Versione Corrente

Versione: 3.0.0

Data di Entrata in Vigore:

Ultimo Aggiornamento:

1. Informativa Privacy FlorenceEGI

Data di Entrata in Vigore: 26/03/2026 Versione: 2.0.0 Titolare del Trattamento: FlorenceEGI S.r.l. Contatto Privacy: privacy@florenceegi.com Data Protection Officer (DPO): dpo@florenceegi.com


2. 1. Chi Siamo

FlorenceEGI S.r.l. ("FlorenceEGI", "noi", "nostro") è il titolare del trattamento dei tuoi dati personali. Operiamo un marketplace NFT sostenibile focalizzato su arte digitale e progetti di protezione ambientale (EPP - Environmental Protection Projects).

La nostra piattaforma integra tecnologie avanzate tra cui:

  • Blockchain Algorand per la gestione di NFT (EGI) e transazioni
  • Intelligenza Artificiale per assistenza, analisi documenti e miglioramento servizi
  • Sistemi di custodia sicura per la protezione delle chiavi crittografiche

3. 2. Informazioni che Raccogliamo

4. 2.1 Dati di Registrazione e Account

  • Dati identificativi: Nome, cognome, email, username
  • Dati fiscali: Codice fiscale/Partita IVA, indirizzo di fatturazione (per Creator e venditori)
  • Credenziali: Password (crittografata), chiavi di recupero account

5. 2.2 Dati Blockchain e Wallet

  • Indirizzo wallet Algorand: Identificativo pubblico sulla blockchain
  • Chiavi crittografiche: Gestite con crittografia AWS KMS (Key Management Service) - NON abbiamo mai accesso alle tue chiavi private in chiaro
  • Transazioni blockchain: Hash transazioni, timestamp, importi (dati pubblici per natura)
  • NFT posseduti: EGI nella tua collezione, metadata associati

6. 2.3 Dati di Utilizzo Piattaforma

  • Attività: Navigazione, acquisti, vendite, interazioni
  • Preferenze: Lingua, valuta, impostazioni notifiche
  • Dispositivo: Tipo browser, sistema operativo, indirizzo IP
  • Comunicazioni: Messaggi supporto, feedback, richieste GDPR

7. 2.4 Dati Processati dall'Intelligenza Artificiale

  • N.A.T.A.N. Assistant: Elabora solo metadati pubblici per assistenza e ricerca
  • Analisi Documenti: I documenti caricati (es. per verifica EPP) sono processati da AI per estrazione dati
  • Miglioramento Servizi: Analytics aggregate e anonimizzate

⚠️ IMPORTANTE: I sistemi AI non processano mai dati personali identificativi senza tuo esplicito consenso. I modelli AI utilizzati (Claude by Anthropic, OpenAI) sono conformi GDPR.


8. 3. Perché Trattiamo i Tuoi Dati

Finalità Base Giuridica (GDPR Art. 6) Dati Utilizzati
Erogazione servizi marketplace Contratto (Art. 6.1.b) Account, wallet, transazioni
Gestione account e autenticazione Contratto (Art. 6.1.b) Email, password, wallet
Processamento pagamenti/transazioni Contratto (Art. 6.1.b) Wallet, dati fiscali
Adempimenti fiscali (DAC7, KYC/AML) Obbligo legale (Art. 6.1.c) Dati identificativi, fiscali
Prevenzione frodi e sicurezza Interesse legittimo (Art. 6.1.f) Log attività, IP, device
Assistenza AI e miglioramento servizi Interesse legittimo (Art. 6.1.f) Interazioni (anonimizzate)
Marketing e comunicazioni promozionali Consenso (Art. 6.1.a) Email, preferenze
Contributi a progetti EPP Contratto (Art. 6.1.b) Transazioni EPP

9. 4. Tecnologie e Trattamenti Specifici

10. 4.1 Blockchain Algorand

I dati registrati su blockchain sono:

  • Pubblici: Visibili a chiunque su explorer blockchain
  • Permanenti: Non possono essere modificati o cancellati
  • Pseudonimi: L'indirizzo wallet non rivela direttamente la tua identità

11. 4.2 Custodia Chiavi (AWS KMS)

Le chiavi private dei wallet custodiali sono:

  • Crittografate: Con chiavi master AWS KMS
  • Distribuite: Architettura multi-key per massima sicurezza
  • Accessibili solo a te: Nessun dipendente FlorenceEGI può accedere

12. 4.3 Intelligenza Artificiale

Utilizziamo AI per:

  • N.A.T.A.N.: Assistente specializzato in arte e sostenibilità (processa solo dati pubblici)
  • Analisi documenti: Estrazione automatica dati da certificazioni EPP
  • Raccomandazioni: Suggerimenti personalizzati basati su preferenze

I provider AI utilizzati:

  • Anthropic (Claude): Elaborazione linguaggio naturale
  • OpenAI: Embeddings per ricerca semantica
  • Ollama (locale): Opzione GDPR-compliant per elaborazioni on-premise

13. 5. Condivisione e Trasferimento Dati

14. 5.1 Con Chi Condividiamo

Destinatario Dati Condivisi Finalità
Rete Algorand Transazioni, indirizzi wallet Registrazione blockchain
Provider verifica identità (KYC) Documenti identità Conformità normativa
Provider AI (Anthropic, OpenAI) Solo metadati pubblici Servizi AI
AWS Chiavi crittografate Custodia sicura
Autorità fiscali Dati fiscali Obblighi DAC7
Autorità giudiziarie Come richiesto Obblighi legali

15. 5.2 Trasferimenti Extra-UE

I seguenti provider operano fuori UE (USA). Garantiamo protezione tramite:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE (Art. 46 GDPR)
  • Data Processing Agreement con tutti i fornitori
Provider Paese Base giuridica trasferimento
Anthropic PBC (Claude) USA SCC Art. 46 GDPR — dati non usati per training (Privacy Policy §4)
OpenAI LLC (Embeddings) USA SCC Art. 46 GDPR — dati API non usati per training (API Terms §3c)
AWS USA/UE Certificazioni internazionali + SCC

Non vendiamo mai i tuoi dati personali.


