Informativa Privacy

Ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e dell'AI Act

1 Titolare del trattamento

La società Dotslot S.r.l. Impresa Sociale, con sede in Viale dei Promontori n. 440 - 00122 Roma, in qualità di Titolare del trattamento, informa gli utenti del software Verse sulle modalità di raccolta, utilizzo e conservazione dei dati personali.

2. Descrizione del sistema verse e dati personali raccolti

Il sistema Verse si compone di due principali strumenti:

Web App “Verse Register” (Cruscotto del Docente)

  • Creare e personalizzare le attività didattiche tramite tecniche di Retrieval-Augmented Generation (RAG) e Narrative Design.
  • Gestire i contenuti educativi e l'interazione con gli studenti.
  • Abilitare l'accesso degli studenti alle attività, a discrezione del docente.

I docenti possono inserire contenuti, scegliere materiali, impostare esercizi interattivi e configurare l'esperienza didattica su misura per gli studenti.

Software “Verse” (Interazione con Avatar e Attività Didattiche)

  • L'interazione diretta con avatar dotati di intelligenza artificiale.
  • L'esecuzione delle attività didattiche create e personalizzate tramite Verse Register.
  • L'utilizzo del prompting per stimolare il dialogo con gli avatar e ottenere risposte personalizzate.

Quando il sistema Verse non utilizza il Retrieval-Augmented Generation (RAG) per generare risposte basate sui materiali didattici presenti in Verse Register, si avvale dell'API di Chat GPT di OpenAI per fornire risposte agli utenti. L'interazione con Chat GPT avviene solo quando il contenuto richiesto non può essere recuperato tramite il sistema interno di RAG.

I dati inviati a Chat GPT sono pseudoanonimizzati e non vengono conservati da OpenAI per scopi di addestramento. OpenAI opera come fornitore di servizi AI esterno, pertanto il trattamento è disciplinato dai suoi termini d'uso e dalla sua policy privacy.

3. Dati personali raccolti

3.1 Dati Comuni degli Utenti

  • Dati di identificazione: nome, cognome (se forniti volontariamente dall'utente o dall'istituzione scolastica).
  • Dati di contatto: indirizzo e-mail, nome utente, dati di accesso (se previsti per la gestione degli account).
  • Dati di navigazione e utilizzo della piattaforma: indirizzo IP, log di accesso e interazioni con il software, raccolti per motivi di sicurezza e per migliorare i servizi.

Finalità del trattamento:

  • Fornitura del servizio Verse e delle sue funzionalità educative.
  • Gestione degli account e autenticazione degli utenti.
  • Manutenzione e miglioramento dell'esperienza d'uso.
  • Prevenzione di accessi non autorizzati e sicurezza informatica.

3.2 Dati Contenuti nei Prompt e Tracciamento delle Attività

I prompt inseriti dagli utenti nel software Verse possono contenere dati personali. Per garantire trasparenza e sicurezza, il trattamento avviene come segue:

  • Elaborazione su server Amazon in Italia: Tutte le richieste effettuate dagli utenti vengono inizialmente elaborate dai server di Amazon Web Services (AWS) situati in Italia. Qui vengono registrati i metadati relativi all'interazione (data, ora, durata della sessione) per finalità di monitoraggio e sicurezza.
  • Utilizzo dell'API Convai (Avatar conversazionali con AI): Alcune interazioni vocali e testuali vengono inoltrate all'API Convai, che elabora le richieste per generare risposte in tempo reale. Convai potrebbe memorizzare temporaneamente le richieste per migliorare l'accuratezza dell'IA, ma non ha accesso permanente ai dati. Le comunicazioni con Convai avvengono tramite connessioni crittografate per proteggere la riservatezza delle informazioni.
  • Utilizzo dell'API Chat GPT di OpenAI: Quando il contenuto richiesto dall'utente non può essere recuperato tramite il sistema RAG di Verse, viene utilizzata l'API di Chat GPT. I dati inviati a Chat GPT sono pseudoanonimizzati e non vengono conservati da OpenAI per scopi di addestramento. OpenAI opera come fornitore di servizi AI esterno, pertanto il trattamento è disciplinato dai suoi termini d'uso e dalla sua policy privacy.

