La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (“Codice Privacy”), e descrive le modalità con cui KOINAI Srl tratta i dati personali nell’ambito della propria piattaforma SaaS di customer care basata su intelligenza artificiale (la “Piattaforma”).

L’informativa è strutturata per riflettere il duplice ruolo di KOINAI nel trattamento dei dati: Titolare del Trattamento per i dati dei propri Clienti diretti, Responsabile del Trattamento per i dati degli utenti finali (“End-User”) trattati per conto dei Clienti. Tale distinzione è descritta in dettaglio alla Sezione 2.

1. Identità del Titolare del Trattamento e dati di contatto

Il Titolare del Trattamento dei dati personali oggetto della presente informativa è:

KOINAI non ha nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell’art. 37 GDPR, non ricorrendo le condizioni di obbligatorietà previste dalla norma. Le richieste relative al trattamento dei dati personali e all’esercizio dei diritti dell’Interessato vanno indirizzate ai contatti privacy sopra indicati.

2. Ruolo di KOINAI: Titolare e Responsabile del Trattamento

La Piattaforma comporta due categorie di trattamento dati con regimi giuridici distinti, che determinano obblighi e basi giuridiche differenti. È importante che l’Interessato comprenda quale ruolo riveste KOINAI rispetto al trattamento che lo riguarda.

2.1 KOINAI quale Titolare del Trattamento

KOINAI agisce in qualità di Titolare del Trattamento (Controller ex art. 4 n. 7 GDPR) per i dati personali dei propri Clienti diretti, ossia: persone fisiche che operano in nome e per conto di società o enti che hanno sottoscritto un contratto per l’utilizzo della Piattaforma (“Clienti”), nonché persone fisiche che richiedono informazioni commerciali, demo, contenuti di marketing o assistenza pre-vendita (“Prospect”).

Per tali soggetti, KOINAI determina autonomamente le finalità e le modalità del trattamento. La presente informativa, nelle sezioni applicabili, illustra in modo trasparente tali trattamenti.

2.2 KOINAI quale Responsabile del Trattamento

KOINAI agisce in qualità di Responsabile del Trattamento (Processor ex art. 4 n. 8 e art. 28 GDPR) per i dati personali degli End-User, ossia: i clienti, prospect, utenti, interlocutori e qualunque altro soggetto terzo i cui dati personali siano gestiti dai Clienti tramite la Piattaforma (a titolo esemplificativo: persone che inviano un messaggio WhatsApp o un’email al Cliente, contatti presenti nel CRM del Cliente, partecipanti a chiamate di vendita registrate dal Cliente).

Per i dati degli End-User, il Cliente di KOINAI è il Titolare del Trattamento e KOINAI tratta tali dati esclusivamente sulla base delle istruzioni documentate del Cliente, secondo quanto previsto da uno specifico Accordo sul Trattamento dei Dati (Data Processing Agreement, “DPA”) sottoscritto tra KOINAI e ciascun Cliente.

Le richieste di esercizio dei diritti da parte degli End-User devono essere indirizzate al Cliente che riveste il ruolo di Titolare. KOINAI fornirà al Cliente la collaborazione necessaria all’evasione di tali richieste, come previsto dall’art. 28, par. 3, lett. e) GDPR.

3. Categorie di dati personali trattati

3.1 Dati relativi ai Clienti (KOINAI quale Titolare)

Nell’ambito dell’erogazione della Piattaforma e della gestione del rapporto contrattuale con i Clienti, KOINAI tratta le seguenti categorie di dati personali:

• Dati identificativi e di contatto: nome, cognome, indirizzo email lavorativa, ruolo aziendale, eventuale numero di telefono di contatto.
• Dati di autenticazione: credenziali gestite tramite il servizio Supabase Auth (email, password protetta da hashing argon2, eventuale autenticazione a due fattori), timestamp dell’ultimo accesso.
• Dati di fatturazione: ragione sociale, partita IVA, codice fiscale, indirizzo della sede legale, eventuale codice destinatario per fatturazione elettronica, dati relativi ai pagamenti.
• Dati di utilizzo della Piattaforma: log degli accessi, configurazioni adottate, conversazioni gestite, crediti consumati, feature utilizzate, parametri tecnici di sessione necessari al funzionamento del servizio.
• Dati delle comunicazioni di assistenza: contenuto delle email, ticket, richieste di supporto inviate dai Clienti a KOINAI.
• Dati dei Prospect: informazioni fornite spontaneamente dal Prospect tramite form di contatto, richieste di demo, iscrizioni a contenuti di marketing.

3.2 Dati relativi agli End-User (KOINAI quale Responsabile)

Per conto dei propri Clienti, KOINAI tratta dati personali degli End-User raccolti attraverso i canali di comunicazione configurati dal Cliente sulla Piattaforma e attraverso i sistemi terzi a cui il Cliente integra la Piattaforma. Le categorie di dati trattati per finalità di customer care comprendono:

• Dati identificativi e di contatto degli End-User: indirizzo email, numero di telefono, nome del profilo utente come configurato sul canale di provenienza, eventuale nome e ragione sociale dell’organizzazione di appartenenza.
• Contenuto delle comunicazioni: testo dei messaggi WhatsApp, contenuto integrale delle email (testo, HTML, oggetto, message-id), oggetto, descrizione e commenti dei ticket di assistenza, eventuali allegati, trascrizioni integrali di chiamate (qualora il Cliente integri sistemi di registrazione).
• Dati commerciali e relazionali: informazioni relative alle opportunità commerciali (denominazione, stato, importo, data di chiusura attesa) e alle attività registrate dal Cliente nei propri sistemi CRM e di ticketing connessi alla Piattaforma.
• Dati derivati da elaborazione AI: riassunti generati automaticamente dalla Piattaforma a partire dalle conversazioni e dai profili aziendali, indicatori di sentiment, segnali di rischio (ad esempio churn signal), indicatori di severità delle richieste. Tali elaborazioni sono descritte in dettaglio alla Sezione 5.
• Metadati tecnici: timestamp dei messaggi, identificativi univoci dei thread di conversazione, identificativi di consegna dei provider, attributi degli allegati (nome file, dimensione, tipo MIME).

