Octopussian - Informativa sulla privacy
Versione del 23 aprile 2026
Sommario
- Premessa e oggetto
- Titolare del trattamento e contatti
- Definizioni
- Finalità e basi giuridiche dei trattamenti
- Categorie di Dati personali trattati
- Destinatari e Responsabili esterni del trattamento
- Trasferimenti fuori dall'Unione europea
- Durate di conservazione
- Registrazione tecnica
- Diritti degli interessati
- Cookie, tracciatori e pixel pubblicitari
- Intelligenza artificiale e assenza di profilazione
- Sicurezza e notifica delle violazioni
- Modifiche all'Informativa
1 - Premessa e oggetto
1.1 Chi siamo
La società Octopussian, SAS con capitale sociale di 10.000 €, con sede legale in 78, avenue des Champs-Élysées, 75008 Parigi - Francia, iscritta al Registro del Commercio e delle Società di Parigi con il numero 981 982 358 e con numero di partita IVA intracomunitaria FR50 981 982 358 (di seguito « Octopussian », « Noi », « nostro », « nostri »), pubblica l'applicazione accessibile in modalità SaaS all'indirizzo app.octopussian.com e i suoi sottodomini (di seguito l'« Applicazione »), nonché il sito internet octopussian.com (di seguito il « Sito »).
1.2 Oggetto
La presente Informativa sulla privacy (di seguito l'« Informativa ») descrive le modalità con cui Octopussian tratta i dati a carattere personale raccolti durante la consultazione del Sito o l'utilizzo dell'Applicazione, ai sensi del Regolamento (UE) 2016/679 del 27 aprile 2016 (« GDPR ») e della normativa francese applicabile in materia di protezione dei dati personali.
Essa si rivolge a qualsiasi persona fisica i cui Dati personali siano trattati da Noi in tale contesto: visitatori del Sito, Utenti dell'Applicazione, Titolari, prospect, persone che ci contattano tramite il modulo di contatto e qualsiasi altro interessato ai sensi del GDPR.
1.3 Rapporto con le CGU e il DPA
Il Contratto tra Octopussian e i propri Clienti è disciplinato dalle Condizioni Generali di Utilizzo (di seguito le « CGU ») e dai relativi allegati, in primo luogo l'Allegato A - Data Processing Agreement (di seguito il « DPA »), redatto ai sensi dell'articolo 28 del GDPR.
Quando un Cliente e i suoi Utenti registrano Dati nell'Applicazione nell'ambito della propria attività (in particolare: schede contatti, file archiviati nel drive, password condivise, contenuti di chat e videoconferenze, contenuti della knowledge base, eventi di calendario, attività della todo list, documenti firmati), Octopussian agisce in qualità di Responsabile esterno del trattamento ai sensi dell'articolo 4.8 del GDPR, sotto la responsabilità del Cliente che rimane Titolare del trattamento per tali Trattamenti. Il quadro applicabile è il DPA e non la presente Informativa.
La presente Informativa riguarda invece i Trattamenti per i quali Octopussian è essa stessa Titolare del trattamento ai sensi dell'articolo 4.7 del GDPR, ossia, a titolo indicativo e non esaustivo: la creazione e la gestione degli Account e degli Utenti, la fatturazione e la riscossione, l'assistenza tecnica, la sicurezza applicativa e la lotta agli abusi, la comunicazione commerciale, il funzionamento del Sito e la gestione dei cookie, nonché il trattamento delle richieste di esercizio dei diritti degli interessati. L'elenco dettagliato delle finalità e delle relative basi giuridiche figura all'articolo 4 della presente Informativa.
In caso di contraddizione tra la presente Informativa e il DPA in relazione a uno specifico Trattamento, le disposizioni del DPA prevalgono per quel Trattamento.
1.4 Ambito di applicazione e presa d'atto
La consultazione del Sito e l'utilizzo dell'Applicazione implicano la presa d'atto della presente Informativa. L'Informativa non è un contratto: essa non costituisce, di per sé, una base giuridica del Trattamento ai sensi dell'articolo 6 del GDPR. Informa gli interessati dei Trattamenti attuati da Octopussian in qualità di Titolare del trattamento, conformemente agli articoli 13 e 14 del GDPR.
L'Informativa è soggetta ad aggiornamenti. Le modalità di notifica delle modifiche sono descritte all'articolo 14.
2 - Titolare del trattamento e contatti
2.1 Titolare del trattamento
Il Titolare del trattamento dei Dati personali oggetto della presente Informativa è:
Octopussian, SAS con capitale sociale di 10.000 € Sede legale: 78, avenue des Champs-Élysées, 75008 Parigi - Francia RCS Paris 981 982 358 Partita IVA intracomunitaria: FR50 981 982 358 Rappresentata dal suo Presidente, Sig. Simon-Émile Guetta
2.2 Punto di contatto
Per qualsiasi domanda relativa alla presente Informativa, ai Trattamenti che attuiamo, o per esercitare i propri diritti ai sensi del GDPR, è possibile contattarci:
- tramite posta elettronica all'indirizzo
- tramite il modulo di contatto accessibile all'indirizzo
https://octopussian.com/contact, selezionando, in base alla natura della richiesta, il motivo « Domanda sull'Informativa sulla privacy » o « Esercitare i miei diritti in materia di dati personali »; - tramite posta ordinaria all'indirizzo della sede legale indicato sopra.
Ci impegniamo ad accusare ricevuta della richiesta nel più breve tempo possibile. Le modalità dettagliate di esercizio dei diritti sono specificate all'articolo 10 della presente Informativa.
3 - Definizioni
I termini seguenti, utilizzati con la lettera maiuscola nella presente Informativa, hanno il significato definito di seguito.
- Dati a carattere personale (o « Dati personali »): qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'articolo 4.1 del GDPR.
