Informativa sulla Privacy
NAAI Vocal Assistant
Versione: 1.0 — draft v1, in attesa di revisione legale Ultimo aggiornamento: 2026-05-18
1. Chi siamo
NAAI Vocal Assistant è un servizio operato da NAAI House (di seguito “noi”), software house italiana AI-native. Forniamo un assistente vocale AI che risponde alle chiamate telefoniche di studi medici, veterinari, fisioterapisti, cliniche estetiche e dentistici italiani.
Contatti privacy: [email protected]
2. Ruoli
Quando uno Studio Cliente utilizza NAAI Vocal Assistant per gestire le proprie chiamate, lo Studio è il Titolare del trattamento dei dati dei propri pazienti / clienti. NAAI House è il Responsabile del trattamento ai sensi dell’art. 28 GDPR, sulla base del DPA sottoscritto.
La presente informativa descrive il trattamento svolto da NAAI House sia come Responsabile (su istruzione degli Studi) sia come Titolare (per i visitatori di questo sito e i contatti commerciali).
3. Dati che trattiamo
3.1 Come Responsabile (per conto degli Studi)
- Identificativi del chiamante (nome, telefono)
- Contenuto audio della conversazione
- Trascrizione testuale
- Riassunto e classificazione
- Dati di calendario (data, ora, motivo dell’appuntamento)
- Eventuali dati sanitari riferiti durante la chiamata
3.2 Come Titolare (visitatori sito + lead commerciali)
- Dati di contatto (nome, email, telefono, settore studio)
- Dati di navigazione anonimizzati
- Cookie strettamente necessari (vedi Cookie Policy)
4. Finalità e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Gestione chiamate entranti dello Studio | Contratto con lo Studio (art. 6.1.b) + esecuzione obblighi sanitari (art. 6.1.c, 9.2.h) |
| Trascrizione e classificazione | Esecuzione contratto (art. 6.1.b) |
| Documentazione sanitaria (audio clinico, 7 anni) | Obbligo legale (art. 6.1.c) + Codice Deontologico Medico |
| Risposta a richieste commerciali dal sito | Misure precontrattuali (art. 6.1.b) |
| Fatturazione e adempimenti fiscali | Obbligo legale (art. 6.1.c) |
| Miglioramento del Servizio (analytics aggregati anonimi) | Legittimo interesse (art. 6.1.f) |
Nota: NON utilizziamo dati audio o trascrizioni per addestrare modelli AI di terzi o nostri. OpenAI e Anthropic, come sub-responsabili, sono contrattualmente vincolati a non riutilizzare i dati per training (API tier).
5. Sub-responsabili e trasferimenti
L’elenco completo dei sub-responsabili è nel DPA. I principali:
- Twilio Italy (IT) — telefonia
- Supabase (EU, Irlanda) — database
- Cloudflare R2 (EU) — storage audio
- Fly.io (Amsterdam) — hosting
- OpenAI (USA) — voice AI (SCC + misure supplementari)
- Anthropic (USA) — riassunto post-chiamata (SCC + misure supplementari)
- Google (USA) — Calendar API, opzionale (SCC)
- ElevenLabs (USA) — voce premium tier Enterprise, opt-in (SCC)
I trasferimenti extra-UE avvengono sulla base di Standard Contractual Clauses (Decisione UE 2021/914) e misure supplementari (cifratura, accesso limitato).
6. Conservazione
| Dato | Periodo |
|---|---|
| Audio non clinico | 90 giorni |
| Audio classificato come clinico | 7 anni (Codice Deontologico IT) |
| Trascrizioni testuali | 30 giorni |
| Riassunti, metadati, appuntamenti | Durata contratto + 12 mesi |
| Dati lead commerciali (sito) | 24 mesi dall’ultimo contatto |
| Dati fatturazione | 10 anni (obblighi fiscali) |
7. Disclosure GDPR all’inizio della chiamata
Ogni chiamata gestita da NAAI Vocal inizia con una disclosure orale automatica che informa il chiamante della registrazione, della retention e della finalità. Il chiamante può rifiutare e richiedere di parlare con personale umano.
8. Diritti dell’interessato
L’interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR:
- Accesso ai propri dati
- Rettifica
- Cancellazione (“diritto all’oblio”)
- Limitazione del trattamento
- Portabilità
- Opposizione
Come esercitarli:
- Se sei un paziente / cliente di uno Studio che usa NAAI Vocal: contatta direttamente lo Studio (Titolare).
- Per richieste relative a NAAI House come Titolare (sito, lead commerciali): [email protected].
Reclami: hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
9. Sicurezza
Adottiamo misure tecniche e organizzative adeguate: cifratura TLS in transito, cifratura at-rest, Row-Level Security multi-tenant, accesso limitato (least privilege), audit log, backup giornalieri, notifica data breach entro 24h.
10. Modifiche
Aggiorneremo questa informativa quando necessario. La versione vigente è sempre disponibile su https://vocal.naaihouse.space/privacy. Modifiche sostanziali saranno comunicate agli Studi Clienti con preavviso di 30 giorni.
11. Contatti
Titolare del trattamento (per visitatori del sito): NAAI House Email privacy: [email protected] DPO: non designato (parametri art. 37 GDPR non soddisfatti; valutazione annuale)
Versione 1.0 — 2026-05-18. Documento in attesa di revisione legale finale.