L’elenco specifico dei campi letti e scritti tramite ciascuna integrazione (HubSpot, Attio, Zendesk, Atlassian Jira, Google Drive, ecc.) è descritto in dettaglio nella sezione “Integration Disclosure” pubblicata sul sito di KOINAI e nel DPA sottoscritto con il Cliente. KOINAI applica il principio di minimizzazione dei dati ai sensi dell’art. 5, par. 1, lett. c) GDPR, accedendo solo ai dati strettamente necessari alle finalità configurate dal Cliente.

Memory Layer

La Piattaforma utilizza un sistema di memoria persistente (“Memory Layer”) di natura tecnica interna, basato su tecniche di Retrieval-Augmented Generation (RAG). Il Memory Layer arricchisce, conversazione dopo conversazione, profili semantici degli End-User di ciascun Cliente, al fine di fornire risposte contestualmente più pertinenti. L’arricchimento è strettamente segregato per Cliente (“tenant isolation”): KOINAI non utilizza i dati di un Cliente per arricchire profili di altri Clienti, né per addestrare o ottimizzare modelli AI di alcun tipo. Eventuali futuri sviluppi che modifichino tale principio saranno comunicati ai Clienti con congruo anticipo e richiederanno un’integrazione contrattuale dedicata.

3.3 Dati esclusi dal trattamento

La Piattaforma non è progettata per il trattamento di categorie particolari di dati personali ai sensi dell’art. 9 GDPR (dati relativi a salute, vita sessuale, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici e biometrici), né per il trattamento di dati personali di minori di età inferiore a 14 anni ai sensi dell’art. 8 GDPR e dell’art. 2-quinquies del Codice Privacy.

Il Cliente, in qualità di Titolare del Trattamento dei dati degli End-User, è contrattualmente tenuto ad astenersi dall’utilizzare la Piattaforma per il trattamento di tali categorie di dati e a implementare le misure organizzative idonee a impedire che essi entrino nei sistemi di KOINAI. Tale obbligo è formalizzato nei Termini di Servizio e nell’Acceptable Use Policy.

4. Finalità del trattamento e basi giuridiche

4.1 Trattamenti di KOINAI quale Titolare

I dati relativi ai Clienti e ai Prospect sono trattati per le seguenti finalità, ciascuna con autonoma base giuridica:

Finalità	Base giuridica	Riferimento
Erogazione della Piattaforma, gestione dell’account, esecuzione del contratto, fatturazione, assistenza tecnica e commerciale	Esecuzione di un contratto di cui l’Interessato è parte o esecuzione di misure precontrattuali	Art. 6, par. 1, lett. b) GDPR
Adempimento di obblighi fiscali, contabili e di legge	Adempimento di un obbligo legale a cui è soggetto il Titolare	Art. 6, par. 1, lett. c) GDPR
Sicurezza della Piattaforma, prevenzione frodi, monitoraggio integrità del servizio, log per finalità di audit e troubleshooting	Legittimo interesse del Titolare alla sicurezza dei propri sistemi e dei dati trattati	Art. 6, par. 1, lett. f) GDPR
Comunicazioni commerciali e di marketing rivolte ai Clienti già attivi e relative a servizi analoghi a quelli sottoscritti (newsletter prodotto, annunci di nuove funzionalità, eventi, contenuti informativi)	Legittimo interesse del Titolare a mantenere informata la propria clientela attiva su sviluppi rilevanti del servizio. È sempre garantita la possibilità di opporsi al trattamento mediante semplice opt-out	Art. 6, par. 1, lett. f) GDPR; Considerando 47
Comunicazioni di marketing dirette a Prospect (soggetti non ancora Clienti)	Consenso esplicito, libero, specifico e revocabile dell’Interessato, raccolto al momento dell’iscrizione mediante apposita casella di selezione separata	Art. 6, par. 1, lett. a) GDPR; Art. 130 D.Lgs. 196/2003
Analisi statistica aggregata sull’utilizzo della Piattaforma per finalità di miglioramento del servizio	Legittimo interesse del Titolare	Art. 6, par. 1, lett. f) GDPR

4.2 Trattamenti di KOINAI quale Responsabile

Per i dati degli End-User, KOINAI tratta i dati esclusivamente per le finalità definite dal Cliente Titolare nel DPA, ossia (a) gestione delle conversazioni di customer care attraverso i canali abilitati dal Cliente, (b) integrazione con i sistemi CRM e di ticketing del Cliente, (c) generazione di risposte AI sottoposte al regime di approvazione configurato dal Cliente (Review Mode o Autonomous Mode), (d) registrazione e analisi delle interazioni ai fini del corretto funzionamento del servizio per il Cliente.

La base giuridica del trattamento è determinata dal Cliente Titolare e ciascun Cliente è tenuto a fornire agli End-User l’informativa privacy idonea ai sensi degli artt. 13 e 14 GDPR.

5. Trattamenti basati su intelligenza artificiale e processi automatizzati

5.1 Architettura della Piattaforma

La Piattaforma utilizza modelli di linguaggio di grandi dimensioni (Large Language Models, “LLM”) forniti da terzi fornitori specializzati per generare risposte e analisi a partire dal contenuto delle conversazioni e dai profili degli End-User memorizzati nel Memory Layer. La Piattaforma è progettata secondo un’architettura multi-agente in cui le decisioni di routing tra agenti sono effettuate da logiche deterministiche tracciabili e auditabili, e non da LLM.

