Informativa sulla privacy

La presente informativa descrive come vengono trattati i dati personali in relazione alla piattaforma NextPA, software gestito da Versadia SRL ("Versadia", "noi").

NextPA è un servizio cloud multi-tenant destinato ai Comuni italiani e al loro personale autorizzato, per l'archiviazione, l'indicizzazione e l'interrogazione assistita di documenti amministrativi.

L'informativa si applica agli utenti che accedono al servizio (dipendenti, collaboratori o incaricati del Comune) e alle informazioni di contatto utilizzate per inviti e assistenza.

Nel modello contrattuale tipico di NextPA:

Il Comune ente che utilizza il servizio (ciascun "tenant") è Titolare del trattamento dei dati contenuti nei documenti caricati, nei messaggi delle conversazioni e nei dati degli utenti del proprio ente, in quanto determina finalità e mezzi con riferimento alle proprie attività istituzionali.

Versadia SRL agisce come Responsabile del trattamento (art. 28 GDPR) per il trattamento effettuato per conto del Comune nell'ambito del servizio, secondo quanto previsto dal contratto o dall'ordine di servizio tra le parti.

Per i trattamenti strettamente necessari alla gestione commerciale del rapporto con Versadia (es. richieste al supporto, fatturazione, sicurezza della piattaforma a livello fornitore), Versadia SRL può agire come Titolare autonomo: in tal caso i riferimenti per l'esercizio dei diritti sono indicati al punto 10.

Possono essere trattate, a seconda dell'utilizzo del servizio, le seguenti categorie:

• Dati identificativi e di contatto: nome, cognome, indirizzo email istituzionale, ruolo, appartenenza al Comune.
• Dati di autenticazione: credenziali gestite tramite provider di identity (Supabase Auth); Versadia non conserva le password in chiaro.
• Dati di utilizzo: log di accesso, operazioni registrate (audit log), metadati su caricamenti, conversazioni e ricerche.
• Contenuti: documenti amministrativi caricati dagli utenti autorizzati, estratti di testo (chunk), sintesi, domande e risposte nelle chat, con eventuali riferimenti alle fonti.
• Dati tecnici: indirizzo IP, identificativi di sessione, cookie tecnici (vedi Cookie Policy).

I dati sono trattati per le seguenti finalità principali:

• Erogazione del servizio contrattuale (art. 6.1.b GDPR): accesso alla piattaforma, gestione documenti, chat e ricerca, inviti utenti, amministrazione del tenant.
• Adempimento di obblighi di legge (art. 6.1.c): conservazione di log e documentazione richiesta dalla normativa applicabile.
• Legittimo interesse del Titolare/Responsabile (art. 6.1.f): sicurezza, prevenzione abusi, miglioramento tecnico, supporto agli utenti autorizzati, nel rispetto dei diritti degli interessati.
• Per trattamenti che richiedono consenso (es. comunicazioni marketing da parte di Versadia, se mai attivate): solo previo consenso esplicito, revocabile in ogni momento.

Il servizio utilizza modelli di intelligenza artificiale (forniti da terze parti) per generare embedding, sintesi e risposte nelle chat, limitatamente ai documenti del Comune selezionati secondo i permessi configurati.

I contenuti inviati ai provider AI sono trattati per erogare la funzionalità richiesta dall'utente autorizzato; non utilizziamo i dati dei Comuni per addestrare modelli pubblici, fatto salvo quanto espressamente previsto dalle impostazioni contrattuali del provider e dalla configurazione scelta da Versadia.

Per maggiori informazioni su limiti, trasparenza e uso responsabile dell'IA, consulta le Note sull'uso dell'intelligenza artificiale.

I dati possono essere trattati da personale autorizzato di Versadia e del Comune, nonché da fornitori tecnologici che agiscono come responsabili o sub-responsabili, tra cui a titolo esemplificativo:

• Supabase (database, autenticazione, storage file) — hosting configurabile in area UE.
• OpenAI (embedding e modelli linguistici per chat e sintesi).
• Qdrant Cloud (ricerca vettoriale sui testi indicizzati).
• Vercel (hosting applicazione).
• Inngest (elaborazione asincrona documenti).

Alcuni fornitori possono trattare dati anche al di fuori dello Spazio Economico Europeo. In tal caso Versadia adotta garanzie appropriate (es. Clausole Contrattuali Standard della Commissione Europea, misure supplementari) e, ove possibile, preferisce configurazioni con residenza dei dati in UE.

Il Comune titolare è tenuto a valutare il trattamento nel proprio contesto istituzionale e, se necessario, formalizzare gli accordi con Versadia e i sub-responsabili.

I dati sono conservati per il tempo necessario all'erogazione del servizio e agli obblighi di legge:

Documenti e conversazioni: fino a cancellazione da parte degli amministratori del Comune o cessazione del contratto, salvo diversa policy concordata con il Comune.

Account utente: per la durata del rapporto con il Comune; in caso di disattivazione, i dati possono essere conservati in forma limitata per obblighi legali o contenziosi.

Log di audit: secondo policy interna di Versadia e del Comune (tipicamente 12–24 mesi, salvo normativa speciale).

Chat archiviate dall'utente (eliminazione logica): i record possono restare nel database con marcatura di cancellazione, senza essere mostrati nell'interfaccia.

Versadia adotta misure tecniche e organizzative adeguate, tra cui: isolamento multi-tenant (RLS su database), controllo accessi basato su ruoli, crittografia in transito (HTTPS), chiavi API solo lato server, validazione upload, rate limiting, registro attività.

Nessuna misura può garantire sicurezza assoluta: gli utenti devono custodire le credenziali e segnalare accessi sospetti.

In qualità di interessato puoi esercitare i diritti previsti dagli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) rivolgendoti:

— al Comune titolare, per i dati relativi ai documenti e all'attività svolta nell'ambito istituzionale;

— a Versadia SRL, all'indirizzo info@versadia.dev, per i trattamenti in cui Versadia è titolare o per supporto nell'inoltro della richiesta al Comune quando Versadia è responsabile.

Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

NextPA non è destinato al pubblico generico né ai minori: l'accesso è riservato a soggetti autorizzati dal Comune. Non raccogliamo consapevolmente dati di minori.

La presente informativa può essere aggiornata. La data dell'ultima revisione è indicata in calce. Per modifiche rilevanti, Versadia informerà i Comuni clienti e, ove opportuno, gli utenti tramite avviso in piattaforma.

Versadia SRL

Email privacy: info@versadia.dev

Email assistenza: info@versadia.dev

Sito web: https://www.versadia.dev/