Passa al contenuto principale

INFORMATIVA SULLA PRIVACY

1. TITOLARE DEL TRATTAMENTO

KINMU DIGITAL S.L., società costituita secondo il diritto spagnolo, con sede legale in Calle Teide, 4, 28703 Madrid, Spagna, e CIF B24996803, agisce come titolare del trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati, e della Legge Organica 3/2018 del 5 dicembre sulla protezione dei dati personali e la garanzia dei diritti digitali. Per esercitare i diritti in materia di protezione dei dati puoi contattare il DPO di Kinmu a dpo@kinmu.app.

2. NATURA DEL TRATTAMENTO E CATEGORIE DI DATI

Kinmu tratta dati personali derivanti dall'accesso e dall'uso della piattaforma Kinmu (https://kinmu.app) e delle relative applicazioni mobili. Il trattamento viene effettuato per i seguenti scopi specifici: (i) fornire funzionalità di rilevazione presenze e registrazione dell'orario; (ii) gestire richieste di assenza, congedo e riposo; (iii) mantenere informazioni su team, reparti e struttura organizzativa; (iv) generare report su presenze e orari; (v) fornire assistenza tramite chat di intelligenza artificiale; (vi) adempiere agli obblighi legali di registrazione dell'orario di lavoro secondo la normativa spagnola; (vii) rilevare e prevenire frodi, falsificazioni o comportamenti fraudolenti nel controllo presenze; (viii) garantire la sicurezza e la disponibilità tecnica della piattaforma; (ix) comunicare con gli utenti su account, cambi di policy, aggiornamenti del servizio o supporto tecnico; (x) analizzare tendenze d'uso e funzionamento tecnico solo in forma anonimizzata.

I dati personali trattati includono: nome completo, indirizzo email, numero di dipendente assegnato dall'azienda cliente, registrazioni di entrata e uscita (data, ora, dispositivo utilizzato), storico delle assenze e relativo tipo (malattia, congedo, ferie, ecc.), giorni di riposo settimanali, orario contrattuale, reparto e team di assegnazione, foto profilo se fornita dall'utente, informazioni di contatto (telefono facoltativo) e dati tecnici di sessione (indirizzo IP anonimizzato, browser, dispositivo, timestamp di accesso).

Se l'utente sceglie di utilizzare funzionalità specifiche, vengono trattati anche: contenuti delle conversazioni con la chat di intelligenza artificiale, dati di validazione tramite QR code o biometria (riconoscimento facciale) se tale funzionalità è implementata, e dati di localizzazione solo se l'utente autorizza esplicitamente la funzione di timbratura geolocalizzata.

Kinmu non raccoglie, richiede o tratta: coordinate GPS esatte del dispositivo se non attivata esplicitamente dall'azienda la funzione di controllo presenze geolocalizzato; cronologia di navigazione al di fuori della piattaforma; cronologia di comunicazioni o dati di terzi senza consenso; dati biometrici come impronte digitali o riconoscimento dell'iride se non è implementata la funzionalità opzionale di riconoscimento facciale; dati sanitari, genetici o dati che rivelano origine etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale o vita sessuale dell'utente.

3. BASE GIURIDICA DEL TRATTAMENTO

Il trattamento dei dati personali effettuato da Kinmu si basa sulle seguenti basi giuridiche ai sensi degli articoli 6 e 9 del Regolamento (UE) 2016/679:

Articolo 6.1.a) - Consenso: Kinmu tratta i dati di registrazione di entrata e uscita, lo storico delle assenze e i dati di reparto sulla base del consenso esplicito fornito dall'utente al momento della creazione dell'account e dell'accettazione delle presenti Condizioni e della Politica sulla privacy. L'utente può revocare il consenso in qualsiasi momento contattando dpo@kinmu.app, con effetto dalla richiesta senza pregiudicare la liceità dei trattamenti precedenti.

Articolo 6.1.c) - Adempimento di obbligo legale: Kinmu tratta i dati per adempiere agli obblighi derivanti dallo Statuto dei Lavoratori, dal Regio Decreto 1619/2012 sulla registrazione dell'orario di lavoro, dai regolamenti della sicurezza sociale e da altre obbligazioni di registrazione dell'orario che gravano sulle aziende spagnole. Tali trattamenti sono obbligatori per legge e non possono essere revocati senza violare gli obblighi legali dell'azienda cliente.