5.2 Profilazione degli End-User

La Piattaforma esegue profilazione semantica degli End-User di ciascun Cliente al fine di personalizzare le risposte AI in base al contesto della relazione e dello storico delle interazioni. Tale profilazione include, a titolo esemplificativo: indicatori di sentiment, riassunti delle conversazioni, segnali di rischio commerciale (ad esempio churn signals), classificazione dell’intent e della severità delle richieste.

La profilazione è effettuata da KOINAI in qualità di Responsabile, su istruzione del Cliente Titolare, ai sensi dell’esecuzione del contratto tra Cliente ed End-User o sulla base del legittimo interesse del Cliente, secondo quanto definito nell’informativa fornita dal Cliente all’End-User.

5.3 Processi decisionali automatizzati (art. 22 GDPR)

La Piattaforma è progettata per garantire la supervisione umana significativa sulle risposte AI. Il modello operativo di default prevede il “Review Mode”, in cui ogni risposta proposta dall’AI è sottoposta all’approvazione di un operatore umano del Cliente prima di essere inviata all’End-User. Il Cliente può attivare “Autonomous Mode” limitatamente a specifici intent o tipologie di richieste a basso rischio (a titolo esemplificativo: risposte a domande frequenti, comunicazione dello stato di un ordine), nei quali l’AI risponde senza intervento umano preliminare.

L’Autonomous Mode è configurato in modo da non produrre, sull’End-User, decisioni che producano effetti giuridici significativi che incidano sulla sua persona ai sensi dell’art. 22, par. 1 GDPR. Ogni decisione automatizzata è tracciata in un audit trail append-only che consente la verifica retrospettiva della catena di causazione e l’eventuale escalation a operatore umano.

L’Interessato ha il diritto di richiedere l’intervento umano, esprimere la propria opinione, contestare la decisione automatizzata e richiedere il riesame della stessa. Tali richieste vanno indirizzate al Cliente Titolare del Trattamento.

5.4 Trasparenza ai sensi dell’art. 50 dell’AI Act

Ai sensi dell’art. 50, par. 1, del Regolamento (UE) 2024/1689 (“AI Act”), la Piattaforma è progettata per informare l’End-User che sta interagendo con un sistema di intelligenza artificiale. Il disclosure è attivo per impostazione predefinita ed è inserito automaticamente all’inizio della prima interazione su ciascun canale (WhatsApp, email, ticketing).

Il Cliente può personalizzare il wording, il tono di voce e la formulazione del disclosure all’interno delle opzioni rese disponibili dalla Piattaforma, ma non può disabilitarlo. Il Cliente è contrattualmente tenuto a non manipolare la configurazione del servizio in modo da occultare la natura artificiale dell’assistente. Ogni eventuale violazione di tale obbligo comporta responsabilità del Cliente nei confronti degli End-User e di KOINAI.

5.5 Esclusione dell’addestramento di modelli sui dati dei Clienti

KOINAI non utilizza i dati dei Clienti né degli End-User per addestrare, riaddestrare, fine-tunare o ottimizzare modelli di intelligenza artificiale, né proprietari né di terzi. KOINAI ha attivato con il fornitore degli LLM (Anthropic) il regime di Zero Data Retention, ai sensi del quale i prompt e le risposte transitate sull’API non sono conservati dal fornitore stesso.

6. Sub-Responsabili del Trattamento (Sub-processor)

6.1 Sub-processor di KOINAI

Per l’erogazione della Piattaforma, KOINAI si avvale dei seguenti Sub-Responsabili del Trattamento, con i quali ha stipulato accordi conformi all’art. 28 GDPR. Ciascun Sub-Responsabile è soggetto a obblighi di riservatezza, sicurezza e cooperazione equivalenti a quelli sottoscritti da KOINAI nei confronti dei propri Clienti.

Sub-Responsabile	Servizio fornito	Ubicazione del trattamento
Supabase Inc.	Database e autenticazione utenti (storage primario, Supabase Auth)	Unione Europea (eu-west)
Google LLC / Google Ireland Ltd	Infrastruttura cloud (Google Cloud Run, Cloud Logging)	Unione Europea (europe-west8 — Milano)
Anthropic PBC	Servizio di intelligenza artificiale generativa (API Claude)	Stati Uniti d’America (con regime Zero Data Retention attivo)
Twilio Inc. (SendGrid)	Invio e ricezione di comunicazioni email transazionali	Stati Uniti d’America
Meta Platforms Ireland Ltd	Servizio di messaggistica WhatsApp Business Cloud API	Irlanda (con possibili trasferimenti tecnici verso Meta Platforms Inc., Stati Uniti)

L’elenco aggiornato dei Sub-Responsabili è disponibile sul sito di KOINAI all’indirizzo koinai.eu/legal/sub-processors. KOINAI si impegna a comunicare ai Clienti, con un preavviso ragionevole, qualunque modifica della lista dei Sub-Responsabili che comporti la designazione di nuovi soggetti, riconoscendo al Cliente il diritto di obiezione secondo le modalità previste dal DPA.

6.2 Servizi di terze parti attivati dal Cliente

La Piattaforma consente al Cliente di integrare propri sistemi terzi (a titolo esemplificativo: HubSpot, Attio, Zendesk, Atlassian Jira, Google Drive). L’attivazione di tali integrazioni avviene su scelta autonoma del Cliente mediante il rilascio di credenziali OAuth o API key. I dati transitati attraverso tali sistemi sono soggetti alle condizioni contrattuali e alle informative privacy degli stessi, con cui il Cliente ha un rapporto diretto e di cui è responsabile. KOINAI opera quale Responsabile del Trattamento per conto del Cliente nei limiti dell’istruzione di integrazione configurata dal Cliente stesso.

