Protezione dei dati presso Aivie

Questa pagina descrive come Aivie elabora i dati personali per conto dei clienti.
È concepita come riferimento affinché le aziende possano facilmente inserire un link a queste informazioni nella propria informativa sulla privacy.

In breve: i clienti rimangono i titolari del trattamento. Aivie agisce come responsabile del trattamento e tratta i dati esclusivamente secondo le istruzioni e per le finalità concordate.

Introduzione

Aivie è uno strumento di Marketing Automation. Le aziende utilizzano Aivie per gestire i contatti,
segmentare i pubblici e automatizzare la comunicazione attraverso canali come e-mail, SMS o notifiche push.

Aivie viene fornita come soluzione ospitata. In questo contesto, Aivie elabora i dati personali per conto dei clienti. I clienti rimangono responsabili dei contenuti, delle finalità, della liceità, degli obblighi di conservazione e della trasparenza nei confronti dei propri contatti.

Esempi di casi d’uso

Aivie viene tipicamente impiegata per automatizzare il marketing e la comunicazione con i clienti in modo misurabile ed efficiente.
Esempi:

  • Newsletter e campagne: campagne e-mail segmentate con aperture e clic misurabili
  • Lead Generation: landing page e moduli che acquisiscono lead e li inseriscono in liste o segmenti
  • Lead Nurturing: percorsi automatizzati basati su interessi, comportamento o fase del funnel
  • Comunicazione transazionale: conferme, follow-up, informazioni sugli eventi
  • Riattivazione: campagne automatiche in caso di inattività o interruzione del percorso
  • Consenso e preferenze: gestione dei consensi e delle preferenze di comunicazione

Quali dati vengono elaborati con Aivie

Aivie è progettata affinché i clienti controllino autonomamente il trattamento dei dati. Quali dati vengano acquisiti
dipende dalla configurazione, dai moduli e dalle funzioni utilizzate.

Categorie di dati tipiche

  • Dati identificativi: ad es. nome, indirizzo e-mail
  • Dati analitici: ad es. reazioni alle campagne, aperture, clic, conversioni
  • Dati tecnici: ad es. indirizzo IP, informazioni su dispositivo e browser, dati di log per il funzionamento sicuro
  • Dati del profilo definiti dal cliente: ad es. azienda, ruolo, interessi, stato del consenso

Gli interessati sono tipicamente contatti, lead o clienti dei clienti di Aivie.

Ruoli e responsabilità

Di norma si applica quanto segue:

  • Titolari del trattamento: i clienti di Aivie che utilizzano Aivie nella propria azienda
  • Responsabile del trattamento: Aivie by Idea 2 Collective GmbH

Aivie elabora i dati personali esclusivamente sulla base delle istruzioni documentate dei titolari.
È escluso qualsiasi trattamento per scopi propri.

Contatti

Idea 2 Collective GmbH
Wengistrasse 6
CH-8004 Zurigo
legal@aivie.ch

Titolarità e sovranità dei dati

I clienti rimangono sempre proprietari dei propri dati. Aivie tratta i dati personali esclusivamente su incarico e non trasferisce diritti d’uso a terzi. I dati possono essere esportati, trasferiti o completamente cancellati al termine del contratto.

Protezione e sicurezza dei dati

Aivie protegge i dati del mandato con la massima cura. L’operatività è organizzata in modo che l’accesso sia consentito solo alle persone
che ne hanno strettamente bisogno per il funzionamento e il supporto. Gli accessi sono assegnati secondo il principio del “need-to-know”.

Riservatezza e accesso

  • Le persone con accesso sono vincolate alla riservatezza
  • Si evitano account utente condivisi
  • I diritti sono assegnati in base ai ruoli e ridotti al minimo

Supporto ai clienti

Aivie supporta i clienti nell’adempimento dei diritti degli interessati e degli obblighi di legge.
Ciò include, tra l’altro, l’accesso, la rettifica, la cancellazione, la limitazione e la portabilità dei dati,
nella misura in cui ciò sia necessario nell’ambito del trattamento per conto terzi.

Gestione degli incidenti di sicurezza dei dati

In caso di violazione della protezione dei dati personali, Aivie informa immediatamente i responsabili non appena ne viene a conoscenza.
La notifica contiene almeno la natura della violazione, le possibili conseguenze e le contromisure già adottate o previste.

Infrastruttura e architettura di sicurezza

La piattaforma è progettata per garantire sicurezza, scalabilità e tracciabilità a livello di infrastruttura e applicazione. Di seguito una panoramica dei principali meccanismi di sicurezza.

