AI Policy

AI Policy

Ultimo Aggiornamento:11.07.2026

Politica per l’utilizzo responsabile dell’Intelligenza Artificiale

1. Premessa e finalità

PrivacyRise utilizza strumenti di intelligenza artificiale (IA) a supporto delle proprie attività di consulenza in materia di cybersecurity, privacy, intelligenza artificiale, data governance e accessibilità. La presente AI Policy descrive, con linguaggio chiaro, semplice ed esaustivo, quali sistemi di IA impieghiamo, per quali finalità, con quali garanzie e con quali misure di mitigazione dei rischi. Il documento è redatto in conformità al Regolamento (UE) 2024/1689 («AI Act»), alla Legge 23 settembre 2025, n. 132 («Legge italiana sull’intelligenza artificiale») e al Regolamento (UE) 2016/679 («GDPR»), e si ispira ai requisiti dello standard ISO/IEC 42001:2023 per i sistemi di gestione dell’intelligenza artificiale (AIMS).

La pubblicazione di questa policy assolve inoltre all’obbligo informativo previsto dall’art. 13, comma 2, della Legge 132/2025, secondo cui le informazioni relative ai sistemi di intelligenza artificiale utilizzati dal professionista sono comunicate al destinatario della prestazione intellettuale con linguaggio chiaro, semplice ed esaustivo, al fine di preservare il rapporto fiduciario tra professionista e cliente.

2. Ambito di applicazione e ruolo di PrivacyRise

La policy si applica a tutto il personale, ai collaboratori e ai consulenti di PrivacyRise che utilizzano strumenti di IA per conto dell’organizzazione, nonché a tutti gli strumenti censiti nel registro di cui alla sezione 9. Ai sensi dell’art. 3, punto 4), dell’AI Act, PrivacyRise opera esclusivamente come deployer (utilizzatore) di sistemi di IA forniti da terze parti: non sviluppa, non immette sul mercato e non mette in servizio sistemi di IA con il proprio nome o marchio, e non ricade pertanto negli obblighi previsti per i fornitori.

L’utilizzo dell’IA in PrivacyRise avviene, ai sensi dell’art. 13, comma 1, della Legge 132/2025, esclusivamente per attività strumentali e di supporto all’attività professionale, con prevalenza del lavoro intellettuale oggetto della prestazione d’opera: ogni deliverable consegnato ai clienti è il risultato del giudizio professionale, della verifica e della responsabilità dei nostri consulenti.

3. Quadro normativo di riferimento

La presente policy attua e richiama, in particolare: il Regolamento (UE) 2024/1689 (AI Act), con specifico riferimento all’art. 4 (alfabetizzazione in materia di IA), all’art. 5 (pratiche vietate), all’Allegato III (sistemi ad alto rischio) e all’art. 50 (obblighi di trasparenza per fornitori e deployer); la Legge 132/2025, con riferimento agli artt. 1 e 3 (finalità e principi generali), 11 (uso dell’IA in materia di lavoro), 13 (professioni intellettuali), 25 (diritto d’autore) e 26 (disposizioni penali); il GDPR e il d.lgs. 196/2003 per il trattamento dei dati personali; lo standard ISO/IEC 42001:2023 quale riferimento volontario di sistema di gestione; il NIST AI Risk Management Framework e i Principi OCSE sull’IA quali framework complementari di gestione del rischio.

4. Principi generali

In coerenza con l’art. 3 della Legge 132/2025 e con l’approccio antropocentrico dell’AI Act, PrivacyRise adotta i seguenti principi vincolanti: centralità e sorveglianza umana (ogni output di IA è rivisto, validato e approvato da una persona competente prima di produrre effetti verso clienti o terzi); trasparenza (dichiariamo l’uso dell’IA nei confronti di clienti e pubblico secondo le modalità della presente policy); proporzionalità e minimizzazione (utilizziamo l’IA solo quando apporta un beneficio effettivo e limitiamo i dati conferiti allo stretto necessario); sicurezza e riservatezza (la cybersicurezza è garantita lungo tutto il ciclo di vita dei sistemi utilizzati, come richiesto dall’art. 3, comma 6, della Legge 132/2025); non discriminazione e accuratezza; responsabilità (la responsabilità dei contenuti e delle decisioni resta sempre in capo a PrivacyRise e mai delegata al sistema di IA).