Articolo 6.1.f) - Legittimo interesse: Kinmu tratta i dati per la rilevazione di frodi nel controllo presenze, la rilevazione di registri orari falsificati, l'indagine di condotte potenzialmente fraudolente, la sicurezza tecnica della piattaforma contro attacchi informatici, il miglioramento tecnico della disponibilità e del funzionamento della piattaforma in forma anonimizzata, e la tutela dei diritti legali di Kinmu in procedimenti amministrativi o giudiziari. Questi trattamenti si basano su un legittimo interesse prevalente, con l'utente informato e titolare del diritto di opposizione.

Articolo 9 - Dati sensibili: Nel caso eccezionale in cui l'utente fornisca dati sanitari (ad esempio, per giustificare un'assenza medica), Kinmu li tratta solo con consenso esplicito separato ed esclusivamente ai fini della gestione delle assenze dell'azienda cliente, senza utilizzarli per altri scopi.

4. SUB-RESPONSABILI E TRASFERIMENTI INTERNAZIONALI

4.1 Autorizzazione generale all'uso di sub-responsabili

L'utente autorizza espressamente Kinmu a nominare sub-responsabili per la fornitura di servizi specifici, ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 (GDPR).

Kinmu dichiara di aver effettuato due diligence nella selezione dei sub-responsabili elencati di seguito, verificando che offrano garanzie sufficienti per applicare misure tecniche e organizzative adeguate affinché il trattamento sia conforme ai requisiti del GDPR.

L'utente riconosce e accetta che:

  • L'utilizzo di sub-responsabili è necessario per la fornitura del servizio.
  • Kinmu ha firmato o aderito ai relativi accordi di trattamento dati (DPA) con ciascun sub-responsabile.
  • I sub-responsabili sono responsabili del rispetto dei propri obblighi in materia di protezione dei dati.

4.2 Elenco attuale dei sub-responsabili

Sub-responsabile Funzione Posizione dei server Trasferimenti internazionali
DigitalOcean, LLC Hosting e infrastruttura cloud Francoforte, Germania (UE) Non applicabile
Mistral AI Assistente conversazionale (chat IA) Parigi, Francia (UE) Non applicabile
Anthropic PBC Generazione di policy aziendali con IA Stati Uniti SCC + DPF
Resend, Inc. Invio di email transazionali Unione Europea Non applicabile
Stripe Payments Europe, Ltd. Elaborazione dei pagamenti Irlanda (UE) Non applicabile
PostHog, Inc. Analisi dell'uso del prodotto Francoforte, Germania (UE) Non applicabile

4.3 Dettagli dei sub-responsabili

DigitalOcean, LLC

Mistral AI

  • Nome dell'azienda: Mistral AI
  • Indirizzo: 15 rue des Halles, 75001 Paris, Francia
  • Funzione: fornitore del modello di intelligenza artificiale per l'assistente conversazionale Kinmu. Elabora le conversazioni della chat per generare risposte contestuali su orari, assenze e richieste degli utenti.
  • Server: Parigi, Francia (UE)
  • Dati trattati: contenuto delle conversazioni con l'assistente IA.
  • Garanzie: DPA conforme al GDPR. Mistral AI si impegna contrattualmente a non utilizzare i dati degli utenti per addestrare i propri modelli. I dati restano nell'Unione Europea e non vengono trasferiti in Paesi terzi.
  • Privacy Policy: https://mistral.ai/terms/

Anthropic PBC

  • Nome dell'azienda: Anthropic PBC
  • Indirizzo: 548 Market St, San Francisco, CA 94104, Stati Uniti
  • Funzione: fornitore del modello di intelligenza artificiale Claude, utilizzato esclusivamente per la configurazione delle policy aziendali tramite linguaggio naturale. Elabora le istruzioni degli amministratori per generare configurazioni delle policy di lavoro.
  • Server: Stati Uniti
  • Dati trattati: istruzioni di configurazione delle policy fornite dagli amministratori. I dati personali degli utenti non vengono trattati tramite questo servizio.
  • Garanzie: Clausole contrattuali standard (SCC) della Commissione europea; certificazione secondo il Data Privacy Framework (DPF) UE-USA. Anthropic si impegna contrattualmente a non utilizzare i dati per l'addestramento dei modelli.
  • Privacy Policy: https://www.anthropic.com/privacy

Resend, Inc.

