Titolare del trattamento

Diciassette S.r.l.s. – P.IVA IT04131570360

Sede legale: Via San Martino 40, 41121 Modena (MO), Italia

Email privacy: privacy@vertoai.it

PEC: diciassettesrls@pec.it

Responsabile della Protezione dei Dati (DPO)

Non nominato ai sensi dell'art. 37 GDPR, in quanto non ricorrono le condizioni previste dalla norma. Per qualsiasi richiesta relativa alla protezione dei dati personali, è possibile contattare il Titolare all'indirizzo privacy@vertoai.it.

1. Categorie di dati personali trattati

A) Dati relativi al Cliente Verto (host/gestore)

Nel contesto del rapporto contrattuale con il Cliente, trattiamo le seguenti categorie di dati:

• Dati identificativi e di contatto: nome, cognome, email, telefono, eventuale ragione sociale e dati aziendali.

• Dati di accesso e sicurezza: credenziali di accesso (conservate in forma cifrata/hash), log tecnici, indirizzo IP, eventi di sicurezza, dispositivi utilizzati.

• Dati amministrativo-contabili: dati necessari alla fatturazione e ai pagamenti (es. ID transazione, stato pagamenti). I dati delle carte di pagamento sono gestiti direttamente dal provider di pagamento (Stripe) e non transitano sui nostri server.

• Dati di assistenza: comunicazioni con il supporto tecnico, ticket, log operativi necessari alla risoluzione di problemi.

B) Dati relativi agli Ospiti del Cliente

Nell'ambito dell'utilizzo della piattaforma Verto, il Cliente può importare o sincronizzare dati relativi ai propri ospiti. Tali dati possono includere:

• Dati anagrafici e di contatto: nome, cognome, email, numero di telefono, paese di provenienza, lingua preferita.

• Dati relativi alla prenotazione: date di check-in e check-out, numero di ospiti, importo della prenotazione, ID prenotazione, canale di provenienza (Booking.com, Airbnb, etc.), richieste speciali, orario di arrivo previsto.

• Contenuto delle comunicazioni: messaggi scambiati tramite WhatsApp tra l'ospite e il sistema AI di Verto, incluse domande, richieste di informazioni, segnalazioni di problemi e relative risposte automatiche o manuali.

C) Fonte dei dati degli Ospiti

I dati degli ospiti non vengono raccolti direttamente da Verto, ma sono importati dal Cliente attraverso feed iCal provenienti da piattaforme terze (Online Travel Agencies quali Booking.com, Airbnb, VRBO, channel manager e altri sistemi di gestione delle prenotazioni). Il Cliente è responsabile di garantire che la condivisione di tali dati con Verto avvenga in conformità alle normative applicabili e alle condizioni d'uso delle piattaforme di origine.

2. Finalità del trattamento e basi giuridiche

2.1 Erogazione del servizio e gestione dell'account

• Creazione e gestione dell'account Cliente

• Autenticazione e controllo degli accessi

• Configurazione delle proprietà e delle automazioni

• Sincronizzazione delle prenotazioni tramite iCal

• Invio di messaggi automatici e gestione delle conversazioni con gli ospiti

• Fornitura di assistenza tecnica

Base giuridica: esecuzione del contratto o misure precontrattuali (art. 6.1.b GDPR).

2.2 Fatturazione, pagamenti e adempimenti legali

• Gestione dei pagamenti e degli abbonamenti

• Emissione di fatture e documentazione contabile

• Adempimenti fiscali e conservazione documentale obbligatoria

Base giuridica: adempimento di obblighi legali (art. 6.1.c GDPR).

2.3 Sicurezza, prevenzione abusi e affidabilità del servizio

• Monitoraggio di anomalie e tentativi di accesso non autorizzato

• Conservazione di log tecnici e audit trail

• Prevenzione di frodi e abusi del servizio

Base giuridica: legittimo interesse del Titolare alla sicurezza e continuità del servizio (art. 6.1.f GDPR).