7. Trasferimenti di dati al di fuori dell’Unione Europea

Alcuni Sub-Responsabili indicati alla Sezione 6.1 sono stabiliti negli Stati Uniti d’America o effettuano transitoriamente operazioni di trattamento al di fuori dello Spazio Economico Europeo. Per tali trasferimenti, KOINAI ha adottato gli strumenti previsti dagli artt. 44–49 GDPR, e in particolare:

• Clausole Contrattuali Tipo (Standard Contractual Clauses, “SCC”) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021, sottoscritte con i Sub-Responsabili stabiliti in Paesi terzi privi di decisione di adeguatezza.
• Data Privacy Framework (DPF) UE-USA: ove applicabile, i Sub-Responsabili statunitensi sono certificati al DPF, riconosciuto dalla Commissione Europea con Decisione di adeguatezza del 10 luglio 2023.
• Misure tecniche e organizzative supplementari, ove necessarie, valutate sulla base delle indicazioni dell’European Data Protection Board e a esito di apposita valutazione di impatto sui trasferimenti (Transfer Impact Assessment).

L’Interessato può richiedere copia delle clausole contrattuali tipo applicabili o informazioni sulle garanzie adottate scrivendo ai contatti privacy indicati alla Sezione 1.

8. Periodo di conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per le quali sono stati raccolti, secondo i seguenti tempi di conservazione:

Categoria di dati	Periodo di conservazione
Contenuto delle conversazioni con gli End-User (testo dei messaggi)	24 mesi dall’ultima interazione dell’End-User, salvo richieste di blocco per legittime finalità contenziose
Riassunti AI delle conversazioni	36 mesi dall’ultima interazione
Profili semantici, sentiment, churn signals e altri insight nel Memory Layer	24 mesi dall’ultima interazione, ovvero entro 30 giorni dalla disconnessione del Cliente Titolare, secondo l’evento che si verifica per primo
Eventi di utilizzo e dati ai fini fatturazione (usage events)	60 mesi (in conformità all’art. 2220 c.c. e alla normativa fiscale applicabile)
Notifiche di sistema agli operatori	6 mesi
Account del Cliente e dati di profilo dopo cancellazione	30 giorni di periodo di conservazione (“grace period”), trascorsi i quali i dati sono cancellati definitivamente; le copie di backup sono cancellate entro la rotazione del backup successivo
Copie di backup applicative	30 giorni in rotazione
Log applicativi (post-redazione automatica dei dati personali)	30 giorni
Dati di Prospect non convertiti	24 mesi dall’ultimo contatto, salvo opt-out anticipato
Dati di marketing dei Clienti attivi	Per la durata del rapporto contrattuale, salvo opt-out

Trascorsi i termini sopra indicati, i dati sono cancellati o resi anonimi in modo irreversibile. Periodi di conservazione più estesi possono applicarsi qualora richiesto dalla legge o reso necessario dalla difesa di un diritto in sede giudiziaria.

9. Diritti dell’Interessato

L’Interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15–22 GDPR. In particolare:

• Diritto di accesso (art. 15) ai propri dati personali e alle informazioni sul trattamento;
• Diritto di rettifica (art. 16) dei dati inesatti o incompleti;
• Diritto alla cancellazione (art. 17, “diritto all’oblio”) dei dati ove non più necessari, ove sia stato revocato il consenso, ovvero negli altri casi previsti;
• Diritto di limitazione (art. 18) del trattamento nei casi previsti;
• Diritto alla portabilità (art. 20) dei propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
• Diritto di opposizione (art. 21) al trattamento basato su legittimo interesse del Titolare, incluso il marketing diretto;
• Diritto di non essere sottoposto a una decisione basata unicamente su trattamento automatizzato, inclusa la profilazione (art. 22);
• Diritto di revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento basato sul consenso prima della revoca;
• Diritto di proporre reclamo all’Autorità di controllo competente (Sezione 12).

Le richieste di esercizio dei diritti relativi ai dati per cui KOINAI è Titolare devono essere indirizzate ai contatti privacy indicati alla Sezione 1. KOINAI risponderà alla richiesta entro un mese dal ricevimento, prorogabile di ulteriori due mesi in caso di particolare complessità o numero elevato di richieste, ai sensi dell’art. 12, par. 3 GDPR.

Le richieste relative ai dati degli End-User devono essere indirizzate al Cliente Titolare del Trattamento. KOINAI fornirà al Cliente la collaborazione necessaria all’evasione di tali richieste secondo quanto previsto dal DPA.

Allo stato attuale, l’esercizio dei diritti di cancellazione e portabilità è gestito su base manuale tramite richiesta scritta ai contatti privacy. KOINAI sta implementando funzionalità self-service per l’esercizio diretto di tali diritti, che saranno rese disponibili nel corso del 2026.

