Informativa sul trattamento dei dati personali
Rev. 1 — Maggio 2026 · Utenti del servizio Verlio
Florens Code S.r.l., quale Titolare del trattamento dei dati personali, informa l'utente che il trattamento dei dati personali raccolti tramite il servizio Verlio è improntato ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione, esattezza, integrità e riservatezza, ai sensi dell'art. 5 del Regolamento (UE) 2016/679 (di seguito, "GDPR") e della normativa italiana applicabile in materia di protezione dei dati personali.
1. — Titolare del trattamento
Il Titolare del trattamento dei dati personali è Florens Code S.r.l. (C.F./P.IVA 05771370284), con sede legale in Padova (PD), Via Palestro n. 19 (CAP 35138), in persona del legale rappresentante pro tempore. Per qualunque richiesta in materia di protezione dei dati personali, è possibile contattare il Titolare ai seguenti recapiti: PEC florenscode@pec.it oppure e-mail info@verlio.ai. Il referente designato per il trattamento dei dati è il Sig. Filippo Fiorita.
2. — Tipi di dati trattati
Nello svolgimento del servizio Verlio, il Titolare tratta le seguenti categorie di dati personali dell'utente registrato (di seguito, "Utente"):
a) Dati di registrazione e account: indirizzo e-mail, password (memorizzata esclusivamente in forma cifrata mediante funzione di hash one-way), eventuale identificativo Google OAuth se l'Utente sceglie l'accesso tramite Google, data di registrazione, stato di verifica dell'e-mail, eventuali preferenze di profilo.
b) Dati di navigazione e di sessione: cookie tecnici di autenticazione (token di sessione), indirizzo IP, dati del dispositivo, browser, sistema operativo, data, ora e durata di ciascuna sessione, pagine visitate all'interno della piattaforma. Per il dettaglio si rinvia alla Cookie Policy.
c) Dati di fatturazione e di pagamento: ragione sociale o nome e cognome, P.IVA o codice fiscale, indirizzo di fatturazione, codice destinatario SDI o PEC, dati relativi all'esito dei pagamenti effettuati tramite Stripe Payments Europe Ltd. Il Titolare non archivia direttamente i dati delle carte di credito, che sono trattati esclusivamente da Stripe in qualità di responsabile del trattamento.
d) Contenuti caricati dall'Utente: file audio o video che l'Utente sceglie di caricare per la trascrizione, eventuali documenti di riferimento (slide, dispense, glossari) allegati al singolo lavoro, e le trascrizioni testuali generate. Tali contenuti, ove contengano dati personali di terzi (es. interlocutori dell'Utente registrati nell'audio), sono trattati dal Titolare in qualità di responsabile esterno del trattamento, ai sensi dell'art. 28 GDPR. Per la disciplina specifica si rinvia al Data Processing Agreement (DPA).
e) Dati di utilizzo del servizio: cronologia dei lavori di trascrizione, consumo di crediti, log tecnici relativi all'esito dell'elaborazione, eventuali errori riscontrati durante l'upload o la trascrizione.
f) Dati relativi alle comunicazioni: email transazionali (verifica account, conferma pagamento, completamento trascrizione, recupero password), eventuali ticket di supporto aperti dall'Utente con relativo contenuto delle comunicazioni.
I dati conferiti dall'Utente sono trattati nei limiti strettamente necessari al perseguimento delle finalità di cui al successivo punto 3.
3. — Finalità e base giuridica del trattamento
I dati personali dell'Utente vengono trattati per le seguenti finalità:
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio Verlio (registrazione account, accesso, trascrizione automatica, gestione crediti) | Esecuzione del contratto (art. 6, par. 1, lett. b GDPR) | Per tutta la durata del rapporto contrattuale |
| Adempimento di obblighi legali (fatturazione elettronica, conservazione documenti fiscali) | Obbligo legale (art. 6, par. 1, lett. c GDPR; art. 2220 c.c.) | 10 anni dalla data di emissione del documento fiscale |
| Sicurezza del servizio, prevenzione abusi, contestazione frodi | Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR) | 12 mesi dall'evento, salvo necessità di conservazione superiore per esigenze difensive |
| Risposta a richieste di supporto, gestione reclami | Esecuzione del contratto e legittimo interesse | 24 mesi dalla chiusura del ticket |
| Invio comunicazioni commerciali e newsletter | Consenso facoltativo e revocabile (art. 6, par. 1, lett. a GDPR) | Fino a revoca del consenso, con cancellazione entro 30 giorni |
| Analisi statistiche aggregate sull'utilizzo del servizio (in forma anonima) | Legittimo interesse del Titolare | Indefinitamente, in forma aggregata e non riconducibile all'Utente |
4. — Processi decisionali automatizzati e profilazione
Il servizio Verlio impiega tecnologie di intelligenza artificiale (riconoscimento vocale automatico, diarizzazione, cleanup testuale) per produrre la trascrizione del materiale audio caricato dall'Utente. Tali trattamenti sono operazioni tecniche di elaborazione del contenuto, finalizzate esclusivamente a fornire all'Utente l'output richiesto, e non costituiscono processi decisionali automatizzati con effetti giuridici o significativi sull'Utente, ai sensi dell'art. 22 GDPR. Il Titolare non effettua attività di profilazione dell'Utente né impiega i contenuti caricati per addestrare modelli di intelligenza artificiale.
5. — Destinatari dei dati e sub-responsabili
I dati personali dell'Utente possono essere comunicati a soggetti terzi che operano in qualità di responsabili del trattamento (sub-responsabili), per le finalità di erogazione del servizio. L'elenco aggiornato dei sub-responsabili, con indicazione della loro sede, del paese di ubicazione dei dati e delle eventuali garanzie per il trasferimento extra-UE, è disponibile alla pagina Sub-responsabili del trattamento.
