Privacy Policy

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali relativi all'applicazione PerizIA 4.0 ("l'Applicazione", "il Software"), al sito perizia40.com e ai servizi connessi è:

PerizIA 4.0 è distribuito con il brand RAVENG, divisione software di CE4U Srl.

Responsabile della Protezione dei Dati (DPO / RPD): considerata la struttura dell'impresa, il core business, l'assenza di trattamenti su larga scala di dati particolari ex art. 9 GDPR o di monitoraggio sistematico, CE4U Srl non è tenuta alla nomina del DPO (art. 37 GDPR). Le funzioni di riferimento privacy sono gestite internamente dal Legale Rappresentante (email: [email protected]).

La presente informativa è resa ai sensi del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy"), del Provvedimento del Garante 8 maggio 2014 "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", e delle linee guida EDPB pertinenti.

2. Tipologie di dati trattati

2.1 Dati del sito perizia40.com

La visita al sito comporta i seguenti trattamenti:

• Log server: IP sorgente, user agent, path HTTP, status code, timestamp — conservati 30 giorni per sicurezza e debug (base giuridica: legittimo interesse, art. 6.1.f GDPR);
• Cookie/localStorage tecnici (sempre attivi, esenti da consenso ex art. 122 D.Lgs. 196/2003):
  • perizia40_cookie_consent_v1 — memorizza la scelta sul banner cookie;
  • perizia40_exit_popup_v1 — cooldown del popup “prima di andare” (max 1 volta ogni 7 giorni);
  • perizia40_referral_v1 — codice referral dalla URL ?ref=, conservato 30 giorni per attribuzione affiliati;
  • perizia40_has_license — flag interno per disattivare popup marketing sugli utenti già clienti.
• Google Analytics 4 — OPT-IN (cookie _ga, _ga_H986T231FH): attivato solo se clicchi “Accetta” sul banner, in modalità Consent Mode v2 con IP anonimizzato, zero pubblicità e zero profilazione (base giuridica: consenso, art. 6.1.a GDPR) — vedi § 2.1.1;
• Form contatti: nome, email, messaggio — inviato via email a [email protected] (base giuridica: consenso esplicito, art. 6.1.a GDPR).

Il sito non utilizza Facebook Pixel, Hotjar, LinkedIn Insight, session replay o profilazione pubblicitaria. Maggiori dettagli in Cookie Policy.

2.1.1 Google Analytics 4 (analytics opt-in)

Quando l’Utente acconsente sul banner cookie, il sito attiva Google Analytics 4 (proprietà G-H986T231FH) per misurare in forma aggregata l’uso del sito (pagine viste, tempo di permanenza, sorgente traffico).

• Titolare: CE4U Srl (vedi § 7);
• Responsabile del trattamento (art. 28 GDPR): Google Ireland Ltd. per i residenti UE, con trasferimento di dati pseudonimi a Google LLC (USA) come sub-processor;
• Base giuridica: consenso esplicito (art. 6.1.a GDPR), revocabile in qualsiasi momento (vedi Cookie Policy);
• Finalità: sola misurazione aggregata. Nessuna profilazione pubblicitaria (ad_storage, ad_user_data, ad_personalization impostati permanentemente su denied);
• Dati trattati: identificatore pseudonimo del client, IP anonimizzato da Google, URL visitate, referrer, user agent, timestamp;
• Conservazione: 14 mesi (impostazione di default GA4);
• Trasferimento extra-UE: sulla base delle Standard Contractual Clauses 2021/914/UE e dell’adesione di Google al EU-US Data Privacy Framework (certificazione presso il Dipartimento del Commercio USA);
• Diritti e trasparenza: privacy policy Google policies.google.com/privacy · opt-out browser-wide tools.google.com/dlpage/gaoptout.

2.2 Dati della perizia caricati ed elaborati nel servizio (cloud)

PerizIA 4.0 è un servizio web (SaaS): per erogarlo, i dati che l'Utente carica vengono trasmessi ai server di CE4U, ivi elaborati e conservati per la durata del rapporto. Si tratta di:

• Informazioni anagrafiche del Committente della perizia (ragione sociale, P.IVA, codice fiscale, sede legale, sede operativa);
• Dati tecnici dei beni strumentali (fabbricante, modello, matricola, anno di produzione/immissione in funzione);
• Documentazione sorgente (PDF, DOCX, immagini JPG/PNG/HEIC) caricata dall'Utente;
• Output dell'elaborazione AI (JSON) e documenti generati (DOCX/PDF della perizia);
• Preferenze utente (dati del perito, modello AI selezionato, impostazioni export);
• Dati di account (email, password cifrata, ruolo, stato abbonamento/prova).