- Trattamento: qualsiasi operazione o insieme di operazioni, automatizzate o meno, effettuata su Dati personali - quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la consultazione, l'utilizzo, la comunicazione, la diffusione, la cancellazione o la distruzione -, ai sensi dell'articolo 4.2 del GDPR.
- Titolare del trattamento: la persona fisica o giuridica che, da sola o insieme ad altri, determina le finalità e i mezzi del Trattamento, ai sensi dell'articolo 4.7 del GDPR.
- Responsabile esterno del trattamento: la persona fisica o giuridica che tratta Dati personali per conto di un Titolare del trattamento, ai sensi dell'articolo 4.8 del GDPR.
- Interessato: la persona fisica identificata o identificabile i cui Dati personali sono oggetto di un Trattamento.
- Destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di Dati personali, che si tratti o meno di un terzo, ai sensi dell'articolo 4.9 del GDPR.
- Violazione dei Dati personali: qualsiasi violazione della sicurezza che comporti, accidentalmente o illecitamente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata di Dati personali trasmessi, conservati o altrimenti trattati, o l'accesso non autorizzato a tali dati, ai sensi dell'articolo 4.12 del GDPR.
- CNIL: Commission nationale de l'informatique et des libertés, autorità di controllo francese ai sensi dell'articolo 51 del GDPR.
- GDPR: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati personali e alla libera circolazione di tali dati.
- DPA: l'Allegato A delle CGU, che formalizza gli obblighi di Octopussian in qualità di Responsabile esterno del trattamento ai sensi dell'articolo 28 del GDPR.
I termini CGU, Applicazione, Sito, Servizi, Cliente, Utente, Amministratore, Titolaire, Account, Dati e Credenziali hanno il significato loro attribuito all'articolo 1 delle CGU. La relativa definizione non è qui riprodotta, al fine di evitare qualsiasi divergenza tra i documenti contrattuali. In caso di discordanza redazionale, la definizione contenuta nelle CGU prevale.
4 - Finalità e basi giuridiche dei Trattamenti
4.1 Trattamenti per i quali Octopussian è Titolare del trattamento
Octopussian tratta Dati personali per le finalità elencate di seguito. Per ciascuna finalità è indicata la base giuridica applicabile ai sensi dell'articolo 6, paragrafo 1, del GDPR.
Quando sono indicate più basi giuridiche, ciascuna fonda la parte del Trattamento che le corrisponde - ad esempio, l'emissione e l'invio di una fattura rientrano nell'esecuzione del contratto, mentre la sua conservazione per dieci anni è fondata su un obbligo legale.
| Rif. | Finalità | Descrizione sintetica | Base giuridica (art. 6.1 GDPR) |
|---|---|---|---|
| 4.1.1 | Creazione e gestione degli Account e degli Utenti | Registrazione, autenticazione, gestione dei permessi e delle associazioni a uno o più Account, mantenimento in condizione operativa, pseudonimizzazione in caso di revoca di un Utente da tutti gli Account a cui era associato | (b) Esecuzione del contratto e delle misure precontrattuali adottate su richiesta dell'interessato |
| 4.1.2 | Fatturazione, incasso e gestione contabile | Emissione delle fatture, monitoraggio dei pagamenti e del saldo, riconciliazione contabile, tenuta della contabilità, recupero dei crediti insoluti | (b) Esecuzione del contratto; (c) Obbligo legale ai sensi degli obblighi contabili e fiscali applicabili a Octopussian |
| 4.1.3 | Assistenza tecnica | Ricezione, qualificazione e gestione delle richieste di supporto inviate tramite il modulo di contatto e, se del caso, tramite il chatbot di assistenza in self-service | (b) Esecuzione del contratto |
| 4.1.4 | Onboarding transazionale | Invio, tramite il nostro responsabile esterno Brevo (cfr. art. 6), di email di attivazione, di benvenuto e di guida all'utilizzo dell'Applicazione, con controllo tecnico della deliverability di tali messaggi | (b) Esecuzione del contratto |
| 4.1.5 | Comunicazioni di servizio | Informazione dei Clienti e degli Utenti in merito alle evoluzioni significative dell'Applicazione, agli incidenti di sicurezza o di disponibilità, alle revisioni delle CGU o della presente Informativa, alle scadenze di fatturazione e agli eventi contrattuali (sospensione, risoluzione, rinnovo) | (b) Esecuzione del contratto; (c) Obbligo legale per la notifica di una Violazione riguardante il Cliente (art. 33.1 GDPR tramite il DPA) o di una modifica imposta dalla legge |
| 4.1.6 | Sicurezza applicativa e lotta agli abusi | Rilevamento di intrusioni e comportamenti anomali, prevenzione delle frodi, applicazione della Acceptable Use Policy (Allegato C delle CGU), sospensione cautelativa o risoluzione di un Account in caso di abuso | (f) Legittimo interesse di Octopussian a preservare l'integrità e la disponibilità dei propri Servizi, a proteggere gli altri Utenti e a prevenire usi illeciti |
| 4.1.7 | Registrazione tecnica | Conservazione di registrazioni relative alle operazioni effettuate sul vault delle password condivise (identità dell'autore, tipo di operazione, timestamp, elenco degli accessi). Il dettaglio è riportato all'articolo 9 | (f) Legittimo interesse di Octopussian a garantire l'integrità del vault e a proteggere gli Utenti da operazioni non autorizzate (art. 6.1.f GDPR) |
| 4.1.8 | Trattamento delle richieste ricevute tramite il modulo di contatto o per posta | Gestione delle richieste in base al motivo selezionato: informazioni commerciali, informazioni tecniche, domande sulla presente Informativa, esercizio dei diritti GDPR, segnalazione di un incidente di sicurezza o di un abuso, altre richieste | (b) Misure precontrattuali per le richieste di informazioni commerciali; (c) Obbligo legale per le richieste di esercizio dei diritti GDPR e le domande sulla presente Informativa; (f) Legittimo interesse di Octopussian a rispondere alle altre richieste dei propri interlocutori |