2.4 Comunicazioni di servizio

• Notifiche operative relative allo stato dell'account e del servizio

• Avvisi di sicurezza e incidenti

• Comunicazioni relative a modifiche tecniche o contrattuali rilevanti

Base giuridica: esecuzione del contratto e legittimo interesse (art. 6.1.b e 6.1.f GDPR).

2.5 Marketing e comunicazioni promozionali (facoltativo)

• Invio di newsletter

• Comunicazioni promozionali relative a nuove funzionalità o prodotti

• Aggiornamenti non strettamente necessari all'erogazione del servizio

Base giuridica: consenso dell'interessato (art. 6.1.a GDPR), sempre facoltativo e revocabile in qualsiasi momento.

3. Trattamenti automatizzati e utilizzo dell'intelligenza artificiale

Verto utilizza sistemi di intelligenza artificiale per fornire risposte automatiche agli ospiti tramite WhatsApp. In particolare:

3.1 Funzionamento del sistema AI

• Quando un ospite invia un messaggio su WhatsApp, il sistema identifica automaticamente l'ospite e la proprietà associata sulla base del numero di telefono e delle prenotazioni attive.

• Il messaggio viene elaborato da modelli di intelligenza artificiale (attualmente Claude di Anthropic e/o GPT di OpenAI) che generano una risposta pertinente attingendo al database delle informazioni sulla proprietà (indirizzo, codici di accesso, WiFi, dotazioni, regole, consigli locali, etc.).

• Verto si riserva la facoltà di integrare o sostituire i modelli AI utilizzati con altri provider, sempre nel rispetto delle garanzie previste dal GDPR per i trasferimenti internazionali e previa comunicazione agli interessati attraverso l'aggiornamento della presente informativa e della lista dei sub-responsabili.

• Le risposte vengono generate in tempo reale e inviate all'ospite senza intervento umano preventivo.

3.2 Natura del trattamento automatizzato

Il trattamento automatizzato mediante AI ha le seguenti caratteristiche:

• Finalità: fornire assistenza informativa agli ospiti (informazioni sulla proprietà, istruzioni operative, consigli locali).

• Logica: il sistema analizza il contenuto del messaggio, lo contestualizza rispetto alla prenotazione e alla proprietà, e genera una risposta in linguaggio naturale utilizzando le informazioni disponibili nel database.

• Conseguenze: il sistema fornisce esclusivamente informazioni e assistenza operativa. Non vengono prese decisioni che producano effetti giuridici o incidano significativamente sull'interessato ai sensi dell'art. 22 GDPR.

3.4 Utilizzo dei dati per training e miglioramento

Dati degli ospiti: Verto NON utilizza i dati personali degli ospiti (conversazioni, prenotazioni, informazioni identificative) per addestrare, migliorare o sviluppare modelli di intelligenza artificiale propri o di terzi. I dati degli ospiti sono trattati esclusivamente per l'erogazione del servizio.

Provider AI terzi: i dati inviati ai provider AI (Anthropic, OpenAI) sono elaborati esclusivamente per generare risposte in tempo reale. Verto utilizza configurazioni contrattuali e tecniche che, ove disponibili presso il fornitore, disabilitano la conservazione e l'utilizzo dei dati per l'addestramento dei modelli. I dettagli specifici delle garanzie offerte da ciascun provider sono documentati nei rispettivi accordi contrattuali, disponibili su richiesta.

Miglioramento del servizio: qualora in futuro Verto intendesse utilizzare dati derivanti dalle conversazioni per migliorare il proprio servizio, ciò avverrà esclusivamente su dati completamente anonimizzati (in modo irreversibile) oppure previo consenso esplicito del Cliente, secondo quanto eventualmente disciplinato in apposito allegato al DPA.

3.3 Garanzie e intervento umano

• Escalation automatica: quando il sistema AI non è in grado di fornire una risposta adeguata (confidence score inferiore alla soglia configurata) o rileva parole chiave specifiche, la conversazione viene automaticamente segnalata all'host per intervento manuale.

