1. Ruoli nel Trattamento dei Dati

1.1 Per i dati degli Host (proprietari immobili)
Hosty Lab di Silvia Cesarini è Titolare autonomo del trattamento per i dati raccolti durante la registrazione, l'uso della piattaforma e la gestione degli abbonamenti.

1.2 Per i dati degli Ospiti (utilizzatori assistente AI)
L'Host è il Titolare autonomo del trattamento per le conversazioni e i dati raccolti tramite l'assistente AI. Hosty Lab di Silvia Cesarini agisce come Responsabile del trattamentosu istruzione dell'Host, fornendo l'infrastruttura tecnologica per l'erogazione del servizio.

L'Host è quindi responsabile di fornire agli ospiti adeguata informativa privacy e di rispettare tutti gli obblighi GDPR relativi ai dati raccolti tramite il proprio assistente AI.

2. Tipologie di Dati Raccolti

3. Finalità del Trattamento

I tuoi dati personali sono trattati per le seguenti finalità:

4. Base Giuridica del Trattamento

Il trattamento dei dati personali è basato sulle seguenti basi giuridiche previste dall'art. 6 GDPR:

• Esecuzione del contratto (art. 6.1.b GDPR) - per fornire il servizio richiesto, gestire l'account, elaborare pagamenti e fornire supporto tecnico
• Consenso esplicito (art. 6.1.a GDPR) - per attività di marketing, comunicazioni promozionali, newsletter e utilizzo di cookie marketing (Facebook Pixel)
• Interesse legittimo (art. 6.1.f GDPR) - per migliorare il servizio tramite analytics aggregati, prevenire frodi, garantire sicurezza della piattaforma, formare e ottimizzare i modelli di AI
• Obbligo legale (art. 6.1.c GDPR) - per adempimenti fiscali (conservazione fatture 10 anni), contabili, risposta a richieste autorità competenti

5. Condivisione con Terze Parti e Responsabili del Trattamento

I tuoi dati personali possono essere comunicati ai seguenti soggetti terzi, nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR, che trattano i dati esclusivamente per le finalità indicate e secondo le nostre istruzioni:

Partner tecnologici (Responsabili del trattamento):

• OpenAI (tramite OpenAI Ireland Limited) - elaborazione AI e generazione risposte dell'assistente
• Stripe (USA/EU) - gestione pagamenti sicuri e fatturazione
• Vercel (USA) - hosting piattaforma e infrastruttura cloud
• Neon Database (USA/EU) - archiviazione sicura dati strutturati
• Meta Platforms (USA) - Facebook Pixel per tracking conversioni (solo con consenso cookie marketing)

Altri destinatari legittimi:

• Consulenti legali, commercialisti e revisori contabili per adempimenti professionali
• Autorità giudiziarie, forze dell'ordine, autorità fiscali quando richiesto dalla legge
• Istituti bancari per gestione transazioni finanziarie
• Fornitori di servizi di assistenza tecnica e manutenzione (sotto accordo di riservatezza)

Nota importante: I tuoi dati non vengono mai venduti, affittati o ceduti a terzi per finalità commerciali diverse da quelle indicate nella presente informativa.

6. Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, secondo i seguenti criteri di retention:

• Dati account Host: per tutta la durata dell'abbonamento attivo. Dopo la cancellazione dell'account, i dati anagrafici e di configurazione vengono eliminati entro 30 giorni
• Dati di fatturazione e pagamento: conservati per 10 anni dalla data di emissione per obblighi fiscali e contabili (art. 2220 c.c.)
• Conversazioni ospiti con AI: conservate per 24 mesi dall'ultima interazione per finalità di miglioramento del servizio. Alla cancellazione dell'account Host, vengono eliminate entro 30 giorni
• Cache dati marketing (Facebook Pixel): conservati per 45 giorni per ottimizzazione tracking conversioni, poi automaticamente eliminati
• Analytics aggregati e anonimi: conservati a tempo indeterminato per ricerca, sviluppo e benchmarking, in quanto non riconducibili a persone identificate
• Log di sicurezza: conservati per 12 mesi per finalità di sicurezza informatica e prevenzione frodi
• Comunicazioni supporto clienti: conservate per 24 mesi dall'ultima comunicazione

Decorsi i termini di conservazione, i dati vengono cancellati in modo sicuro e irreversibile o resi definitivamente anonimi.