  • Nome dell'azienda: Resend, Inc.
  • Indirizzo: 2261 Market Street #4324, San Francisco, CA 94114, Stati Uniti
  • Funzione: invio di e-mail transazionali inclusa conferma di registrazione, recupero password, notifiche di modifiche e avvisi amministrativi.
  • Server: Unione Europea
  • Dati trattati: indirizzo e-mail e nome del destinatario.
  • Garanzie: DPA conforme al GDPR; infrastruttura ospitata nell'UE.
  • Privacy Policy: https://resend.com/legal/privacy-policy

Stripe Payments Europe, Ltd.

  • Nome dell'azienda: Stripe Payments Europe, Limited
  • Indirizzo: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlanda
  • Funzione: elaborazione sicura dei pagamenti con carta e gestione degli abbonamenti.
  • Server: Irlanda (UE)
  • Dati trattati: dati di fatturazione e metodo di pagamento.
  • Garanzie: DPA conforme al GDPR; certificazione PCI-DSS Livello 1; SOC 2 Type II. Kinmu non memorizza, elabora né ha accesso ai dati completi della carta di credito, Stripe è l'unico responsabile di tali dati sensibili.
  • Privacy Policy: https://stripe.com/es/privacy
  • Sub-processor list: https://stripe.com/es/legal/service-providers

PostHog, Inc.

  • Nome dell'azienda: PostHog, Inc.
  • Indirizzo: 2261 Market Street #4008, San Francisco, CA 94114, Stati Uniti
  • Funzione: analisi dell'utilizzo del prodotto per migliorare l'esperienza utente.
  • Server: Francoforte, Germania (UE)
  • Dati trattati: dati di navigazione anonimizzati, eventi di utilizzo della piattaforma. PostHog è configurato per non raccogliere dati personali identificabili.
  • Garanzie: DPA conforme al GDPR; infrastruttura cloud UE ospitata in Germania; SOC 2 Type II.
  • Privacy Policy: https://posthog.com/privacy

Fornitori di misurazione del sito pubblico

Il sito pubblico di marketing può utilizzare, previo consenso ai cookie, anche Google Tag Manager e Google Analytics 4 (Google), Meta Pixel e, se configurato in futuro, TikTok Pixel. Questi fornitori servono solo a misurare fonti di traffico, visualizzazioni di pagina, clic CTA e conversioni pubblicitarie sul sito pubblico. Non vengono utilizzati per trattare registri autenticati di controllo orario all'interno dell'applicazione Kinmu.

4.4 Garanzie di sicurezza dei sub-responsabili

Kinmu richiede contrattualmente a tutti i suoi sub-responsabili di rispettare misure di sicurezza adeguate, tra cui:

  • Cifratura dei dati in transito tramite TLS 1.2 o superiore.
  • Cifratura dei dati a riposo tramite AES-256 o equivalente.
  • Controlli di accesso basati sui ruoli e principio del privilegio minimo.
  • Audit di sicurezza periodici e certificazioni riconosciute (SOC 2, ISO 27001).
  • Procedure documentate di risposta agli incidenti.
  • Impegni di notifica delle violazioni di sicurezza entro termini compatibili con il GDPR.

4.5 Trasferimenti internazionali di dati

I dati degli utenti risiedono principalmente nell'Unione Europea. Per i servizi che comportano trasferimenti negli Stati Uniti, Kinmu garantisce un livello adeguato di protezione attraverso:

  • Clausole contrattuali standard (SCC): moduli approvati dalla decisione di esecuzione (UE) 2021/914 della Commissione.
  • Data Privacy Framework (DPF): per i fornitori certificati nell'ambito del Framework UE-USA sulla privacy dei dati.
  • Valutazioni d'impatto del trasferimento (TIA): Kinmu ha effettuato le valutazioni necessarie per verificare l'efficacia pratica delle garanzie offerte.

