in formato strutturato (esercizio del diritto alla portabilità ex art. 20 GDPR)
• Procedere alla cancellazione di tutti i dati identificativi e delle risposte assessment entro 90 giorni dalla data effettiva di cessazione del Servizio
• Conservare i soli dati anonimizzati confluiti nel benchmark statistico (Finalità D), in forma irreversibilmente anonima, anche dopo la cessazione del Servizio
• Conservare le prove dei consensi prestati per i periodi indicati nella tabella sopra, ai soli fini di tutela del Titolare contro eventuali contestazioni

8. Diritti dell'interessato

In qualunque momento, l'interessato può esercitare nei confronti del Titolare i seguenti diritti ai sensi degli artt. 15-22 GDPR.

• Diritto di accesso ai propri dati personali e alle informazioni relative al trattamento (art. 15 GDPR)
• Diritto di rettifica dei dati inesatti o incompleti (art. 16 GDPR)
• Diritto di cancellazione («diritto all'oblio») (art. 17 GDPR)
• Diritto di limitazione del trattamento (art. 18 GDPR)
• Diritto alla portabilità dei dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20 GDPR)
• Diritto di opposizione al trattamento (art. 21 GDPR), incluso il diritto di opposizione al trattamento basato sul legittimo interesse di cui alla Finalità D
• Diritto di revoca del consenso in qualunque momento per le Finalità B e C, senza pregiudizio per la liceità del trattamento basato sul consenso prima della revoca (art. 7.3 GDPR)
• Diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o ad altra autorità di controllo competente (art. 77 GDPR)

L'esercizio dei diritti è gratuito e può avvenire scrivendo a privacy@perlconsulting.it. Il Titolare risponde entro 30 giorni dalla richiesta.

9. Processi decisionali automatizzati e generazione AI

Lo strumento AIRL Assessment opera in due fasi tecniche.

Fase 1 — Calcolo del punteggio (deterministico)

Algoritmo deterministico con pesi configurabili, basato sul framework peer-reviewed. A parità di risposte, il risultato numerico è sempre identico. La logica completa può essere richiesta a privacy@perlconsulting.it.

Fase 2 — Generazione del contenuto del report (intelligenza artificiale)

Il contenuto testuale del report (summary, strengths, gaps, actions) è generato in tempo reale dal modello Google Gemini 2.5 Flash su prompt strutturato del Titolare. Per maggiori dettagli sulle caratteristiche e i limiti del sistema AI, sulle misure di trasparenza e sui presidi adottati, si rinvia al documento di Trasparenza AI.

Si precisa che:

• Il risultato dell'assessment è una valutazione sull'azienda di appartenenza dell'interessato, non sull'interessato come persona fisica
• Il risultato non produce effetti giuridici sull'interessato né incide significativamente sulla sua persona ai sensi dell'art. 22 GDPR
• La logica di scoring (Fase 1) è deterministica e completamente trasparente
• Per la natura e i limiti del modello AI utilizzato nella Fase 2, si rinvia alla documentazione del provider Google Gemini

10. Aggiornamenti dell'informativa

La presente informativa può essere aggiornata in qualunque momento. La versione vigente è sempre disponibile su airl.perlconsulting.it/privacy. In caso di modifiche sostanziali, gli interessati che abbiano fornito un indirizzo email saranno informati con preavviso ragionevole.

Roberto Pugliese — PerlConsulting