INFORMATIVA PRIVACY

 1. PREMESSA

La presente Informativa Privacy disciplina il trattamento dei dati personali degli utenti che accedono al sito web www.how-r.com e alla piattaforma www.howar.cloud (collettivamente: "Sito"), si registrano sui nostri servizi, o condividono informazioni personali attraverso i nostri canali di contatto (collettivamente: "Utenti").

Questa informativa è redatta in conformità agli obblighi derivanti da:

- Regolamento UE 2016/679 (GDPR) 

- Regolamento UE 2024/1689 (AI Act)

- D.lgs. 196/2003 (Codice Privacy italiano)

- DDL 1146/24 (Disciplina italiana dell'IA)

- D.lgs. 138/2024 (Decreto NIS2)

Il trattamento dei dati personali è guidato dai principi di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, integrità e riservatezza.


 2. TITOLARE DEL TRATTAMENTO

HOWAR S.R.L. 

Sede legale: Via Filippo Turati 40, 20121 Milano (MI), Italia 

Codice Fiscale e P.IVA: IT13879470964 

REA: MI-2749678 

PEC: howar@arubapec.it 

Per qualsiasi questione relativa alla presente Privacy Policy, ai tuoi dati personali o alla protezione dati sul Sito, puoi contattarci ai seguenti recapiti:

๐Ÿ“ง Email: info@how-r.com 

๐Ÿ“ง DPO (Data Protection Officer): info@how-r.com 

๐Ÿ“ง AI Compliance: info@how-r.com 


 3. RUOLI NEL TRATTAMENTO DATI

 3.1 Configurazioni Privacy

HOWAR come TITOLARE del trattamento:

- Per clienti diretti che utilizzano i servizi per la propria organizzazione

- Per dati di registrazione, fatturazione e gestione contrattuale

- Per finalità di miglioramento servizi tramite dati anonimizzati

HOWAR come RESPONSABILE del trattamento:

- Quando consulenti utilizzano i servizi per conto di clienti terzi

- Il consulente rimane Titolare per i dati del proprio cliente finale

- HOWAR opera secondo istruzioni contrattuali specifiche

Sub-Responsabili esterni:

- Anthropic Ireland Limited (elaborazione IA)

- Register S.p.A. (hosting e infrastruttura)

- PayPal (gestione pagamenti)


4. BASE GIURIDICA E FINALITÀ DEL TRATTAMENTO

 4.1 Base Giuridica

Il trattamento dei dati personali si basa su:

Art. 6.1.b GDPR - Esecuzione del contratto:

- Erogazione dei servizi richiesti

- Gestione dell'account utente

- Fatturazione e adempimenti contrattuali

Art. 6.1.f GDPR - Interesse legittimo:

- Miglioramento dei servizi tramite analisi aggregate anonimizzate

- Sicurezza informatica e prevenzione frodi

- Marketing diretto per servizi similari

Art. 6.1.c GDPR - Obbligo legale:

- Adempimenti fiscali e contabili

- Conformità normativa (GDPR, AI Act, normative italiane)

Consenso (Art. 6.1.a GDPR):

- Solo per specifiche attività di marketing non essenziali

- Sempre revocabile senza compromettere la liceità del trattamento pregresso


 4.2 Finalità Specifiche

EROGAZIONE SERVIZI:

- Gestione registrazione e accesso alla piattaforma

- Elaborazione assessment organizzativi tramite algoritmi proprietari e sistemi IA

- Generazione report personalizzati attraverso Anthropic Claude

- Assistenza tecnica e supporto clienti

CONFORMITÀ AI ACT (Regolamento UE 2024/1689):

- Trasparenza completa sull'utilizzo di sistemi IA generativa

- Supervisione umana dei processi automatizzati 

- Documentazione e tracciabilità delle operazioni IA

- Etichettatura chiara dei contenuti generati artificialmente

GESTIONE COMMERCIALE:

- Comunicazioni di servizio e aggiornamenti tecnici

- Fatturazione elettronica e gestione pagamenti

- Adempimenti contrattuali e normativi

MIGLIORAMENTO SERVIZI (solo dati anonimizzati):