Kinmu non effettua trasferimenti internazionali di dati al di fuori del perimetro dei sub-responsabili indicati nella presente informativa.

4.6 Modifica dei sub-responsabili

Kinmu si riserva il diritto di aggiungere, sostituire o rimuovere sub-responsabili quando necessario per la fornitura del servizio, a condizione che:

  • Il nuovo sub-responsabile offra garanzie equivalenti o superiori a quelle del sub-responsabile sostituito.
  • Gli utenti siano notificati con almeno trenta (30) giorni di anticipo tramite un aggiornamento della presente Informativa e, ove applicabile, via e-mail.
  • Venga stipulato il relativo accordo di trattamento dati con il nuovo sub-responsabile.

L'utente che non è d'accordo con l'incorporazione di un nuovo sub-responsabile può esercitare il diritto di opposizione contattando dpo@kinmu.app entro quindici (15) giorni dalla notifica. Se l'opposizione è fondata e il servizio non può essere fornito senza tale sub-responsabile, l'utente può recedere dal contratto senza penalità.

4.7 Responsabilità riguardo ai sub-responsabili

Kinmu sarà responsabile nei confronti dell'utente del rispetto degli obblighi in materia di protezione dei dati da parte dei suoi sub-responsabili, ai sensi dell'articolo 28.4 del GDPR. Tuttavia, Kinmu non sarà responsabile di:

  • Inadempimenti dei sub-responsabili che esulano dalle istruzioni documentate di Kinmu.
  • Decisioni autonome dei sub-responsabili che contravvengono al DPA firmato.
  • Violazioni di sicurezza nei sistemi dei sub-responsabili non segnalate a Kinmu in tempo utile.

In ogni caso, la responsabilità di Kinmu sarà limitata come previsto nei Termini e Condizioni del servizio.

4.8 Esclusione di responsabilità per i servizi di intelligenza artificiale

L'utente riconosce ed accetta espressamente che:

  • Le risposte generate dai servizi di intelligenza artificiale (Mistral AI, Anthropic) sono indicative e non costituiscono consulenza legale, del lavoro o professionale.
  • Kinmu non garantisce l'accuratezza, la completezza o l'idoneità delle risposte generate dall'IA per scopi specifici.
  • L'utente è l'unico responsabile della verifica e validazione di qualsiasi configurazione di policy o informazione fornita dall'assistente IA prima di applicarla.
  • I fornitori di IA trattano i dati esclusivamente per generare risposte in tempo reale e si impegnano contrattualmente a non utilizzare tali dati per addestrare i propri modelli.

5. PERIODO DI CONSERVAZIONE DEI DATI

Kinmu conserva i dati personali per periodi specifici determinati da obblighi legali, necessità operative o adempimenti contrattuali. Una volta raggiunto il periodo di conservazione, i dati vengono eliminati in modo sicuro tramite distruzione crittografica o cancellazione fisica dei supporti.

I dati di controllo presenze e registrazione dell'orario di lavoro sono conservati per quattro anni dalla loro creazione, come richiesto dalla legislazione spagnola dell'Ispettorato del Lavoro in conformità con le normative di sicurezza sociale.

I dati relativi a assenze, congedi e riposi sono conservati per quattro anni dalla data di conclusione dell'assenza, necessari per la giustificazione davanti alle autorità del lavoro della legalità della registrazione dell'orario.

I dati di struttura organizzativa, team, dipartimento e gerarchia sono conservati per tutto il periodo in cui l'azienda cliente è utente attivo della piattaforma, ed eliminati trenta giorni dopo la cancellazione dell'abbonamento.

I dati delle conversazioni con il chat di intelligenza artificiale sono conservati per sei mesi dalla conversazione e poi eliminati automaticamente senza intervento dell'utente. L'utente può richiedere l'eliminazione immediata delle conversazioni contattando dpo@kinmu.app.

I dati tecnici di sessione (indirizzo IP anonimizzato, browser, timestamp) sono conservati per trenta giorni per l'analisi della sicurezza e il rilevamento di schemi di attacco.

I dati degli utenti eliminati sono conservati in forma anonimizzata per due anni per l'analisi statistica dell'utilizzo della piattaforma in modo da non consentire l'identificazione diretta o indiretta della persona.