I dati personali dell'Utente non saranno comunicati a terzi al di fuori di quanto qui previsto, salvo i casi in cui tale comunicazione sia richiesta da norma di legge o da provvedimento dell'autorità competente.
6. — Trasferimento dei dati fuori dallo Spazio Economico Europeo (SEE)
Il Titolare ha scelto sub-responsabili che operano prevalentemente all'interno dell'Unione Europea. Per alcune specifiche operazioni tecniche (in particolare l'elaborazione AI ad alte prestazioni e il servizio di cleanup testuale), il Titolare si avvale di provider ubicati negli Stati Uniti d'America. In tali casi, il trasferimento è effettuato in conformità ai presupposti dell'art. 46 GDPR, sulla base di Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea, e — ove applicabile — del Data Privacy Framework UE-USA per i provider aderenti. L'elenco dei provider extra-SEE e le rispettive basi del trasferimento sono dettagliati alla pagina Sub-responsabili del trattamento.
7. — Tempi di conservazione
I dati personali sono conservati secondo i seguenti criteri:
- File audio o video originali caricati dall'Utente: cancellazione automatica dai sistemi del Titolare decorsi 90 giornidalla data di caricamento. L'Utente può comunque richiederne la cancellazione anticipata dalla propria dashboard.
- Trascrizioni testuali: conservate finché l'account dell'Utente rimane attivo. Possono essere cancellate dall'Utente in qualunque momento.
- Documenti di riferimento allegati ai singoli lavori: cancellazione automatica decorsi 90 giorni dal completamento del lavoro.
- Account inattivo: decorsi 12 mesi consecutivi di inattività(assenza di accesso), il Titolare invia all'Utente una comunicazione informativa. Decorsi ulteriori 6 mesidalla comunicazione (18 mesi totali) senza che l'Utente abbia ripreso a utilizzare il servizio, l'account e i relativi dati personali vengono cancellati automaticamente, salvo i dati conservati per obbligo di legge.
- Dati di fatturazione e relativa documentazione fiscale: 10 anni dalla data di emissione, ai sensi dell'art. 2220 c.c.
- Crediti acquistati: non scadono finché l'account rimane attivo.
8. — Diritti dell'interessato
In ogni momento l'Utente può esercitare nei confronti del Titolare i diritti previsti dagli articoli 15-22 del GDPR, e in particolare:
- diritto di accesso ai dati che lo riguardano (art. 15 GDPR);
- diritto di rettifica dei dati inesatti (art. 16 GDPR);
- diritto alla cancellazione dei dati ("diritto all'oblio", art. 17 GDPR);
- diritto alla limitazione del trattamento (art. 18 GDPR);
- diritto alla portabilità dei dati (art. 20 GDPR);
- diritto di opposizione al trattamento (art. 21 GDPR);
- diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR);
- diritto di revocare in qualunque momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato fino a quel momento.
Per esercitare tali diritti l'Utente può scrivere all'indirizzo info@verlio.ai o, in alternativa, alla PEC florenscode@pec.it. Il Titolare si impegna a fornire riscontro entro 30 giorni dalla richiesta, prorogabili di ulteriori 60 giorni in caso di complessità o numerosità delle richieste, dandone preventiva comunicazione all'Utente.
9. — Diritto di reclamo all'Autorità di controllo
L'Utente ha sempre il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali(Piazza Venezia n. 11, 00187 Roma — www.gpdp.it) qualora ritenga che il trattamento effettuato dal Titolare violi la normativa applicabile, ovvero di rivolgersi all'Autorità di controllo dello Stato membro di residenza abituale, di lavoro o del luogo in cui si sia verificata la presunta violazione.
10. — Natura del conferimento dei dati
Il conferimento dei dati personali indicati al punto 2, lettere (a), (c) ed (e), è necessario per la registrazione e l'utilizzo del servizio Verlio: il loro mancato conferimento comporta l'impossibilità per il Titolare di erogare il servizio. Il conferimento dei dati per le finalità di marketing (newsletter, comunicazioni commerciali) è invece facoltativo e subordinato al consenso libero e revocabile dell'Utente.
11. — Modalità del trattamento e misure di sicurezza
Il trattamento dei dati personali avviene mediante strumenti elettronici, con misure di sicurezza adeguate a prevenire la perdita, l'accesso non autorizzato, la divulgazione o la modifica non autorizzata dei dati. In particolare, il Titolare adotta le seguenti misure tecniche e organizzative:
- cifratura dei dati in transito mediante protocollo TLS 1.2 o superiore;
- cifratura dei dati a riposo sui sistemi di storage;
- autenticazione mediante password salvate in forma cifrata one-way (bcrypt);
- controllo degli accessi al sistema mediante autenticazione e profili di autorizzazione;
- conservazione dei dati su infrastrutture ubicate prevalentemente nell'Unione Europea;
- monitoraggio continuo dei sistemi e dei log di sicurezza;
- backup periodici dei dati;
- formazione del personale autorizzato al trattamento.
12. — Modifiche alla presente informativa
La presente informativa potrà essere oggetto di modifiche e aggiornamenti in qualsiasi momento, in particolare per adeguarla a novità normative o organizzative. La data dell'ultima revisione è indicata in cima al documento. Eventuali modifiche sostanziali saranno comunicate all'Utente con preavviso ragionevole tramite e-mail e/o avviso nella dashboard del servizio.