- Benchmarking settoriale e analisi statistiche aggregate

- Sviluppo di nuove funzionalità e metodologie

- Ricerca e sviluppo su standard organizzativi

- Ottimizzazione algoritmi proprietari


 5. TIPOLOGIE DI DATI TRATTATI

 5.1 Dati di Registrazione

- Dati identificativi: Nome, cognome, email aziendale

- Dati aziendali: Denominazione, settore, P.IVA (se richiesta)

- Informazioni di fatturazione: Indirizzo, dati fiscali necessari per emissione fatture

 5.2 Dati Organizzativi per Assessment

- Informazioni generali aziendali: Settore di attività, dimensioni organizzative, modalità di lavoro

- Risposte ai questionari: Valutazioni qualitative e quantitative sui parametri organizzativi

- Denominazione cliente finale: Solo se inserita volontariamente dall'utente consulente

 5.3 Dati di Utilizzo Tecnico

- Log di accesso: Indirizzo IP, timestamp, pagine visitate

- Informazioni dispositivo: Tipo di browser, sistema operativo, preferenze linguistiche

- Dati di navigazione: Click, azioni, percorsi di navigazione per ottimizzazione UX

 5.4 Comunicazioni

- Corrispondenza: Email di supporto, chat di assistenza, feedback forniti

- Valutazioni: Rating e commenti sui servizi ricevuti


 6. UTILIZZO DI SISTEMI DI INTELLIGENZA ARTIFICIALE

 6.1 Trasparenza AI Act

HOWAR utilizza sistemi di IA generativa forniti da Anthropic Ireland Limited per:

- Elaborazione automatica delle risposte ai questionari

- Generazione di insights personalizzati e raccomandazioni

- Produzione automatica di report di analisi organizzativa

- Interpretazione e sintesi dei dati raccolti

โš ๏ธ AVVISO DI UTILIZZO IA: I contenuti dei report sono generati attraverso sistemi di intelligenza artificiale. Sebbene Claude utilizzi tecnologie avanzate di elaborazione del linguaggio naturale, l'accuratezza e la precisione delle analisi sono soggette alle limitazioni intrinseche della tecnologia IA generativa attuale.

 6.2 Limitazioni e Responsabilità

Le informazioni contenute nei report generati tramite IA sono fornite esclusivamente a scopo informativo e non devono essere considerate come:

- Consulenza professionale legale, fiscale o psicologica

- Valutazioni cliniche o diagnostiche

- Decisioni automatizzate con effetti giuridici vincolanti

- Pareri definitivi sulla gestione organizzativa

La supervisione umana è sempre garantita attraverso:

- Revisione degli algoritmi proprietari HOWAR

- Validazione dei parametri di input

- Controllo qualità sui report generati

- Assistenza tecnica qualificata per l'interpretazione dei risultati

 6.3 Sicurezza e Conformità IA

Anthropic Ireland Limited opera in conformità a:

- Data Processing Agreement GDPR-compliant

- Server europei per dati UE quando disponibili

- Compliance AI Act per modelli di finalità generali (GPAI)

- Crittografia end-to-end e controlli accesso rigorosi

- Politiche di non-training sui dati clienti

Maggiori informazioni: [https://trust.anthropic.com](https://trust.anthropic.com)


7. CONSULENTI E CLIENTI FINALI

 7.1 Utilizzo da Parte di Consulenti

Se sei un consulente che utilizza i nostri servizi per conto di clienti terzi:

I tuoi obblighi:

- โœ… Ottenere preventiva autorizzazione scritta dal cliente finale

- โœ… Informare il cliente finale su modalità e finalità del trattamento 

- โœ… Evitare l'inserimento del nome del cliente quando non necessario

- โœ… Utilizzare codici interni o riferimenti anonimi per identificare gli assessment

- โœ… Garantire di avere titolo giuridico per condividere i dati organizzativi del cliente

Se devi inserire il nome del cliente finale, dichiari e garantisci di:

- Aver ottenuto tutti i consensi necessari dal cliente finale

- Essere legittimato contrattualmente a condividere tali informazioni

- Aver informato il cliente finale sui suoi diritti privacy

 7.2 Raccolta Minima dei Dati

HOWAR adotta il principio di minimizzazione dei dati:

- Raccogliamo solo i dati strettamente necessari per l'assessment

- Se il nome del cliente finale non è necessario, evitiamo di richiederlo

- Incoraggiamo l'uso di identificatori anonimi o codici interni

- Possibilità di rimuovere campi di testo libero quando non indispensabili

 7.3 Diritti del Cliente Finale

Se sei il cliente finale di un consulente che utilizza i nostri servizi:

- Hai diritto di conoscere modalità e finalità del trattamento

- Puoi esercitare tutti i diritti GDPR tramite il consulente o direttamente con noi

- Il consulente è tenuto a facilitare l'esercizio dei tuoi diritti

- Puoi opporti al trattamento dei tuoi dati aziendali


 8. CONDIVISIONE E TRASFERIMENTI INTERNAZIONALI

 8.1 Destinatari dei Dati

Condividiamo i tuoi dati solo con:

Sub-Responsabili tecnici necessari:

- Anthropic Ireland Limited (Dublino, Irlanda) - Elaborazione IA

- Register S.p.A. (Firenze, Italia) - Hosting e infrastruttura

- PayPal (varie giurisdizioni) - Gestione pagamenti

Autorità pubbliche (solo se richiesto per legge):

- Autorità fiscali per adempimenti tributari

- Autorità giudiziarie in caso di indagini legittime

- Garante Privacy o autorità di controllo competenti

 8.2 Trasferimenti Extra-UE

Per clienti nell'Unione Europea:

- I dati sono trattati prioritariamente in server europei

- Trasferimenti extra-UE solo con adeguate garanzie (Adequacy Decisions, Standard Contractual Clauses)

- Piena conformità GDPR per tutti i trasferimenti

Per clienti Extra-UE:

- Applicazione volontaria degli standard GDPR per garantire massima protezione

- Riconoscimento della giurisdizione italiana attraverso l'accettazione dei nostri Termini

- Responsabilità del cliente per la conformità alle normative locali del proprio paese

- Possibilità di clausole contrattuali specifiche per trasferimenti verso paesi terzi

 8.3 Garanzie di Protezione

Tutte le condivisioni avvengono con:

- Contratti di Sub-Responsabilità conformi GDPR

- Misure tecniche di sicurezza (crittografia AES-256, TLS 1.3)

- Audit periodici sui fornitori

- Limitazione della finalità al solo scopo contrattuale

- Proibizione di sub-trattamento non autorizzato


9. UTILIZZO DI DATI ANONIMIZZATI

 9.1 Finalità Statistiche e di Benchmarking

Utilizziamo informazioni generali aziendali e risposte agli assessment in forma rigorosamente anonimizzata per:

- Benchmarking settoriale: Confronto prestazioni tra settori e dimensioni aziendali

- Miglioramento assessment: Ottimizzazione metodologie e algoritmi proprietari

- Ricerca e sviluppo: Sviluppo di standard organizzativi anonimi

- Analisi statistiche: Trend di mercato e insight settoriali aggregati

 9.2 Processo di Anonimizzazione

Tecniche utilizzate conformi a ISO 27001 e Linee Guida EDPB:

- Rimozione di tutti gli identificatori diretti (nomi, email, P.IVA)

- Aggregazione statistica su coorti significative (min. 50 aziende)

- Generalizzazione dei parametri specifici

- Soppressione di dati outlier potenzialmente riidentificanti

- Test di riidentificazione per verificare l'efficacia dell'anonimizzazione

 9.3 Irrevocabilità

โš ๏ธ IMPORTANTE: Una volta anonimizzati, i dati non possono più essere associati a singoli utenti. Per questo motivo, le richieste di cancellazione di dati anonimizzati non possono essere accolte, in quanto tecnicamente impossibili da soddisfare.


 10. CONSERVAZIONE DEI DATI

 10.1 Periodi di Retention

Report di Assessment: 90 giorni dalla completamento dell'assessment

- Dopo tale periodo i report vengono cancellati automaticamente

- Non è più possibile ottenere copie dei report scaduti

- Possibilità di scaricare il report entro il termine

Dati di Registrazione: Durata del rapporto contrattuale + 10 anni

- Per adempimenti fiscali e contabili (art. 2220 Codice Civile)

- Per eventuali contenziosi legali (art. 2947 Codice Civile) 