5. Classificazione del rischio degli usi di IA

PrivacyRise ha mappato i propri casi d’uso rispetto alla piramide di rischio dell’AI Act. Non è consentito, in nessun caso, l’utilizzo di sistemi o funzionalità che integrino le pratiche vietate dall’art. 5 dell’AI Act (tra cui manipolazione subliminale, social scoring, riconoscimento delle emozioni sul luogo di lavoro, scraping non mirato di immagini facciali). PrivacyRise non impiega inoltre sistemi di IA per alcuna delle finalità ad alto rischio elencate nell’Allegato III e in particolare, è espressamente vietato l’uso di IA per la selezione, la valutazione, il monitoraggio o qualsiasi decisione relativa a candidati, lavoratori o collaboratori, nonché per la valutazione dell’affidabilità di persone fisiche.

Tutti gli strumenti censiti nella sezione 9 rientrano nelle categorie a rischio limitato (sistemi di IA per finalità generali destinati a interagire con persone o a generare contenuti, soggetti agli obblighi di trasparenza dell’art. 50) o a rischio minimo (funzionalità accessorie di produttività). Per ciascuno strumento è comunque condotta la valutazione del rischio operativo documentata nella medesima sezione, secondo una scala qualitativa (Basso / Medio / Alto) che considera: natura dei dati trattati, riutilizzo degli input da parte del fornitore, accuratezza attesa degli output, esposizione verso terzi e maturità di conformità del fornitore.

6. Trasparenza verso clienti e pubblico

In attuazione dell’art. 50 dell’AI Act e dell’art. 13 della Legge 132/2025, PrivacyRise applica le seguenti regole. I testi pubblicati per informare il pubblico (articoli, approfondimenti normativi, newsletter) che siano stati elaborati con l’ausilio di IA sono sempre sottoposti a un processo di revisione umana e di controllo editoriale, con responsabilità editoriale in capo a PrivacyRise, secondo quanto previsto dall’art. 50, paragrafo 4, secondo comma, dell’AI Act. Le immagini e i contenuti audiovisivi generati o modificati in modo sostanziale con IA sono identificati come tali quando il contesto non lo renda evidente. Qualora vengano impiegati assistenti conversazionali basati su IA rivolti a utenti esterni, gli utenti sono informati in modo chiaro di interagire con un sistema di IA al più tardi al momento della prima interazione.

7. Alfabetizzazione e formazione (AI Literacy)

Ai sensi dell’art. 4 dell’AI Act, PrivacyRise garantisce un livello sufficiente di alfabetizzazione in materia di IA del proprio personale e di chiunque utilizzi sistemi di IA per suo conto, tenendo conto delle conoscenze tecniche, dell’esperienza e del contesto d’uso. Il programma formativo interno copre il funzionamento e i limiti dei modelli generativi (allucinazioni, bias, obsolescenza informativa), regole di conferimento dei dati, obblighi di trasparenza, revisione critica degli output e procedure di segnalazione degli incidenti. La formazione è erogata in fase di onboarding e aggiornata periodicamente.

8. Governance, dati e supervisione umana

PrivacyRise mantiene un registro degli strumenti di IA autorizzati (sezione 9) e l’utilizzo di strumenti non censiti («shadow AI») non è consentito e ogni nuovo strumento è soggetto a valutazione preventiva (due diligence su fornitore, sicurezza, termini d’uso dei dati e trasferimenti extra-UE) prima dell’adozione. Nel conferimento di dati agli strumenti di IA valgono le seguenti regole:

A) E’ vietato inserire dati personali di clienti o terzi, informazioni coperte da accordi di riservatezza, segreti commerciali o documenti di clienti negli strumenti privi di adeguate garanzie contrattuali (DPA ex art. 28 GDPR, esclusione dell’uso degli input per l’addestramento);

B) I dati particolari ex art. 9 GDPR non sono in alcun caso conferiti a sistemi di IA generativa

C) Ogni output rilevante è verificato da un professionista prima dell’uso, con particolare riguardo ai riferimenti normativi, che sono sempre riscontrati sulle fonti ufficiali (EUR-Lex, Normattiva). Eventuali malfunzionamenti, output dannosi o incidenti di sicurezza legati all’IA sono segnalati internamente al referente AI Officer Lorenzo Ghini (lorenzo.ghini@privacyrise.pro) e gestiti secondo la procedura di incident management aziendale.

In coerenza con l’art. 11 della Legge 132/2025, l’uso dell’IA in ambito lavorativo è sicuro, affidabile e trasparente e il personale è informato degli strumenti adottati; qualora fossero introdotti sistemi decisionali o di monitoraggio automatizzati, verrebbe resa l’informativa di cui all’art. 1-bis del d.lgs. 152/1997.

9. Registro degli strumenti di IA: descrizione, valutazione del rischio e mitigazioni

Di seguito il registro pubblico degli strumenti in uso presso PrivacyRise, con la descrizione delle funzionalità di IA integrate (come documentate dai rispettivi fornitori), la valutazione del rischio e la strategia di mitigazione adottata. Il registro è riesaminato almeno annualmente e a ogni variazione significativa. PrivacyRise ha un livello di tolleranza al rischio medio / basso.

StrumentoFornitoreCasi d’uso aziendaliClassificazione AI ActRischio residuo
ChatGPT BusinessOpenAIProduttività, processi, controllo qualità, marketing e venditeGPAI | rischio limitato (art. 50)Basso
Claude ProAnthropicProduttività, processi, controllo qualità, marketing e venditeGPAI | rischio limitato (art. 50)Basso
CanvaCanva Pty LtdWhite paper, ebook, presentazioni, brochure, immaginiFunzionalità generative | rischio limitatoBasso
GeminiGoogleGrafici da fogli di calcolo, revisione testi, video, AI note takingGPAI | rischio limitato (art. 50)Medio / basso
WordPress 7.0WordPress.org (open source)CMS dei siti webInfrastruttura IA opzionale | rischio minimoBasso
Google Workspace Business StandardGoogleArchivio documentale e integrazione GeminiGPAI integrata | rischio limitatoBasso
BrevoBrevo (Sendinblue SAS)CRM e gestione dei contattiFunzionalità IA integrate | rischio limitatoMedio / basso
StreamYardStreamYard (Bending Spoons)Eventi in streaming registrati o liveFunzionalità IA accessorie | rischio minimoMedio / basso
LinkedInLinkedIn (Microsoft)Marketing aziendaleFunzionalità generative | rischio limitato (art. 50)Basso

9.1 ChatGPT Business (OpenAI)

Funzionalità di IA e casi d’uso. Assistente conversazionale basato su modelli di IA per finalità generali (GPAI), utilizzato per aumento della produttività, miglioramento dei processi, controllo qualità dei contenuti e supporto alle attività di marketing e vendite (bozze, sintesi, analisi, revisione documentale).

Sicurezza e conformità del fornitore. Il portale trust di OpenAI documenta certificazioni SOC 2 Type 2, ISO/IEC 27001:2022, 27017, 27018, 27701 e ISO/IEC 42001:2023 (sistema di gestione dell’IA), oltre a CSA STAR, programma di bug bounty, DPA ed elenco dei subfornitori.

Per i piani business i dati dei clienti non sono utilizzati per addestrare i modelli per impostazione predefinita e sono disponibili controlli amministrativi di workspace.

Valutazione del rischio. I rischi principali sono inesattezza degli output (allucinazioni, riferimenti normativi errati), conferimento improprio di dati personali o riservati, dipendenza da fornitore extra-UE con trasferimento di dati. Il rischio residuo è Basso, in presenza delle mitigazioni adottate.

Strategia di mitigazione. Uso esclusivo del piano Business con DPA sottoscritto e addestramento sui dati disattivato; divieto di inserimento di dati personali di clienti, dati particolari e informazioni riservate non necessarie; revisione umana obbligatoria di ogni output e verifica dei riferimenti normativi su fonti ufficiali; gestione centralizzata degli accessi con autenticazione a più fattori; formazione periodica del personale ex art. 4 AI Act.

9.2 Claude Pro (Anthropic)

Funzionalità di IA e casi d’uso. Assistente conversazionale GPAI impiegato per aumento della produttività, miglioramento dei processi, controllo qualità e supporto a marketing e vendite, con particolare utilizzo per l’analisi di documenti normativi complessi e la redazione assistita di deliverable, sempre sotto supervisione professionale.

Sicurezza e conformità del fornitore. Anthropic dichiara nel proprio Trust Center le certificazioni SOC 2 Type I e Type II, ISO 27001:2022 e ISO/IEC 42001:2023 per il sistema di gestione dell’IA, oltre a configurazioni HIPAA-ready. Per impostazione predefinita i dati conferiti nell’ambito dei termini commerciali non sono utilizzati per l’addestramento dei modelli.

Valutazione del rischio. I rischi principali sono analoghi a quelli degli assistenti GPAI come accuratezza degli output, riservatezza degli input, trasferimenti extra-UE. Il rischio residuo è Basso.

Strategia di mitigazione. Applicazione delle stesse regole di conferimento dati previste per tutti gli assistenti generativi (sezione 8); revisione umana sistematica; separazione dei contesti di lavoro per cliente; verifica periodica delle condizioni contrattuali e della documentazione di conformità del fornitore; aggiornamento del registro a ogni modifica sostanziale del servizio.

9.3 Canva

Funzionalità di IA e casi d’uso. Piattaforma di progettazione grafica utilizzata per creare white paper, ebook, presentazioni, brochure e immagini. Integra funzionalità generative (suite Magic Studio: generazione e riscrittura di testi, generazione e modifica di immagini) che si avvalgono di subfornitori di IA dichiarati nel portale trust, tra cui OpenAI, Google e Black Forest Labs.

Sicurezza e conformità del fornitore. Il Trust & Security Portal di Canva documenta SOC 2 Type 2, ISO/IEC 27001, PCI DSS, adesione all’EU-US Data Privacy Framework, conformità GDPR e una sezione dedicata ad AI Security, AI Monitoring e AI Governance, oltre a DPA ed elenco pubblico dei subfornitori.

Valutazione del rischio. I rischi principali sono la titolarità e originalità dei contenuti generati, la possibile somiglianza con opere protette, il coinvolgimento di subfornitori extra-UE per le funzioni generative e il caricamento di immagini contenenti dati personali. Il rischio residuo è Basso.

Strategia di mitigazione. Divieto di generare immagini raffiguranti persone reali identificabili; verifica dei diritti d’uso dei contenuti prima della pubblicazione; nessun caricamento di fotografie di terzi nelle funzioni di editing generativo senza base giuridica; identificazione delle immagini interamente generate con IA ove il contesto lo richieda (art. 50 AI Act); revisione grafica ed editoriale umana su ogni materiale destinato ai clienti.

9.4 Gemini (Google)

Funzionalità di IA e casi d’uso. Modello GPAI di Google integrato nell’ecosistema Workspace, utilizzato per la creazione di grafici a partire da fogli di calcolo, il miglioramento di testi, la creazione di video e l’AI note taking (verbalizzazione automatica delle riunioni).

Sicurezza e conformità del fornitore. Google ha annunciato l’adesione al Codice di buone pratiche per i modelli GPAI previsto dall’AI Act e documenta nel Cloud Compliance Center la certificazione ISO/IEC 42001 per il proprio AI Management System, oltre a SOC 1/2/3 e alla famiglia ISO 27001/27701/27017/27018. Per i clienti Workspace vige la «Training Restriction»: i prompt e i contenuti dei clienti non sono utilizzati per addestrare i modelli al di fuori del dominio del cliente senza autorizzazione, con controlli DLP, data region europee e difese contro la prompt injection.

Valutazione del rischio. I rischi principali sono l’AI note taking che comporta il trattamento di dati personali dei partecipanti alle riunioni (voce, opinioni, dati identificativi); l’accuratezza delle sintesi automatiche; l’accesso del modello a documenti riservati archiviati in Drive. Il rischio residuo è Medio / basso, principalmente per la componente di verbalizzazione.

Strategia di mitigazione. Informazione preventiva di tutti i partecipanti alle riunioni sull’attivazione della registrazione o della verbalizzazione automatica, con possibilità di opporsi; revisione umana dei verbali prima della condivisione; per ridurre il rischio di accesso non necessario a dati aziendali e informazioni dei clienti, PrivacyRise ha disabilitato a livello amministrativo l’integrazione tra la Gemini app e i servizi Google Workspace; verifica dell’accuratezza dei grafici e dei testi generati prima dell’uso professionale.

9.5 WordPress 7.0

Funzionalità di IA e casi d’uso. CMS open source utilizzato per i siti web aziendali. Dalla versione 7.0 «Armstrong» (maggio 2026) WordPress integra un’infrastruttura IA nativa: AI Client (interfaccia provider-agnostic verso i modelli), Abilities API (perimetrazione di ciò che l’IA può fare nell’installazione) e schermata Connectors per collegare provider come OpenAI, Anthropic e Google tramite chiavi API. Le funzionalità IA sono opzionali e disattivate per impostazione predefinita.

Sicurezza e conformità del fornitore. Trattandosi di software open source, la sicurezza dipende dalla configurazione dell’installazione: l’architettura 7.0 centralizza la gestione dei provider IA e delle autorizzazioni, riducendo la frammentazione dei plugin e migliorando il controllo amministrativo.

Valutazione del rischio. Rischi principali: gestione delle chiavi API dei provider IA; permessi di scrittura concessi a funzionalità IA di plugin; supply chain dei plugin di terze parti. Rischio residuo: Basso.

Strategia di mitigazione. Attivazione dei connettori IA solo previa autorizzazione del AI Officer Lorenzo Ghini; custodia sicura delle chiavi API con rotazione periodica; principio del minimo privilegio nelle Abilities concesse ai plugin; vetting preventivo dei plugin IA; aggiornamenti tempestivi di core e plugin; backup e ambienti di staging per i test.

9.6 Google Workspace Business Standard

Funzionalità di IA e casi d’uso. Suite utilizzata per la gestione dell’archivio documentale aziendale e come piattaforma di integrazione delle funzionalità Gemini (sezione 9.4) in Gmail, Documenti, Fogli, Drive e Meet.

Sicurezza e conformità del fornitore. Ai sensi dei Google Workspace Service Specific Terms, i prompt degli utenti sono dati del cliente ai sensi del Cloud Data Processing Addendum e non sono utilizzati per l’addestramento dei modelli senza autorizzazione; le interazioni con Gemini restano all’interno dell’organizzazione, con applicazione automatica dei controlli esistenti (DLP, data regions, IRM) e certificazioni SOC 1/2/3, ISO 27001, 27701, 27017, 27018 e ISO/IEC 42001.

Valutazione del rischio. Rischi principali: ampiezza dell’accesso potenziale dell’IA al patrimonio documentale, inclusi documenti riservati dei clienti; configurazioni amministrative non allineate. Rischio residuo: Basso.

Strategia di mitigazione. Per ridurre il rischio di accesso non necessario a dati aziendali e informazioni dei clienti, PrivacyRise ha disabilitato a livello amministrativo l’integrazione tra la Gemini app e i servizi Google Workspace. Di conseguenza, gli utenti non possono utilizzare la Gemini app per ricercare, richiamare o analizzare direttamente contenuti presenti in Google Drive, Docs, Gmail, Calendar e Google Chat; controlli di accesso basati sui ruoli e revisione periodica dei permessi di condivisione; amministrazione centralizzata delle funzioni Gemini per unità organizzativa; logging ed export delle attività per finalità di audit.

9.7 Brevo

Funzionalità di IA e casi d’uso. Piattaforma CRM utilizzata per la gestione dei contatti e delle comunicazioni. Le funzionalità IA (assistente Aura) includono generazione di testi e oggetti email, segmentazione assistita delle audience, ottimizzazione dell’orario di invio basata sui comportamenti di apertura, arricchimento dei contatti e sintesi delle conversazioni. Il fornitore è europeo e dichiara lo sviluppo dei propri agenti IA su server nell’Unione europea in conformità al GDPR.

Sicurezza e conformità del fornitore. Brevo documenta le funzionalità IA sul sito ufficiale e opera come società europea (Francia) con infrastruttura UE per le componenti IA sviluppate internamente, riducendo il ricorso a trasferimenti extra-UE.

Valutazione del rischio. Rischi principali: le funzioni di ottimizzazione e segmentazione comportano forme leggere di profilazione dei contatti (analisi dei comportamenti di apertura e interazione), che richiedono trasparenza verso gli interessati; accuratezza dell’arricchimento automatico dei dati di contatto. Rischio residuo: Basso/Medio.

Strategia di mitigazione. Aggiornamento dell’informativa privacy marketing con indicazione delle logiche di personalizzazione e dei diritti degli interessati; valutazione della base giuridica (legittimo interesse con test di bilanciamento o consenso) per le funzioni di ottimizzazione comportamentale; verifica umana dei segmenti generati automaticamente prima delle campagne; divieto di inserire dati particolari nel CRM; DPA con il fornitore e igiene periodica della base dati.

9.8 StreamYard

Funzionalità di IA e casi d’uso. Piattaforma browser-based per la gestione di eventi in streaming, registrati o live (webinar, dirette LinkedIn/YouTube). Include funzionalità IA accessorie come la generazione automatica di clip dai contenuti registrati.

Sicurezza e conformità del fornitore. StreamYard dichiara le certificazioni ISO/IEC 27001 e ISO/IEC 27701 (privacy information management), infrastruttura su Google Cloud, cifratura TLS/DTLS dei flussi audio-video, cifratura at rest, penetration test annuali, DPA con clausole contrattuali standard per i trasferimenti ed elenco dei subfornitori.

Valutazione del rischio. Rischi principali: le registrazioni contengono dati personali dei relatori e dei partecipanti (immagine, voce, opinioni); i flussi vengono decifrati sui server del fornitore per il mixing; trattamenti IA su contenuti registrati; trasferimenti extra-UE. Rischio residuo: Basso/Medio.

Strategia di mitigazione. Informativa privacy resa a relatori e partecipanti prima di ogni evento, con indicazione della registrazione e dei successivi trattamenti; raccolta del consenso dei relatori ospiti; revisione umana delle clip generate automaticamente prima della pubblicazione; DPA con SCC; minimizzazione dei dati raccolti in fase di iscrizione agli eventi.

9.9 LinkedIn

Funzionalità di IA e casi d’uso. Piattaforma utilizzata per il marketing aziendale (pagina aziendale, contenuti tecnici, networking professionale). LinkedIn integra funzionalità IA quali l’assistente di scrittura per post e profili, suggerimenti per le campagne e strumenti IA per il recruiting (questi ultimi non utilizzati da PrivacyRise).

Sicurezza e conformità del fornitore. LinkedIn (gruppo Microsoft) documenta le proprie funzionalità AI-powered sulle pagine ufficiali e applica un’infrastruttura di IA responsabile alle funzioni della piattaforma.

Valutazione del rischio. Rischi principali: pubblicazione di contenuti generati con IA privi di adeguata revisione, con impatti reputazionali e sugli obblighi di trasparenza; uso improprio degli strumenti di recruiting IA, che ricadrebbero nei casi d’uso ad alto rischio dell’Allegato III AI Act. Rischio residuo: Basso.

Strategia di mitigazione. Ogni contenuto pubblicato è sottoposto a revisione e responsabilità editoriale di PrivacyRise (art. 50, par. 4, AI Act); l’assistente di scrittura è impiegato solo come supporto redazionale, con controllo del tono e verifica dei contenuti tecnici; divieto assoluto di utilizzo delle funzionalità IA di LinkedIn per selezione, screening o valutazione di candidati; gestione degli accessi alla pagina aziendale limitata al personale autorizzato.

10. Proprietà intellettuale e contenuti generati

Ai sensi dell’art. 25 della Legge 132/2025, che ha modificato la legge 633/1941, le opere dell’ingegno umano create con l’ausilio di strumenti di intelligenza artificiale sono protette dal diritto d’autore purché costituiscano risultato del lavoro intellettuale dell’autore. PrivacyRise impiega l’IA come strumento di supporto alla creazione, garantendo che ogni contenuto pubblicato o consegnato incorpori un apporto creativo e professionale umano prevalente. Prima della pubblicazione verifichiamo che i contenuti generati non riproducano opere protette di terzi e rispettiamo i termini di licenza dei fornitori sugli output.

11. Protezione dei dati personali

L’utilizzo degli strumenti di IA avviene nel rispetto del GDPR: per ciascun fornitore che tratta dati personali per nostro conto è sottoscritto un accordo sul trattamento ex art. 28 GDPR; i trasferimenti extra-UE sono assistiti da garanzie adeguate (decisioni di adeguatezza, EU-US Data Privacy Framework o clausole contrattuali standard); le informative privacy verso clienti, contatti e partecipanti agli eventi indicano gli eventuali trattamenti che coinvolgono sistemi di IA; è applicato il principio di minimizzazione e, ove il trattamento possa presentare un rischio elevato, è condotta una valutazione d’impatto ex art. 35 GDPR. Nessuna decisione produttiva di effetti giuridici sugli interessati è basata unicamente su trattamenti automatizzati.

12. Riesame, aggiornamento e contatti

La presente policy è riesaminata almeno una volta l’anno e in occasione di ogni modifica normativa rilevante (inclusi gli sviluppi del pacchetto Digital Omnibus, le cui date restano allo stato proposte legislative non ancora in vigore), di ogni variazione dell’inventario degli strumenti o di incidenti significativi. Il registro degli strumenti e le valutazioni del rischio sono mantenuti aggiornati dal AI Officer di PrivacyRise Lorenzo Ghini. Per domande su questa policy o sull’uso dell’IA nei nostri servizi è possibile contattarci tramite i canali indicati sul sito web aziendale.

Documento redatto in conformità al Regolamento (UE) 2024/1689, alla Legge 23 settembre 2025, n. 132, al Regolamento (UE) 2016/679 e con riferimento allo standard ISO/IEC 42001:2023.

Pronti a fare il prossimo passo? Raccontaci il tuo progetto. ➜

La tua sottoscrizione non può essere convalidata.
La tua richiesta è stata inviata con successo.
Il campo SMS deve contenere tra i 6 e i 19 caratteri e includere il prefisso del paese senza usare +/0 (es. 39xxxxxxxxxx per l'Italia)
?