7. I Tuoi Diritti (GDPR)

In qualità di interessato, hai diritto di esercitare i seguenti diritti previsti dagli articoli 15-22 del GDPR:

• Accesso (art. 15) - ottenere conferma dell'esistenza dei tuoi dati e riceverne copia
• Rettifica (art. 16) - correggere dati inesatti o integrare dati incompleti
• Cancellazione (art. 17) - richiedere l'eliminazione dei dati ("diritto all'oblio"), salvo obblighi di legge che ne impongano la conservazione
• Limitazione (art. 18) - ottenere la limitazione del trattamento in specifiche circostanze
• Portabilità (art. 20) - ricevere i dati in formato strutturato, leggibile da dispositivo automatico e trasmetterli ad altro titolare
• Opposizione (art. 21) - opporti al trattamento basato su interesse legittimo o per finalità di marketing diretto
• Revoca consenso (art. 7.3) - revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente
• Reclamo (art. 77) - presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)

Per esercitare i tuoi diritti o per maggiori informazioni, invia richiesta scritta via email a team@cohosty.it o PEC a silvia.cesarini2@postecert.it con oggetto "Richiesta Esercizio Diritti GDPR - [TUO NOME]". Risponderemo entro 30 giorni dalla ricezione della richiesta.

8. Misure di Sicurezza

Abbiamo implementato misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato ai rischi, in conformità all'art. 32 GDPR, tra cui:

• Crittografia: comunicazioni protette tramite protocollo HTTPS/TLS, crittografia database at-rest
• Autenticazione: sistemi di autenticazione sicura, password con requisiti di complessità, autenticazione a due fattori disponibile
• Controlli di accesso: accesso ai dati limitato al solo personale autorizzato secondo principio "need to know"
• Backup automatici: copie di sicurezza giornaliere con retention di 30 giorni
• Monitoraggio: sistemi di rilevazione intrusioni, vulnerability scanning periodici, log degli accessi
• Pseudonimizzazione: dove tecnicamente possibile, i dati vengono pseudonimizzati
• Formazione: il personale riceve formazione periodica su privacy e sicurezza dati
• Incident response: procedure documentate per gestione data breach secondo art. 33-34 GDPR

In caso di violazione dei dati personali (data breach) che presenti un rischio per i tuoi diritti e libertà, ti informeremo senza ingiustificato ritardo come previsto dall'art. 34 GDPR.

9. Cookie e Tecnologie Simili

La piattaforma Cohosty utilizza cookie e tecnologie simili per garantire il corretto funzionamento del servizio e, previo tuo consenso, per finalità di marketing e analytics.

Tipologie di cookie utilizzati:
• Cookie tecnici (necessari): essenziali per il funzionamento della piattaforma, gestione sessioni, autenticazione utente. Non richiedono consenso.
• Cookie analytics (con consenso): per analisi aggregate delle performance e dell'uso della piattaforma
• Cookie marketing (con consenso): Facebook Pixel per tracking conversioni e ottimizzazione campagne pubblicitarie

Puoi gestire le tue preferenze cookie in qualsiasi momento tramite le impostazioni del tuo browser o tramite il banner cookie presente sulla piattaforma. Per informazioni dettagliate consulta la nostra Cookie Policy.

10. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare o aggiornare la presente informativa privacy per adeguarla a evoluzioni normative, tecnologiche o organizzative. In caso di modifiche sostanziali, ti informeremo tramite email o notifica sulla piattaforma con almeno 30 giorni di preavviso. La versione più recente sarà sempre disponibile su questa pagina con indicazione della data di ultimo aggiornamento.

11. Intelligenza Artificiale e AI Act

Trattamento dei dati tramite AI: per fornire le risposte dell’assistente, i contenuti inseriti dagli utenti (es. domande degli ospiti e informazioni configurate dall’Host) possono essere inviati al nostro fornitore di modelli linguistici (OpenAI) esclusivamente per generare la risposta richiesta e per finalità di sicurezza e prevenzione abusi.

Uso dei dati per addestramento: Cohosty non utilizza i contenuti delle conversazioni per addestrare modelli di intelligenza artificiale “general purpose”. Inoltre, secondo quanto dichiarato dal fornitore, i modelli non vengono addestrati sui dati delle API/servizi business salvo opt-in esplicito del cliente.

Conservazione e logging: Cohosty conserva le conversazioni secondo i tempi indicati nella sezione “Conservazione dei dati”. Il fornitore AI può conservare temporaneamente input e output per finalità di sicurezza/monitoraggio abusi e conformità, tipicamente fino a 30 giorni, salvo obblighi legali.

Minimizzazione: invitiamo Host e Ospiti a non inserire nelle conversazioni dati particolari (es. dati sanitari) o informazioni non necessarie. L’Host può configurare contenuti e regole dell’assistente per ridurre l’inserimento di dati personali non pertinenti.

Decisioni automatizzate: l’assistente fornisce risposte informative e non effettua decisioni automatizzate che producano effetti giuridici o impatti analogamente significativi sugli utenti. Se in futuro venissero introdotte funzionalità diverse, sarà garantita trasparenza e possibilità di intervento umano.

Trasparenza (AI Act): gli utenti vengono informati che stanno interagendo con un sistema di AI. Le risposte possono contenere imprecisioni: l’Host resta responsabile dell’accuratezza delle informazioni pubblicate e può correggere/aggiornare i contenuti in qualunque momento.

12. Contatti Privacy