10. Misure di sicurezza

KOINAI ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento, ai sensi dell’art. 32 GDPR. In particolare:

• Cifratura dei dati a riposo: i dati personali memorizzati nei database della Piattaforma sono cifrati a riposo presso il provider di storage.
• Cifratura in transito: tutte le comunicazioni tra l’Interessato, la Piattaforma e i Sub-Responsabili sono protette da protocollo TLS versione 1.2 o superiore.
• Cifratura delle credenziali di terze parti: i token di autenticazione e le API key utilizzate per le integrazioni sono cifrati al riposo mediante apposito servizio crittografico.
• Autenticazione e controllo degli accessi: l’accesso amministrativo all’infrastruttura di KOINAI è protetto da autenticazione a due fattori (2FA) tramite Supabase Auth. La Piattaforma adotta un modello di controllo degli accessi basato su ruoli (Role-Based Access Control).
• Principio del minimo privilegio: le autorizzazioni al trattamento sono concesse al personale autorizzato strettamente per quanto necessario all’esercizio delle proprie mansioni.
• Verifica integrità delle comunicazioni: i webhook in ingresso dai Sub-Responsabili e dai sistemi terzi sono soggetti a verifica della firma crittografica per garantirne autenticità e integrità.
• Redazione automatica dei log: i sistemi di logging della Piattaforma sono configurati per rimuovere o oscurare automaticamente i dati personali identificativi degli End-User, al fine di minimizzare la persistenza di tali dati nei log applicativi.
• Backup regolari, con rotazione e cifratura, conservati per il tempo strettamente necessario al ripristino in caso di incidente.

KOINAI ha avviato un percorso di rafforzamento delle misure di sicurezza che include, tra l’altro: l’attivazione dell’autenticazione a due fattori per gli amministratori dei Clienti, l’implementazione di un sistema di audit log degli accessi amministrativi, l’adozione di un programma strutturato di vulnerability scanning e penetration testing, il percorso di certificazione ISO/IEC 27001 e SOC 2.

11. Cookie e tecnologie analoghe

La Piattaforma utilizza esclusivamente cookie tecnici e necessari al funzionamento del servizio, per i quali non è richiesto il consenso preventivo dell’Interessato ai sensi dell’art. 122 del Codice Privacy e del provvedimento del Garante “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021.

I cookie utilizzati sono limitati a: token di autenticazione (Supabase Auth), preferenza di lingua dell’interfaccia, stato dell’interfaccia utente. Non sono utilizzati cookie di profilazione, di marketing, di tracciamento pubblicitario, né strumenti di analytics di terze parti.

L’elenco dettagliato dei cookie, con relativa finalità e durata, è disponibile nella Cookie Policy pubblicata sul sito di KOINAI.

12. Reclami all’Autorità di controllo

L’Interessato che ritenga che il trattamento dei propri dati personali sia avvenuto in violazione del GDPR o della normativa privacy applicabile ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia 11, 00187 Roma, sito www.garanteprivacy.it, ovvero all’Autorità di controllo dello Stato membro UE di propria residenza abituale, del luogo di lavoro o del luogo della presunta violazione, ai sensi dell’art. 77 GDPR.

Resta in ogni caso impregiudicato il diritto dell’Interessato di adire l’autorità giudiziaria competente.

13. Modifiche alla presente informativa

KOINAI si riserva il diritto di modificare la presente informativa per adeguarla a evoluzioni normative, modifiche dell’architettura della Piattaforma o cambiamenti nei Sub-Responsabili o nelle modalità di trattamento. La versione vigente è sempre quella pubblicata all’indirizzo koinai.eu/privacy ed è identificata dalla data di ultima modifica indicata nell’intestazione del documento.

Modifiche sostanziali — quali l’introduzione di nuove finalità di trattamento, nuove categorie di dati o nuovi Sub-Responsabili che comportino trasferimenti extra-UE non previsti — saranno notificate ai Clienti con congruo anticipo attraverso i canali di comunicazione abituali (email all’indirizzo dell’amministratore dell’account, notifica all’interno della Piattaforma).

Si invita l’Interessato a consultare periodicamente la versione aggiornata dell’informativa.

This Privacy Policy is provided pursuant to Articles 13 and 14 of Regulation (EU) 2016/679 (the “GDPR”) and of Legislative Decree 196/2003 as amended by Legislative Decree 101/2018 (the “Italian Privacy Code”), and describes how KOINAI Srl processes personal data within its AI-based SaaS customer care platform (the “Platform”).

This Policy is structured to reflect KOINAI’s dual role in data processing: Data Controller for the data of its direct Customers, and Data Processor for the data of end users (“End-Users”) processed on behalf of Customers. This distinction is described in detail in Section 2.

1. Identity of the Data Controller and contact details

The Data Controller of the personal data covered by this Policy is:

KOINAI has not appointed a Data Protection Officer (DPO) pursuant to Article 37 GDPR, as the conditions making such appointment mandatory are not met. Requests concerning the processing of personal data and the exercise of data subject rights should be addressed to the privacy contact indicated above.

2. KOINAI’s role: Data Controller and Data Processor

The Platform involves two categories of data processing subject to distinct legal regimes, which entail different obligations and legal bases. It is important for the data subject to understand which role KOINAI plays in respect of the processing concerning them.

2.1 KOINAI as Data Controller

KOINAI acts as Data Controller (pursuant to Article 4(7) GDPR) for the personal data of its direct Customers, namely: natural persons acting in the name and on behalf of companies or entities that have entered into a contract for the use of the Platform (“Customers”), as well as natural persons who request commercial information, demos, marketing content or pre-sales support (“Prospects”).

For such persons, KOINAI independently determines the purposes and means of the processing. This Policy, in the applicable sections, transparently describes such processing.

2.2 KOINAI as Data Processor

KOINAI acts as Data Processor (pursuant to Articles 4(8) and 28 GDPR) for the personal data of End-Users, namely: the customers, prospects, users, contacts and any other third parties whose personal data are managed by Customers through the Platform (by way of example: individuals who send a WhatsApp message or an email to the Customer, contacts in the Customer’s CRM, participants in sales calls recorded by the Customer).

