Informativa Privacy

I dati personali trattati da BYME sono quelli:

• (a) conferiti dagli Utenti: (i) nell’utilizzo del Sito, della Piattaforma e/o, più in generale, di tutti i servizi da BYME stessa offerti; (ii) al momento della registrazione e dell’autenticazione nella Piattaforma, anche tramite Single Sign-On Google; (iii) all’inoltro di qualsivoglia richiesta di informazioni sui prodotti e servizi di BYME, tramite il Sito o altri canali; (iv) al momento dell’attivazione di un connettore di terze parti (Google Drive, GitHub, Linear, Notion) e dell’importazione di contenuti dai relativi account; (v) al momento dell’inserimento manuale di contenuti nella propria knowledge base (note, documenti, allegati); (vi) al momento dell’utilizzo delle funzionalità di chat con sistemi di Intelligenza Artificiale o dell’esposizione della knowledge base verso client compatibili con il protocollo MCP (Model Context Protocol); (vii) al momento della richiesta di iscrizione al servizio di newsletter della società; ovvero
• (b) estratti da fonti pubblicamente accessibili (ad esempio, pubblici registri, come il Registro delle Imprese, o altre fonti a libero accesso, come social network o directory professionali), compatibilmente con i relativi regolamenti di utilizzo e le legittime aspettative degli Utenti.

Più nel dettaglio, si informano sin d’ora gli Utenti che:

• tramite il Sito potranno essere raccolti: gli indirizzi IP e/o i nomi a dominio dei dispositivi utilizzati per connettersi allo stesso; gli indirizzi in notazione URI; l’orario della richiesta; il metodo utilizzato nell’inoltrare la richiesta al server; la dimensione del file ottenuto in risposta; il codice numerico indicante lo stato della risposta dal server; il Paese di provenienza; le caratteristiche del browser e del sistema operativo; le varie connotazioni temporali della visita e i dettagli relativi all’itinerario seguito;
• tramite la Piattaforma potranno essere raccolti:
  • dati identificativi e di contatto: nome, cognome, indirizzo e-mail aziendale, organizzazione di appartenenza, ruolo professionale, immagine del profilo;
  • dati di autenticazione: identificativi forniti dal provider di Single Sign-On (es. Google), token OAuth e refresh token rilasciati dai provider terzi al momento dell’attivazione di un connettore: token che vengono conservati cifrati a riposo e utilizzati esclusivamente per le finalità per cui sono stati emessi;
  • contenuti caricati dall’Utente nella propria knowledge base: testi, documenti, file e relativi metadata, indipendentemente dal canale di immissione (manuale, importazione da connettore, scrittura via client MCP);
  • contenuti importati dai connettori di terze parti, limitatamente a quelli che l’Utente ha esplicitamente selezionato e per cui ha conferito autorizzazione al provider di origine al momento dell’OAuth consent;
  • prompt e output delle conversazioni con i sistemi di Intelligenza Artificiale integrati nella Piattaforma, conservati per consentire all’Utente la consultazione del proprio storico;
  • dati tecnici di accesso e utilizzo: indirizzo IP, identificativo di sessione, browser e sistema operativo, log applicativi necessari a garantire la sicurezza e il corretto funzionamento della Piattaforma, conteggi aggregati di consumo (es. numero di richieste, volume di token elaborati);
• da pubblici registri o altre fonti a libero accesso (social network, directory professionali) gestiti da terzi titolari autonomi, a seconda dei casi e dei dati messi a disposizione, potranno essere attinti: nome, cognome, qualifica professionale, azienda, indirizzo e-mail aziendale e numero telefonico degli Utenti.

Le basi giuridiche dei trattamenti che BYME effettua sui dati personali degli Utenti variano a seconda delle specifiche finalità del trattamento, dettagliate nei seguenti paragrafi 4, 5, 6 e 7.

