1. Informativa Privacy FlorenceEGI
Data di Entrata in Vigore: 26/03/2026 Versione: 2.0.0 Titolare del Trattamento: FlorenceEGI S.r.l. Contatto Privacy: privacy@florenceegi.com Data Protection Officer (DPO): dpo@florenceegi.com
2. 1. Chi Siamo
FlorenceEGI S.r.l. ("FlorenceEGI", "noi", "nostro") è il titolare del trattamento dei tuoi dati personali. Operiamo un marketplace NFT sostenibile focalizzato su arte digitale e progetti di protezione ambientale (EPP - Environmental Protection Projects).
La nostra piattaforma integra tecnologie avanzate tra cui:
- Blockchain Algorand per la gestione di NFT (EGI) e transazioni
- Intelligenza Artificiale per assistenza, analisi documenti e miglioramento servizi
- Sistemi di custodia sicura per la protezione delle chiavi crittografiche
3. 2. Informazioni che Raccogliamo
4. 2.1 Dati di Registrazione e Account
- Dati identificativi: Nome, cognome, email, username
- Dati fiscali: Codice fiscale/Partita IVA, indirizzo di fatturazione (per Creator e venditori)
- Credenziali: Password (crittografata), chiavi di recupero account
5. 2.2 Dati Blockchain e Wallet
- Indirizzo wallet Algorand: Identificativo pubblico sulla blockchain
- Chiavi crittografiche: Gestite con crittografia AWS KMS (Key Management Service) - NON abbiamo mai accesso alle tue chiavi private in chiaro
- Transazioni blockchain: Hash transazioni, timestamp, importi (dati pubblici per natura)
- NFT posseduti: EGI nella tua collezione, metadata associati
6. 2.3 Dati di Utilizzo Piattaforma
- Attività: Navigazione, acquisti, vendite, interazioni
- Preferenze: Lingua, valuta, impostazioni notifiche
- Dispositivo: Tipo browser, sistema operativo, indirizzo IP
- Comunicazioni: Messaggi supporto, feedback, richieste GDPR
7. 2.4 Dati Processati dall'Intelligenza Artificiale
- N.A.T.A.N. Assistant: Elabora solo metadati pubblici per assistenza e ricerca
- Analisi Documenti: I documenti caricati (es. per verifica EPP) sono processati da AI per estrazione dati
- Miglioramento Servizi: Analytics aggregate e anonimizzate
⚠️ IMPORTANTE: I sistemi AI non processano mai dati personali identificativi senza tuo esplicito consenso. I modelli AI utilizzati (Claude by Anthropic, OpenAI) sono conformi GDPR.
8. 3. Perché Trattiamo i Tuoi Dati
| Finalità | Base Giuridica (GDPR Art. 6) | Dati Utilizzati |
|---|---|---|
| Erogazione servizi marketplace | Contratto (Art. 6.1.b) | Account, wallet, transazioni |
| Gestione account e autenticazione | Contratto (Art. 6.1.b) | Email, password, wallet |
| Processamento pagamenti/transazioni | Contratto (Art. 6.1.b) | Wallet, dati fiscali |
| Adempimenti fiscali (DAC7, KYC/AML) | Obbligo legale (Art. 6.1.c) | Dati identificativi, fiscali |
| Prevenzione frodi e sicurezza | Interesse legittimo (Art. 6.1.f) | Log attività, IP, device |
| Assistenza AI e miglioramento servizi | Interesse legittimo (Art. 6.1.f) | Interazioni (anonimizzate) |
| Marketing e comunicazioni promozionali | Consenso (Art. 6.1.a) | Email, preferenze |
| Contributi a progetti EPP | Contratto (Art. 6.1.b) | Transazioni EPP |
9. 4. Tecnologie e Trattamenti Specifici
10. 4.1 Blockchain Algorand
I dati registrati su blockchain sono:
- Pubblici: Visibili a chiunque su explorer blockchain
- Permanenti: Non possono essere modificati o cancellati
- Pseudonimi: L'indirizzo wallet non rivela direttamente la tua identità
11. 4.2 Custodia Chiavi (AWS KMS)
Le chiavi private dei wallet custodiali sono:
- Crittografate: Con chiavi master AWS KMS
- Distribuite: Architettura multi-key per massima sicurezza
- Accessibili solo a te: Nessun dipendente FlorenceEGI può accedere
12. 4.3 Intelligenza Artificiale
Utilizziamo AI per:
- N.A.T.A.N.: Assistente specializzato in arte e sostenibilità (processa solo dati pubblici)
- Analisi documenti: Estrazione automatica dati da certificazioni EPP
- Raccomandazioni: Suggerimenti personalizzati basati su preferenze
I provider AI utilizzati:
- Anthropic (Claude): Elaborazione linguaggio naturale
- OpenAI: Embeddings per ricerca semantica
- Ollama (locale): Opzione GDPR-compliant per elaborazioni on-premise
13. 5. Condivisione e Trasferimento Dati
14. 5.1 Con Chi Condividiamo
| Destinatario | Dati Condivisi | Finalità |
|---|---|---|
| Rete Algorand | Transazioni, indirizzi wallet | Registrazione blockchain |
| Provider verifica identità (KYC) | Documenti identità | Conformità normativa |
| Provider AI (Anthropic, OpenAI) | Solo metadati pubblici | Servizi AI |
| AWS | Chiavi crittografate | Custodia sicura |
| Autorità fiscali | Dati fiscali | Obblighi DAC7 |
| Autorità giudiziarie | Come richiesto | Obblighi legali |
15. 5.2 Trasferimenti Extra-UE
I seguenti provider operano fuori UE (USA). Garantiamo protezione tramite:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE (Art. 46 GDPR)
- Data Processing Agreement con tutti i fornitori
| Provider | Paese | Base giuridica trasferimento |
|---|---|---|
| Anthropic PBC (Claude) | USA | SCC Art. 46 GDPR — dati non usati per training (Privacy Policy §4) |
| OpenAI LLC (Embeddings) | USA | SCC Art. 46 GDPR — dati API non usati per training (API Terms §3c) |
| AWS | USA/UE | Certificazioni internazionali + SCC |
Non vendiamo mai i tuoi dati personali.
