01Titolare del trattamento
Il servizio Analyst (di seguito il “Servizio”), raggiungibile all'indirizzo analyst.dgcal-dev.it, è gestito da DGCAL (di seguito il “Titolare”). Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile scrivere a m.ingraiti@dgcal.it.
02Che cos'è Analyst
Analyst è un assistente di analisi dati riservato a clienti con account dedicato. Consente di interrogare in linguaggio naturale le proprie fonti dati (database del proprio sito, Google Analytics 4, Google Search Console, altre piattaforme collegate) e di ottenere analisi, report e documenti.
03Dati trattati
Il Servizio tratta le seguenti categorie di dati:
- Dati account: indirizzo email e password (conservata esclusivamente come hash crittografico).
- Contenuto delle conversazioni: i messaggi scambiati con l'assistente e i file generati, conservati per consentire la continuità del lavoro.
- Dati delle fonti collegate: dati letti in sola lettura dai database e dalle piattaforme che l'utente collega esplicitamente al proprio account.
- Dati tecnici e di utilizzo: log tecnici e metriche di consumo del Servizio, ai fini di sicurezza e fatturazione.
04Dati ottenuti dalle API di Google
Se l'utente collega Google Analytics 4 o Google Search Console, il Servizio richiede l'autorizzazione OAuth agli scope in sola lettura analytics.readonly e webmasters.readonly, oltre all'indirizzo email dell'account per identificare la connessione.
I dati Google vengono utilizzati esclusivamente per:
- leggere metriche e report aggregati (traffico, query di ricerca, conversioni) delle proprietà scelte dall'utente;
- sincronizzarli in un archivio analitico riservato al tenant dell'utente, per consentire analisi incrociate con le altre fonti;
- presentare i risultati all'utente all'interno del Servizio.
Il Servizio non vende i dati Google, non li usa per pubblicità e non li trasferisce a terzi, salvo i fornitori tecnici indicati alla sezione 06 e nei soli limiti necessari all'erogazione del Servizio. L'uso e il trasferimento dei dati ricevuti dalle API di Google rispettano le Norme sui dati utente dei servizi API di Google, inclusi i requisiti di Uso limitato (Limited Use).
I token di accesso Google sono cifrati a riposo (AES-256-GCM). L'utente può revocare l'accesso in qualsiasi momento scollegando l'integrazione dal Servizio oppure da myaccount.google.com/permissions; alla revoca i token vengono invalidati.
05Finalità e base giuridica
- Erogazione del Servizio (esecuzione del contratto): autenticazione, elaborazione delle richieste, generazione di report, fatturazione dei consumi.
- Sicurezza (legittimo interesse): log tecnici, prevenzione di accessi non autorizzati.
- Integrazioni con terze parti (consenso): i dati delle piattaforme esterne sono trattati solo previo collegamento esplicito da parte dell'utente, revocabile in ogni momento.
06Fornitori tecnici (responsabili del trattamento)
Per erogare il Servizio il Titolare si avvale di fornitori che trattano i dati per suo conto, nei limiti strettamente necessari:
- Anthropic — elaborazione delle richieste in linguaggio naturale da parte del modello AI;
- E2B — ambienti di esecuzione isolati per le analisi;
- Cloudflare — rete di distribuzione, protezione del traffico e archiviazione dei file generati;
- Fornitore di hosting europeo — infrastruttura server su cui risiedono applicazione e database.
07Conservazione
I dati account e le conversazioni sono conservati finché l'account è attivo. Alla cessazione del rapporto, o su richiesta, vengono eliminati entro 30 giorni, fatti salvi gli obblighi di legge. I dati sincronizzati dalle fonti collegate vengono eliminati alla disconnessione dell'integrazione o alla chiusura dell'account.
08Sicurezza
- Credenziali delle fonti dati cifrate a riposo con AES-256-GCM.
- Accesso ai database dei clienti esclusivamente in sola lettura.
- Sessioni protette da cookie firmati, httpOnly.
- Esecuzione di codice di analisi in ambienti sandbox isolati per singolo tenant.
- Traffico cifrato TLS su tutta la piattaforma.
09Cookie
Il Servizio utilizza esclusivamente un cookie tecnico di sessione, necessario all'autenticazione. Non sono presenti cookie di profilazione, marketing o di terze parti.
10Diritti dell'interessato
Ai sensi degli artt. 15–22 del Regolamento (UE) 2016/679 (GDPR), l'utente può esercitare in qualsiasi momento i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione scrivendo a m.ingraiti@dgcal.it. È inoltre possibile proporre reclamo al Garante per la protezione dei dati personali.
11Modifiche
Eventuali modifiche alla presente informativa saranno pubblicate su questa pagina con aggiornamento della data in alto. Le modifiche sostanziali saranno comunicate agli utenti attivi.