I dati personali saranno trattati per le seguenti finalità:

• (a) adempimento di obblighi contrattuali (art. 6, par. 1, lett. b), ovvero per dare esecuzione ai servizi offerti sul Sito e sulla Piattaforma. A titolo esemplificativo, tramite la Piattaforma gli Utenti potranno: (i) creare e amministrare un’organizzazione, invitando altri membri e definendo permessi su cartelle e contenuti; (ii) inserire, organizzare, ricercare e condividere contenuti nella propria knowledge base; (iii) attivare connettori di terze parti autorizzando di volta in volta gli scope OAuth richiesti; (iv) interrogare i contenuti tramite ricerca semantica e chat con sistemi di Intelligenza Artificiale; (v) esporre la knowledge base a client compatibili con il protocollo MCP, sotto la propria identità e nel limite dei permessi conferiti dall’organizzazione.
• (b) finalità amministrativo-contabili (art. 6, par. 1, lett. c) per attività di natura organizzativa, amministrativa, finanziaria e contabile.
• (c) adempimento di obblighi di legge (art. 6, par. 1, lett. c) per adempiere ad obblighi di legge, regolamento o normativa europea (es. fiscale).
• (d) tutela dei diritti di BYME (art. 17, par. 3, lett. e).
• (e) sicurezza e prevenzione abusi (art. 6, par. 1, lett. f), legittimo interesse del Titolare a proteggere la Piattaforma da accessi non autorizzati, frodi, attacchi informatici e usi impropri, anche attraverso il monitoraggio dei log applicativi e del consumo di risorse.

I dati conferiti dall’Utente attraverso un connettore di terze parti (es. account Google) non saranno utilizzati per finalità diverse da quelle necessarie all’erogazione delle funzionalità della Piattaforma e in particolare non saranno utilizzati per finalità di marketing, profilazione né per addestrare o personalizzare modelli di Intelligenza Artificiale.

4.1 Natura del conferimento

Il trattamento per le finalità principali è obbligatorio, in quanto imposto da obblighi di legge o necessario per la realizzazione dei servizi richiesti. La mancata accettazione comporterà l’impossibilità di usufruire delle funzionalità del Sito e/o della Piattaforma.

BYME potrà inviare agli Utenti che si siano già avvalsi dei suoi servizi, anche senza un previo consenso, informazioni riguardo a nuovi prodotti o servizi analoghi a quelli da loro già acquistati in precedenza, in applicazione della deroga di c.d. soft spam. I dati conferiti tramite connettori di terze parti non saranno utilizzati per questa finalità.

5.1 Natura del conferimento

La base giuridica è il legittimo interesse di BYME, in applicazione della deroga riconosciuta dall’art. 130, co. 4 del Codice Privacy. Gli Utenti possono in qualsiasi momento opporsi alla ricezione, esercitando l’opt-out tramite le modalità presenti in ogni comunicazione o tramite i contatti al paragrafo 10. La richiesta verrà gestita entro 30 giorni (art. 12, par. 3 del Regolamento Privacy).

Su consenso espresso e preventivo dell’Utente, BYME invierà una newsletter periodica e occasionali comunicazioni di direct marketing. I dati conferiti tramite connettori di terze parti non saranno utilizzati per questa finalità.

6.1 Natura del conferimento

Il consenso è libero e facoltativo, ma necessario per ricevere tali comunicazioni. La mancata prestazione del consenso non preclude la fruizione degli altri servizi. Il consenso è revocabile in qualsiasi momento; l’opt-out è disponibile tramite le modalità presenti in ogni comunicazione.

Sulla base del legittimo interesse ad ampliare la propria base di clientela, BYME potrà trattare dati personali di Utenti che ricoprano cariche manageriali in aziende potenziali target, tramite l’invio di comunicazioni commerciali, anche con modalità automatizzate e avvalendosi di software di Intelligenza Artificiale a supporto della ricerca, dell’engagement e della conversione. I dati di contatto vengono attinti da fonti pubblicamente accessibili (pubblici registri, social network, directory professionali) compatibilmente con i relativi regolamenti di utilizzo. I dati conferiti dagli Utenti tramite i connettori di terze parti integrati nella Piattaforma non saranno utilizzati per questa finalità.