16. 6. Sicurezza dei Dati

Implementiamo misure tecniche e organizzative ai sensi dell'Art. 32 GDPR:

  • Crittografia: TLS 1.3 in transito, AES-256 a riposo
  • Gestione chiavi: AWS KMS con rotazione automatica
  • Accessi: Autenticazione multi-fattore, principio del minimo privilegio
  • Monitoraggio: Log di audit completi, alert automatici
  • Backup: Crittografati, georidondanti
  • Formazione: Staff formato su protezione dati
  • Test sicurezza: Penetration test e vulnerability assessment periodici

17. 7. Conservazione dei Dati

Categoria Dati Periodo Conservazione Motivazione
Dati account Durata account + 7 anni Obblighi fiscali
Dati transazioni 10 anni Normative finanziarie
Log di sicurezza 2 anni Prevenzione frodi
Dati marketing Fino a revoca consenso Consenso
Dati blockchain Permanente Immutabilità blockchain
Dati AI (conversazioni) 90 giorni Miglioramento servizio

18. 8. I Tuoi Diritti GDPR

Ai sensi degli Articoli 15-22 GDPR hai diritto a:

Diritto Descrizione Come Esercitarlo
Accesso (Art. 15) Ottenere copia dei tuoi dati Dashboard GDPR o email
Rettifica (Art. 16) Correggere dati inesatti Dashboard o email
Cancellazione (Art. 17) "Diritto all'oblio" Email (con limitazioni per blockchain)
Limitazione (Art. 18) Sospendere trattamento Email
Portabilità (Art. 20) Ricevere dati in formato leggibile Dashboard (export JSON)
Opposizione (Art. 21) Opporti a trattamento Email
Revoca consenso Ritirare consensi Dashboard o email

⚠️ NOTA: I dati registrati su blockchain NON possono essere cancellati a causa della natura immutabile della tecnologia.

Contatto: privacy@florenceegi.com Risposta: Entro 30 giorni dalla richiesta


19. 9. Decisioni Automatizzate e Profilazione

Utilizziamo processi decisionali automatizzati per:

  • Rilevamento frodi: Blocco automatico transazioni sospette
  • Raccomandazioni: Suggerimenti basati su preferenze

Hai diritto a richiedere intervento umano, esprimere opinione e contestare decisioni automatizzate contattando privacy@florenceegi.com.


21. 11. Modifiche all'Informativa

Potremmo aggiornare questa informativa. In caso di modifiche sostanziali:

  • Pubblicheremo la nuova versione con data aggiornata
  • Ti invieremo notifica via email
  • Se necessario, richiederemo nuovo consenso

22. 12. Contatti

Titolare del Trattamento FlorenceEGI S.r.l. Email: privacy@florenceegi.com

Data Protection Officer Email: dpo@florenceegi.com

Reclami Puoi presentare reclamo all'autorità di controllo:

  • Italia: Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
  • UE: Autorità del tuo Stato membro

Ultimo aggiornamento: 26/03/2026

23. Processori AI (Sub-Responsabili del Trattamento)

Per fornire alcune funzionalità basate su intelligenza artificiale (assistenti conversazionali, analisi documentale, generazione di testi e ricerca semantica), FlorenceEGI si avvale di fornitori terzi che agiscono come Responsabili del trattamento ai sensi dell'art. 28 GDPR. Ai sensi degli artt. 13(1)(e) e 14(1)(e) GDPR indichiamo le categorie di destinatari dei dati personali:

  • Anthropic Inc. (USA) — modelli linguistici Claude (generazione di testi e risposte dell'assistente AI).
  • OpenAI Inc. (USA) — modelli GPT (generazione di testi) e generazione di rappresentazioni vettoriali (embeddings) per la ricerca semantica.
  • Google LLC (USA) — modelli Gemini (analisi e generazione di contenuti).
  • Perplexity AI, Inc. (USA) — ricerca web e analisi di mercato (market research).
  • Voyage AI (USA) e Cohere Inc. (Canada) — riordino dei risultati di ricerca (re-ranking).

Per erogare ulteriori funzioni AI possiamo avvalerci di altri fornitori specializzati; l'elenco aggiornato dei sub-responsabili è disponibile su richiesta presso il Titolare e ogni nuovo sub-responsabile è soggetto agli stessi obblighi contrattuali di protezione dei dati.

Trasferimenti extra-UE. I fornitori statunitensi trattano i dati sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914/UE), ai sensi dell'art. 46 GDPR, con misure supplementari: cifratura in transito (TLS 1.3), nessuna conservazione delle richieste presso il fornitore e divieto di utilizzo dei dati per l'addestramento dei modelli senza consenso. Cohere (Canada) opera sulla base della decisione di adeguatezza dell'UE. Non utilizziamo modelli di intelligenza artificiale con archiviazione dei dati in giurisdizioni prive di garanzie adeguate.

Avviso. Ti invitiamo a non inserire dati personali non necessari o categorie particolari di dati (art. 9 GDPR) nel testo libero delle richieste agli assistenti AI.

Informazioni di Contatto

Titolare del Trattamento:

Email: privacy@florenceegi.com

Indirizzo:

Il tuo stato di accettazione

Cronologia Versioni

3.0.0 Corrente
2.0.0
2.0.0