INFORMATIVA PRIVACY – REGISTRAZIONE CONVERSAZIONI AGENTI VOCALI AI

RuleInside LLC
30 N Gould St, Ste 32376, Sheridan, WY 82801, USA
Email: support(at)ruleinside(dot)com
Responsabile Privacy: Stefano Bertoli

Ultimo aggiornamento: 19/11/2025

1. INTRODUZIONE

La presente informativa descrive come RuleInside LLC (di seguito “RuleInside”, “noi” o “nostro”) raccoglie, utilizza e protegge i dati personali degli utenti che interagiscono con i nostri agenti vocali basati su intelligenza artificiale, in conformità al Regolamento (UE) 2016/679 (“GDPR”) e alla normativa italiana sulla protezione dei dati personali.

IMPORTANTE: I nostri agenti vocali AI registrano SEMPRE le conversazioni telefoniche. La registrazione è parte integrante del servizio e necessaria per il suo funzionamento. Continuando la conversazione dopo l’avviso iniziale, l’utente acconsente alla registrazione.

2. TITOLARE DEL TRATTAMENTO

RuleInside LLC
30 N Gould St, Ste 32376
Sheridan, WY 82801
Stati Uniti d’America

Punto di contatto per questioni privacy:
Stefano Bertoli
Email: support(at)ruleinside(dot)com

Rappresentante nell’Unione Europea (Art. 27 GDPR):
La nomina del rappresentante UE è in corso di formalizzazione. Fino alla nomina, tutte le comunicazioni possono essere inviate a: support(at)ruleinside(dot)com

3. DATI PERSONALI RACCOLTI

Durante l’interazione con i nostri agenti vocali AI, raccogliamo e trattiamo le seguenti categorie di dati personali:

3.1 Dati Raccolti Automaticamente

  • Registrazioni audio complete delle conversazioni telefoniche
  • Timbro vocale (dato biometrico ai sensi dell’Art. 4(14) GDPR)
  • Trascrizioni testuali delle conversazioni generate automaticamente
  • Metadati della chiamata: data, ora, durata, numero di telefono chiamante/chiamato
  • Dati tecnici: indirizzo IP (se applicabile), dispositivo utilizzato

3.2 Dati Forniti Volontariamente

Durante la conversazione, l’utente potrebbe fornire:

  • Nome e cognome
  • Indirizzo email
  • Numero di telefono
  • Indirizzo fisico
  • Informazioni su preferenze, esigenze o richieste specifiche
  • Altre informazioni condivise liberamente durante la conversazione

3.3 Dati Derivati

  • Analisi del sentiment (stato emotivo percepito dalla voce)
  • Categorie di interesse dedotte dalla conversazione
  • Dati statistici aggregati sul comportamento degli utenti

4. FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA

Trattiamo i dati personali per le seguenti finalità, ciascuna con la propria base giuridica:

FINALITÀBASE GIURIDICA (Art. 6 GDPR)DESCRIZIONE
Erogazione del servizioLegittimo interesse (Art. 6(1)(f))Fornire il servizio di agente vocale AI richiesto dal cliente business che ci ha incaricato di contattarla
Esecuzione obblighi contrattualiEsecuzione contratto (Art. 6(1)(b))Adempiere agli obblighi contrattuali verso i nostri clienti B2B (es. agenzie immobiliari)
Miglioramento servizio e training AILegittimo interesse (Art. 6(1)(f))Analizzare le conversazioni per migliorare l’accuratezza e l’efficacia degli agenti vocali AI
Analisi statisticheLegittimo interesse (Art. 6(1)(f))Produrre statistiche anonimizzate su performance e utilizzo del servizio
Marketing direttoConsenso esplicito (Art. 6(1)(a))Inviare comunicazioni promozionali sui nostri servizi (solo se l’utente ha fornito consenso esplicito)
Adempimenti di leggeObbligo legale (Art. 6(1)(c))Rispondere a richieste delle autorità competenti quando richiesto dalla legge

Legittimo Interesse: Il nostro legittimo interesse consiste nel fornire un servizio AI efficace e in continuo miglioramento. La registrazione è strettamente necessaria per il funzionamento degli agenti vocali AI, che utilizzano le conversazioni per comprendere e rispondere alle richieste. Abbiamo bilanciato questo interesse con i diritti degli interessati implementando misure di sicurezza adeguate e limitando l’accesso ai dati.