Misure di sicurezza per la protezione dei prompt:

  • Cifratura dei dati in transito mediante protocolli HTTPS/TLS.
  • Minimizzazione e anonimizzazione: i dati personali contenuti nei prompt vengono ridotti al minimo necessario prima dell'invio a terze parti.
  • Monitoraggio degli accessi e delle interazioni per prevenire utilizzi impropri.

4. Servizi esterni utilizzati da dotslot

Dotslot ha affidato a una società terza con sede legale nell'UE i seguenti servizi:

  • Cloud Engineering: Progettazione, sviluppo e gestione di soluzioni cloud su piattaforme come AWS, Google Cloud e Azure. Ottimizzazione delle risorse cloud, infrastruttura come codice (IaC) e gestione dei costi per un uso efficiente e sostenibile delle tecnologie cloud.
  • Cybersecurity e Privacy: Implementazione di soluzioni di sicurezza informatica per proteggere dati e infrastrutture. Applicazione di best practice per garantire la conformità alle normative sulla protezione dei dati (GDPR, AI Act).
  • Software Engineering: Sviluppo di software personalizzato. Progettazione di architetture modulari e scalabili, refactoring di codice esistente e gestione del ciclo di vita del software.
  • Unity Development: Sviluppo di soluzioni e applicazioni immersive tramite Unity, inclusi progetti VR/AR.

Questi servizi sono gestiti in conformità alle normative europee in materia di protezione dei dati e sicurezza informatica.

5. Base giuridica del trattamento

Il trattamento dei dati avviene sulla base delle seguenti basi giuridiche:

  • Esecuzione di un contratto (art. 6, par. 1, lett. b GDPR): fornitura del servizio Verse agli utenti.
  • Obblighi legali (art. 6, par. 1, lett. c GDPR): gestione della sicurezza dei dati e conformità normativa.
  • Interesse legittimo (art. 6, par. 1, lett. f GDPR): miglioramento del servizio, prevenzione di abusi e protezione degli utenti.
  • Consenso dell'utente (art. 6, par. 1, lett. a GDPR): per alcune funzionalità opzionali che implicano l'uso di sistemi AI esterni.

6. Conservazione dei dati

I dati vengono conservati per la durata dell'anno scolastico, ovvero dal 1° settembre al 31 agosto dell'anno successivo, per garantire la continuità del servizio educativo.

  • Dati dell'account e di contatto: fino alla chiusura dell'account o alla richiesta di cancellazione.
  • Log di accesso e dati di navigazione: conservati fino al 31 agosto dell'anno scolastico in corso per finalità di sicurezza e monitoraggio.
  • Prompt e interazioni con l'IA: temporaneamente nei server AWS fino al termine dell'anno scolastico (31 agosto). Non conservati permanentemente da Convai o Chat GPT.

Dopo questi periodi, i dati vengono cancellati o resi anonimi.

7. Diritti degli utenti

Gli utenti del software Verse hanno il diritto di:

  • Accedere ai propri dati e ricevere informazioni sul trattamento.
  • Rettificare dati inesatti o incompleti.
  • Cancellare i propri dati, salvo obblighi legali di conservazione.
  • Limitare il trattamento in determinate circostanze.
  • Opporsi al trattamento basato su interesse legittimo.
  • Portabilità dei dati, ove tecnicamente possibile.

Le richieste possono essere inviate via email a info@dotslot.it oppure dpo@dotslot.it.

Accettando questa informativa, l'utente conferma di aver letto e compreso come i suoi dati vengono trattati nell'uso del software Verse.