- Cancellazione automatica alla scadenza

Dati di Comunicazione: 3 anni dalla chiusura della pratica

- Email di supporto e assistenza tecnica

- Chat di assistenza e feedback ricevuti

- Log di customer care

Dati di Navigazione: 25 mesi dalla raccolta

- Conformemente alle linee guida Garante Privacy

- Per finalità statistiche e di sicurezza informatica

 10.2 Cancellazione Account

Se elimini il tuo account:

- Tutti i report associati vengono cancellati immediatamente

- I dati di registrazione sono conservati per soli adempimenti fiscali obbligatori per legge

- I dati anonimizzati non possono essere cancellati (irrevocabilmente anonimizzati)

 10.3 Cessazione Servizi

HOWAR si riserva il diritto di cessare i servizi con 60 giorni di preavviso. In tal caso:

- Rimborso proporzionale per crediti non utilizzati

- Periodo di grazia di 30 giorni per scaricare i report attivi

- Cancellazione definitiva di tutti i dati personali non soggetti a obblighi di legge


11. SICUREZZA E MISURE TECNICHE

 11.1 Infrastruttura e Hosting

Register S.p.A. - Specifiche tecniche:

- Data Center: Reading (UK) - Certificazione Tier 3+, ISO 27001

- Ridondanza: Alimentazione N+1, climatizzazione duplicata 

- Connettività: Provider Tier 1 con ridondanza geografica

- Monitoraggio: 24/7 con SOC dedicato

Sicurezza implementata:

- Crittografia: AES-256 per dati a riposo, TLS 1.3 per dati in transito

- Controlli accesso: Autenticazione multi-fattore per amministratori

- Backup: Automatici giornalieri con retention 30 giorni

- Disaster Recovery: Piano testato semestralmente

 11.2 Conformità NIS2

Sebbene HOWAR non rientri nell'ambito di applicazione del D.lgs. 138/2024 (Decreto NIS2), implementiamo volontariamente misure di sicurezza informatica conformi alle best practice del settore:

- Politiche di analisi dei rischi e sicurezza dei sistemi

- Gestione incidenti con procedure di notifica strutturate 

- Continuità operativa con backup e disaster recovery

- Sicurezza catena approvvigionamento con audit sui fornitori

- Formazione personale su cybersecurity e privacy

- Uso di crittografia per tutti i dati sensibili

- Autenticazione multi-fattore per accessi privilegiati

 11.3 Limitazioni

Nessun sistema online è sicuro al 100%. Sebbene implementiamo misure di sicurezza appropriate, non possiamo garantire assoluta sicurezza contro:

- Attacchi informatici sofisticati

- Eventi di forza maggiore 

- Vulnerabilità zero-day non note

- Comportamenti negligenti degli utenti

È responsabilità dell'utente:

- Mantenere riservate le proprie credenziali di accesso

- Utilizzare password sicure e uniche

- Segnalare tempestivamente eventuali anomalie


12. I TUOI DIRITTI

 12.1 Diritti GDPR

Hai il diritto di:

๐Ÿ” ACCESSO (Art. 15 GDPR):

- Ricevere conferma se trattiamo tuoi dati personali

- Ottenere copia dei dati e informazioni sul trattamento

- Conoscere finalità, destinatari, periodo di conservazione

๐Ÿ“ RETTIFICA (Art. 16 GDPR):

- Correggere dati personali inesatti o incompleti

- Completare dati mancanti rilevanti per le finalità

๐Ÿ—‘๏ธ CANCELLAZIONE - "Diritto all'Oblio" (Art. 17 GDPR):

- Ottenere cancellazione quando non più necessari

- Eccezione: Dati necessari per obblighi legali (fatturazione, fisco)

- Limitazione: Dati già anonimizzati (tecnicamente non cancellabili)

๐Ÿ“‹ PORTABILITÀ (Art. 20 GDPR):

- Ricevere i tuoi dati in formato strutturato e machine-readable

- Trasmettere i dati a un altro titolare senza impedimenti

โ›” OPPOSIZIONE (Art. 21 GDPR):

- Opporti al trattamento basato su interesse legittimo

- Opporti sempre al marketing diretto

- Eccezione: Motivi legittimi cogenti del titolare

โธ๏ธ LIMITAZIONE (Art. 18 GDPR):

- Ottenere sospensione temporanea del trattamento

- In caso di contestazione accuratezza o liceità

โŒ REVOCA CONSENSO (Art. 7.3 GDPR):