Nota sul Consenso Marketing: Se durante la conversazione l’utente esprime interesse a ricevere comunicazioni marketing, verrà richiesto un consenso esplicito separato. L’utente può revocare tale consenso in qualsiasi momento.

5. DURATA DELLA CONSERVAZIONE

Le registrazioni e i dati personali vengono conservati per i seguenti periodi:

  • Registrazioni audio: Conservate per il tempo strettamente necessario alle finalità indicate, variabile in base agli accordi con i nostri clienti B2B. In generale:

    • Minimo: 30 giorni (per gestione reclami e quality assurance)
    • Massimo: 24 mesi (per training AI e miglioramento servizio)

  • Trascrizioni testuali: Conservate per la stessa durata delle registrazioni audio

  • Dati di contatto (per marketing): Conservati fino a revoca del consenso o per massimo 24 mesi dall’ultima interazione

  • Dati statistici anonimi: Conservati indefinitamente in forma aggregata e non riconducibile all’utente

Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro e irreversibile.

Cancellazione anticipata: Gli utenti possono richiedere in qualsiasi momento la cancellazione anticipata dei propri dati personali (vedi sezione “Diritti degli Interessati”).

6. DESTINATARI DEI DATI

I dati personali possono essere comunicati ai seguenti destinatari:

6.1 Personale Interno

Personale autorizzato di RuleInside con necessità di accesso per svolgere le proprie mansioni (es. team tecnico, customer support).

6.2 Clienti Business (Titolari Autonomi)

Le registrazioni vengono condivise con il cliente business (es. agenzia immobiliare) che ha richiesto il servizio di contatto. In questo caso, il cliente business agisce come titolare autonomo del trattamento per i dati raccolti nell’ambito della propria attività commerciale.

6.3 Fornitori di Servizi AI (Responsabili del Trattamento)

Per il funzionamento degli agenti vocali, utilizziamo i seguenti fornitori terzi che agiscono come responsabili del trattamento:

  • OpenAI (sintesi vocale e elaborazione linguaggio naturale)
  • Google (Gemini) (elaborazione linguaggio naturale)
  • ElevenLabs (sintesi vocale)
  • Cartesia (sintesi vocale)

Questi fornitori trattano i dati esclusivamente su nostra istruzione e in conformità a Data Processing Agreements (DPA) che garantiscono adeguate misure di sicurezza.

Certificazioni fornitori:

  • OpenAI, Google (Gemini), ElevenLabs: Certificati EU-US Data Privacy Framework
  • Cartesia: GDPR Compliant + SOC 2 Type II + PCI-DSS + HIPAA + opzione Zero Data Retention

Tutti i fornitori rispettano i più alti standard internazionali di protezione dati e sicurezza informatica, garantendo che le informazioni personali degli utenti siano trattate con il massimo livello di riservatezza e protezione.

6.4 Autorità Competenti

Quando richiesto dalla legge, i dati possono essere comunicati alle autorità giudiziarie, di polizia o altre autorità pubbliche.

7. TRASFERIMENTI INTERNAZIONALI

ATTENZIONE: I dati personali possono essere trasferiti e trattati al di fuori dello Spazio Economico Europeo (SEE), in particolare negli Stati Uniti d’America.

7.1 Garanzie Adeguate

I trasferimenti verso paesi terzi sono effettuati con le seguenti garanzie conformi agli articoli 44-50 del GDPR:

Verso gli Stati Uniti:

Fornitori certificati EU-US Data Privacy Framework:

  • OpenAI: Certificato DPF – garantisce livello di protezione adeguato riconosciuto dalla Commissione Europea (Decisione di adeguatezza del 10 luglio 2023)
  • Google (Gemini): Certificato DPF – garantisce livello di protezione adeguato riconosciuto dalla Commissione Europea
  • ElevenLabs: Certificato DPF – garantisce livello di protezione adeguato riconosciuto dalla Commissione Europea

Il Data Privacy Framework è un accordo internazionale tra Unione Europea e Stati Uniti che garantisce un livello di protezione dei dati personali comparabile a quello europeo. La Commissione Europea ha formalmente riconosciuto tale adeguatezza con decisione del luglio 2023.