Infrastruttura cloud

  • Hosting su piattaforma cloud con sedi a seconda della configurazione (ad es. Svizzera)
  • Architettura di rete globale ad alta disponibilità con componenti ridondanti
  • Separazione di applicazione, file system, database, cache e infrastruttura e-mail
  • Progetti isolati possibili per requisiti specifici dei clienti

Crittografia

  • Crittografia di tutti i dati in transit tramite TLS
  • Crittografia di tutti i dati at rest a livello di infrastruttura e archiviazione
  • Supporto per Customer Managed Encryption Keys in caso di requisiti elevati
  • Gestione separata delle chiavi con diritti di accesso chiaramente definiti

Controllo degli accessi e gestione delle identità

  • Controllo degli accessi basato sui ruoli secondo il principio del Need to know
  • Assegnazione granulare dei permessi a livello di progetto e sistema
  • Evitare account utente condivisi
  • Verifica e adeguamento regolari dei permessi

Audit Logging e Monitoring

  • Registrazione degli accessi rilevanti al sistema e ai dati
  • Monitoraggio delle metriche di infrastruttura e applicazione
  • Tracciabilità delle modifiche a configurazione e permessi
  • Base tecnica per analisi forensi quando necessario

Sicurezza di rete

  • Architettura di rete segmentata
  • Meccanismi di firewall e controllo del traffico
  • Intrusion Detection e rilevamento delle minacce a livello cloud
  • Principio Zero-Trust nel controllo degli accessi

Backup e ripristino

  • Backup regolari di database, file e componenti di sistema rilevanti
  • Processi di ripristino definiti
  • Posizioni di archiviazione dei backup separate fisicamente e logicamente (stesso ambito giuridico)

Sviluppo software sicuro

  • Utilizzo di standard di sviluppo consolidati
  • Aggiornamenti regolari e patch di sicurezza
  • Deployment controllati con processi di rilascio definiti
  • Separazione degli ambienti di sviluppo, test e produzione

Sicurezza fisica dei data center

  • Controlli di accesso multilivello
  • Sorveglianza 24/7
  • Sistemi di accesso biometrici
  • Ridondanza delle sedi per garantire alta disponibilità

Isolamento dei dati per settori regolamentati

Per i clienti con requisiti normativi elevati, ad esempio in ambito finanziario o della pubblica amministrazione,
i dati possono essere gestiti in progetti separati. Questo permette di separare chiaramente i tenant a livello logico e organizzativo e di implementare concetti di accesso individuali.

Misure di sicurezza organizzative

  • Concetto di sicurezza documentato
  • Ruoli e responsabilità definiti
  • Processi per Business Continuity e riavvio
  • Formazione e sensibilizzazione regolari dei collaboratori
  • Gestione controllata delle modifiche

Archiviazione dati: Svizzera, Germania o in un luogo di tua scelta

Comprendiamo che la posizione dei tuoi dati non è solo una decisione tecnica, ma legale. Per questo Aivie si adatta alla tua strategia di compliance.

La nostra infrastruttura è progettata in modo che i tuoi dati rimangano nel tuo ambito giuridico:

Per i clienti dalla Svizzera:

  • Sede: Zurigo.
  • Vantaggio: I tuoi dati rimangono garantiti su suolo svizzero. Ideale per la conformità con la nDSG e per settori con requisiti rigorosi (finanza, sanità, pubblica amministrazione).

Per i clienti dalla Germania e dall’UE:

  • Sede: Francoforte.
  • Vantaggio: I tuoi dati vengono archiviati esclusivamente su server in Germania. Questo garantisce piena conformità con il GDPR e assicura che non avvenga alcuna archiviazione in paesi terzi.

Nota: Per la consegna tecnica delle e-mail utilizziamo l’infrastruttura specializzata di AWS. Poiché le e-mail come mezzo globale attraversano comunque i confini nazionali (ad es. non appena il destinatario utilizza un provider internazionale come Gmail o Outlook), qui diamo priorità alla massima qualità di consegna (Deliverability). Questo garantisce che i tuoi messaggi arrivino in modo affidabile e non finiscano nello spam. E tutto nel pieno rispetto della protezione dei dati (DSG, GDPR).

Sub-responsabili del trattamento

Aivie si avvale di sub-responsabili per gestire la piattaforma in modo sicuro e fornire determinati processi parziali. Tutti i sub-responsabili sono vincolati contrattualmente.

Aivie informa i clienti almeno 2 settimane prima delle modifiche previste ai sub-responsabili,
affinché possano essere sollevate obiezioni.

Attuali sub-responsabili del trattamento

Sub-responsabili del trattamentoAttivitàSede di elaborazione
Google (Google Ireland Limited)Hosting della soluzione di Marketing AutomationZurigo, Francoforte o un altro luogo da te scelto.
Amazon Web Services (AWS EMEA)Invio e-mailFrancoforte

Nota:
Se nell’ambito dell’infrastruttura utilizzata fosse necessaria una trasmissione verso un paese terzo, questa avviene esclusivamente nel rispetto delle disposizioni di legge e con garanzie adeguate come le clausole contrattuali standard.