| 4.1.9 | Gestione delle richieste di esercizio dei diritti degli interessati | Ricezione, verifica dell'identità se necessario, istruzione e risposta motivata alle richieste di accesso, rettifica, cancellazione, portabilità, opposizione, limitazione, revoca del consenso e alle direttive post-mortem | (c) Obbligo legale - articoli da 12 a 22 del GDPR e normativa francese applicabile in materia di protezione dei dati personali |
| 4.1.10 | Cookie, tracciatori e pixel pubblicitari sul Sito | Misurazione dell'audience, analisi del traffico, diffusione di pubblicità mirata sulle reti partner (Meta, Google, LinkedIn), conversione lato server. Le modalità, l'elenco dei tracciatori e le opzioni di rinuncia figurano all'articolo 11 | (a) Consenso preventivo per i tracciatori non strettamente necessari al servizio richiesto |
| 4.1.11 | Rispetto degli obblighi legali e tutela dei nostri diritti | Conservazione dei documenti contabili, contrattuali e probatori conformemente alle durate legali; risposta alle richieste regolari provenienti da autorità giudiziarie, amministrative o di controllo; raccolta e gestione di prove in caso di contenzioso | (c) Obbligo legale; (f) Legittimo interesse per la raccolta di prove e la difesa in giudizio |
4.2 Trattamenti per i quali Octopussian è Responsabile esterno del trattamento
I Trattamenti che il Cliente e i suoi Utenti effettuano tramite l'Applicazione, relativi ai Dati che vi registrano nell'ambito della propria attività - in particolare la todo list, i contatti, i file archiviati nel drive, le password condivise nel vault, i contenuti di chat e videoconferenze, i contenuti della knowledge base, gli eventi di calendario, i file trasferiti e i documenti firmati elettronicamente - non rientrano nell'ambito della presente Informativa.
Per tali Trattamenti, il Cliente rimane Titolare del trattamento e determina autonomamente le finalità e la base giuridica applicabili. Octopussian li esegue in qualità di Responsabile esterno del trattamento, nelle condizioni definite nel DPA (Allegato A delle CGU), ai sensi dell'articolo 28 del GDPR.
5 - Categorie di Dati personali trattati
Il presente articolo elenca, per natura, le categorie di Dati personali trattati da Octopussian nell'ambito delle finalità descritte all'articolo 4.1. Non tutti i Dati sono raccolti per tutte le finalità: vengono trattati solo i Dati strettamente necessari a ciascuna finalità, in conformità al principio di minimizzazione dei dati di cui all'articolo 5, paragrafo 1, lettera c), del GDPR.
5.1 Dati identificativi e di contatto
Nome, cognome, titolo di cortesia (se indicato), indirizzo di posta elettronica professionale, numero di telefono (se indicato), qualifica o ruolo (se indicato), indirizzo postale professionale (quando necessario ai fini della fatturazione).
5.2 Dati relativi all'Account e all'autenticazione
Identificativo interno univoco dell'Utente (UUID non significativo), identificativo/i dell'Account o degli Account di riferimento, profilo funzionale (Titolaire, Amministratore, Utente), password (conservata esclusivamente sotto forma di hash crittografico con salt - non leggibile da Octopussian), secret condiviso TOTP cifrato per la doppia autenticazione quando attivata, date e timestamp degli ultimi accessi, fuso orario dichiarato dall'Utente per l'invio delle notifiche negli orari desiderati.
5.3 Dati di connessione e dati tecnici
Indirizzi IP sorgente delle connessioni, identificativi tecnici di sessione, user agent del browser e identificazione del sistema operativo. Questi dati sono trattati in tempo reale a fini di autenticazione e rilevamento di anomalie di connessione, ma non sono oggetto di alcuna archiviazione persistente oltre la durata della sessione attiva. Le sole registrazioni durevoli sono descritte all'articolo 9.
5.4 Dati di fatturazione e di pagamento
Ragione sociale, forma giuridica, numero di identificazione (equivalente al codice fiscale/P.IVA), numero di partita IVA intracomunitaria, indirizzo di fatturazione, nome e indirizzo di posta elettronica del responsabile della fatturazione se del caso, storico delle fatture emesse, dei pagamenti ricevuti e del saldo.
Il numero di carta di credito non è in alcun momento comunicato a Octopussian, né archiviato sui nostri sistemi. Il pagamento è integralmente eseguito dal nostro responsabile esterno Stripe Payments Europe Ltd (cfr. art. 6 e art. 7). Conserviamo esclusivamente gli elementi tecnici restituiti da Stripe a fini di riconciliazione contabile e continuità del servizio: identificativo opaco del cliente Stripe, token di transazione, circuito della carta, ultime quattro cifre del numero di carta, data di scadenza, stato del pagamento.
5.5 Dati relativi alle richieste indirizzate a Octopussian
Contenuto dei messaggi inviati tramite il modulo di contatto, l'indirizzo o per posta ordinaria, eventuali allegati, timestamp, motivo selezionato nel modulo. Questi scambi possono contenere Dati personali che l'Interessato ha scelto di trasmetterci; si invita a comunicarci solo le informazioni strettamente necessarie alla gestione della propria richiesta.
5.6 Dati dichiarativi B2B e prove di accettazione contrattuale
Al momento della creazione di un Account, il Titolaire spunta una casella dichiarativa con cui conferma la propria maggiore età, l'utilizzo nell'ambito di un'attività professionale e il proprio potere di impegnare la persona giuridica che rappresenta. Tale dichiarazione è conservata insieme al timestamp dell'accettazione, all'identificativo dell'Utente, al suo indirizzo IP e alla versione del testo accettato.
Sono altresì conservati, a titolo probatorio, il timestamp, l'identificativo dell'Utente e la versione del testo accettato per ogni accettazione delle CGU, del DPA e della presente Informativa, nonché per le successive revisioni portate a conoscenza del Titolaire.