Fornitore GDPR Compliant:

  • Cartesia: GDPR Compliant con certificazioni di sicurezza di massimo livello (SOC 2 Type II, PCI-DSS, HIPAA). Offre inoltre l’opzione Zero Data Retention per garantire la massima protezione della privacy.

RuleInside LLC: In assenza di certificazione DPF, i trasferimenti verso i nostri server USA sono regolati da Standard Contractual Clauses (SCC) approvate dalla Commissione Europea ai sensi della Decisione 2021/914. Le SCC sono clausole contrattuali vincolanti che impongono a RuleInside di rispettare standard di protezione dati equivalenti a quelli europei.

7.2 Ubicazione Server

I dati possono essere conservati su server ubicati:

  • Stati Uniti d’America: per impostazione predefinita
  • Unione Europea: su specifica richiesta del cliente business

Tutti i server, indipendentemente dalla loro ubicazione geografica, sono protetti da misure di sicurezza tecniche e organizzative conformi agli standard internazionali più rigorosi.

L’utente può richiedere informazioni sull’ubicazione specifica dei propri dati contattando support(at)ruleinside(dot)com.

7.3 Monitoraggio Continuo

Il Data Privacy Framework è soggetto a revisione periodica da parte delle autorità europee. RuleInside monitora costantemente lo stato delle certificazioni dei propri fornitori e si impegna ad adottare tempestivamente eventuali misure aggiuntive richieste dalle autorità competenti o dalle evoluzioni normative.

7.4 Copia delle Garanzie

È possibile richiedere una copia delle garanzie adottate per i trasferimenti internazionali (certificati DPF, Standard Contractual Clauses) scrivendo a support(at)ruleinside(dot)com.

8. DIRITTI DEGLI INTERESSATI

In conformità agli articoli 15-22 del GDPR, l’utente ha i seguenti diritti:

8.1 Diritto di Accesso (Art. 15)

Ottenere conferma che sia o meno in corso un trattamento dei propri dati personali e, in tal caso, accedere a tali dati e alle informazioni relative al trattamento.

8.2 Diritto di Rettifica (Art. 16)

Ottenere la correzione di dati personali inesatti o l’integrazione di dati incompleti.

8.3 Diritto alla Cancellazione – “Diritto all’Oblio” (Art. 17)

Ottenere la cancellazione dei propri dati personali quando:

  • I dati non sono più necessari alle finalità per cui sono stati raccolti
  • L’utente revoca il consenso (per i trattamenti basati su consenso)
  • L’utente si oppone al trattamento
  • I dati sono stati trattati illecitamente

MODALITÀ CANCELLAZIONE: Gli utenti possono eliminare autonomamente le proprie registrazioni attraverso richiesta a support(at)ruleinside(dot)com. Il sistema è progettato per consentire la cancellazione rapida e sicura dei dati su richiesta.

8.4 Diritto di Limitazione del Trattamento (Art. 18)

Ottenere la limitazione del trattamento quando:

  • L’utente contesta l’esattezza dei dati personali
  • Il trattamento è illecito ma l’utente preferisce la limitazione alla cancellazione
  • I dati sono necessari all’utente per accertare, esercitare o difendere un diritto in sede giudiziaria

8.5 Diritto alla Portabilità dei Dati (Art. 20)

Ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti, e trasmetterli a un altro titolare del trattamento.

8.6 Diritto di Opposizione (Art. 21)

Opporsi in qualsiasi momento al trattamento dei propri dati personali basato su legittimo interesse. In tal caso, RuleInside cesserà il trattamento a meno che non dimostri l’esistenza di motivi legittimi cogenti.

OPPOSIZIONE AL MARKETING: L’utente ha sempre il diritto di opporsi al trattamento per finalità di marketing diretto.

8.7 Revoca del Consenso

Quando il trattamento è basato sul consenso (es. marketing), l’utente può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

8.8 Come Esercitare i Diritti

Per esercitare i diritti sopra elencati, l’utente può:

  • Email: support(at)ruleinside(dot)com
  • Oggetto email: “Richiesta esercizio diritti GDPR – [specificare diritto]”
  • Informazioni da fornire: Nome, cognome, numero di telefono associato alla registrazione, descrizione della richiesta

RuleInside risponderà entro 30 giorni dalla ricezione della richiesta. In casi complessi, il termine può essere prorogato di ulteriori 60 giorni, con comunicazione motivata all’utente.

