Valutazione d'Impatto sulla Protezione dei Dati (DPIA)
Sintesi pubblica ai sensi dell'Art. 35 del Regolamento (UE) 2016/679 (GDPR)
Versione 1.0 — 30 marzo 2026
Il presente documento e una sintesi pubblica della Valutazione d'Impatto sulla Protezione dei Dati (DPIA) redatta da Synaptica Solution per i trattamenti automatizzati effettuati tramite sistemi di Intelligenza Artificiale. Il documento integrale e conservato internamente ed e disponibile per l'Autorita di Controllo su richiesta (Art. 35.7 GDPR).
1. Contesto
| Titolare del trattamento | Synaptica Solution di Matteo Molin — P.IVA IT04649320266 |
| Sede | Viale Bartolomeo d'Alviano 38, 31100 Treviso (TV), Italia |
| Referente privacy | Clicca per vedere email |
| Servizi valutati | SideMindBot (assistente multicanale) e SideMind Orchestrator (sistema AI) |
| Fornitore AI | Microsoft Azure OpenAI Service (data residency EU) |
1.1 Perche questa DPIA
La DPIA e richiesta dall'Art. 35.1 GDPR poiche il trattamento soddisfa i seguenti criteri delle Linee Guida EDPB WP248:
- Profilazione — assegnazione di un punteggio di interesse basato sulle interazioni
- Trattamento automatizzato su larga scala — elaborazione AI di messaggi da piu canali
- Monitoraggio sistematico — analisi del tono emotivo dei messaggi
- Nuove tecnologie — utilizzo di modelli linguistici di grandi dimensioni (LLM)
2. Trattamenti automatizzati valutati
| Trattamento | Finalita | Base giuridica |
|---|---|---|
| Classificazione intento | Instradare la richiesta verso l'agente AI specializzato piu appropriato | Legittimo interesse (Art. 6.1.f) |
| Generazione risposta AI | Fornire assistenza contestuale basata sulla documentazione aziendale | Esecuzione contratto (Art. 6.1.b) |
| Lead scoring | Prioritizzare l'assistenza per i contatti piu interessati | Legittimo interesse (Art. 6.1.f) |
| Analisi sentiment | Rilevare insoddisfazione e attivare l'intervento umano | Legittimo interesse (Art. 6.1.f) |
| Escalation automatica | Trasferire la conversazione a un operatore umano quando necessario | Legittimo interesse (Art. 6.1.f) |
Importante: nessuno di questi trattamenti produce decisioni con effetti legali o significativamente incidenti sull'interessato (Art. 22 GDPR).
3. Categorie di dati personali
| Categoria | Pseudonimizzato prima dell'elaborazione AI |
|---|---|
| Dati di contatto (telefono, email) | Si — sostituiti con token anonimi |
| Codice fiscale, P.IVA | Si — sostituiti con token anonimi |
| Dati finanziari (IBAN, carte) | Si — sostituiti con token anonimi |
| Contenuto conversazioni | Parziale — i PII vengono rimossi, il contenuto testuale viene elaborato |
| Dati identificativi (nome) | No — necessario per personalizzazione della risposta |
| Metadati (timestamp, canale) | No — non identificativi |
Interessati: utenti che contattano Synaptica o i suoi clienti tramite WhatsApp, social media o sito web.
4. Rischi identificati e misure di mitigazione
| Rischio | Misure di mitigazione adottate | Rischio residuo |
|---|---|---|
| Violazione dati durante elaborazione AI | Crittografia TLS 1.3 in transito; Azure OpenAI con data residency EU; zero data retention (Microsoft non conserva ne usa i dati per training); Microsoft DPA con certificazioni ISO 27001, SOC 2 | Basso |
| Risposta AI errata o fuorviante | Risposte ancorate a knowledge base verificata; validazione automatica della qualita; escalation quando l'AI rileva incertezza; disclaimer su consulenza professionale | Basso |
| Profilazione discriminatoria | Scoring basato esclusivamente sul comportamento, non su dati demografici; decadimento temporale automatico del punteggio; nessuna decisione con effetti legali; tutti i livelli ricevono assistenza | Basso |
| Mancato riconoscimento di dati personali | Sistema di pseudonimizzazione multi-pattern applicato a monte di qualsiasi elaborazione AI; log di audit per monitoraggio copertura | Basso |
| Accesso non autorizzato | Crittografia AES-256 a riposo; autenticazione API; 2FA per accessi admin; RBAC; monitoraggio 24/7; vulnerability scan periodici | Basso |
| Mancata escalation umana | Rilevamento automatico insoddisfazione; escalation anche quando l'AI non sa rispondere; possibilita per l'utente di richiedere un operatore in qualsiasi momento | Molto basso |
| Conservazione eccessiva | Retention massima 24 mesi; API GDPR attive per cancellazione e portabilita; backup con rotazione automatica | Basso |
| Trasparenza insufficiente | AI Disclosure pubblica conforme all'AI Act; Privacy Policy con sezione profilazione; messaggio iniziale del chatbot che informa l'utente | Molto basso |
5. Esito della valutazione
Il Titolare del trattamento, avendo valutato i rischi e le misure di mitigazione adottate, conclude che:
- Il rischio residuo complessivo e basso e ritenuto accettabile
- Non si ritiene necessaria la consultazione preventiva dell'Autorita di Controllo ai sensi dell'Art. 36 GDPR
- Le misure di mitigazione sono adeguate a garantire la protezione dei diritti degli interessati
6. Diritti degli interessati
In relazione ai trattamenti valutati nella presente DPIA, l'interessato puo in qualsiasi momento:
- Opporsi alla profilazione (Art. 21 GDPR)
- Richiedere l'intervento umano durante la conversazione con l'AI
- Accedere ai propri dati, richiederne la rettifica, la cancellazione o la portabilita (Art. 15-20 GDPR)
- Proporre reclamo al Garante per la protezione dei dati personali
Per esercitare questi diritti: Clicca per vedere email
7. Revisione e contatti
| Versione | 1.0 |
| Data | 30 marzo 2026 |
| Redatto da | Matteo Molin — Titolare del trattamento |
| Prossima revisione | Marzo 2027 (o prima in caso di modifiche significative) |
La DPIA viene rivista almeno annualmente e in caso di: cambio fornitore AI, aggiunta di nuovi trattamenti automatizzati, data breach, reclami relativi alla profilazione, o aggiornamenti normativi rilevanti.
Il documento integrale della DPIA, comprensivo di tutti i dettagli tecnici e implementativi, e conservato internamente presso Synaptica Solution ed e disponibile per l'Autorita di Controllo su richiesta ai sensi dell'Art. 35.7 GDPR.