A norma dell’art. 35 del Regolamento Privacy, il trattamento è stato oggetto di analisi d’impatto (DPIA) da parte del Titolare, con relativa Legitimate Interest Assessment (LIA).

7.1 Natura del conferimento

Trattamento basato sul legittimo interesse di BYME (art. 6, par. 1, lett. f), con LIA condotta per accertare il bilanciamento con i diritti degli Utenti, in conformità, per quanto applicabili, con il Provv. Garante Privacy 7/2020 e con i Considerando (47) e (69) e gli artt. 6, 21 e 35 del Regolamento Privacy. Si applicano i diritti di opposizione e opt-out di cui ai paragrafi 5.1 e 6.1.

I dati personali degli Utenti potranno essere trasferiti in Paesi extra Unione Europea. In particolare:

• l’infrastruttura cloud della Piattaforma è ospitata su Google Cloud Platform, con regione primaria europe-west1 (Belgio), e su Supabase con region in territorio Unione Europea; operazioni di assistenza e amministrazione possono comunque comportare accessi da parte di personale dei provider situato extra-SEE;
• i provider di Intelligenza Artificiale utilizzati per le funzioni di ricerca semantica, embedding e chat (a titolo esemplificativo, Anthropic e Google) hanno sede negli Stati Uniti d’America: i prompt inviati e le relative risposte transitano attraverso le loro API, sotto contratto di Data Processing che vieta l’utilizzo dei dati per addestrare o personalizzare i modelli;
• i provider dei connettori OAuth (Google, GitHub, Linear, Notion) elaborano i token di autorizzazione e i metadati delle richieste sotto la rispettiva privacy policy.

BYME ha sottoscritto con tali fornitori appositi Data Protection Agreement (DPA) che garantiscono un livello di sicurezza analogo a quello applicabile all’interno dell’Unione, anche tramite Standard Contractual Clauses approvate dalla Commissione Europea con la Dec. 2021/914 UE. Per i fornitori USA, si applica la Decisione di Adeguatezza emessa sul testo EU-US Data Privacy Framework del 10/07/2023.

L’elenco completo dei fornitori coinvolti nei trasferimenti extra-UE, dei Paesi di destinazione e copia dei DPA può essere richiesto via i contatti al paragrafo 10.

Potranno venire a conoscenza dei dati personali degli Utenti i dipendenti e i collaboratori di BYME che gestiscono il Sito e la Piattaforma, nonché soggetti terzi che li trattino per conto di BYME, quali a titolo esemplificativo:

• fornitori di infrastruttura cloud e database (Google Cloud Platform, Supabase);
• fornitori di servizi di Intelligenza Artificiale (Anthropic, Google);
• provider dei connettori OAuth (Google, GitHub, Linear, Notion), limitatamente ai dati strettamente necessari al funzionamento dell’integrazione;
• fornitori di servizi e-mail transazionali, di analytics, di customer support e di pagamenti;
• professionisti e consulenti (commercialisti, consulenti legali, fornitori di servizi in outsourcing).

Tali soggetti sono formalmente nominati da BYME quali Incaricati, Responsabili del trattamento o Amministratori di Sistema e tratteranno i dati esclusivamente per le finalità della presente Informativa, sotto il controllo del Titolare. Gli Utenti hanno diritto a una lista completa dei Responsabili del trattamento, facendone richiesta al paragrafo 10.

I contenuti della knowledge base degli Utenti, le loro conversazioni con i sistemi di Intelligenza Artificiale e in generale i dati conferiti tramite la Piattaforma non verranno in alcun modo utilizzati da BYME né dai fornitori terzi per addestrare, validare o personalizzare i modelli di Intelligenza Artificiale forniti tramite la Piattaforma.