16. 6. Sicurezza dei Dati
Implementiamo misure tecniche e organizzative ai sensi dell'Art. 32 GDPR:
- Crittografia: TLS 1.3 in transito, AES-256 a riposo
- Gestione chiavi: AWS KMS con rotazione automatica
- Accessi: Autenticazione multi-fattore, principio del minimo privilegio
- Monitoraggio: Log di audit completi, alert automatici
- Backup: Crittografati, georidondanti
- Formazione: Staff formato su protezione dati
- Test sicurezza: Penetration test e vulnerability assessment periodici
17. 7. Conservazione dei Dati
| Categoria Dati | Periodo Conservazione | Motivazione |
|---|---|---|
| Dati account | Durata account + 7 anni | Obblighi fiscali |
| Dati transazioni | 10 anni | Normative finanziarie |
| Log di sicurezza | 2 anni | Prevenzione frodi |
| Dati marketing | Fino a revoca consenso | Consenso |
| Dati blockchain | Permanente | Immutabilità blockchain |
| Dati AI (conversazioni) | 90 giorni | Miglioramento servizio |
18. 8. I Tuoi Diritti GDPR
Ai sensi degli Articoli 15-22 GDPR hai diritto a:
| Diritto | Descrizione | Come Esercitarlo |
|---|---|---|
| Accesso (Art. 15) | Ottenere copia dei tuoi dati | Dashboard GDPR o email |
| Rettifica (Art. 16) | Correggere dati inesatti | Dashboard o email |
| Cancellazione (Art. 17) | "Diritto all'oblio" | Email (con limitazioni per blockchain) |
| Limitazione (Art. 18) | Sospendere trattamento | |
| Portabilità (Art. 20) | Ricevere dati in formato leggibile | Dashboard (export JSON) |
| Opposizione (Art. 21) | Opporti a trattamento | |
| Revoca consenso | Ritirare consensi | Dashboard o email |
⚠️ NOTA: I dati registrati su blockchain NON possono essere cancellati a causa della natura immutabile della tecnologia.
Contatto: privacy@florenceegi.com Risposta: Entro 30 giorni dalla richiesta
19. 9. Decisioni Automatizzate e Profilazione
Utilizziamo processi decisionali automatizzati per:
- Rilevamento frodi: Blocco automatico transazioni sospette
- Raccomandazioni: Suggerimenti basati su preferenze
Hai diritto a richiedere intervento umano, esprimere opinione e contestare decisioni automatizzate contattando privacy@florenceegi.com.
21. 11. Modifiche all'Informativa
Potremmo aggiornare questa informativa. In caso di modifiche sostanziali:
- Pubblicheremo la nuova versione con data aggiornata
- Ti invieremo notifica via email
- Se necessario, richiederemo nuovo consenso
22. 12. Contatti
Titolare del Trattamento FlorenceEGI S.r.l. Email: privacy@florenceegi.com
Data Protection Officer Email: dpo@florenceegi.com
Reclami Puoi presentare reclamo all'autorità di controllo:
- Italia: Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
- UE: Autorità del tuo Stato membro
Ultimo aggiornamento: 26/03/2026
23. Processori AI (Sub-Responsabili del Trattamento)
Per fornire alcune funzionalità basate su intelligenza artificiale (assistenti conversazionali, analisi documentale, generazione di testi e ricerca semantica), FlorenceEGI si avvale di fornitori terzi che agiscono come Responsabili del trattamento ai sensi dell'art. 28 GDPR. Ai sensi degli artt. 13(1)(e) e 14(1)(e) GDPR indichiamo le categorie di destinatari dei dati personali:
- Anthropic Inc. (USA) — modelli linguistici Claude (generazione di testi e risposte dell'assistente AI).
- OpenAI Inc. (USA) — modelli GPT (generazione di testi) e generazione di rappresentazioni vettoriali (embeddings) per la ricerca semantica.
- Google LLC (USA) — modelli Gemini (analisi e generazione di contenuti).
- Perplexity AI, Inc. (USA) — ricerca web e analisi di mercato (market research).
- Voyage AI (USA) e Cohere Inc. (Canada) — riordino dei risultati di ricerca (re-ranking).
Per erogare ulteriori funzioni AI possiamo avvalerci di altri fornitori specializzati; l'elenco aggiornato dei sub-responsabili è disponibile su richiesta presso il Titolare e ogni nuovo sub-responsabile è soggetto agli stessi obblighi contrattuali di protezione dei dati.
Trasferimenti extra-UE. I fornitori statunitensi trattano i dati sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914/UE), ai sensi dell'art. 46 GDPR, con misure supplementari: cifratura in transito (TLS 1.3), nessuna conservazione delle richieste presso il fornitore e divieto di utilizzo dei dati per l'addestramento dei modelli senza consenso. Cohere (Canada) opera sulla base della decisione di adeguatezza dell'UE. Non utilizziamo modelli di intelligenza artificiale con archiviazione dei dati in giurisdizioni prive di garanzie adeguate.
Avviso. Ti invitiamo a non inserire dati personali non necessari o categorie particolari di dati (art. 9 GDPR) nel testo libero delle richieste agli assistenti AI.
Informazioni di Contatto
Titolare del Trattamento:
Email: privacy@florenceegi.com
Indirizzo: