Informativa sulla Privacy
Ultimo aggiornamento: 26 aprile 2026
1. Identità e Dati del Titolare del Trattamento
In conformità con l'articolo 17 della Legge 25.326 e l'articolo 13 del GDPR, si comunica:
| Denominazione | EkamDasha (marchio registrato) |
| Titolare | Diego Sergio Mozzi |
| CUIT | 20-32309122-7 |
| Domicilio | Río Colorado, Provincia di Río Negro, Repubblica Argentina |
| legal@ekamdasha.com | |
| Telefono | +54 9 11 7631 5651 |
| DPO / Responsabile Privacy | In fase di nomina — contatto provvisorio: legal@ekamdasha.com |
| Registrazione AAIP | In fase di registrazione (vedere Sezione 12) |
2. Ambito di Applicazione e Servizi Coperti
La presente Politica copre il trattamento dei dati personali effettuato nel contesto dei seguenti servizi di EkamDasha:
- EkamDasha Shield: API di analisi dei contenuti anti-spam e integrazione con servizi di reputazione degli URL.
- EkamDasha Pass: Gestore di password a conoscenza zero con estensione Chrome.
- Agente Conversazionale EK: Assistente powered by Anthropic (Claude).
- Shield Pubblico: Endpoint di analisi accessibile senza registrazione da utenti anonimi.
- Sito web: ekamdasha.com e sottodomini associati.
La presente Politica si applica sia agli utenti registrati che agli utenti anonimi che utilizzano l'endpoint pubblico o accedono al sito web. Non si applica al trattamento dei dati che i clienti di EkamDasha (che integrano Shield nelle proprie piattaforme) effettuano sui propri utenti finali; in tal caso, tali clienti agiscono come titolari del trattamento e devono stabilire le proprie politiche sulla privacy.
3. Categorie di Dati Trattati, Finalità e Basi Giuridiche
3.1 Dati trattati da Shield (utenti registrati del servizio)
| Categoria di dato | Finalità | Base giuridica GDPR | Base giuridica Legge 25.326 |
|---|---|---|---|
| Contenuto dell'invio (testo, nomi, dati dei moduli) | Analisi di spam e contenuti malevoli | Art. 6.1.b — Contratto | Art. 5 — Relazione contrattuale |
| IP di origine, user-agent, referente, timestamp | Analisi del rischio, prevenzione degli abusi, audit di sicurezza | Art. 6.1.f — Interesse legittimo | Art. 5 — Interesse legittimo |
| URL inclusi nel contenuto | Verifica della reputazione tramite Safe Browsing / VirusTotal | Art. 6.1.f — Interesse legittimo | Art. 5 — Interesse legittimo |
| Dati anonimizzati e aggregati | Miglioramento degli algoritmi di rilevazione | Non applicabile (dati anonimi) | Non applicabile (dati statistici) |
3.2 Shield Pubblico — Utenti anonimi
L'endpoint pubblico (/api/Shield/v1/public/analyze) elabora i dati di utenti che non si sono registrati. Utilizzando questo endpoint, l'utente presta consenso tacito al trattamento dei seguenti dati:
| Categoria di dato | Finalità | Base giuridica |
|---|---|---|
| Contenuto dell'invio | Analisi dello spam | Art. 6.1.f GDPR — Interesse legittimo / Legge 25.326 Art. 5 |
| IP di origine, user-agent, timestamp | Prevenzione degli abusi del servizio e audit | Art. 6.1.f GDPR — Interesse legittimo / Legge 25.326 Art. 5 |
| URL inclusi | Verifica della reputazione | Art. 6.1.f GDPR — Interesse legittimo / Legge 25.326 Art. 5 |
EkamDasha applica il principio di minimizzazione dei dati: non raccoglie dati identificativi aggiuntivi da utenti anonimi al di là dei metadati tecnici necessari per la fornitura del servizio.
3.3 EkamDasha Pass
| Categoria di dato | Finalità | Base giuridica |
|---|---|---|
| Indirizzo email | Identificazione dell'account, notifiche, recupero dell'account | Art. 6.1.b GDPR / Legge 25.326 Art. 5 |
| Data di creazione, stato dell'abbonamento | Gestione dell'accesso e fatturazione | Art. 6.1.b GDPR / Legge 25.326 Art. 5 |
| Metadati del dispositivo e timestamp di sessione | Sicurezza dell'account, rilevazione di accessi non autorizzati | Art. 6.1.f GDPR / Legge 25.326 Art. 5 |
| Dati del vault crittografati (AES-256-GCM) | Archiviazione sicura delle credenziali dell'utente | Art. 6.1.b GDPR / Legge 25.326 Art. 5 |
| Registri di sicurezza (tentativi falliti, avvisi) | Prevenzione delle frodi, protezione dell'account | Art. 6.1.f GDPR / Legge 25.326 Art. 5 |
ARCHITETTURA A CONOSCENZA ZERO — PASS
EkamDasha non ha mai accesso alla password master dell'utente né al contenuto decifrato del vault. I dati del vault archiviati sui server di EkamDasha sono crittograficamente illeggibili per EkamDasha, anche in risposta a richieste giudiziarie o amministrative. EkamDasha non può collaborare al recupero dei dati del vault di cui sia stata smarrita la password master.
3.4 Agente Conversazionale EK
EK è powered by Anthropic (Claude API). I dati trattati variano a seconda della modalità di sessione:
| Dato | Sessione anonima | Sessione autenticata |
|---|---|---|
| IP di origine | Sì — registrato temporaneamente | Sì — registrato in modo persistente |
| Identificazione dell'utente | No | Sì |
| Lingua rilevata | Sì | Sì |
| Testo analizzato | Sì | Sì |
| Messaggi della conversazione | Sì — solo durante la sessione attiva | Sì — cronologia persistente |
| Cronologia recuperabile tra sessioni | No (eliminata alla chiusura/aggiornamento) | Sì (fino alla cancellazione dell'account) |
Base giuridica (sessione anonima): Art. 6.1.f GDPR / Art. 5 Legge 25.326. Base giuridica (sessione autenticata): Art. 6.1.b GDPR / Art. 5 Legge 25.326. Trasferimento ad Anthropic: i messaggi vengono trasmessi all'API di Anthropic senza dati identificativi aggiuntivi dell'utente. Anthropic agisce come responsabile del trattamento conformemente alla sua Politica sulla Privacy e al Data Processing Agreement (DPA).
3.5 Dati di navigazione — Sito web
EkamDasha può raccogliere dati tecnici di navigazione (IP, tipo di browser, pagine visitate, timestamp) attraverso strumenti di analisi web al fine di mantenere e migliorare il sito. Questi dati vengono trattati in forma anonimizzata per quanto possibile. Il sito può utilizzare cookie essenziali per l'autenticazione e la gestione delle sessioni; non vengono utilizzati cookie di tracciamento o pubblicitari.
4. Principi del Trattamento dei Dati
EkamDasha applica i seguenti principi conformemente all'articolo 4 della Legge 25.326 e all'articolo 5 del GDPR:
| Principio | Applicazione concreta in EkamDasha |
|---|---|
| Liceità, correttezza e trasparenza | Tutta la raccolta dei dati ha una base giuridica valida e l'utente è informato tramite la presente Politica. |
| Limitazione della finalità | I dati sono raccolti per finalità determinate, esplicite e legittime; non vengono utilizzati per scopi incompatibili. |
| Minimizzazione dei dati | Vengono raccolti solo i dati strettamente necessari per ciascun servizio. Pass crittografa i dati prima dell'archiviazione; Safe Browsing/VirusTotal ricevono solo gli URL, senza dati utente. |
| Esattezza | L'utente può correggere i propri dati in qualsiasi momento dal pannello dell'account. |
| Limitazione della conservazione | I dati sono conservati per il tempo minimo necessario secondo i termini definiti nella Sezione 5. |
| Integrità e riservatezza | Vengono implementate misure tecniche e organizzative adeguate al rischio (crittografia, controlli di accesso, audit). |
| Responsabilità proattiva (accountability) | EkamDasha documenta le proprie attività di trattamento e designerà un DPO quando applicabile. |
5. Periodi di Conservazione dei Dati
5.1 Shield
| Tipo di dato | Periodo di conservazione | Giustificazione |
|---|---|---|
| Contenuto di invii legittimi | Eliminazione immediata dopo l'analisi | Non più necessari una volta confermata la legittimità. |
| Contenuto marcato come spam | Fino a 6 mesi | Addestramento e miglioramento degli algoritmi. Trascorso il periodo, i dati vengono anonimizzati o eliminati. |
| URL verificati (Safe Browsing/VirusTotal) | Non conservati in EkamDasha | Gli URL vengono trasmessi per verifica in tempo reale e non vengono archiviati nei sistemi di EkamDasha. |
| IP, user-agent, timestamp (registri di connessione) | Fino a 12 mesi | Prevenzione degli abusi, audit di sicurezza, conformità legale. |
| Dati anonimizzati e aggregati | Indefinitamente | Non contenendo identificatori personali, non sono soggetti a termini di conservazione ai sensi del GDPR o della Legge 25.326. |
5.2 Pass
| Tipo di dato | Periodo di conservazione | Giustificazione |
|---|---|---|
| Dati del vault crittografati | Fino alla cancellazione dell'account + 30 giorni | 30 giorni aggiuntivi per consentire il recupero in caso di errore prima della cancellazione permanente. |
| Indirizzo email e dati dell'account | Fino alla cancellazione dell'account + 90 giorni | Gestione della fatturazione e adempimento di obblighi legali. |
| Registri di sicurezza (tentativi di accesso, avvisi) | Fino a 12 mesi | Audit di sicurezza, prevenzione delle frodi e conformità normativa. |
| Statistiche di utilizzo anonimizzate | Indefinitamente | Dati non identificabili; non soggetti a termini di conservazione obbligatori. |
5.3 Agente EK
| Tipo di dato | Periodo di conservazione | Giustificazione |
|---|---|---|
| Conversazioni anonime (messaggi, IP, lingua) | Durata della sessione attiva | Eliminazione automatica alla scadenza della sessione o all'aggiornamento/chiusura della pagina. |
| Conversazioni autenticate (messaggi, IP, identificazione utente) | Fino alla cancellazione dell'account | Conservate per fornire la cronologia delle conversazioni all'utente. Vengono eliminate con l'account. |
| Metadati di connessione EK (IP, timestamp) | Fino a 12 mesi | Prevenzione degli abusi del servizio e audit di sicurezza. |
Trascorsi i periodi indicati, EkamDasha procederà alla cancellazione sicura o all'anonimizzazione dei dati, salvo che esista un obbligo legale di conservazione vigente. In tal caso, EkamDasha conserverà esclusivamente i dati strettamente necessari per adempiere a tale obbligo, in modo limitato e separato dal trattamento ordinario.
6. Trasferimenti Internazionali di Dati
Nell'erogazione dei propri Servizi, EkamDasha può trasferire dati personali verso altri paesi od organizzazioni internazionali. Di seguito sono dettagliati i trasferimenti effettuati e le garanzie applicabili:
| Destinatario | Paese | Dati trasferiti | Garanzia GDPR | Garanzia Legge 25.326 |
|---|---|---|---|---|
| Anthropic PBC | USA | Messaggi di EK (senza identificazione utente) | Art. 46 — DPA / SCC | Garanzie adeguate |
| Google LLC (Safe Browsing) | USA | URL dei contenuti analizzati | Art. 46 — SCC / Quadro UE-USA | Garanzie adeguate |
| VirusTotal (Alphabet/Google) | USA | URL dei contenuti analizzati | Art. 46 — SCC / Quadro UE-USA | Garanzie adeguate |
| MercadoPago S.R.L. | Argentina | Dati di pagamento dell'utente | N/A (paese adeguato) | N/A (operatore locale) |
Le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914) sono incorporate per riferimento nei contratti con i fornitori di servizi negli Stati Uniti. Per consultare il testo di tali clausole o richiedere una copia degli strumenti di garanzia, l'utente può contattare legal@ekamdasha.com.
7. Responsabili del Trattamento (Subprocessori)
EkamDasha impiega i seguenti responsabili del trattamento nell'erogazione dei propri Servizi, soggetti a obblighi contrattuali di riservatezza e sicurezza:
| Subprocessore | Funzione | Dati accessibili | Paese | Certificazione / Garanzia |
|---|---|---|---|---|
| Anthropic PBC | Elaborazione IA per Agente EK | Messaggi di conversazione | USA | DPA aziendale / SCC |
| Google LLC — Safe Browsing | Verifica URL malevoli | URL dei contenuti analizzati | USA | Google Cloud DPA / SCC |
| VirusTotal (Google/Alphabet) | Verifica multi-motore URL | URL dei contenuti analizzati | USA | VirusTotal ToS / SCC |
| Fornitore di infrastruttura (Germania) | Infrastruttura server e database | Tutti i dati a riposo | Germania (UE) | ISO/IEC 27001:2022, BSI C5 Tipo 2, PCI DSS 4.0 |
| MercadoPago S.R.L. | Elaborazione pagamenti | Dati di pagamento dell'utente | Argentina | PCI-DSS |
EkamDasha mantiene un registro aggiornato dei propri subprocessori. In caso di modifiche sostanziali all'elenco, EkamDasha darà preavviso di almeno 30 giorni, concedendo all'utente la possibilità di opporsi a tale modifica.
8. Misure di Sicurezza Tecniche e Organizzative
8.1 Misure tecniche
- Crittografia in transito: TLS 1.2 o superiore per tutte le comunicazioni.
- Crittografia a riposo: I dati del vault di Pass sono archiviati crittografati con AES-256-GCM; le chiavi di crittografia non risiedono mai presso EkamDasha.
- Derivazione della chiave: PBKDF2 con SHA-256 e oltre 600.000 iterazioni per la password master di Pass.
- Autenticazione API: Chiavi API con rotazione periodica e controllo degli accessi.
- Autenticazione a due fattori (2FA): Disponibile e raccomandata per tutti gli utenti registrati.
- Controllo degli accessi: Principio del minimo privilegio nei database e nei sistemi di produzione.
- Registri di audit: Registrazione di accessi, modifiche ed eventi di sicurezza con conservazione di 12 mesi.
- Infrastruttura certificata: Server ospitati in data center certificati ISO/IEC 27001:2022, BSI C5 Tipo 2 e PCI DSS 4.0, situati in Germania.
8.2 Misure organizzative
- Accordi di riservatezza (NDA) con tutti i collaboratori e subappaltatori che accedono a dati personali.
- Procedura documentata di gestione delle violazioni della sicurezza, compresi i termini di notifica.
- Revisioni periodiche della sicurezza e test di penetrazione.
- Politica di gestione delle patch e degli aggiornamenti di sicurezza.
- Formazione periodica in materia di protezione dei dati per il personale di EkamDasha.
8.3 Protocollo di notifica delle violazioni
- Rilevazione e valutazione (0-24 h): Identificazione dell'ambito, delle categorie di dati interessati e del numero stimato di interessati.
- Notifica all'autorità di controllo (max 72 h dalla rilevazione): EkamDasha notificherà all'AAIP (e, se applicabile, all'autorità di controllo SEE competente) ai sensi dell'articolo 43bis della Legge 25.326 e dell'articolo 33 del GDPR.
- Notifica agli interessati: Quando la violazione può comportare un rischio elevato, EkamDasha notificherà direttamente agli interessati con linguaggio chiaro (GDPR Art. 34).
- Particolarità di Pass: Data l'architettura a conoscenza zero, un'eventuale violazione dei server di EkamDasha espone solo dati crittografati illeggibili. Fatto salvo ciò, EkamDasha notificherà secondo la procedura sopra descritta.
9. Diritti degli Interessati
| Diritto | Articoli applicabili | Descrizione | Limitazioni ed eccezioni |
|---|---|---|---|
| Informazione / Accesso | Art. 14 Legge 25.326 / Art. 15 GDPR | Ottenere conferma del trattamento e una copia dei dati. | Può essere limitato se viola diritti di terzi o la sicurezza dei sistemi. |
| Rettifica | Art. 16 Legge 25.326 / Art. 16 GDPR | Correggere dati inesatti o completare dati incompleti. | Non applicabile ai dati del vault di Pass (EkamDasha non può accedervi). |
| Cancellazione / Diritto all'oblio | Art. 16 Legge 25.326 / Art. 17 GDPR | Cancellare i dati quando non più necessari o quando viene revocato il consenso. | Può essere limitato da obblighi legali di conservazione o difesa di rivendicazioni. |
| Portabilità | Art. 20 GDPR (utenti SEE) | Ricevere i dati in formato strutturato e leggibile da dispositivo automatico. | Pass offre l'esportazione del vault crittografato. |
| Opposizione | Art. 27 Legge 25.326 / Art. 21 GDPR | Opporsi al trattamento basato su interesse legittimo o per marketing diretto. | EkamDasha deve dimostrare motivi legittimi imperiosi che prevalgono. |
| Limitazione del trattamento | Art. 18 GDPR (utenti SEE) | Sospendere il trattamento mentre si risolve una controversia sull'accuratezza o liceità. | I dati possono essere conservati ma non elaborati attivamente. |
| Revoca del consenso | Art. 5 Legge 25.326 / Art. 7.3 GDPR | Revocare il consenso in qualsiasi momento senza effetti retroattivi. | Si applica solo ai trattamenti basati sul consenso. |
| Non essere soggetto a decisioni automatizzate | Art. 22 GDPR (utenti SEE) | Non essere soggetto a decisioni con effetti significativi basate esclusivamente su trattamento automatizzato. | L'utente può richiedere revisione umana per le decisioni di blocco di Shield. |
9.1 Procedura per l'esercizio dei diritti
Per esercitare uno qualsiasi dei diritti di cui sopra, l'utente deve inviare una richiesta a info@ekamdasha.com con oggetto "Esercizio dei diritti — [nome del diritto]" indicando:
- Nome completo ed email registrata;
- Descrizione chiara del diritto che intende esercitare;
- In caso di rappresentanza, la relativa procura.
EkamDasha risponderà entro i seguenti termini:
- Legge 25.326: massimo 30 giorni lavorativi;
- GDPR: entro un mese, prorogabile di due mesi aggiuntivi con notifica all'utente entro il primo mese.
Le risposte saranno fornite gratuitamente, salvo richieste manifestamente infondate o eccessive.
9.2 Vie di reclamo
- Argentina: Presentare un reclamo all'Agenzia per l'Accesso all'Informazione Pubblica (AAIP): www.argentina.gob.ar/aaip / datospersonales@aaip.gob.ar.
- Unione Europea / SEE: Presentare un reclamo all'autorità di controllo competente del paese di residenza (GDPR Art. 77). Elenco disponibile su edpb.europa.eu.
10. Cookie e Tecnologie di Tracciamento
10.1 Sito web
| Tipo di cookie | Finalità | Base giuridica | Possibilità di rifiuto |
|---|---|---|---|
| Essenziali / Tecniche | Autenticazione, gestione sessione, sicurezza CSRF | Art. 6.1.b GDPR — Necessari per il contratto | No (necessari per il funzionamento) |
| Analitiche (anonimizzate) | Statistiche di utilizzo del sito, miglioramento dell'esperienza | Art. 6.1.f GDPR — Interesse legittimo | Sì, tramite impostazioni del browser |
| Di preferenze | Ricordare le impostazioni dell'utente (lingua, tema) | Art. 6.1.b GDPR — Contratto | Non raccomandato (influisce sulle funzionalità) |
EkamDasha non utilizza cookie pubblicitari né tracciamento di terze parti per profilazione utenti. Le informazioni dei cookie non vengono condivise con reti pubblicitarie.
10.2 API Shield e Pass
Le API di Shield e Pass non utilizzano cookie. L'autenticazione è gestita tramite token sicuri trasmessi negli header HTTP.
10.3 Estensione Chrome di Pass
L'estensione non utilizza cookie di terze parti. Lo storage locale è limitato al token di sessione crittografato e ai dati di sincronizzazione del vault. Non vengono raccolti dati di navigazione.
11. Minorenni
I Servizi di EkamDasha non sono destinati a minori di 18 anni. EkamDasha non raccoglie consapevolmente dati personali di minori. Se EkamDasha viene a conoscenza di aver raccolto dati di un minore senza il consenso verificabile di un genitore o tutore, provvederà a cancellare tali dati senza indugio. I genitori o tutori che ritengono che i propri figli minori abbiano fornito dati personali possono contattare legal@ekamdasha.com.
Per gli utenti di età compresa tra 13 e 17 anni, è obbligatorio il consenso verificabile del genitore o tutore legale, ai sensi dell'articolo 8 del GDPR e della Legge 26.061 sulla Protezione Integrale dei Diritti delle Bambine, dei Bambini e degli Adolescenti (Argentina).
12. Registrazione dei Database presso l'AAIP
EkamDasha è in fase di registrazione dei seguenti database presso l'AAIP:
| Database | Stato di registrazione | Finalità principale |
|---|---|---|
| Utenti e clienti registrati | In corso | Gestione degli account, fatturazione ed erogazione dei servizi. |
| Conversazioni dell'Agente EK | In corso | Erogazione del servizio di assistenza conversazionale e suo miglioramento. |
| Analisi e registri di Shield | In corso | Rilevazione di spam, contenuti malevoli e prevenzione delle frodi. |
| Registri di sicurezza | In corso | Prevenzione di accessi non autorizzati e audit di sicurezza. |
Una volta ottenuti i numeri di registrazione, saranno pubblicati nella presente Politica e sul sito web di EkamDasha. Fino ad allora, EkamDasha rispetta tutti gli obblighi sostanziali della Legge 25.326.
13. Responsabile della Protezione dei Dati (DPO)
EkamDasha sta valutando se la propria attività di trattamento raggiunga le soglie che richiedono la designazione obbligatoria di un DPO ai sensi del GDPR e delle normative argentine. Fino al completamento di tale valutazione, le domande relative alla protezione dei dati possono essere indirizzate a legal@ekamdasha.com. Una volta designato il DPO, i suoi contatti saranno pubblicati nella presente Politica.
14. Registro delle Attività di Trattamento
In conformità con l'articolo 30 del GDPR, EkamDasha mantiene un registro interno delle attività di trattamento effettuate sotto la propria responsabilità, disponibile per la consultazione da parte delle autorità di controllo competenti. Gli utenti interessati a ottenere informazioni su una specifica attività di trattamento possono richiederlo a legal@ekamdasha.com.
15. Modifiche della presente Politica
EkamDasha può aggiornare la presente Politica in qualsiasi momento. Le modifiche sostanziali saranno notificate mediante:
- Pubblicazione sul sito web con aggiornamento della data "Ultimo aggiornamento";
- Notifica via email agli utenti registrati con almeno 30 giorni di preavviso quando la modifica amplia l'ambito del trattamento o riduce i diritti dell'utente.
Se l'utente non accetta le modifiche, può cancellare il proprio account prima della data di entrata in vigore. L'uso continuato dei Servizi costituirà accettazione tacita della Politica aggiornata. Le modifiche richieste da obblighi legali possono avere effetto immediato.
16. Contatto ed Esercizio dei Diritti
Per qualsiasi domanda sulla presente Politica, per esercitare i propri diritti o per segnalare qualsiasi incidente relativo alla privacy:
- Email (domande generali): legal@ekamdasha.com
- Email (esercizio dei diritti): info@ekamdasha.com
- Oggetto raccomandato: "Esercizio dei diritti — [Diritto richiesto]" o "Domanda sulla privacy"
- Indirizzo postale: Río Colorado, Río Negro, Argentina
- Telefono: +54 9 11 7631 5651
Per gli utenti in Argentina, in caso di mancata risposta soddisfacente, possono rivolgersi all'AAIP: www.argentina.gob.ar/aaip. Per gli utenti nell'UE/SEE, possono rivolgersi all'autorità di controllo del proprio paese di residenza.