• Richiesta di intervento umano: l'ospite può in qualsiasi momento richiedere di parlare direttamente con l'host utilizzando una parola chiave specifica (es. "AIUTO" o "HOST").

• Monitoraggio: l'host ha accesso in tempo reale a tutte le conversazioni e può intervenire manualmente in qualsiasi momento.

• Nessuna decisione automatizzata pregiudizievole: il sistema non prende decisioni relative alla prenotazione, ai pagamenti, all'accesso alla proprietà o ad altri aspetti che possano produrre effetti significativi sull'ospite.

4. Ruoli nel trattamento dei dati

4.1 Dati dei Clienti Verto

Per i dati personali dei Clienti (host/gestori), Diciassette S.r.l.s. agisce in qualità di Titolare del trattamento.

4.2 Dati degli Ospiti

Per i dati personali degli ospiti importati o generati tramite la piattaforma (dati prenotazione, conversazioni WhatsApp), Diciassette S.r.l.s. agisce tipicamente in qualità di Responsabile del trattamento per conto del Cliente, che rimane Titolare del trattamento.

I rapporti tra Diciassette S.r.l.s. e il Cliente sono disciplinati da un apposito Accordo sul trattamento dei dati (DPA) ai sensi dell'art. 28 GDPR, disponibile su richiesta e parte integrante delle condizioni contrattuali.

5. Destinatari dei dati e sub-responsabili

I dati personali possono essere comunicati a:

• Personale autorizzato: dipendenti e collaboratori di Diciassette S.r.l.s. debitamente istruiti e vincolati alla riservatezza.

• Fornitori di servizi (sub-responsabili): soggetti terzi che forniscono servizi essenziali all'erogazione della piattaforma, operanti come responsabili o sub-responsabili del trattamento.

• Autorità competenti: ove richiesto dalla legge o da provvedimenti delle autorità.

Elenco dei principali sub-responsabili:

L'elenco completo e aggiornato dei sub-responsabili è disponibile nella sezione dedicata del sito web (vertoai.it/sub-responsabili) e include:

• Meta Platforms Ireland Ltd (WhatsApp Business API) – messaggistica

• Twilio Inc. – infrastruttura telefonica e numeri WhatsApp Business

• Anthropic PBC (Claude AI) – elaborazione linguaggio naturale

• OpenAI, LLC (GPT) – elaborazione linguaggio naturale

• Stripe Inc. – gestione pagamenti

• Provider hosting/cloud – infrastruttura e storage

• Provider email transazionali – invio comunicazioni di servizio

6. Trasferimenti di dati al di fuori dello Spazio Economico Europeo

Alcuni dei nostri sub-responsabili hanno sede o infrastrutture negli Stati Uniti d'America. I trasferimenti di dati verso paesi terzi avvengono nel rispetto delle garanzie previste dal Capo V del GDPR.

Garanzie adottate:

• Data Privacy Framework (DPF): per i trasferimenti verso organizzazioni statunitensi certificate ai sensi della decisione di adeguatezza della Commissione Europea del 10 luglio 2023.

• Clausole Contrattuali Standard (SCCs): per i trasferimenti verso organizzazioni non certificate DPF, vengono utilizzate le Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione 2021/914/UE, integrate da misure supplementari ove necessario.

Dettaglio dei trasferimenti principali:

• Meta Platforms, Inc. (WhatsApp): partecipante al programma EU-US Data Privacy Framework (verificabile su dataprivacyframework.gov).

• Twilio Inc.: partecipante al programma EU-US Data Privacy Framework; dispone inoltre di Binding Corporate Rules approvate.

• Anthropic PBC (Claude AI): SCCs in essere secondo il DPA del fornitore; Verto utilizza le API in modalità che non prevede conservazione dei dati per training secondo i termini contrattuali vigenti.