I dati delle perizie sono salvati in aree di archiviazione isolate per ciascun account sull'infrastruttura del Fornitore (server gestito in UE; cfr. § Sub-responsabili). La trasmissione avviene su canale cifrato HTTPS/TLS.

L'accesso ai dati è riservato all'Utente titolare dell'account e — limitatamente a manutenzione, sicurezza e supporto — al personale CE4U strettamente autorizzato. I contenuti delle perizie non vengono usati per addestrare modelli AI né ceduti a terzi per finalità di marketing. L'Utente può esportare o richiedere la cancellazione dei propri dati in qualsiasi momento (cfr. § Conservazione e § Diritti).

2.3 Dati trasmessi ai fornitori AI (Anthropic e OpenAI)

L'elaborazione AI avviene con le chiavi API dell'Utente (modello "bring your own key"): l'Utente sottoscrive autonomamente i propri account presso i fornitori AI e i relativi costi/utilizzi sono a suo carico. Per la generazione e la verifica della perizia il servizio trasmette ad Anthropic PBC (anthropic.com) e, per la verifica "seconda opinione", a OpenAI (openai.com):

• Testi estratti dai PDF/DOCX/immagini della perizia;
• Immagini fotografiche dei beni;
• Contesto anagrafico del Committente;
• Dati tecnici dei beni.

Anthropic è titolare autonomo per la fornitura del servizio AI verso l'Utente (che sottoscrive autonomamente un account Claude Pro/Max o API). Anthropic dichiara di non utilizzare le chiamate API commerciali per addestrare i propri modelli (vedi Anthropic Commercial Terms, Anthropic Privacy Policy, Anthropic Data Processing Addendum).

Base giuridica: esecuzione del contratto tra Utente e Anthropic per la fornitura del servizio AI (art. 6.1.b GDPR). CE4U non è titolare né responsabile di questo trattamento.

2.4 Dati trattati da Paddle (Merchant of Record per i pagamenti)

Paddle.com Market Ltd (Judd House, 18–29 Mora Street, London EC1V 8BT, UK — company number 08172165) è il Merchant of Record ("MoR") per tutti i pagamenti dell'Applicazione. In questo ruolo Paddle:

• è il venditore legale nei confronti dell'Utente finale;
• raccoglie, elabora e conserva i dati di pagamento (numero carta/IBAN/paese, indirizzo di fatturazione);
• gestisce fatturazione, IVA/VAT/GST, fatturazione elettronica verso il Sistema di Interscambio (SdI);
• gestisce rimborsi e chargeback.

Paddle è titolare autonomo del trattamento dei dati di pagamento verso l'Utente finale. Vedi Paddle Privacy Policy.

CE4U riceve da Paddle esclusivamente: email dell'Utente (per invio abbonamento), paese (per IVA), importo transazione, ID ordine. Nessun dato di pagamento (carte, IBAN) è condiviso con CE4U.

Base giuridica: esecuzione del contratto di acquisto (art. 6.1.b GDPR).

2.5 Dati di account e abbonamento (gestiti nell'applicazione web)

Account, prova gratuita e abbonamento sono gestiti dentro l'applicazione web e conservati nel database del servizio, ospitato sul server del Fornitore in UE (cfr. § Sub-responsabili). CE4U memorizza:

• Email dell'Utente: identificativo di accesso e comunicazioni di servizio;
• Password: conservata esclusivamente come hash crittografico (mai in chiaro);
• Nome e dati del perito (per la precompilazione delle perizie);
• Ruolo e stato licenza: prova / attivo / scaduto;
• Timestamp: registrazione, fine prova, inizio/fine abbonamento;
• Codice referral (opzionale): se l'Utente ha utilizzato o generato un codice;
• ID cliente/abbonamento Paddle (solo abbinamento tecnico, non dati di pagamento).

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR) e legittimo interesse alla tutela antifrode e alla sicurezza (art. 6.1.f GDPR).

Conservazione: per la durata dell'account; i dati fiscali correlati sono conservati 10 anni (art. 2220 cc). L'account e i dati personali sono cancellati entro 30 giorni dalla richiesta di chiusura o dalla cessazione del rapporto, salvo obblighi di legge.

2.6 Dati trattati da Resend (invio email transazionali)

L'invio delle email relative alla licenza (consegna abbonamento, conferma attivazione, notifiche di scadenza) è effettuato tramite il servizio Resend (Resend Inc., USA — resend.com) in qualità di responsabile esterno ex art. 28 GDPR.