- Revocare consenso per trattamenti consensuali

- Senza effetti retroattivi su trattamenti precedenti

 12.2 Modalità di Esercizio

Per esercitare i tuoi diritti:

๐Ÿ“ง Email: info@how-r.com 

๐Ÿ“ง DPO: info@how-r.com 

๐Ÿ“ฎ Posta: HOWAR S.R.L., Via Filippo Turati 40, 20121 Milano (MI) 

Risposta entro 30 giorni (prorogabili di 60 in casi complessi) 

Servizio gratuito (salvo richieste manifestamente infondate)

 12.3 Reclamo all'Autorità

Hai diritto di presentare reclamo al Garante Privacy:

Garante per la Protezione dei Dati Personali 

Piazza Venezia 11, 00187 Roma 

๐Ÿ“ž Tel: +39 06 696771 

๐ŸŒ Web: www.gpdp.it 

๐Ÿ“ง Email: garante@gpdp.it 

Per clienti extra-UE: Diritto di reclamo presso l'autorità del paese di residenza, se applicabile.


13. CLIENTI EXTRA-UNIONE EUROPEA

 13.1 Applicazione Standard Europei

HOWAR applica volontariamente gli standard GDPR anche per clienti localizzati al di fuori dell'Unione Europea, garantendo:

- Stessi livelli di protezione dei dati

- Identici diritti privacy

- Medesime misure di sicurezza

- Pari trasparenza informativa

 13.2 Giurisdizione e Legge Applicabile

Accettando i nostri servizi, i clienti extra-UE:

- Riconoscono la giurisdizione italiana (Foro di Milano)

- Accettano l'applicazione del diritto italiano e normative europee

- Si impegnano alla conformità alle proprie normative locali

- Possono richiedere clausole specifiche per settori regolamentati

 13.3 Trasferimenti Internazionali

Per clienti in paesi terzi:

- Standard Contractual Clauses quando richiesto

- Adequacy Decisions della Commissione Europea quando disponibili

- Clausole di salvaguardia per paesi senza adeguato livello di protezione

- Deroghe specifiche ex art. 49 GDPR per necessità contrattuali

 13.4 Conformità Locale

Il cliente extra-UE è responsabile di:

- Verificare la conformità alle normative del proprio paese

- Ottenere eventuali autorizzazioni locali necessarie

- Informare HOWAR di specifiche limitazioni normative

- Gestire eventuali obblighi di localizzazione dei dati


14. FORNITORI E PARTNER TECNOLOGICI

 14.1 Register S.p.A. (Hosting)

Sede: Viale della Giovine Italia 17, 50122 Firenze, Italia 

Servizi: Hosting, infrastruttura, sicurezza informatica 

Conformità: GDPR, ISO 27001, PCI-DSS 

Maggiori informazioni: [www.register.it](https://www.register.it)

 14.2 Anthropic Ireland Limited (Intelligenza Artificiale)

Sede: 6th Floor, South Bank House, Barrow Street, Dublin 4, D04 TR29, Irlanda 

Servizi: Modelli di IA generativa (Claude), elaborazione linguaggio naturale 

Conformità: GDPR, AI Act, SOC 2 Type II 

Privacy Policy: [https://www.anthropic.com/legal/privacy](https://www.anthropic.com/legal/privacy) 

Trust Center: [https://trust.anthropic.com](https://trust.anthropic.com)

Garanzie specifiche:

- Data Processing Agreement GDPR-compliant

- Server europei per dati UE quando tecnicamente disponibili

- Crittografia end-to-end per tutti i trasferimenti

- Politica di non-training sui dati dei clienti

- Controlli di accesso rigorosi e audit regolari

- Compliance AI Act per modelli foundation di uso generale

 14.3 PayPal (Gestione Pagamenti)

Servizi: Processing pagamenti, fatturazione elettronica 

Conformità: PCI-DSS, GDPR, normative bancarie internazionali 

Privacy Policy: [https://www.paypal.com/webapps/mpp/ua/privacy-full](https://www.paypal.com/webapps/mpp/ua/privacy-full)

Dati trattati:

- Informazioni di pagamento e fatturazione

- Dati di identificazione per compliance antiriciclaggio

- Log transazionali per contabilità e fisco

 14.4 Controlli sui Fornitori

HOWAR garantisce:

- Audit annuali su tutti i sub-responsabili

- Verifica certificazioni di sicurezza e conformità

- Clausole contrattuali specifiche per protezione dati

- Piani di contingency in caso di inadempimento fornitori

- Valutazione continua dei rischi della catena di approvvigionamento


15. MODIFICHE ALLA PRIVACY POLICY

 15.1 Aggiornamenti Normativi

HOWAR si riserva il diritto di modificare questa Privacy Policy per:

- Adeguamenti normativi (aggiornamenti GDPR, AI Act, NIS2, normative italiane)

- Evoluzioni tecnologiche dei servizi o miglioramenti sicurezza

- Cambiamenti organizzativi o nuovi partner tecnologici

- Feedback autorità di controllo o decisioni giurisprudenziali

 15.2 Procedura di Modifica

Comunicazione delle modifiche:

- 30 giorni di preavviso tramite email agli utenti registrati

- Pubblicazione della nuova versione sul sito web

- Versioning con data e registro delle modifiche

- Comparazione con versione precedente nell'area privacy del sito

Modifiche sostanziali (es. nuove finalità, nuovi destinatari):

- Richiesta di nuovo consenso quando richiesto da GDPR

- Diritto di opposizione con cancellazione account

- Periodo di transizione per adattamento

 15.3 Archivio Versioni

Consultabile su richiesta:

- Tutte le versioni precedenti della Privacy Policy

- Date di efficacia e principali modifiche apportate

- Ragioni delle modifiche per trasparenza


 16. CONSENSO E ACCETTAZIONE

 16.1 Modalità di Consenso

Registrandoti sul nostro Sito e utilizzando i nostri servizi:

- Presti consenso informato a questa Privacy Policy

- Accetti i termini per il trattamento dei tuoi dati personali

- Confermi di aver letto e compreso le finalità e modalità del trattamento

 16.2 Consensi Specifici

Per determinate attività potremmo richiedere consensi aggiuntivi:

- Marketing non diretto (newsletter, eventi, promozioni)

- Utilizzo dati per ricerca e sviluppo oltre l'anonimizzazione

- Condivisione con partner commerciali per servizi integrati

- Profilazione avanzata per personalizzazione servizi

 16.3 Gestione Consensi

Puoi gestire i tuoi consensi:

- Area Privacy del tuo account utente

- Link di unsubscribe nelle comunicazioni email

- Richiesta al DPO per modifiche specifiche

- Revoca selettiva per singole finalità


17. CONTATTI E SUPPORTO

 17.1 Data Protection Officer (DPO)

๐Ÿ“ง Email: info@how-r.com 

๐Ÿ“ฎ Indirizzo: HOWAR S.R.L., Via Filippo Turati 40, 20121 Milano (MI), Italia 

๐Ÿ“ž Assistenza: Tramite ticket sul sito web

 17.2 Supporto Tecnico

Per questioni tecniche sui servizi:

๐Ÿ“ง Email: info@how-r.com 

๐Ÿ”ง Ticket System: Area clienti su www.howar.cloud 


 17.3 Compliance e Segnalazioni

Per segnalazioni privacy o security:

๐Ÿ“ง Privacy: info@how-r.com 

๐Ÿ”’ Security: info@how-r.com 

โš–๏ธ Compliance: info@how-r.com



 18. INFORMAZIONI FINALI

 18.1 Data di Efficacia

Ultima modifica: 12 Settembre 2025 

Data di efficacia: 12 Settembre 2025 

Prossima revisione programmata: Settembre 2026

 18.2 Validità

Questa Privacy Policy rimane in vigore fino a nuova revisione o fino alla cessazione dei servizi HOWAR.

 18.3 Lingua

Documento redatto in italiano. Eventuali traduzioni in altre lingue hanno valore puramente informativo. In caso di discrepanze interpretative, prevale sempre la versione italiana.

 18.4 Separabilità

L'eventuale nullità di singole disposizioni non compromette la validità dell'intera Privacy Policy. Le clausole nulle sono da intendersi sostituite con disposizioni valide di contenuto equivalente.๏ปฟ

© 2025 HOWAR S.R.L. - Tutti i diritti riservati

Conformità: GDPR | AI Act | DDL 1146/24 | D.lgs. 138/2024 | Normative Italiane