9. DIRITTO DI RECLAMO

L’utente ha il diritto di proporre reclamo all’autorità di controllo competente se ritiene che il trattamento dei propri dati personali violi il GDPR.

Autorità Garante italiana:
Garante per la Protezione dei Dati Personali
Piazza Venezia n. 11, 00186 Roma
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Tel: +39 06.696771
Website: www.garanteprivacy.it

Altre autorità UE:
L’utente può anche presentare reclamo all’autorità di controllo dello Stato membro UE in cui risiede abitualmente, lavora o in cui si è verificata la presunta violazione.

10. MISURE DI SICUREZZA

RuleInside adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, in conformità all’Art. 32 GDPR, tra cui:

10.1 Misure Tecniche

  • Crittografia: Cifratura dei dati in transito (TLS 1.3/SSL) e a riposo (AES-256)
  • Controllo accessi: Accesso ai dati limitato al personale autorizzato tramite autenticazione forte (MFA)
  • Pseudonimizzazione: Dove possibile, i dati vengono pseudonimizzati per ridurre i rischi
  • Backup sicuri: Procedure di backup regolari con cifratura
  • Monitoraggio continuo: Sistema di rilevamento anomalie e intrusioni (IDS/IPS)
  • Segmentazione rete: Isolamento dei sistemi che trattano dati personali

10.2 Misure Organizzative

  • Policy interne: Politiche di sicurezza e riservatezza vincolanti per tutto il personale
  • Formazione: Formazione periodica del personale sulle best practice di sicurezza e privacy
  • Data breach response plan: Procedure per la gestione tempestiva di eventuali violazioni dei dati
  • Audit periodici: Verifiche regolari delle misure di sicurezza implementate
  • Gestione fornitori: Due diligence rigorosa sui fornitori terzi e monitoraggio continuo
  • Accordi di riservatezza: Tutti i dipendenti e collaboratori firmano NDA vincolanti

10.3 Certificazioni Fornitori

Tutti i nostri fornitori AI mantengono certificazioni di sicurezza di massimo livello:

  • SOC 2 Type II: Verifica annuale dei controlli di sicurezza
  • PCI-DSS: Standard di sicurezza per dati di pagamento
  • HIPAA: Conformità per dati sanitari (Cartesia)
  • ISO 27001: Gestione della sicurezza delle informazioni

10.4 Notifica Violazioni Dati

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati, RuleInside:

  • Notificherà la violazione all’autorità di controllo competente entro 72 ore
  • Comunicherà la violazione agli interessati quando il rischio è elevato
  • Documenterà tutte le violazioni e le misure correttive adottate nel registro delle violazioni

11. PROCESSO DECISIONALE AUTOMATIZZATO

I nostri agenti vocali AI utilizzano algoritmi di intelligenza artificiale per:

  • Comprendere e rispondere alle richieste degli utenti
  • Analizzare il sentiment della conversazione
  • Classificare gli interessi e le preferenze

NOTA IMPORTANTE: Le decisioni prese dagli agenti vocali AI durante la conversazione NON producono effetti giuridici significativi né incidono in modo analogo sulla persona ai sensi dell’Art. 22 GDPR. L’agente vocale si limita a fornire informazioni, raccogliere dati e, se del caso, fissare appuntamenti.

Qualsiasi decisione commerciale finale (es. stipula di un contratto, approvazione di una pratica) viene sempre presa da personale umano del cliente business (es. agenzia immobiliare) dopo la conversazione con l’agente AI.

Intervento umano: L’utente può sempre richiedere l’intervento di un operatore umano durante la conversazione o contestare successivamente le informazioni fornite dall’agente AI.

12. PRIVACY BY DESIGN E BY DEFAULT

RuleInside applica i principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) ai sensi dell’Art. 25 GDPR:

Privacy by Design:

  • I sistemi sono progettati per minimizzare la raccolta di dati personali
  • Implementazione di misure di sicurezza fin dalla fase di sviluppo
  • Valutazioni di impatto sulla protezione dei dati (DPIA) per nuove funzionalità

Privacy by Default:

  • Solo i dati strettamente necessari vengono raccolti per impostazione predefinita
  • Accesso ai dati limitato al personale che ne ha effettiva necessità
  • Durata di conservazione predefinita allineata alle finalità

