Vai al contenuto
Linkly
Prenota una demo
Documento legale · v1.0

Privacy Policy

Ultimo aggiornamento 24 maggio 2026
Data efficacia 24 maggio 2026
Versione 1.0

La presente Privacy Policy descrive le modalità di trattamento dei dati personali effettuate tramite l'applicazione mobile e la piattaforma web Linkly (la "Piattaforma"), fornite da SORAIA S.R.L., e tramite il sito web linkly.events (il "Sito").

Il presente documento è reso ai sensi del Regolamento (UE) 2016/679 ("GDPR"), del D.lgs. 196/2003 e successive modifiche ("Codice Privacy"), del provvedimento del Garante n. 231/2021 in materia di cookie, e delle Linee Guida EDPB applicabili.

SORAIA S.R.L. adotta misure tecniche e organizzative adeguate (art. 32 GDPR) per garantire che il trattamento dei dati personali avvenga nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5 GDPR).

1. Titolare del trattamento

Per i trattamenti effettuati direttamente da SORAIA S.R.L. in qualità di Titolare autonomo, il Titolare del trattamento è:

  • SORAIA S.R.L.
  • Sede legale: Via Losana 13, 13900 Biella (BI), Italia
  • P. IVA: IT02820060024 · REA: BI-319659
  • Email privacy: privacy@soraia.io
  • PEC: soraia@mypec.eu

Per i trattamenti effettuati per conto delle aziende clienti che utilizzano Linkly per la gestione dei propri contatti commerciali, SORAIA opera quale Responsabile del trattamento ai sensi dell'art. 28 GDPR, secondo quanto previsto dal Data Processing Agreement (DPA) sottoscritto con ciascun cliente.

2. Ruoli e responsabilità privacy

2.1 Le aziende clienti come Titolari autonomi

Le aziende che utilizzano Linkly per la raccolta, qualificazione e gestione dei contatti acquisiti nell'ambito di fiere, eventi e iniziative di networking B2B operano in qualità di Titolari autonomi del trattamento ai sensi dell'art. 4, par. 7 GDPR.

Le aziende clienti determinano in autonomia:

  • finalità e mezzi del trattamento
  • contenuto e logica delle domande di qualifica configurate
  • criteri di profilazione commerciale
  • attività di follow-up, comunicazione e marketing
  • sistemi terzi destinatari dei dati (CRM, marketing automation, gestionali)
  • base giuridica del trattamento dei dati dei prospect raccolti (tipicamente legittimo interesse B2B ai sensi dell'art. 6.1.f GDPR, valutato con LIA, Legitimate Interest Assessment, di propria responsabilità)

Le aziende clienti sono responsabili dell'adempimento degli obblighi informativi nei confronti degli interessati (artt. 13 e 14 GDPR), inclusa la consegna o messa a disposizione di un'informativa privacy specifica al momento della raccolta dei dati (es. presso lo stand fieristico).

2.2 SORAIA S.R.L., duplice ruolo

a) Responsabile del trattamento (art. 28 GDPR)

Per conto delle aziende clienti, limitatamente alle attività di:

  • scansione, acquisizione e digitalizzazione contatti (biglietti, badge, QR code) tramite OCR
  • archiviazione e gestione tecnica dei dati
  • arricchimento dei dati tramite fonti pubbliche e provider terzi
  • strutturazione, normalizzazione e qualifica via AI
  • generazione di follow-up commerciali (su template e istruzioni del cliente)
  • integrazione tecnica con CRM, gestionali e sistemi marketing del cliente
  • reportistica post-evento

b) Titolare autonomo

Per le attività necessarie a:

  • garantire la sicurezza della Piattaforma (artt. 32, 33, 34 GDPR)
  • assicurare la continuità operativa
  • prevenire abusi e utilizzi illeciti
  • adempiere a obblighi di legge (fiscali, contrattuali, antiriciclaggio)
  • gestire la fatturazione e il rapporto contrattuale con il cliente (dati amministrativi)

I rapporti tra SORAIA e ciascun cliente sono regolati da un Data Processing Agreement conforme all'art. 28 GDPR, parte integrante del contratto di fornitura.

3. Categorie di dati personali trattati

3.1 Dati tecnici e di utilizzo (Titolare: SORAIA)

  • indirizzo IP (anonimizzato o pseudonimizzato dopo 30 giorni)
  • log di accesso e attività
  • identificativi del dispositivo (user agent, OS, app version)
  • informazioni su browser, sistema operativo e versione applicazione
  • dati di sessione (token di autenticazione)

3.2 Dati degli utenti aziendali (Titolare: SORAIA per autenticazione; Titolare: azienda cliente per l'uso operativo)

  • nome e cognome
  • email aziendale
  • numero di telefono professionale (opzionale)
  • ruolo e appartenenza al team
  • credenziali di autenticazione (password cifrata, hash bcrypt)
  • dati di utilizzo della Piattaforma
  • permessi e configurazioni applicate dall'amministratore del cliente

3.3 Dati dei contatti acquisiti, lead (Titolare: azienda cliente)

Dati personali di soggetti terzi acquisiti dalle aziende clienti durante eventi B2B:

  • dati identificativi e professionali (nome, cognome, ruolo)
  • informazioni aziendali (ragione sociale, settore, dimensione)
  • contatti professionali (email aziendale, telefono professionale)
  • profili pubblici (es. URL LinkedIn pubblico)
  • risposte alle domande di qualifica configurate dal cliente
  • note e valutazioni commerciali inserite dagli utenti del cliente
  • fonte di acquisizione (evento, data, modalità)

I dati possono essere raccolti tramite:

  • scansione di biglietti da visita (OCR)
  • scansione di badge evento (OCR)
  • lettura di QR code
  • inserimento manuale
  • form personalizzati configurati dal cliente

SORAIA non tratta categorie particolari di dati (art. 9 GDPR) né dati relativi a condanne penali (art. 10 GDPR). Il cliente si impegna, attraverso il DPA, a non inserire dati di tali categorie nella Piattaforma.