I dati relativi a procedimenti amministrativi, contenziosi o indagini per frode sono conservati per la durata del procedimento più sei anni, in conformità con i termini di prescrizione.

6. MISURE DI SICUREZZA

Kinmu implementa misure tecniche, organizzative e legali per garantire la protezione dei dati personali contro accessi non autorizzati, divulgazione accidentale o intenzionale, alterazione, distruzione o danni. Le misure di sicurezza includono: crittografia dei dati in transito tramite protocollo TLS (Transport Layer Security) versione 1.3 o superiore per tutte le comunicazioni tra client e server Kinmu; crittografia dei dati a riposo tramite algoritmo AES-256 per tutti i record archiviati nei database; hashing irreversibile tramite algoritmo bcrypt per l'archiviazione delle password, rendendo impossibile recuperare le password originali; segmentazione di rete tramite firewall, con accesso ai dati limitato ai sistemi autorizzati; autenticazione a più fattori opzionale per gli utenti, con possibilità di attivare un secondo fattore tramite un'app di autenticazione; controllo degli accessi basato sui ruoli (RBAC) che limita l'accesso ai dati solo al personale Kinmu autorizzato; audit degli accessi tramite logging dettagliato di tutte le operazioni sui dati sensibili con timestamp, utente responsabile e azione eseguita; risposta agli incidenti di sicurezza con protocollo di escalation verso il responsabile della sicurezza in tempo reale.

I cookie e i token di autenticazione sono trasmessi con attributi di sicurezza: flag HttpOnly che impedisce la lettura tramite JavaScript e elimina i vettori di attacco XSS; flag Secure che limita la trasmissione alle connessioni HTTPS cifrate; attributo SameSite che impedisce l'invio di cookie cross-site ed elimina i vettori di attacco CSRF; scadenza automatica della sessione dopo trenta minuti di inattività; rinnovo automatico dei token JWT ogni sei ore.

L'accesso amministrativo all'infrastruttura è protetto da autenticazione a due fattori, rendendo impossibile l'accesso con una singola credenziale; host bastion intermedi per l'accesso ai server di database; divieto assoluto di memorizzare credenziali nel codice sorgente o nella configurazione dell'applicazione; audit di tutti gli accessi amministrativi.

7. NOTIFICA DI VIOLAZIONE DEI DATI

Se Kinmu rileva una Violazione dei Dati che compromette i dati personali degli utenti, incluso l'accesso non autorizzato, la divulgazione accidentale, la modifica o la distruzione dei dati, Kinmu procederà in conformità con l'articolo 33 del Regolamento (UE) 2016/679. Kinmu notificherà l'Autorità di controllo per la protezione dei dati (Agenzia spagnola per la protezione dei dati - AEPD) entro settantadue (72) ore dal rilevamento della violazione. Kinmu fornirà all'AEPD: una descrizione della natura della violazione, una stima del numero di persone interessate, una descrizione dei dati compromessi, le probabili conseguenze della violazione, le misure adottate per contenere la violazione e le misure proposte per mitigare l'impatto.

Se la violazione della sicurezza comporta un rischio elevato per i diritti e le libertà degli utenti (incluso rischio di discriminazione, danno finanziario, furto d'identità o divulgazione pubblica di dati sensibili), Kinmu notificherà l'utente interessato senza indebito ritardo tramite e-mail all'indirizzo registrato, in un linguaggio chiaro e comprensibile. La notifica includerà: una descrizione della natura della violazione, il tipo di dati compromessi, le misure tecniche adottate per il contenimento, le misure raccomandate all'utente per l'autoprotection, e un riferimento di contatto presso Kinmu per ulteriori richieste (dpo@kinmu.app).

Kinmu manterrà un registro documentato di tutte le violazioni della sicurezza, anche se non richiedono notifica a causa di basso rischio, con il registro disponibile per revisione da parte dell'AEPD in caso di indagine.