5.7 Storico dei consensi ai cookie e ai tracciatori
Per i tracciatori depositati sul Sito che richiedono un consenso preventivo, viene conservato uno storico delle scelte effettuate dal visitatore (accettazione, rifiuto, revoca del consenso), con timestamp, al fine di garantire la prova del consenso richiesta dall'articolo 7, paragrafo 1, del GDPR. Il dettaglio è riportato all'articolo 11.
5.8 I vostri dati nell'Applicazione rimangono vostri
Le informazioni che registrate nell'Applicazione - i vostri contatti, i file del vostro drive, le password condivise nel vault, i vostri messaggi di chat, le vostre videoconferenze, le vostre knowledge base, il vostro calendario, i vostri task, i vostri file trasferiti e i vostri documenti firmati elettronicamente - sono di vostra proprietà.
Li ospitiamo per renderli accessibili solo alle persone da voi autorizzate. Non li utilizziamo per alcuna finalità che ci sia propria: nessuna rivendita, nessuna pubblicità, nessuna profilazione, nessun addestramento di intelligenza artificiale. Non li comunichiamo ad alcun terzo, salvo su vostra richiesta, per rispondere a una regolare richiesta giudiziaria, o per adempiere a un obbligo legale cui siamo tenuti.
Il quadro giuridico preciso, gli impegni di sicurezza e i Nostri obblighi nei confronti della vostra organizzazione figurano nel DPA (Allegato A delle CGU).
6 - Destinatari e Responsabili esterni del trattamento
6.1 Principio - necessità di conoscere
I Dati personali trattati da Octopussian sono comunicati solo alle persone abilitate ad accedervi in ragione delle loro funzioni o della loro missione, e nella misura strettamente necessaria alle finalità descritte all'articolo 4.
6.2 Destinatari interni a Octopussian
Il personale di Octopussian abilitato al trattamento dei Dati personali - team di prodotto, sviluppo, operations, supporto, amministrazione e fatturazione - accede ai Dati strettamente necessari all'esercizio delle rispettive funzioni, nell'ambito di una politica interna di abilitazione. Ciascuno è vincolato da un obbligo di riservatezza di livello professionale.
6.3 Responsabili esterni del trattamento strategici
Ci avvaliamo dei seguenti Responsabili esterni del trattamento per la fornitura dell'Applicazione e del Sito. Ciascuno è vincolato da un contratto di trattamento conforme all'articolo 28 del GDPR.
| Responsabile esterno | Entità e sede | Finalità per Octopussian | Riferimento pubblico del DPA |
|---|---|---|---|
| OVH | OVH SAS - 2 rue Kellermann, 59100 Roubaix, Francia (RCS Lille Métropole 424 761 419) | Hosting dell'Applicazione e del Sito, archiviazione dei file caricati nel drive e dei backup, tutti i datacenter situati nell'Unione europea | DPA contrattualizzato secondo la versione in vigore pubblicata da OVH |
| Stripe | Stripe Payments Europe Ltd - Dublino, Irlanda | Esecuzione dei pagamenti e gestione delle ricevute di pagamento | https://stripe.com/legal/ssa e Data Transfers Addendum https://stripe.com/legal/dta |
| Brevo | Sendinblue SAS - 106 boulevard Haussmann, 75008 Parigi, Francia (RCS Paris 498 019 298) | Invio delle email di onboarding transazionale (attivazione, benvenuto, guida all'utilizzo) | DPA integrato nelle Condizioni generali Brevo pubblicate su https://www.brevo.com/legal/termsofuse/ |
| Mistral AI | Mistral AI SAS - 15 rue des Halles, 75001 Parigi, Francia (RCS Paris 952 418 325) | Fornitura del modello linguistico che alimenta le funzionalità di intelligenza artificiale; opzione di addestramento dei modelli disattivata contrattualmente da Octopussian | https://legal.mistral.ai/terms/data-processing-addendum |
6.4 Altri fornitori tecnici
Ci avvaliamo altresì, nell'ambito dell'erogazione dell'Applicazione e del Sito, di altri fornitori tecnici con un ruolo più puntuale o periferico:
- Distribuzione dei video didattici pubblicati sul Sito, tramite una rete di distribuzione dei contenuti (Content Delivery Network) i cui punti di presenza sono configurati per rimanere nell'Unione europea;
- Arricchimento geografico degli indirizzi IP a partire dal numero dell'indirizzo IP, a fini di rilevamento di anomalie di connessione, tramite un servizio specializzato stabilito nell'Unione europea;
- Verifica sintattica e di deliverability degli indirizzi email inseriti in fase di registrazione, tramite un servizio specializzato stabilito nell'Unione europea.
Ciascuno di questi fornitori è vincolato da un contratto di trattamento conforme all'articolo 28 del GDPR.
6.5 Elenco nominativo aggiornato
L'elenco nominativo completo dei nostri Responsabili esterni del trattamento, mantenuto aggiornato, figura all'Allegato D delle CGU. Conformemente al DPA, qualsiasi variazione sostanziale di tale elenco è comunicata preventivamente ai Clienti con un preavviso di trenta (30) giorni, lasciando un diritto di obiezione motivata nelle condizioni previste dal DPA.
Il ricorso a questo riferimento contrattuale - piuttosto che alla citazione nominativa nella presente Informativa - consente di mantenere aggiornato l'elenco dei fornitori tecnici senza moltiplicare le revisioni redazionali dell'Informativa stessa. Tale modalità è espressamente ammessa dall'articolo 13, paragrafo 1, lettera e), del GDPR, che autorizza la designazione dei destinatari per categorie.
