Questo documento legale è attualmente disponibile solo in italiano. Per qualsiasi dubbio, contattateci.
Compliance, Privacy & AI Governance.
Documentazione tecnica e legale completa — aggiornata maggio 2025
1. Quadro normativo di riferimento
Vosia è progettato e mantenuto per soddisfare i seguenti riferimenti normativi:
| Norma | Stato |
|---|---|
| nLPD (RS 235.1) | Compliant |
| GDPR (UE 2016/679) | Compliant |
| EU AI Act | Compliant |
| FINMA Circulars | Applicable |
2. Protezione dei dati — nLPD / nFADP / LPD
2.1 Principi fondamentali applicati Vosia applica i seguenti principi del nLPD in ogni modulo: Liceità e buona fede (art. 6 nLPD) Ogni trattamento si basa su una delle basi giuridiche previste: esecuzione del contratto (art. 31 cpv. 2 lett. a), interesse legittimo del titolare (art. 31 cpv. 1), o consenso esplicito dell'interessato. Minimizzazione dei dati (art. 6 cpv. 2 nLPD) I prompt inviati ai modelli AI esterni vengono sistematicamente ridotti al minimo indispensabile. I dati personali identificativi vengono mascherati (pseudonimizzati) prima di lasciare i server Vosia (vedi sezione 7). Esattezza (art. 6 cpv. 3 nLPD) L'utente verifica e corregge ogni dato estratto da AI (OCR, trascrizione vocale) prima che venga salvato. Nessun dato AI viene scritto automaticamente senza conferma umana. Limitazione della conservazione (art. 6 cpv. 4 nLPD) Ogni categoria di dati ha una politica di conservazione definita e configurabile (vedi sezione 11). I dati temporanei dei processi AI vengono eliminati entro i termini previsti dal catalogo. Sicurezza (art. 8 nLPD) Misure tecniche e organizzative documentate (vedi sezione 12). 2.2 Ruoli del trattamento Titolare del trattamento: Cliente Vosia (azienda/PMI) — Determina le finalità e i mezzi del trattamento dei dati dei propri clienti Responsabile del trattamento: Vosia SA — Tratta i dati per conto del titolare secondo le istruzioni contrattuali Ulteriore responsabile: OpenAI / OpenRouter — Ricevono solo prompt anonimi/pseudonimizzati per le funzionalità AI; non conservano i dati per training 2.3 Dati ospitati in Svizzera I database di Vosia sono ospitati su infrastruttura con sede in Svizzera. Il trasferimento verso provider AI esterni (OpenAI, OpenRouter) avviene esclusivamente dopo il mascheramento PII e con consenso esplicito per-tenant (vedi sezione 8).
3. Gestione del consenso
3.1 Tipi di consenso supportati Vosia gestisce i consensi per ogni cliente in anagrafica. I tipi supportati sono: marketing_email, marketing_phone, marketing_postal, profiling, data_sharing, data_processing, newsletter. 3.2 Fonti del consenso Ogni consenso viene registrato con la sua fonte di raccolta: manual, web_form, email, verbal, contract. 3.3 Audit trail del consenso Ogni modifica al consenso genera automaticamente una riga nel log di audit con data/ora precisa, operatore, valore precedente e nuovo, indirizzo IP. 3.4 Verifica consenso Prima di ogni azione di marketing o profilazione, l'app verifica in tempo reale la presenza di un consenso attivo (granted = true).