• Dati trasmessi: email dell'Utente, nome (opzionale), corpo del messaggio, metadata di consegna;
• Base giuridica: esecuzione del contratto (art. 6.1.b GDPR);
• Conservazione presso Resend: log di consegna per 30 giorni; contenuto email cancellato al termine della consegna.

Vedi Resend Privacy Policy e Resend DPA.

2.7 Dati di crash reporting (opt-out via Sentry)

Utilizziamo Sentry (Functional Software Inc., USA) per ricevere crash report anonimi dell'Applicazione.

Cosa raccogliamo

• Stack trace dell'errore (simboli, file sorgente, riga);
• Versione del servizio + browser/sistema operativo;
• Architettura hardware (arm64 / x86_64 — non UUID);
• Timestamp;
• Identificatore sessione anonimo (UUID casuale, rinnovato a ogni avvio — non collegato a identità).

Cosa NON raccogliamo

• Contenuto dei documenti della perizia;
• Dati personali dell'Utente o del Committente;
• IOPlatformUUID, MAC address, numeri seriali;
• abbonamento (mascherato nei log).

Base giuridica: legittimo interesse alla stabilità del servizio (art. 6.1.f GDPR); rapporto di responsabile ex art. 28 GDPR con Sentry.

Opt-out: Preferenze → Privacy → "Disabilita crash reporting". Disabilitabile in qualsiasi momento.

Conservazione presso Sentry: 30 giorni, poi cancellazione automatica.

2.8 Dati di telemetria aggregata (opt-in)

Con consenso esplicito dell'Utente (checkbox OFF di default al primo avvio), raccogliamo eventi di utilizzo aggregati e senza PII:

• app_launched: sessione iniziata (timestamp);
• opus_run_completed: durata operazione, numero beni — NESSUN contenuto;
• classify_completed: numero immagini classificate;
• export_completed: formato output scelto.

Nessun PII, nessun contenuto della perizia. Utilizzati esclusivamente per ottimizzare l'Applicazione. Conservazione 24 mesi, poi cancellazione.

Base giuridica: consenso esplicito (art. 6.1.a GDPR). Revocabile in qualsiasi momento dalle Preferenze.

3. Finalità e basi giuridiche del trattamento

4. Ruolo del perito-Utente verso i dati del Committente

Nell'ambito di questa attività:

• L'Utente è responsabile di: raccolta lecita dei dati dal Committente, informativa agli interessati, basi giuridiche adeguate, misure di sicurezza, risposta all'esercizio dei diritti degli interessati;
• CE4U agisce come responsabile del trattamento ex art. 28 GDPR limitatamente ai dati contenuti nei documenti che transitano per i servizi di elaborazione (es. Resend per le email di servizio). L'atto di accettazione della presente Privacy Policy costituisce nomina tacita di CE4U a responsabile, perfezionata dall'accettazione del Data Processing Agreement disponibile alla pagina dedicata (opzionale per consumer, consigliato per B2B enterprise);
• Anthropic agisce come titolare autonomo per la fornitura del servizio AI verso l'Utente: il contratto AI è tra Utente e Anthropic, e non tra CE4U e Anthropic.

L'Utente si obbliga a trasmettere all'Applicazione esclusivamente dati per il cui trattamento abbia idonea base giuridica. CE4U non effettua verifiche sulla liceità dei dati forniti dall'Utente.

5. Destinatari, responsabili e sub-responsabili

I dati possono essere comunicati a:

L'elenco aggiornato dei sub-responsabili è disponibile pubblicamente alla pagina /legal/subprocessors.html. Le modifiche sostanziali (nuovi sub-responsabili con trasferimento extra-UE o nuove categorie di dati) sono pubblicate con preavviso di 30 giorni.

CE4U non vende, non affitta e non cede a terzi i dati degli Utenti per finalità di marketing, profilazione, pubblicità comportamentale o a fini di lucro.

6. Trasferimento extra-UE

Alcuni destinatari operano fuori dall'Unione Europea. CE4U garantisce adeguate tutele tramite:

• Standard Contractual Clauses (SCC) — Decisione Commissione UE 2021/914 del 04/06/2021, per: Anthropic (USA), Cloudflare (USA), Resend (USA), Sentry (USA);
• EU–US Data Privacy Framework (Decisione CE 10/07/2023) — dove applicabile ai sub-responsabili statunitensi aderenti;
• UK adequacy decision (Decisione CE 28/06/2021) — per Paddle (UK);
• Transfer Impact Assessment (TIA) — eseguito da CE4U per ciascun sub-responsabile extra-UE.

Gli Utenti possono richiedere copia delle SCC sottoscritte con i sub-responsabili inviando richiesta a [email protected].