6.6 Destinatari che agiscono come Titolari autonomi del trattamento
Alcuni dei nostri Responsabili esterni del trattamento eseguono, parallelamente ai Trattamenti che effettuano per nostro conto, Trattamenti che attuano per proprie finalità, rispetto ai quali agiscono in qualità di Titolari autonomi del trattamento. Tali Trattamenti sfuggono al nostro controllo e rientrano nelle rispettive politiche, che questi soggetti comunicano ai propri utenti finali.
A titolo di trasparenza, segnaliamo di seguito i casi identificati:
- Stripe: prevenzione delle frodi, rispetto degli obblighi in materia di antiriciclaggio e di identificazione del cliente (AML/KYC), gestione dei rapporti con i propri partner finanziari, sviluppo e miglioramento dei prodotti.
- Brevo: sicurezza e integrità della propria piattaforma di invio, aggregazione statistica e miglioramento dei propri servizi.
- ipregistry: miglioramento delle proprie banche dati geografiche, prevenzione delle frodi sui propri servizi.
- Mistral AI: moderazione automatizzata e rilevamento di abusi nell'utilizzo dei propri modelli, statistiche aggregate di utilizzo. L'utilizzo dei Dati per l'addestramento dei modelli Mistral AI è escluso dall'opt-out contrattuale attivato da Octopussian.
6.7 Altri destinatari terzi
I Dati personali possono essere comunicati, in caso di necessità e nei limiti strettamente richiesti dalla situazione:
- ai consulenti legali che intervengono in missioni specifiche (avvocato, ufficiale giudiziario), vincolati dal segreto professionale;
- alle autorità giudiziarie, amministrative o di controllo regolarmente adite su base legale (richiesta di informazioni, richiesta di un'autorità di controllo, decisione giudiziaria esecutiva);
- al cessionario o all'acquirente in caso di operazione di cessione di attivi, fusione o acquisizione riguardante tutta o parte dell'attività di Octopussian, nelle condizioni previste dalle CGU e con riserva di protezione equivalente dei Dati.
7 - Trasferimenti fuori dall'Unione europea
7.1 Principio - trattamento nell'Unione europea
Octopussian ospita e tratta i Dati personali nel territorio dell'Unione europea. I Responsabili esterni del trattamento strategici designati all'articolo 6.3 sono stabiliti nell'Unione europea e operano infrastrutture situate nell'Unione europea.
Solo un caso dà luogo a un trasferimento diretto e strutturale verso un paese terzo: l'esecuzione dei pagamenti tramite Stripe, descritta all'articolo 7.2. Per gli altri Responsabili esterni del trattamento, trasferimenti possono, in alcuni casi, avvenire all'interno della loro organizzazione in occasione dell'erogazione dei loro servizi o per le loro finalità proprie; tali ipotesi sono specificate all'articolo 7.3.
7.2 Trasferimento diretto verso Stripe negli Stati Uniti
L'esecuzione dei pagamenti tramite Stripe implica una comunicazione di Dati a Stripe Payments Europe Ltd (Irlanda), e poi, nell'ambito della sua organizzazione interna e delle sue finalità proprie, a Stripe, Inc. (Stati Uniti) nonché ad altre entità del gruppo Stripe.
Tali trasferimenti sono inquadrati cumulativamente:
- dall'adesione delle entità Stripe interessate al Data Privacy Framework UE-Stati Uniti, oggetto della decisione di adeguatezza (UE) 2023/1795 della Commissione europea del 10 luglio 2023;
- dalle Clausole Contrattuali Standard adottate dalla Commissione europea il 4 giugno 2021 (decisione di esecuzione (UE) 2021/914), Moduli 1 e 2, incorporate nel contratto Stripe tramite il Data Transfers Addendum pubblicato all'indirizzo
https://stripe.com/legal/dta.
7.3 Trasferimenti suscettibili di avvenire all'interno dei nostri Responsabili esterni stabiliti nell'Unione europea
Alcuni dei Responsabili esterni del trattamento designati agli articoli 6.3 e 6.4 possono, per l'esecuzione interna dei loro servizi o per le loro finalità proprie, ricorrere a trattamenti o a responsabili esterni ulteriori situati fuori dall'Unione europea. Tali operazioni rientrano nel DPA proprio di ciascuno di questi Responsabili esterni, contrattualizzato con Octopussian. I meccanismi di inquadramento previsti da tali DPA sono i seguenti:
- Sendinblue SAS (Brevo) - ricorso al Data Privacy Framework e alle Clausole Contrattuali Standard per gli eventuali trasferimenti fuori dall'Unione europea nell'ambito della propria organizzazione;
- Elaunira SARL (ipregistry) - ricorso alle Clausole Contrattuali Standard (Moduli 2 e 3) e all'Addendum denominato UK International Data Transfer Addendum per gli eventuali trasferimenti fuori dallo Spazio economico europeo nell'ambito della propria organizzazione;
- Mistral AI SAS - trattamento per impostazione predefinita all'interno dell'Unione europea; in caso di intervento di responsabili esterni ulteriori situati fuori dall'Unione europea, ricorso alle Clausole Contrattuali Standard o alle decisioni di adeguatezza applicabili;
- CyberPanda s.r.o. (che gestisce il servizio EmailListVerify, Slovacchia) - ricorso alle Clausole Contrattuali Standard (Moduli 2 e 3) per gli eventuali trasferimenti fuori dallo Spazio economico europeo nell'ambito della propria organizzazione.
Per la rete di distribuzione dei contenuti utilizzata per la diffusione dei video didattici del Sito, i punti di presenza sono stati configurati per rimanere nell'Unione europea. I Dati generati dalla consultazione di questi video - in particolare l'indirizzo IP del visitatore - sono pertanto trattati all'interno dell'Unione europea.
L'elenco e l'identità dei Responsabili esterni citati sopra figurano all'Allegato D delle CGU, che viene aggiornato secondo le modalità richiamate all'articolo 6.5. In caso di variazione sostanziale delle misure di inquadramento dei trasferimenti attuate da tali Responsabili esterni, la presente Informativa sarà aggiornata nelle condizioni previste all'articolo 14.