For End-User data, KOINAI’s Customer is the Data Controller and KOINAI processes such data exclusively on the basis of the Customer’s documented instructions, in accordance with a specific Data Processing Agreement (“DPA”) entered into between KOINAI and each Customer.

Requests by End-Users to exercise their rights must be addressed to the Customer acting as Data Controller. KOINAI will provide the Customer with the cooperation necessary to fulfil such requests, as provided for under Article 28(3)(e) GDPR.

3. Categories of personal data processed

3.1 Customer data (KOINAI as Data Controller)

In providing the Platform and managing the contractual relationship with Customers, KOINAI processes the following categories of personal data:

• Identification and contact data: first name, last name, business email address, job title, and any contact telephone number.
• Authentication data: credentials managed via Supabase Auth (email, password protected by argon2 hashing, optional two-factor authentication), last login timestamp.
• Billing data: company name, VAT number, tax code, registered office address, any recipient code for electronic invoicing, payment-related data.
• Platform usage data: access logs, adopted configurations, conversations handled, credits consumed, features used, technical session parameters necessary for the operation of the service.
• Support communication data: content of emails, tickets, and support requests sent by Customers to KOINAI.
• Prospect data: information voluntarily provided by the Prospect through contact forms, demo requests, and marketing content sign-ups.

3.2 End-User data (KOINAI as Data Processor)

On behalf of its Customers, KOINAI processes End-User personal data collected through the communication channels configured by the Customer on the Platform and through the third-party systems to which the Customer integrates the Platform. The categories of data processed for customer care purposes include:

• Identification and contact data of End-Users: email address, telephone number, user profile name as configured on the source channel, and any name and company name of the organisation they belong to.
• Communication content: text of WhatsApp messages, full content of emails (text, HTML, subject, message-id), subject, description and comments of support tickets, any attachments, full transcripts of calls (where the Customer integrates recording systems).
• Commercial and relationship data: information relating to commercial opportunities (name, status, amount, expected closing date) and activities recorded by the Customer in its CRM and ticketing systems connected to the Platform.
• AI-derived data: summaries automatically generated by the Platform from conversations and company profiles, sentiment indicators, risk signals (e.g. churn signals), request severity indicators. Such processing is described in detail in Section 5.
• Technical metadata: message timestamps, unique conversation thread identifiers, provider delivery identifiers, attachment attributes (file name, size, MIME type).

The specific list of fields read and written through each integration (HubSpot, Attio, Zendesk, Atlassian Jira, Google Drive, etc.) is described in detail in the “Integration Disclosure” published on KOINAI’s website and in the DPA signed with the Customer. KOINAI applies the data minimisation principle pursuant to Article 5(1)(c) GDPR, accessing only the data strictly necessary for the purposes configured by the Customer.

Memory Layer

The Platform uses a persistent memory system (“Memory Layer”) of an internal technical nature, based on Retrieval-Augmented Generation (RAG) techniques. The Memory Layer enriches, conversation after conversation, semantic profiles of each Customer’s End-Users, in order to provide more contextually relevant responses. Enrichment is strictly segregated per Customer (“tenant isolation”): KOINAI does not use one Customer’s data to enrich the profiles of other Customers, nor to train or optimise AI models of any kind. Any future developments that alter this principle will be communicated to Customers with reasonable advance notice and will require a dedicated contractual amendment.

3.3 Data excluded from processing

The Platform is not designed for the processing of special categories of personal data pursuant to Article 9 GDPR (data relating to health, sex life, political opinions, religious beliefs, trade union membership, genetic and biometric data), nor for the processing of personal data of minors under 14 years of age pursuant to Article 8 GDPR and Article 2-quinquies of the Italian Privacy Code.

The Customer, as Data Controller of End-User data, is contractually required to refrain from using the Platform to process such categories of data and to implement appropriate organisational measures to prevent them from entering KOINAI’s systems. This obligation is formalised in the Terms of Service and the Acceptable Use Policy.

4. Purposes of processing and legal bases

4.1 Processing by KOINAI as Data Controller

Customer and Prospect data are processed for the following purposes, each with its own legal basis:

Purpose	Legal basis	Reference
Provision of the Platform, account management, contract performance, billing, technical and commercial support	Performance of a contract to which the data subject is party, or pre-contractual measures	Art. 6(1)(b) GDPR
Compliance with tax, accounting and legal obligations	Compliance with a legal obligation to which the Controller is subject	Art. 6(1)(c) GDPR
Platform security, fraud prevention, service integrity monitoring, logging for audit and troubleshooting purposes	Legitimate interest of the Controller in the security of its systems and processed data	Art. 6(1)(f) GDPR
Commercial and marketing communications to active Customers regarding services similar to those subscribed (product newsletters, feature announcements, events, informational content)	Legitimate interest of the Controller in keeping its active customer base informed of relevant service developments. Opt-out is always available	Art. 6(1)(f) GDPR; Recital 47
Marketing communications to Prospects (parties not yet Customers)	Explicit, free, specific and revocable consent of the data subject, collected at sign-up via a separate checkbox	Art. 6(1)(a) GDPR; Art. 130 Legislative Decree 196/2003
Aggregate statistical analysis of Platform usage for service improvement	Legitimate interest of the Controller	Art. 6(1)(f) GDPR

4.2 Processing by KOINAI as Data Processor

For End-User data, KOINAI processes data exclusively for the purposes defined by the Controlling Customer in the DPA, namely: (a) management of customer care conversations through the channels enabled by the Customer, (b) integration with the Customer’s CRM and ticketing systems, (c) generation of AI responses subject to the approval regime configured by the Customer (Review Mode or Autonomous Mode), (d) recording and analysis of interactions for the proper operation of the service for the Customer.