I dati personali degli Utenti non saranno in alcun modo diffusi.

Conformemente agli artt. 13, par. 2 e 14, par. 2 del Regolamento Privacy, gli Utenti possono in qualsiasi momento esercitare i seguenti diritti:

• accedere ai dati personali forniti;
• ottenere la rettifica, la cancellazione, la trasformazione in forma anonima, il blocco o la limitazione del trattamento dei dati personali;
• opporsi al trattamento dei propri dati personali;
• revocare il consenso al trattamento, ove sia stata applicata tale base giuridica;
• ottenere la portabilità dei dati personali;
• ottenere la conferma dell’esistenza dei dati personali, conoscerne contenuto e origine, verificarne l’esattezza, chiederne integrazione o aggiornamento, conoscere finalità e modalità del trattamento;
• proporre reclamo all’Autorità di controllo competente (Garante per la protezione dei dati personali);
• opporsi a un processo decisionale automatizzato, compresa la profilazione;
• ottenere, senza ingiustificato ritardo, comunicazione di ogni violazione dei propri dati personali trattati dal Titolare.

Le richieste di esercizio dei diritti vanno rivolte a BYME:

• via e-mail, all’indirizzo: info@container17.com;
• via raccomandata, all’indirizzo postale: BYME S.r.l., Corso Castelfidardo 30/a, 10129 Torino.

I dati personali saranno conservati per il tempo necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di minimizzazione (art. 5, par. 1, lett. c). In ogni caso saranno conservati almeno per il periodo di conservazione della documentazione contrattuale e fiscale imposto dalla normativa vigente, nonché per il tempo necessario alla tutela giudiziale dei diritti di BYME.

A titolo indicativo:

• i dati di account (profilo utente, organizzazione di appartenenza) sono conservati per tutta la durata del rapporto contrattuale e per i 12 mesi successivi alla cessazione, salvo richiesta anticipata di cancellazione;
• i contenuti della knowledge base e i token OAuth dei connettori sono conservati fino a quando l’Utente o l’amministratore dell’organizzazione non li elimini espressamente o disattivi il connettore;
• i log applicativi, di sicurezza e di consumo aggregato sono conservati per un periodo non superiore a 12 mesi dalla generazione, salvo necessità di prolungamento per finalità di sicurezza o adempimenti normativi;
• i dati personali connessi alle finalità di soft spam, newsletter e marketing diretto da fonti pubbliche saranno conservati per un periodo limitato di 24 mesi.

In caso di revoca del consenso o di esercizio del diritto di opposizione, BYME provvederà senza ritardo alla cancellazione o anonimizzazione dei dati.

Il trattamento dei dati personali avviene mediante strumenti manuali ed informatici, con logiche strettamente correlate alle finalità e in modo da garantire sicurezza e riservatezza. In particolare:

• i token di autenticazione conferiti dai provider OAuth sono conservati cifrati a riposo (AES-256-GCM); l’accesso ai medesimi è limitato ai soli processi che li consumano per l’esecuzione delle integrazioni;
• le comunicazioni tra il browser dell’Utente e la Piattaforma avvengono esclusivamente su canali cifrati (TLS 1.2+);
• l’accesso ai dati da parte del personale BYME è regolato da policy di principio del minimo privilegio e tracciato a fini di audit.

Il Sito e la Piattaforma fanno utilizzo di cookie e altri sistemi di tracciamento, anche di terze parti, limitatamente a quanto necessario al funzionamento del servizio e, previo specifico consenso ove richiesto, per finalità di analytics.

Ai sensi dell’art. 37, parr. 1, lett. b), 6 e 7 del Regolamento Privacy, i referenti per le richieste in materia di protezione dei dati personali sono Fabrizio Battiloro ed Edoardo Nardi, Co-Founder di BYME, contattabili all’indirizzo info@container17.com.