8 - Durate di conservazione
Octopussian conserva i Dati personali solo per il tempo necessario alle finalità per le quali sono stati raccolti, in conformità ai principi di limitazione della conservazione e di minimizzazione di cui all'articolo 5 del GDPR.
| Categoria | Durata in base attiva | Sorte alla scadenza |
|---|---|---|
| Dati di account e di autenticazione (§5.1 e §5.2) | Durata di vita dell'Account | Pseudonimizzazione: nome e cognome sostituiti dalle iniziali; email sostituita da un hash SHA-256 con salt server; telefoni, indirizzo postale, commento e avatar eliminati |
| Prove di accettazione contrattuale e dichiarazioni B2B (§5.6) | Durata di vita dell'Account | Conservate 5 anni dopo la chiusura dell'Account (prescrizione quinquennale) |
| Dati di connessione tecnici associati a una sessione attiva | Durata della sessione | Cancellazione alla scadenza della sessione |
| Dati di fatturazione e documenti contabili (§5.4) | Durata del contratto | Conservazione 10 anni a decorrere dalla chiusura dell'esercizio contabile |
| Richieste inviate tramite il modulo di contatto (§5.5) | Durata della gestione della pratica | 1 anno dalla chiusura del fascicolo |
| Richieste di esercizio dei diritti GDPR (§5.5) | Durata della gestione della pratica | 5 anni dalla chiusura del fascicolo |
| Storico dei consensi ai cookie e ai tracciatori (§5.7) | - | 13 mesi a decorrere da ciascuna scelta espressa |
| Metadati del vault delle password condivise | Durata di vita dell'Account | Cancellazione alla chiusura dell'Account (cfr. §9.2) |
| Backup dei database | - | 72 ore al massimo (diversi set rotanti) |
8.1 Pseudonimizzazione alla chiusura dell'Account
Quando un Utente non è più associato ad alcun Account attivo, la sua scheda viene pseudonimizzata ai sensi dell'articolo 4.5 del GDPR. Le seguenti operazioni vengono effettuate automaticamente:
- Nome e cognome → sostituiti dalle iniziali dell'Utente.
- Indirizzo di posta elettronica → sostituito da un hash SHA-256 con salt server, non reversibile a freddo. Tale hash consente unicamente a Octopussian di verificare l'identità di una persona che presenta essa stessa il proprio indirizzo email per esercitare i propri diritti.
- Dati opzionali identificativi (numeri di telefono fisso e mobile, indirizzo postale, commento, avatar) → eliminati.
- Lingua dell'interfaccia → conservata (dato non identificativo).
Tale operazione preserva l'integrità referenziale delle registrazioni dell'Applicazione senza mantenere un identificativo diretto accessibile.
In caso di successiva richiesta di esercizio dei diritti, l'interessato può presentare il proprio indirizzo email, consentendo a Octopussian di recuperare la sua scheda tramite verifica dell'hash. Se l'identificazione non può essere stabilita con ragionevole certezza, Octopussian ha il diritto di non dar seguito alla richiesta, conformemente all'articolo 11 del GDPR, e ne informa l'interessato.
8.2 Backup
I database sono salvati su infrastrutture di storage a oggetti ospitate in Francia. Vengono conservati diversi set di backup rotanti, con una retention massima di 72 ore, al termine della quale i backup vengono automaticamente eliminati. I backup vengono utilizzati esclusivamente a fini di continuità del servizio e di ripristino a seguito di incidenti.
9 - Registrazione tecnica
9.1 Perimetro
Il presente articolo descrive le sole registrazioni tecniche attuate da Octopussian che contengono Dati personali. I log di supervisione delle infrastrutture (disponibilità, carico, prestazioni) non riguardano Dati personali e sono esclusi dall'ambito della presente Informativa.
9.2 Tracciabilità delle operazioni sul vault delle password condivise
Il vault delle password condivise è oggetto di una tracciabilità delle operazioni al fine di proteggere gli Utenti da qualsiasi modifica o cancellazione non autorizzata.
Vengono registrati nel database: l'identità dell'Utente autore dell'operazione, il tipo di operazione (creazione, modifica, cancellazione), il timestamp e l'elenco degli Utenti che dispongono o hanno disposto di un diritto di accesso a ciascuna voce.
Il contenuto delle password non è in alcun momento accessibile a Octopussian. Sono cifrate end-to-end tramite un meccanismo asimmetrico: solo gli Utenti dotati dei diritti di accesso corrispondenti possono decifrarle, lato client.
Tali registrazioni sono conservate per tutta la durata di vita dell'Account e cancellate alla sua chiusura.
Base giuridica: legittimo interesse di Octopussian a garantire l'integrità del vault e a proteggere gli Utenti da operazioni non autorizzate (art. 6.1.f GDPR).
9.3 Autenticazione
I tentativi di autenticazione falliti non danno luogo a una registrazione persistente. Un contatore temporaneo registra il numero di tentativi falliti successivi per un determinato Account; superato un numero limitato di tentativi infruttuosi consecutivi, viene imposta un'attesa di venti minuti prima di qualsiasi nuovo tentativo. Tale contatore viene azzerato in caso di accesso riuscito e non costituisce una registrazione duratura di Dati personali.
9.4 Assenza di log di accesso persistenti
Octopussian non conserva log di accesso HTTP, log applicativi né log di sicurezza contenenti Dati personali. I dati di connessione (indirizzi IP, user agent, timestamp) sono trattati in tempo reale a fini di autenticazione e rilevamento di anomalie, poi scartati senza archiviazione persistente. Le metriche di supervisione delle infrastrutture (carico CPU, memoria, spazio disco) non contengono Dati personali e sono escluse dall'ambito della presente Informativa, conformemente all'articolo 9.1.