4. Diritti degli interessati (DSAR)
4.1 Diritti supportati (art. 25–27 nLPD) Vosia fornisce gli strumenti per gestire integralmente le richieste degli interessati: Diritto di accesso (art. 25 nLPD) Export completo in JSON di tutti i dati detenuti (Dati anagrafici, Contatti aggiuntivi, Consensi e relativo audit trail, Fatture e offerte collegate, Trattative CRM, Attività e comunicazioni email, Preventivi). Il file è etichettato nLPD_data_export e datato automaticamente. Diritto alla cancellazione / anonimizzazione (art. 32 nLPD) L'anonimizzazione sostituisce tutti i dati personali identificativi con [ANONYMIZED] in modo irreversibile, in una singola transazione atomica. I documenti fiscali vengono scollati dall'anagrafica ma conservati per obblighi contabili. Diritto di opposizione e limitazione Revoca del consenso per categoria, con effetto immediato e tracciatura nel log di audit. 4.2 Gestione DSAR interna Il modulo DSAR interno consente di registrare la richiesta (access, erasure, portability, rectification, objection, restriction), tracciare lo stato (open → in_progress → fulfilled / rejected), collegare l'azione eseguita (es. anonimizzazione), rispettare il termine di 30 giorni con alert automatici, e documentare la motivazione in caso di rifiuto.
5. Registro delle attività di trattamento
5.1 Obblighi nLPD (art. 12) Vosia fornisce un registro integrato delle attività di trattamento conforme all'art. 12 nLPD, accessibile dall'interfaccia e esportabile in formato PDF e CSV firmato. Ogni voce del registro include: Nome e finalità del trattamento, Categorie di dati trattati, Base giuridica applicata, Destinatari dei dati, Periodo di conservazione, Eventuali trasferimenti transfrontalieri, Misure tecniche adottate, Note del titolare. 5.2 Esportazione conforme Il registro è esportabile in CSV (con BOM UTF-8) e PDF multilingua (IT/DE/FR/EN) con intestazione aziendale e blocco firma. L'esportazione PDF viene registrata nel log di audit privacy.
> Export format: JSON/CSV (RFC 4180)
> Integrity: SHA-256 Checksum applied
> Target: Authority compliance reporting
6. Intelligenza Artificiale — Governance e trasparenza
6.1 Catalogo funzionalità AI Vosia mantiene un catalogo pubblico di tutte le funzionalità AI attive nel prodotto, conforme ai requisiti di trasparenza dell'AI Act EU (art. 50 e 52) e del nLPD. Ogni voce include identificatore, nome/descrizione multilingua, provider/modello, categorie PII, classe di rischio AI Act, motivazione, base giuridica, retention, indicatore human in loop, e code anchor. 6.3 Registro AI per-tenant (art. 12 nLPD) Ogni azienda cliente dispone di un registro AI personalizzato che elenca le funzionalità attive, tiene traccia dell'approvazione, avvisa in caso di aggiornamenti (drift detection SHA-256), e mantiene una cronologia immutabile delle versioni approvate. 6.4 Principio "human in the loop" Nessuna funzionalità AI di Vosia prende decisioni autonome con effetti giuridici o economici. L'output AI è sempre presentato come suggerimento da revisionare, e l'utente deve confermare esplicitamente prima che qualsiasi dato venga salvato (automatedDecision = false).
14. Tabella riepilogativa funzionalità AI
Panoramica delle funzionalità AI, classe di rischio EU AI Act, 'human in the loop', PII, consenso e log retention.
Catalogo Funzionalità AI
| Funzionalità | Info |
|---|
7. Mascheramento PII prima dei modelli AI
7.1 Architettura del mascheramento Vosia implementa un layer centralizzato di pseudonimizzazione (aiPrivacy.ts) che intercetta ogni prompt prima che lasci i server verso provider AI esterni. Il mascheramento avviene con regex e dizionari specifici per il contesto svizzero. 7.2 Categorie di dati mascherati AVS / AHV-13 → [AVS] IBAN → [IBAN] Email → [EMAIL] Telefono → [PHONE] Indirizzo → [ADDRESS] Data di nascita → [DOB] Dati sanitari → [HEALTH] (lessico medico in IT/DE/FR) Nome persona → [NAME] (rilevamento NER su dizionari svizzeri) 7.3 Audit trail del mascheramento Ogni chiamata AI che maschera ≥1 token PII scrive automaticamente una riga in ai_privacy_audit contenente l'hash SHA-256 del payload (mai il testo in chiaro), le categorie rilevate, il provider e l'identificatore tenant. 7.4 Contenuto multimodale e 7.5 Policy per-tenant Il mascheramento è applicato sia a testo che immagini. Il sistema supporta politiche configurabili per tenant (blocco immagini, subset di categorie).