8. DIRITTI DELL'UTENTE

In conformità agli articoli 15-22 del Regolamento (UE) 2016/679, l'utente ha riconosciuti i seguenti diritti sui propri dati personali:

Diritto di accesso (Articolo 15): l'utente ha il diritto di ottenere conferma che Kinmu tratti o meno i propri dati personali e, in tal caso, di riceverne una copia in un formato strutturato, di uso comune e leggibile da macchina. Questo diritto può essere esercitato una volta per mese solare senza costi. Per esercitare il diritto di accesso, l'utente deve contattare dpo@kinmu.app indicando \"Richiesta di accesso ai sensi dell'Articolo 15 GDPR\", e Kinmu fornirà una copia completa dei dati entro un massimo di trenta giorni.

Diritto di rettifica (Articolo 16): l'utente ha il diritto di richiedere la correzione di dati inesatti o incompleti. L'utente può aggiornare direttamente sulla piattaforma le informazioni del profilo (nome, e-mail, fotografia) con effetto immediato. I dati di registrazione delle presenze non sono rettificabili dall'utente stesso ma dall'amministratore dell'azienda cliente o su richiesta al supporto Kinmu.

Diritto alla cancellazione (Articolo 17): l'utente ha il diritto di richiedere la cancellazione dei propri dati personali in circostanze specifiche, tra cui quando i dati non sono più necessari alle finalità per cui sono stati raccolti, quando l'utente revoca il consenso su cui si basa il trattamento, o quando il trattamento è illecito. Tuttavia, Kinmu può conservare i dati se sussiste un obbligo legale di conservazione (conformità alla normativa sul lavoro) o un interesse legittimo prevalente (difesa dei diritti legali in giudizio). L'utente che desidera esercitare il diritto alla cancellazione deve contattare dpo@kinmu.app, e Kinmu valuterà la richiesta e risponderà entro trenta giorni.

Diritto alla limitazione del trattamento (Articolo 18): l'utente ha il diritto di richiedere la limitazione del trattamento dei propri dati, con dati conservati ma non trattati per finalità specifiche. Questa richiesta è utile quando l'utente contesta l'esattezza dei dati (limitazione durante l'indagine), quando l'utente considera il trattamento illecito ma si oppone alla cancellazione, o quando esercita il diritto di opposizione. I dati limitati saranno trattati solo per la difesa dei diritti legali di Kinmu, l'adempimento di un obbligo legale o con il consenso esplicito dell'utente.

Diritto alla portabilità dei dati (Articolo 20): l'utente ha il diritto di ricevere i propri dati personali in formato strutturato (tipicamente JSON o CSV) e di trasmetterli a un altro titolare del trattamento. Questo diritto consente all'utente di cambiare piattaforma mantenendo i propri dati storici. L'utente deve contattare dpo@kinmu.app indicando \"Richiesta di portabilità ai sensi dell'Articolo 20 GDPR\", e Kinmu fornirà i dati in un formato elettronico strutturato entro un massimo di trenta giorni. I dati esportati includono: profilo utente, storico delle presenze, richieste di assenza, configurazione team/dipartimento e conversazioni di chat IA.

Diritto di opposizione (Articolo 21): l'utente ha il diritto di opporsi al trattamento dei propri dati basato sul legittimo interesse di Kinmu. Le opposizioni specifiche includono: opposizione al trattamento per la rilevazione di frodi (con il rischio che comportamenti fraudolenti non vengano rilevati), opposizione all'analisi delle tendenze di utilizzo per il miglioramento tecnico della piattaforma, opposizione alle comunicazioni commerciali o di marketing di Kinmu. Tuttavia, l'utente non può opporsi ai trattamenti obbligatori per legge.

Diritto di non essere sottoposto a decisioni automatizzate (Articolo 22): l'utente ha il diritto di non essere sottoposto a decisioni che producano effetti giuridici o lo riguardino significativamente quando tali decisioni si basano unicamente su un trattamento automatizzato (inclusa la profilazione). Tuttavia, Kinmu non implementa attualmente decisioni automatizzate che incidano sull'utente oltre a raccomandazioni tecniche; tutte le decisioni lavorative (approvazione delle assenze, misure disciplinari, modifiche contrattuali) restano responsabilità di una persona fisica rappresentante dell'azienda cliente.