• OpenAI, LLC (GPT): partecipante al programma EU-US Data Privacy Framework; Verto utilizza le API con le opzioni contrattuali e tecniche che, secondo la documentazione del fornitore, disabilitano la conservazione e l'uso per training.

• Stripe, Inc.: partecipante al programma EU-US Data Privacy Framework (verificabile su dataprivacyframework.gov).

Copia delle Clausole Contrattuali Standard e documentazione relativa alle garanzie adottate sono disponibili su richiesta. Per i dettagli aggiornati sulle garanzie di ciascun fornitore, si rimanda alla rispettiva documentazione contrattuale e privacy.

Nota sui provider AI: Verto può integrare o sostituire i modelli di intelligenza artificiale utilizzati. Prima di attivare nuovi provider che comportino trasferimenti extra-UE, Verto verifica l'esistenza di garanzie adeguate (certificazione DPF, SCCs, decisione di adeguatezza) e aggiorna la lista dei sub-responsabili. I Clienti riceveranno comunicazione delle modifiche secondo quanto previsto dal DPA.

7. Tempi di conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti:

• Dati dell'account Cliente: per tutta la durata del rapporto contrattuale e per i successivi 10 anni dalla cessazione, in conformità agli obblighi di conservazione civilistici e fiscali.

• Log di sicurezza e accesso: 12 mesi dalla generazione.

• Dati amministrativo-contabili e fatture: 10 anni in conformità alla normativa fiscale italiana.

• Dati degli ospiti (prenotazioni e conversazioni): 12 mesi dalla data di check-out, salvo diverse istruzioni documentate del Cliente o necessità di conservazione più lunga per la tutela dei diritti in caso di contestazioni.

• Dati per marketing: fino alla revoca del consenso o, in assenza di attività, per un massimo di 24 mesi dall'ultimo contatto.

Decorsi i termini di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile.

8. Cookie e tecnologie di tracciamento

Il sito web vertoai.it utilizza cookie e tecnologie similari. In particolare:

• Cookie tecnici: necessari al funzionamento del sito e dell'applicazione, installati senza necessità di consenso.

• Cookie analitici e di profilazione: installati solo previo consenso esplicito dell'utente, raccolto tramite banner conforme alle Linee guida del Garante del 10 giugno 2021.

Per maggiori informazioni, si rimanda alla Cookie Policy disponibile sul sito.

9. Diritti dell'interessato

In conformità agli articoli 15-22 del GDPR, l'interessato ha il diritto di:

• Accesso (art. 15): ottenere conferma dell'esistenza di trattamenti e accedere ai propri dati.

• Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.

• Cancellazione (art. 17): ottenere la cancellazione dei dati, nei limiti previsti dalla legge.

• Limitazione (art. 18): ottenere la limitazione del trattamento.

• Portabilità (art. 20): ricevere i dati in formato strutturato e trasmetterli a altro titolare.

• Opposizione (art. 21): opporsi al trattamento per motivi legittimi.

• Revoca del consenso: revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Come esercitare i diritti:

Le richieste possono essere inviate a: privacy@vertoai.it

Nota per gli ospiti: per i dati trattati da Verto per conto del Cliente (host), l'ospite può rivolgere le proprie richieste direttamente al Cliente (titolare del trattamento). Verto fornirà al Cliente l'assistenza necessaria per evadere le richieste secondo quanto previsto dal DPA.

10. Diritto di reclamo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei propri dati violi il GDPR ha il diritto di proporre reclamo all'Autorità di controllo competente.

In Italia: Garante per la protezione dei dati personali

Sito web: www.garanteprivacy.it

Email: protocollo@pec.gpdp.it

11. Aggiornamenti dell'informativa

La presente informativa può essere soggetta a modifiche e aggiornamenti. La versione vigente è sempre quella pubblicata sul sito web vertoai.it. In caso di modifiche sostanziali, ne verrà data comunicazione agli interessati attraverso i canali appropriati.

Ultimo aggiornamento: Gennaio 2026

Versione: 2.2