The legal basis for the processing is determined by the Controlling Customer, and each Customer is required to provide End-Users with the appropriate privacy notice pursuant to Articles 13 and 14 GDPR.

5. AI-based processing and automated processes

5.1 Platform architecture

The Platform uses Large Language Models (“LLMs”) provided by specialised third-party vendors to generate responses and analyses from the content of conversations and from the End-User profiles stored in the Memory Layer. The Platform is designed according to a multi-agent architecture in which routing decisions between agents are made by traceable and auditable deterministic logic, and not by LLMs.

5.2 End-User profiling

The Platform performs semantic profiling of each Customer’s End-Users in order to personalise AI responses based on the context of the relationship and the history of interactions. Such profiling includes, by way of example: sentiment indicators, conversation summaries, commercial risk signals (e.g. churn signals), and intent and severity classification of requests.

Profiling is carried out by KOINAI as Data Processor, on the instruction of the Controlling Customer, on the basis of the performance of the contract between Customer and End-User or the legitimate interest of the Customer, as defined in the privacy notice provided by the Customer to the End-User.

5.3 Automated decision-making (Article 22 GDPR)

The Platform is designed to ensure meaningful human oversight of AI responses. The default operating model is “Review Mode”, in which every response proposed by the AI is subject to approval by a human operator of the Customer before being sent to the End-User. The Customer may activate “Autonomous Mode” only for specific low-risk intents or request types (by way of example: answers to frequently asked questions, order status communications), in which the AI responds without prior human intervention.

Autonomous Mode is configured so as not to produce decisions on the End-User that have legal effects significantly affecting them pursuant to Article 22(1) GDPR. Every automated decision is recorded in an append-only audit trail that allows retrospective verification of the causal chain and, where applicable, escalation to a human operator.

The data subject has the right to request human intervention, express their point of view, contest the automated decision, and request a review of it. Such requests should be addressed to the Controlling Customer.

5.4 Transparency under Article 50 of the AI Act

Pursuant to Article 50(1) of Regulation (EU) 2024/1689 (the “AI Act”), the Platform is designed to inform the End-User that they are interacting with an artificial intelligence system. The disclosure is enabled by default and is inserted automatically at the beginning of the first interaction on each channel (WhatsApp, email, ticketing).

The Customer may customise the wording, tone of voice and phrasing of the disclosure within the options made available by the Platform, but may not disable it. The Customer is contractually required not to manipulate the service configuration so as to conceal the artificial nature of the assistant. Any breach of this obligation entails the Customer’s liability towards End-Users and KOINAI.

5.5 Exclusion of model training on Customer data

KOINAI does not use Customer or End-User data to train, retrain, fine-tune or optimise artificial intelligence models, whether proprietary or third-party. KOINAI has activated the Zero Data Retention regime with the LLM vendor (Anthropic), under which prompts and responses transiting through the API are not retained by the vendor.

6. Sub-processors

6.1 KOINAI’s sub-processors

To provide the Platform, KOINAI relies on the following Sub-processors, with which it has entered into agreements compliant with Article 28 GDPR. Each Sub-processor is subject to confidentiality, security and cooperation obligations equivalent to those undertaken by KOINAI towards its Customers.

Sub-processor	Service provided	Processing location
Supabase Inc.	Database and user authentication (primary storage, Supabase Auth)	European Union (eu-west)
Google LLC / Google Ireland Ltd	Cloud infrastructure (Google Cloud Run, Cloud Logging)	European Union (europe-west8 — Milan)
Anthropic PBC	Generative AI service (Claude API)	United States (with Zero Data Retention regime active)
Twilio Inc. (SendGrid)	Sending and receiving transactional email communications	United States
Meta Platforms Ireland Ltd	WhatsApp Business Cloud API messaging service	Ireland (with possible technical transfers to Meta Platforms Inc., United States)

The up-to-date list of Sub-processors is available on KOINAI’s website at koinai.eu/legal/sub-processors. KOINAI undertakes to notify Customers, with reasonable advance notice, of any change to the list of Sub-processors involving the appointment of new parties, granting the Customer the right to object in accordance with the procedures set out in the DPA.

6.2 Third-party services activated by the Customer

The Platform allows the Customer to integrate its own third-party systems (by way of example: HubSpot, Attio, Zendesk, Atlassian Jira, Google Drive). Activation of such integrations takes place at the Customer’s sole discretion through the provision of OAuth credentials or API keys. Data transiting through such systems is subject to their own contractual terms and privacy notices, with which the Customer has a direct relationship and for which it is responsible. KOINAI acts as Data Processor on behalf of the Customer within the limits of the integration instruction configured by the Customer.

7. Transfers of data outside the European Union

Some of the Sub-processors indicated in Section 6.1 are established in the United States or temporarily carry out processing operations outside the European Economic Area. For such transfers, KOINAI has adopted the instruments provided for under Articles 44–49 GDPR, and in particular:

• Standard Contractual Clauses (“SCCs”) approved by the European Commission with Implementing Decision (EU) 2021/914 of 4 June 2021, signed with Sub-processors established in third countries lacking an adequacy decision.
• EU-US Data Privacy Framework (DPF): where applicable, US Sub-processors are certified under the DPF, recognised by the European Commission with an adequacy decision of 10 July 2023.
• Supplementary technical and organisational measures, where necessary, assessed on the basis of the European Data Protection Board’s guidance and following a dedicated Transfer Impact Assessment.

The data subject may request a copy of the applicable Standard Contractual Clauses or information on the safeguards adopted by writing to the privacy contact indicated in Section 1.