10 - Diritti degli interessati
10.1 Diritti applicabili
Il GDPR riconosce all'Interessato i seguenti diritti in merito ai Dati personali che trattiamo in qualità di Titolare del trattamento.
| Diritto | Oggetto | Condizioni e limiti |
|---|---|---|
| Accesso (art. 15 GDPR) | Ottenere conferma che vengano trattati Dati che vi riguardano, e riceverne una copia | Gratuito; in caso di richieste manifestamente eccessive o ripetitive, possiamo addebitare costi ragionevoli o rifiutare di dar seguito alla richiesta |
| Rettifica (art. 16 GDPR) | Far correggere Dati inesatti o incompleti | Potete modificare direttamente la vostra scheda Utente nell'Applicazione; per gli altri Dati, inviateci una richiesta |
| Cancellazione (art. 17 GDPR) | Richiedere la cancellazione dei vostri Dati | Non applicabile ai Dati che siamo tenuti a conservare in forza di un obbligo legale (documenti contabili, prove contrattuali) o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria |
| Portabilità (art. 20 GDPR) | Ricevere i vostri Dati in un formato strutturato e leggibile da una macchina | Limitato ai Dati forniti da voi e ai trattamenti fondati sul vostro consenso o sull'esecuzione del contratto; per l'Applicazione, il Titolaire può richiedere un export completo del proprio Account |
| Opposizione (art. 21 GDPR) | Opporsi a un trattamento fondato sul legittimo interesse | Possiamo mantenere il trattamento se dimostriamo motivi legittimi cogenti - in particolare per la sicurezza applicativa e la tracciabilità del vault delle password |
| Limitazione (art. 18 GDPR) | Sospendere temporaneamente un trattamento mentre ne contestate la liceità o l'esattezza | Applicabile nei casi previsti dall'articolo 18 del GDPR |
| Revoca del consenso (art. 7.3 GDPR) | Revocare in qualsiasi momento un consenso precedentemente espresso | Si applica ai trattamenti fondati sul consenso (cookie non essenziali, attivazione delle funzionalità di intelligenza artificiale); la revoca non pregiudica la liceità dei trattamenti precedenti |
| Direttive post-mortem | Definire il destino dei vostri Dati dopo il vostro decesso | Previsto dalla legislazione francese applicabile; inviate le vostre direttive per posta ordinaria o a .com` |
10.2 Modalità di esercizio
Per esercitare uno dei diritti elencati all'articolo 10.1, inviateci la vostra richiesta tramite il modulo di contatto all'indirizzo https://octopussian.com/contact (motivo « Esercitare i miei diritti in materia di dati personali »), oppure per posta elettronica a .
Indicate il vostro nome, il vostro indirizzo email associato all'Applicazione - o, se il vostro Account è stato chiuso, qualsiasi elemento utile alla vostra identificazione (azienda, periodo di utilizzo approssimativo) - nonché la natura precisa della vostra richiesta. Possiamo, se la situazione lo giustifica, richiedervi un documento giustificativo supplementare prima di dar seguito.
10.3 Termini
Rispondiamo entro un mese dal ricevimento della vostra richiesta. Tale termine può essere prorogato di due mesi supplementari in caso di richiesta complessa; ve ne informiamo in tal caso entro il primo mese, motivando la proroga.
Se la vostra scheda è stata pseudonimizzata dopo la chiusura dell'Account e l'identificazione non può essere stabilita con ragionevole certezza, ve ne informiamo e non siamo tenuti a dar seguito - cfr. §8.1.
10.4 Diritto di rivolgersi alla CNIL
Se ritenete, dopo averci contattato, che i vostri diritti non siano rispettati, potete presentare un reclamo alla Commission nationale de l'informatique et des libertés (CNIL) all'indirizzo https://www.cnil.fr/fr/plaintes.
10.5 Direttive post-mortem e richieste degli eredi
Conformemente alla normativa francese applicabile in materia di protezione dei dati personali, l'Utente può inviare a o per posta le proprie direttive sul destino dei propri Dati dopo il decesso. Tali direttive riguardano solo la sua scheda personale di identificazione e di Account (§5.1 e §5.2); i Dati registrati nell'Applicazione nell'ambito dell'attività professionale del Cliente ne sono esclusi e rientrano nella responsabilità del Cliente in qualità di Titolare del trattamento. Le direttive devono essere chiare, concise, in una lingua comprensibile da Octopussian ed eseguibili senza interpretazione giuridica; in caso contrario, sono trattate come inesistenti.
In assenza di direttive eseguibili, o quando il Cliente è esso stesso una persona fisica che esercita a titolo professionale senza personalità giuridica distinta, gli aventi diritto possono rivolgersi a Octopussian tramite un notaio o qualsiasi pubblico ufficiale equivalente ai sensi del diritto applicabile, o direttamente muniti di un atto di notorietà e di un atto di morte, legalizzati o apostillati secondo le convenzioni applicabili. Octopussian non è competente a dirimere contestazioni tra aventi diritto né a valutare l'opponibilità di un segreto professionale applicabile all'attività del defunto; le richieste dubbie sono rinviate al notaio o all'autorità ordinale competente, e quelle per le quali l'autenticazione non è ragionevolmente accertata non ricevono risposta (articolo 11 GDPR).
Quando l'Utente defunto non è più associato ad alcun Account, la sua scheda è già pseudonimizzata (§8.1); in assenza di richiesta nel termine previsto all'articolo A.11 del DPA, i Dati vengono cancellati secondo il calendario di fine Contratto.
11 - Cookie, tracciatori e pixel pubblicitari
11.1 Sito dell'Applicazione ( app.octopussian.com )
L'Applicazione deposita un cookie di sessione tecnico al momento dell'autenticazione. Tale cookie è strettamente necessario al funzionamento del servizio: mantiene la sessione dell'Utente connesso e non può essere rifiutato senza rendere l'Applicazione inoperante. Non è soggetto a raccolta del consenso.