8. Consenso per-tenant all'uso AI
8.1 Architettura consent resolver Vosia implementa un resolver di consenso a due livelli per decidere se è autorizzato a trasmettere audio e immagini a provider AI esterni: Livello 1 (Store espliciti unbounded nel DB) e Livello 2 (Cache LRU da 5 minuti). 8.2 Opzioni di consenso Ogni azienda cliente può scegliere indipendentemente: ai_audio_consent (trasmissione a OpenAI Whisper) e ai_image_consent (trasmissione immagini a modelli vision). 8.3 Modifica del consenso La modifica aggiorna il DB, invalida la cache del tenant e ricarica sincronicamente.
9. Audit trail privacy
9.1 Copertura degli eventi Il log di audit privacy registra ogni operazione sensibile: processing_activity, client_data_exported, client_anonymized, consent_granted/revoked, dsar_created, data_breach, ai_register_pdf_exported, login_blocked. 9.2 Struttura del log Ogni riga contiene userId (tenant), actorId, eventType, entityType, detail (JSON senza dati sensibili), ipAddress e createdAt. Il log è immutabile (nessun DELETE o UPDATE).
10. Gestione data breach
10.1 Modulo integrato Vosia include un modulo di gestione delle violazioni dei dati personali conforme agli obblighi di notifica previsti dall'art. 24 nLPD (notifica al Garante entro 72 ore) e dall'art. 33 GDPR. 10.2 Funzionalità Registrazione della violazione (data scoperta, dati coinvolti), tracciamento stato (aperto → notificato → chiuso), misure di contenimento, generazione report per IFPDT, collegamento a DSAR, audit trail completo.
11. Politiche di conservazione dati
11.1 Politiche configurabili Ogni tenant può definire politiche personalizzate, con scadenza assoluta (es. 10 anni per documenti contabili) o finestra mobile (es. 30 giorni per log temporanei AI). 11.2 Conservazione predefinita per categoria AI Trascrizione/Comando vocale: 90 giorni. OCR scontrini/fatture: 365 giorni (obbligo OR e GeBüV). Lead scoring: 90 giorni. AI minori (descrizioni, CSV, ecc.): 30 giorni. 11.3 Documenti contabili I documenti fiscali sono soggetti all'obbligo decennale dell'art. 958f CO e dalla GeBüV. Vosia non consente la cancellazione prima del termine di legge.
12. Sicurezza tecnica e organizzativa
12.1 Misure tecniche implementate Autenticazione con token firmati, separazione tenant (RLS + userId), blocco automatico account, HTTPS/TLS, mTLS interno, token nonce per PDF, PostgreSQL con backup automatico per-tenant e crittografia. Integrità garantita da check all'avvio e SHA-256. 12.2 Misure organizzative Separazione tra dev e prod, accesso codice ristretto, code review, dipendenze aggiornate automaticamente, documentazione interna call-site AI.
13. Trasferimento internazionale dei dati
13.1 Provider AI esterni I provider ricevono dati solo dopo la pseudonimizzazione: OpenAI (USA, Whisper/GPT-4o-mini), OpenRouter (USA, Claude/GPT). Il trasferimento verso USA è giustificato dall'art. 16 nLPD tramite DPA contrattuale che vieta il training. Il trasferimento avviene solo con consenso per-tenant per audio/immagini. 13.2 Dati che non lasciano mai la Svizzera Dati contabili completi (bilanci, giornale, IVA), Paghe e Lohnausweis, Anagrafiche complete, Estratti conto bancari completi, AVS in chiaro, IBAN in chiaro.
15. Domande frequenti (FAQ)
Risposte su conformità nLPD, training modelli (vietato), accesso ai dati, disattivazione funzionalità AI, ubicazione dei dati (Svizzera), gestione data breach (72 ore), esportazione registro AI, conformità AI Act e protezione dati sanitari.