Protezione da US Cloud Act e accesso di terzi

Indipendentemente da dove si trovano i dati: poiché ci basiamo su un’infrastruttura cloud globale, molti clienti si pongono la questione dell’accesso da parte delle autorità statunitensi (US Cloud Act).

La nostra architettura di sicurezza blocca tecnicamente questo rischio. Non ci affidiamo solo ai contratti, ma alla crittografia e alla titolarità dei dati:

1. Crittografia come standard (Encryption by Default)

Tutti i dati sono crittografati sia durante il trasferimento (in transit) che sui dischi rigidi (at rest). Il provider dell’infrastruttura vede solo blocchi di dati crittografati, ma mai dati personali o di marketing leggibili.

2. I tuoi dati, la tua chiave (CMEK, HYOK)

Per eliminare di fatto il rischio del US Cloud Act, supportiamo Customer Managed Encryption Keys (CMEK) e Hold Your Own Key (HYOK).

  • Il principio: La chiave per decrittografare i dati non è presso il provider cloud, ma viene gestita separatamente.
  • La sicurezza: Anche nel caso teorico di un ordine di consegna da parte delle autorità al provider, i dati consegnati sarebbero spazzatura di dati senza valore senza la tua chiave.

In altre parole: tu detieni la chiave dei tuoi dati.

Nota: Questa funzionalità è disponibile come componente aggiuntivo opzionale.

3. Separazione di infrastruttura e applicazione

Utilizziamo l’infrastruttura cloud come puro “data center digitale”. La gestione logica e l’accesso ai database avvengono esclusivamente tramite l’applicazione Aivie e il nostro team dalla Svizzera.

Contratto di elaborazione dati (DPA)

Aivie fornisce su richiesta un contratto di elaborazione dati per regolare in modo vincolante diritti e obblighi nel rapporto di incarico.

Cosa regola il DPA

  • Oggetto, durata, natura e finalità del trattamento
  • Trattamento solo secondo istruzioni documentate
  • Riservatezza e limitazione dell’accesso
  • Misure tecniche e organizzative e loro sviluppo
  • Impiego e sostituzione di sub-responsabili con preavviso
  • Supporto per i diritti degli interessati e gli obblighi dei titolari
  • Diritti di controllo e audit dei titolari
  • Cancellazione o restituzione dei dati al termine del contratto

Richiedi il DPA: legal@aivie.ch

Certificazioni e Compliance

Il nostro provider di infrastruttura Google Cloud dispone di ampie certificazioni di sicurezza e compliance, tra cui ISO 27001 e i report di audit SOC 1, SOC 2 e SOC 3. Aivie stessa non gestisce data center propri e non è certificata autonomamente secondo ISO 27001. Tuttavia, Aivie soddisfa i requisiti rilevanti, anche senza certificazione propria.

Aivie utilizza questi controlli di infrastruttura verificati come base tecnica per il funzionamento sicuro della piattaforma. Le certificazioni riguardano in particolare la sicurezza fisica dei data center, la protezione della rete, la crittografia, la gestione degli accessi e l’auditabilità.

Esempi di certificati e standard rilevanti

  • DSG e GDPR
  • ISO 27001, ISO 27017 e ISO 27018
  • ISAE 3000 Type 2 Report (FINMA)
  • SOC 1, SOC 2 e SOC 3
  • C5 e CSA STAR

Ulteriori dettagli sulle certificazioni e sui report di audit di Google Cloud Platform sono consultabili qui:
Panoramica Compliance Google Cloud

Conformità con LPD e GDPR

Aivie è strutturata in modo che i clienti possano soddisfare i requisiti della LPD svizzera e del GDPR dell’UE.
Dal punto di vista dell’UE, la Svizzera dispone di un livello di protezione dei dati riconosciuto come adeguato.

Cosa implementano tipicamente i clienti stessi

  • Base giuridica e obblighi di informazione verso i propri contatti
  • Consensi per i cookie sul proprio sito web, qualora vengano utilizzate tecnologie di tracciamento
  • Termini di conservazione e processi interni per l’accesso, la cancellazione o l’opposizione

Modulo di testo per la propria informativa sulla privacy

Affinché i visitatori comprendano rapidamente come lavora Aivie in qualità di responsabile del trattamento, è possibile inserire la seguente nota nella propria informativa sulla privacy.
Si prega di inserire il link a questa pagina.

Esempio di clausola sulla privacy

Utilizziamo Aivie come strumento di Marketing Automation per inviare newsletter, campagne e percorsi di comunicazione automatizzati.
Aivie tratta i dati personali su nostro incarico e esclusivamente secondo le nostre istruzioni.
I dettagli su privacy, sicurezza dei dati, sub-responsabili del trattamento e contratto di elaborazione dati sono descritti qui:
https://aivie.ch/datenschutz-aivie

Stato

Aggiornato al: 3 marzo 2026