7. Periodi di conservazione

I periodi di conservazione sono indicati nella tabella del §3. In sintesi:

• Dati contabili/fiscali: 10 anni (art. 2220 cc);
• Dati licenza (Codice, email, machine hash): durata licenza + 30 giorni di "grace" per eventuali riattivazioni; poi anonimizzazione;
• Log server: 30 giorni;
• Crash report: 30 giorni;
• Telemetria aggregata: 24 mesi;
• Supporto tecnico: 12 mesi dalla chiusura del ticket;
• Dati per difesa in giudizio: sino alla prescrizione dell'eventuale pretesa;
• Backup interni cifrati: massimo 90 giorni di rotazione, con policy di cancellazione automatica.

8. Diritti dell'interessato

L'interessato ha diritto, in ogni momento, di:

• Accesso ai propri dati (art. 15 GDPR);
• Rettifica (art. 16);
• Cancellazione / oblio (art. 17), fatte salve le conservazioni obbligatorie per legge;
• Limitazione del trattamento (art. 18);
• Portabilità (art. 20): fornitura in formato JSON/CSV strutturato;
• Opposizione al trattamento (art. 21), in particolare per i trattamenti fondati su legittimo interesse;
• Revoca del consenso in qualsiasi momento (art. 7 co. 3) — senza pregiudizio del trattamento effettuato prima della revoca;
• Non essere sottoposti a processi decisionali automatizzati (art. 22) — CE4U non effettua profilazione algoritmica automatica sulle persone fisiche.

Per esercitare i propri diritti: [email protected] (CE4U risponde entro 30 giorni, prorogabili di 60 in casi complessi ex art. 12 co. 3 GDPR).

Per i dati gestiti da Paddle: [email protected].
Per i dati gestiti da Anthropic: [email protected].
Per i dati gestiti da Cloudflare: [email protected].

Diritto di reclamo all'autorità di controllo (art. 77 GDPR): Garante per la Protezione dei Dati Personali, P.zza Venezia 11, 00187 Roma — gpdp.it · [email protected] · PEC [email protected].

9. Sicurezza e data breach

CE4U adotta misure di sicurezza tecniche e organizzative adeguate ex art. 32 GDPR:

• Trasporto cifrato HTTPS con TLS 1.3 per tutte le comunicazioni con il servizio e le chiamate API;
• Password degli account conservate esclusivamente come hash crittografico (algoritmo bcrypt/argon2); chiavi API dell'Utente cifrate a riposo;
• Dati delle perizie archiviati in aree isolate per ciascun account, con controlli di accesso a privilegio minimo;
• Isolamento dell'elaborazione AI per utente: le chiavi/licenze del Fornitore non vengono mai usate per conto di terzi;
• Backup cifrati AES-256; rotazione periodica;
• Controlli di accesso con principio del least privilege all'infrastruttura del servizio;
• Rate limiting e anti-abuse sulle API pubbliche;
• Registro dei trattamenti ex art. 30 GDPR mantenuto internamente;
• Valutazione d'impatto (DPIA) eseguita per i trattamenti ad alto rischio.

9.1 Data breach notification

In caso di violazione dei dati personali (data breach) con rischio per i diritti e le libertà degli interessati, CE4U:

• notifica il Garante entro 72 ore dalla conoscenza (art. 33 GDPR);
• informa gli interessati senza ingiustificato ritardo ove il rischio sia elevato (art. 34 GDPR);
• documenta la violazione nel registro interno dei data breach.

Gli Utenti possono segnalare sospetti data breach via [email protected].

10. Minori

L'Applicazione è destinata esclusivamente a utenti professionali (periti, ingegneri, commercialisti, consulenti) maggiorenni. CE4U non raccoglie intenzionalmente dati di minori di 18 anni. In caso CE4U venga a conoscenza di dati di minori, procederà alla cancellazione immediata salvo diversa istruzione del genitore/tutore.

11. Modifiche alla Privacy Policy

Le modifiche sono notificate nell'Applicazione e su questa pagina con almeno 30 giorni di preavviso. La versione vigente è sempre disponibile nell'app (menù Aiuto → Privacy Policy) e su perizia40.com/legal/privacy.html.

Per modifiche sostanziali (nuovi destinatari extra-UE, nuove finalità di trattamento, trattamenti basati su legittimo interesse che impattino diritti fondamentali), richiederemo il rinnovo del consenso tramite checkbox in-app o al successivo accesso al sito.

12. Contatti e reclami

Documento conforme al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, alle Linee guida EDPB pertinenti, al Provvedimento del Garante 8 maggio 2014 sui cookie. Versione 2.0 · In vigore dal 23 aprile 2026. Versioni precedenti consultabili a richiesta: [email protected].