Privacy Policy

1. Introduzione e ambito di applicazione

Questa Privacy Policy descrive le modalità con cui Astrorant raccoglie, utilizza, conserva e protegge i dati personali degli utenti e dei Clienti (ristoranti, pizzerie e altri locali) che utilizzano la piattaforma Astrorant. La piattaforma consente operazioni quali gestione delle prenotazioni telefoniche tramite agente AI vocale, trascrizione di conversazioni (previo consenso), verifica disponibilità tavoli, registrazione prenotazioni, configurazioni dell'assistente vocale e visualizzazione delle interazioni da parte del locale. La policy si applica ai dati raccolti tramite la piattaforma e alle interfacce (front-end, API, moduli) utilizzate dagli Utenti e dai Clienti.

2. Titolare e Responsabile del trattamento

Il Titolare del trattamento è Astrorant. Astrorant opera anche come Responsabile del trattamento per le operazioni necessarie all'erogazione del servizio (art. 28 GDPR). Il Cliente (ristorante/locale) che utilizza la piattaforma rimane Titolare dei dati presenti all'interno e del loro uso. Per la gestione delle chiamate telefoniche e la trascrizione delle conversazioni, Astrorant utilizza fornitori terzi specializzati in servizi di gestione chiamate e trascrizione vocale, che agiscono come sub-responsabili del trattamento (art. 28 GDPR). Tali fornitori processano i dati vocali e le trascrizioni delle conversazioni per conto di Astrorant. I fornitori di servizi cloud e infrastruttura agiscono come sub-responsabili per infrastruttura cloud e servizi correlati.

3. Tipologie di dati trattati e finalità

Gli elementi di dati personali che possono essere trattati includono: trascrizioni conversazioni (testi generati dalle interazioni utente-AI per verifica, analisi qualitativa, supervisione e miglioramento del servizio); dati biometrici e vocali (registrazioni audio delle conversazioni telefoniche e dati vocali - "Voice Data" - processati tramite fornitori terzi specializzati per la gestione delle chiamate e la trascrizione, che possono costituire dati biometrici ai sensi della normativa applicabile); dati prenotazioni (nome, numero di telefono, email, orari, numero di persone, note speciali per sincronizzazione e gestione appuntamenti); configurazioni assistente (tono voce, messaggi di benvenuto, regole operative per personalizzazione dell'assistente); utenti piattaforma (nome, email, ruolo, log di accesso per controllo accessi, attribuzione diritti, audit e sicurezza); metadati e log (log temporali, durata chiamate, esiti per analisi e miglioramento modelli). Base giuridica: esecuzione del servizio (art. 6.1.b GDPR); consenso per talune operazioni (es. trascrizione/analisi conversazioni, trattamento dati biometrici); legittimo interesse del Titolare per analisi aggregate e miglioramento, nel rispetto dei diritti e delle libertà degli interessati.

4. Modalità del trattamento e misure di sicurezza

Astrorant adotta misure di sicurezza appropriate per proteggere i dati personali: crittografia in transito (TLS) e a riposo su backup/infrastruttura cloud; controlli di accesso basati su ruoli (RBAC) con privilegi minimi; log degli accessi e audit trail interno; backup regolari e piani di disaster recovery; gestione della riservatezza; procedure per la gestione dei data breach con notifica alle autorità, ove necessario.

5. Conservazione e criteri di retention

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità e nei limiti di legge. I dati biometrici e vocali (Voice Data) processati tramite fornitori terzi specializzati sono conservati per un periodo massimo di 3 anni dall'ultima interazione, salvo obblighi di legge che richiedano una conservazione più lunga. Trascrizioni, log e dati analitici possono essere anonimizzati o cancellati secondo politiche concordate con il Cliente. In caso di cessazione del servizio, su richiesta, è prevista la restituzione o cancellazione definitiva dei dati, inclusi i dati biometrici e vocali.

6. Diritti degli interessati

Gli interessati hanno diritto di: accesso, rettifica, cancellazione (oblio), limitazione, opposizione, portabilità dei dati; revoca del consenso, quando applicabile; reclamo al Garante per la Protezione dei Dati Personali. Le richieste possono essere inviate all'indirizzo email indicato nella sezione contatti del sito, indicando oggetto, descrizione e documentazione di identificazione.

7. Trasferimenti internazionali di dati

Astrorant utilizza fornitori terzi specializzati per la gestione delle chiamate e la trascrizione. Tali fornitori mantengono server e data center in paesi terzi, inclusi gli Stati Uniti, i Paesi Bassi e Singapore. Questo significa che i dati personali, inclusi i dati biometrici e vocali, possono essere trasferiti al di fuori dell'UE. Per i trasferimenti internazionali, Astrorant e i suoi fornitori terzi adottano adeguate garanzie conformi al GDPR, incluse: clausole contrattuali standard dell'UE (SCC), partecipazione all'EU-U.S. Data Privacy Framework ove applicabile, e altre garanzie contrattuali appropriate. I dati vengono trasferiti per il tempo necessario al conseguimento delle finalità per cui sono processati. Qualora parte del trattamento o conservazione avvenga al di fuori dell'UE tramite fornitori di servizi cloud, saranno adottate adeguate garanzie: clausole contrattuali standard, decisioni di adeguatezza o altri meccanismi conformi al GDPR.

8. Modifiche alla Privacy Policy

Astrorant potrà aggiornare la presente Privacy Policy per esigenze tecniche, normative o operative. Le modifiche saranno pubblicate sul sito e, se necessario, notificate agli utenti/Clienti.

9. Informazioni aggiuntive sui dati biometrici

I servizi di Astrorant possono comportare la raccolta di informazioni biometriche, in particolare dati vocali (Voice Data) processati tramite fornitori terzi specializzati in servizi di gestione chiamate e trascrizione. Questi dati vengono raccolti per finalità di verifica, gestione delle chiamate e trascrizione delle conversazioni. I dati biometrici possono essere condivisi con fornitori terzi specializzati, loro affiliati, fornitori di servizi e collaboratori per fornire e sviluppare i servizi. I dati biometrici vengono conservati fino a quando non sono più necessari per le finalità per cui sono stati raccolti, o dopo 3 anni dalla cessazione del rapporto con l'utente, a seconda di quale termine sia più breve. Gli utenti hanno diritto di richiedere la cancellazione dei propri dati biometrici in qualsiasi momento, salvo obblighi di legge che richiedano una conservazione più lunga.

10. Contatti

Per domande sulla Privacy Policy o per esercitare i propri diritti, inclusi i diritti relativi ai dati biometrici, è possibile contattarci attraverso i canali indicati nella sezione contatti del sito.