8. Data retention period

Personal data are retained for the time strictly necessary for the purposes for which they were collected, according to the following retention periods:

Data category	Retention period
Content of conversations with End-Users (message text)	24 months from the End-User’s last interaction, save for blocking requests for legitimate litigation purposes
AI summaries of conversations	36 months from the last interaction
Semantic profiles, sentiment, churn signals and other Memory Layer insights	24 months from the last interaction, or within 30 days of the Controlling Customer’s disconnection, whichever occurs first
Usage events and billing data	60 months (in compliance with Article 2220 of the Italian Civil Code and applicable tax law)
System notifications to operators	6 months
Customer account and profile data after deletion	30-day retention (“grace period”), after which data are permanently deleted; backup copies are deleted upon the next backup rotation
Application backup copies	30 days on rotation
Application logs (after automatic redaction of personal data)	30 days
Data of unconverted Prospects	24 months from last contact, save for earlier opt-out
Marketing data of active Customers	For the duration of the contractual relationship, save for opt-out

Once the above periods have elapsed, data are deleted or irreversibly anonymised. Longer retention periods may apply where required by law or necessary for the defence of a right in legal proceedings.

9. Data subject rights

The data subject may exercise at any time the rights provided for under Articles 15–22 GDPR. In particular:

• Right of access (Art. 15) to their personal data and information on the processing;
• Right to rectification (Art. 16) of inaccurate or incomplete data;
• Right to erasure (Art. 17, “right to be forgotten”) of data no longer necessary, where consent has been withdrawn, or in the other cases provided for;
• Right to restriction (Art. 18) of processing in the cases provided for;
• Right to data portability (Art. 20) in a structured, commonly used and machine-readable format;
• Right to object (Art. 21) to processing based on the Controller’s legitimate interest, including direct marketing;
• Right not to be subject to a decision based solely on automated processing, including profiling (Art. 22);
• Right to withdraw consent at any time, without prejudice to the lawfulness of processing based on consent before withdrawal;
• Right to lodge a complaint with the competent supervisory authority (Section 12).

Requests to exercise rights relating to data for which KOINAI is Data Controller must be addressed to the privacy contact indicated in Section 1. KOINAI will respond to the request within one month of receipt, extendable by a further two months in cases of particular complexity or a high number of requests, pursuant to Article 12(3) GDPR.

Requests relating to End-User data must be addressed to the Controlling Customer. KOINAI will provide the Customer with the cooperation necessary to fulfil such requests in accordance with the DPA.

Currently, the exercise of the rights of erasure and portability is handled manually through a written request to the privacy contact. KOINAI is implementing self-service functionality for the direct exercise of such rights, which will be made available during 2026.

10. Security measures

KOINAI has adopted technical and organisational measures appropriate to ensure a level of security suited to the risk of the processing, pursuant to Article 32 GDPR. In particular:

• Encryption of data at rest: personal data stored in the Platform’s databases are encrypted at rest at the storage provider.
• Encryption in transit: all communications between the data subject, the Platform and the Sub-processors are protected by TLS version 1.2 or higher.
• Encryption of third-party credentials: authentication tokens and API keys used for integrations are encrypted at rest via a dedicated cryptographic service.
• Authentication and access control: administrative access to KOINAI’s infrastructure is protected by two-factor authentication (2FA) via Supabase Auth. The Platform adopts a Role-Based Access Control model.
• Principle of least privilege: processing authorisations are granted to authorised personnel strictly as necessary for the performance of their duties.
• Communication integrity verification: incoming webhooks from Sub-processors and third-party systems are subject to cryptographic signature verification to ensure their authenticity and integrity.
• Automatic log redaction: the Platform’s logging systems are configured to automatically remove or obscure identifying personal data of End-Users, in order to minimise the persistence of such data in application logs.
• Regular backups, with rotation and encryption, retained for the time strictly necessary for recovery in the event of an incident.

KOINAI has initiated a program to strengthen its security measures, which includes, among other things: the activation of two-factor authentication for Customer administrators, the implementation of an administrative access audit log, the adoption of a structured vulnerability scanning and penetration testing program, and the path towards ISO/IEC 27001 and SOC 2 certification.

11. Cookies and similar technologies

The Platform uses exclusively technical cookies necessary for the operation of the service, for which the data subject’s prior consent is not required pursuant to Article 122 of the Italian Privacy Code and the Italian Data Protection Authority’s “Guidelines on cookies and other tracking tools” of 10 June 2021.

The cookies used are limited to: authentication tokens (Supabase Auth), interface language preference, and user interface state. No profiling, marketing or advertising tracking cookies, nor third-party analytics tools, are used.

A detailed list of cookies, with their purpose and duration, is available in the Cookie Policy published on KOINAI’s website.

12. Complaints to the supervisory authority

A data subject who considers that the processing of their personal data has taken place in breach of the GDPR or applicable privacy law has the right to lodge a complaint with the Italian Data Protection Authority (Garante per la Protezione dei Dati Personali), located at Piazza Venezia 11, 00187 Rome, website www.garanteprivacy.it, or with the supervisory authority of the EU Member State of their habitual residence, place of work or place of the alleged infringement, pursuant to Article 77 GDPR.

The data subject’s right to seek a judicial remedy before the competent court remains unaffected in any event.

13. Changes to this Policy

KOINAI reserves the right to amend this Policy to adapt it to regulatory developments, changes to the Platform’s architecture, or changes in Sub-processors or processing methods. The version in force is always the one published at koinai.eu/privacy and is identified by the last-updated date indicated in the document header.

Material changes — such as the introduction of new processing purposes, new data categories, or new Sub-processors entailing previously unforeseen extra-EU transfers — will be notified to Customers with reasonable advance notice through the usual communication channels (email to the account administrator’s address, in-Platform notification).

Data subjects are invited to periodically consult the updated version of this Policy.