13. MODIFICHE ALL’INFORMATIVA

RuleInside si riserva il diritto di modificare o aggiornare la presente informativa in qualsiasi momento per:

  • Adeguarla a modifiche normative
  • Riflettere cambiamenti nei servizi offerti
  • Migliorare la chiarezza e la trasparenza

Comunicazione modifiche: Le modifiche sostanziali saranno comunicate agli utenti tramite:

  • Pubblicazione sul sito web ruleinside.com/it con evidenza della data di aggiornamento
  • Email agli utenti che hanno fornito consenso per comunicazioni (quando applicabile)
  • Avviso durante la chiamata per modifiche rilevanti che richiedono nuovo consenso

Data ultimo aggiornamento: 19/11/2025

14. CONTATTI

Per qualsiasi domanda, dubbio o richiesta relativa alla presente informativa o al trattamento dei dati personali, è possibile contattare:

RuleInside LLC
Email: support(at)ruleinside(dot)com
Responsabile Privacy: Stefano Bertoli

Rappresentante nell’Unione Europea (Art. 27 GDPR):
La nomina del rappresentante UE è in corso di formalizzazione. Fino alla nomina, tutte le comunicazioni possono essere inviate a: support(at)ruleinside(dot)com

Orari di risposta: Entro 3 giorni lavorativi per richieste generali, entro 30 giorni per esercizio diritti GDPR.

Per richieste urgenti (es. possibile data breach, questioni di sicurezza):
Email: support(at)ruleinside(dot)com con oggetto “URGENTE – Privacy”

15. CONSENSO E ACCETTAZIONE

IMPORTANTE: Continuando la conversazione con l’agente vocale AI dopo l’avviso iniziale di registrazione, l’utente:

  • Riconosce di essere stato informato della registrazione della conversazione
  • Accetta la presente informativa privacy
  • Acconsente al trattamento dei propri dati personali per le finalità indicate (ad eccezione del marketing, per cui è richiesto consenso separato esplicito)

L’utente può interrompere la conversazione in qualsiasi momento se non desidera che i propri dati vengano registrati e trattati.

16. RIFERIMENTI NORMATIVI

La presente informativa è redatta in conformità a:

  • Regolamento (UE) 2016/679 (GDPR)
  • Decreto Legislativo 30 giugno 2003, n. 196 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018
  • Provvedimenti del Garante per la Protezione dei Dati Personali italiano
  • Linee Guida del Comitato Europeo per la Protezione dei Dati (EDPB)

Principali articoli GDPR applicabili:

  • Art. 5: Principi applicabili al trattamento
  • Art. 6: Liceità del trattamento
  • Art. 9: Trattamento di categorie particolari di dati (voce come dato biometrico)
  • Art. 12-22: Diritti degli interessati
  • Art. 25: Protezione dei dati fin dalla progettazione e per impostazione predefinita
  • Art. 27: Rappresentanti di titolari non stabiliti nell’Unione
  • Art. 28: Responsabile del trattamento
  • Art. 30: Registri delle attività di trattamento
  • Art. 32: Sicurezza del trattamento
  • Art. 33-34: Notifica e comunicazione di violazioni
  • Art. 35: Valutazione d’impatto sulla protezione dei dati
  • Art. 44-50: Trasferimenti di dati personali verso paesi terzi

17. GLOSSARIO

Dato personale: Qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Trattamento: Qualsiasi operazione applicata a dati personali (raccolta, registrazione, organizzazione, conservazione, utilizzo, cancellazione, ecc.).

Titolare del trattamento: RuleInside LLC, che determina le finalità e i mezzi del trattamento.

Responsabile del trattamento: Soggetto che tratta dati personali per conto del titolare (es. fornitori AI).

Interessato: La persona fisica i cui dati personali sono trattati (l’utente).

Dato biometrico: Dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche di una persona (es. timbro vocale).

Pseudonimizzazione: Trattamento dei dati in modo che non possano più essere attribuiti a un interessato senza informazioni aggiuntive.

EU-US Data Privacy Framework (DPF): Accordo tra UE e USA che garantisce un livello adeguato di protezione dei dati trasferiti verso gli Stati Uniti.

Standard Contractual Clauses (SCC): Clausole contrattuali tipo approvate dalla Commissione Europea per legittimare i trasferimenti di dati verso paesi terzi.

RuleInside LLC – Informativa Privacy conforme al Regolamento (UE) 2016/679