11.2 Sito commerciale ( octopussian.com ) - principio generale
Nessun tracciatore viene depositato, e nessun dato viene trasmesso a partner analitici o pubblicitari, senza raccolta preventiva del vostro consenso.
Alla prima visita sul Sito, vi viene presentata una finestra di consenso. Essa consente di accettare o rifiutare l'insieme dei tracciatori descritti all'articolo 11.3. In assenza di accettazione, nessun tracciatore viene attivato. La vostra scelta viene memorizzata nel localStorage del vostro browser per una durata di 13 mesi; trascorso tale termine, la finestra vi viene nuovamente presentata. Potete modificare la vostra scelta in qualsiasi momento accedendo al link « Per saperne di più » disponibile nella finestra.
11.3 Tracciatori soggetti a consenso
In caso di accettazione, vengono attivati i seguenti servizi:
| Servizio | Editore | Finalità | Trasferimento fuori UE |
|---|---|---|---|
| Google Analytics 4 | Google Ireland Ltd (Irlanda) | Misurazione dell'audience e analisi del comportamento dei visitatori; gestione delle campagne pubblicitarie (Google Ads, YouTube Ads) tramite Google Consent Mode v2 | Verso Google LLC (Stati Uniti) - Data Privacy Framework UE-Stati Uniti + Clausole Contrattuali Standard |
| LinkedIn Insight Tag | LinkedIn Ireland Unlimited Company (Irlanda) | Misurazione delle conversioni e targeting pubblicitario su LinkedIn | Verso LinkedIn Corporation (Stati Uniti) - Clausole Contrattuali Standard |
| Meta Pixel / Conversions API | Meta Platforms Ireland Ltd (Irlanda) | Misurazione delle conversioni e targeting pubblicitario sulle reti Meta (Facebook, Instagram) | Verso Meta Platforms, Inc. (Stati Uniti) - Data Privacy Framework UE-Stati Uniti + Clausole Contrattuali Standard |
Tali servizi possono, per le proprie finalità, trattare Dati personali in qualità di Titolari autonomi del trattamento (profilazione pubblicitaria, miglioramento dei propri prodotti). Tali trattamenti rientrano nelle rispettive informative sulla privacy.
Le campagne LinkedIn e Meta non sono attive in modo permanente. I documenti legali di Octopussian coprono la loro eventuale attivazione a partire dal momento in cui è stato raccolto il vostro consenso ai sensi del presente articolo.
11.4 Infrastruttura di raccolta lato server
I dati sono trasmessi alle piattaforme designate all'articolo 11.3 tramite un meccanismo di raccolta lato server (server-side tagging) operato dal nostro responsabile esterno Stape Europe OÜ (Sepapaja tn 6, Tallinn, Estonia), stabilito nell'Unione europea. Nessun dato viene raccolto tramite tale meccanismo in caso di rifiuto dei tracciatori.
12 - Intelligenza artificiale e assenza di profilazione
12.1 Funzionalità di intelligenza artificiale
La nostra funzionalità di assistenza intelligente si basa su un modello di intelligenza artificiale fornito da Mistral AI SAS (Francia). Tale funzionalità è attivata solo se il Titolaire l'ha esplicitamente abilitata per il proprio Account. Per impostazione predefinita, i dati inviati a questo modello sono trattati all'interno dell'Unione europea. Nel caso in cui responsabili esterni di Mistral AI situati fuori dall'Unione europea intervenissero nella catena di trattamento, Mistral AI garantisce che tali trasferimenti siano inquadrati da meccanismi conformi al GDPR (clausole contrattuali standard o decisione di adeguatezza). I dati trattati in tale contesto non vengono utilizzati per addestrare i modelli di Mistral AI: l'opzione di opt-out dall'addestramento è stata contrattualmente attivata da Octopussian.
12.2 Assenza di profilazione e di decisione automatizzata
Octopussian non effettua alcuna profilazione degli Utenti e non adotta alcuna decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o che incida significativamente sugli interessati, ai sensi dell'articolo 22 del GDPR.
13 - Sicurezza e notifica delle violazioni
13.1 Misure di sicurezza
Octopussian attua misure tecniche e organizzative adeguate per garantire la sicurezza dei Dati personali, conformemente all'articolo 32 del GDPR.
13.2 Meccanismi automatici di prevenzione degli abusi
I Servizi integrano meccanismi automatizzati destinati a prevenire l'uso abusivo dell'Applicazione, in particolare l'analisi a priori dei contenuti prima della trasmissione a un responsabile esterno terzo e la non esecuzione delle operazioni contrarie alla Acceptable Use Policy. Tali meccanismi operano senza consultazione umana dei Dati del Cliente.
Quando viene rilevata una manifesta violazione della Acceptable Use Policy, l'operazione interessata non viene eseguita e un avvertimento viene notificato automaticamente all'Utente. Il ripetersi di tali eventi può dare luogo a una sospensione o risoluzione pronunciata da un membro del personale abilitato, previo esame puntuale limitato ai metadati corrispondenti (autore, timestamp, tipo di operazione), senza accesso al contenuto, nelle condizioni di cui all'articolo 13.4 delle CGU.
13.3 Notifica delle violazioni
In caso di violazione dei Dati personali, Octopussian notifica la CNIL entro 72 ore dalla scoperta dell'incidente, quando tale notifica è richiesta dall'articolo 33 del GDPR. Gli obblighi di notifica nei confronti del Cliente in qualità di Titolare del trattamento sono disciplinati dal DPA (Allegato A delle CGU).
14 - Modifiche all'Informativa
La presente Informativa può essere modificata in qualsiasi momento. La data dell'ultimo aggiornamento figura in fondo alla pagina. In caso di modifica sostanziale, i Titolaires ne sono informati secondo le modalità previste all'articolo 20 delle CGU. La versione in vigore è quella pubblicata sul Sito.