Per esercitare qualsiasi diritto, l'utente deve contattare dpo@kinmu.app, fornendo un'identificazione chiara della richiesta, i dati personali interessati e il fondamento del diritto esercitato. Kinmu risponderà entro un massimo di trenta giorni. Se la richiesta è particolarmente complessa o richiede una verifica d'identità aggiuntiva, Kinmu può prorogare il termine fino a sessanta giorni con comunicazione motivata.

9. DATI DEI MINORI

La piattaforma Kinmu non è progettata né destinata a persone di età inferiore a diciotto (18) anni. Kinmu non raccoglie consapevolmente dati personali di utenti minorenni. Nel caso eccezionale in cui un minore acceda alla piattaforma, Kinmu richiede il consenso di un genitore o tutore legale per qualsiasi trattamento. Se Kinmu scopre che dati personali sono stati raccolti da un minore senza il consenso richiesto, tali dati verranno eliminati immediatamente.

10. COMUNICAZIONI E MARKETING

Kinmu utilizzerà i dati e-mail dell'utente per inviare comunicazioni transazionali essenziali per il funzionamento del servizio, tra cui la conferma di registrazione, il recupero della password, le notifiche di modifiche di policy, gli avvisi di sicurezza e le risposte alle richieste di supporto tecnico.

Kinmu non utilizza i dati personali degli utenti per marketing, pubblicità o comunicazioni commerciali proattive rivolte individualmente all'utente. Kinmu non vende, cede o commercia dati personali degli utenti a terzi per finalità di marketing o pubblicità. Se in futuro Kinmu implementerà l'invio di comunicazioni di marketing (newsletter, aggiornamenti di prodotto, promozioni), sarà richiesto un consenso esplicito e separato prima dell'invio, e l'utente potrà disiscriversi in qualsiasi momento tramite il link incluso in ogni comunicazione o contattando dpo@kinmu.app.

11. CONSENSO PER LA CHAT DI INTELLIGENZA ARTIFICIALE

L'utilizzo della funzionalità di chat di intelligenza artificiale è opzionale e richiede il consenso esplicito e separato dell'utente, distinto dal consenso generale all'uso della piattaforma. L'utente sarà espressamente informato prima di attivare la chat IA che: (i) le conversazioni saranno elaborate da un terzo specializzato (Mistral AI) nell'ambito di un accordo di trattamento dati; (ii) Mistral AI non utilizza i dati delle conversazioni per addestrare i propri modelli; (iii) le conversazioni sono private e non accessibili a un manager o amministratore aziendale; (iv) le risposte della chat sono indicative e non costituiscono una garanzia di accuratezza legale o lavorativa; (v) l'utente può revocare il consenso disattivando la funzionalità in qualsiasi momento senza penalità.

I dati delle conversazioni sono conservati per sei mesi e poi eliminati automaticamente. L'utente può richiedere l'eliminazione immediata contattando dpo@kinmu.app.

12. MODIFICHE A QUESTA INFORMATIVA

Kinmu si riserva il diritto di modificare la presente Informativa sulla privacy in qualsiasi momento per adattarsi a cambiamenti legislativi, nuove pratiche di sicurezza, implementazione di nuove funzionalità o cambiamenti nell'architettura tecnica. Le modifiche sostanziali saranno comunicate via e-mail con almeno trenta (30) giorni di preavviso, e l'utente potrà annullare il proprio abbonamento durante il periodo di preavviso senza penali se non accetta le modifiche.

La versione in vigore sarà sempre accessibile all'indirizzo https://kinmu.app/it/privacy. La continuazione dell'utilizzo della piattaforma dopo la data di entrata in vigore delle modifiche costituisce accettazione delle stesse.

13. GIURISDIZIONE E AUTORITÀ DI CONTROLLO

La presente Informativa sulla privacy è disciplinata dalla normativa spagnola ed europea in materia di protezione dei dati, con l'autorità di controllo competente che è l'Agenzia spagnola per la protezione dei dati (AEPD). L'utente ha il diritto di presentare un reclamo all'AEPD se ritiene che il trattamento dei propri dati da parte di Kinmu violi la normativa applicabile; i reclami possono essere presentati all'indirizzo: www.aepd.es o per posta a: C/ Jorge Juan, 6, 28001 Madrid.

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, Spain
CIF: B24996803
https://kinmu.app