3.4 Dati amministrativi e di fatturazione (Titolare: SORAIA)

  • ragione sociale, P.IVA, codice fiscale, indirizzo del cliente
  • dati del legale rappresentante o referente amministrativo
  • storico fatturazione e pagamenti

4. Finalità del trattamento e basi giuridiche

4.1 Fornitura della Piattaforma e gestione contrattuale

Trattamento dei dati degli utenti aziendali e amministrativi necessario per consentire l'utilizzo della Piattaforma, l'erogazione del servizio, la gestione del contratto, la fatturazione e l'assistenza tecnica.

Base giuridica: art. 6.1.b GDPR (esecuzione di un contratto) e art. 6.1.c GDPR (obblighi legali fiscali e contabili).

4.2 Attività di lead capture, qualifica e follow-up B2B (per conto dei clienti)

Trattamento dei dati dei contatti raccolti per le finalità definite dal cliente Titolare:

  • digitalizzazione e strutturazione del contatto
  • qualificazione commerciale
  • arricchimento informativo
  • attivazione nel CRM aziendale
  • invio di follow-up commerciale

Base giuridica (in capo all'azienda cliente Titolare): tipicamente art. 6.1.f GDPR (legittimo interesse al networking professionale e alla prosecuzione di una conversazione commerciale B2B avviata in contesto fieristico). L'azienda cliente è tenuta a effettuare un proprio bilanciamento (LIA) e a garantire informativa e diritti agli interessati.

4.3 Sicurezza della Piattaforma, prevenzione abusi, audit

Trattamento dei dati tecnici e di log per garantire la sicurezza informatica, la prevenzione di frodi, l'analisi di incidenti, gli audit interni e l'adempimento di richieste delle autorità.

Base giuridica: art. 6.1.f GDPR (legittimo interesse di SORAIA alla sicurezza e integrità del servizio); art. 6.1.c GDPR (obblighi legali).

4.4 Risposta a richieste degli interessati e adempimenti GDPR

Trattamento necessario per dare seguito a richieste di esercizio dei diritti (artt. 15-22 GDPR), gestire reclami, eseguire DPIA o consultazioni con l'autorità di controllo.

Base giuridica: art. 6.1.c GDPR (obblighi legali).

5. Tecnologie di intelligenza artificiale (AI)

5.1 Modalità di utilizzo dell'AI

La Piattaforma utilizza tecnologie di intelligenza artificiale fornite da provider terzi (vedi sezione 6) per le seguenti finalità tecniche:

  • Riconoscimento ottico (OCR): lettura e digitalizzazione di biglietti da visita e badge evento
  • Strutturazione e normalizzazione: parsing dei dati estratti in campi strutturati
  • Sintesi e classificazione: categorizzazione automatica del contatto per facilitare la qualifica
  • Generazione di template di follow-up: composizione di bozze di email personalizzate sulla base delle istruzioni e dei template forniti dal cliente

5.2 Esclusioni esplicite

L'utilizzo dell'AI nella Piattaforma NON comporta:

  • generazione autonoma di nuovi dati personali non derivanti da fonti già disponibili
  • decisioni interamente automatizzate con effetti giuridici o significativi per l'interessato ai sensi dell'art. 22 GDPR
  • profilazione automatizzata ai fini di pubblicità comportamentale
  • addestramento dei modelli AI dei provider terzi sui dati dei clienti (vedi sezione 6 per le specifiche contrattuali)

5.3 Arricchimento dati, modalità operative

L'arricchimento di dati di contatto (es. email professionale, numero di telefono, profilo LinkedIn) avviene tramite provider esterni specializzati ed è soggetto alle seguenti regole:

  • l'arricchimento è effettuato solo nei casi in cui tali informazioni non siano già disponibili nel contatto acquisito
  • in presenza di dati già forniti (es. tramite biglietto), non vengono effettuate richieste a fornitori esterni per quei campi
  • il sistema può consultare fonti pubblicamente accessibili (risultati di motori di ricerca, profili professionali pubblici) per recuperare informazioni già disponibili pubblicamente
  • tale processo replica attività di ricerca manuale comunemente svolte in ambito professionale; non comporta accesso a database privati; non utilizza tecniche di scraping massivo non autorizzato

6. Destinatari e sub-processori

I dati personali possono essere trattati dai seguenti destinatari, ciascuno vincolato da obblighi contrattuali di riservatezza e protezione dei dati equivalenti a quelli assunti da SORAIA:

  • personale autorizzato di SORAIA S.R.L., formato ai sensi dell'art. 29 GDPR
  • fornitori di infrastruttura IT, cloud computing e backend platform
  • provider di servizi AI per OCR, strutturazione e generazione testo
  • provider di servizi di data enrichment B2B
  • servizi di automazione e orchestrazione workflow
  • servizi di ricerca su fonti pubbliche
  • consulenti tecnici, legali e amministrativi
  • autorità pubbliche, ove richiesto da legge

Per ogni categoria, SORAIA seleziona fornitori che adottano misure di sicurezza adeguate e firma con ciascuno di essi un Data Processing Agreement conforme all'art. 28 GDPR. Per i sub-processori con sede extra-UE, SORAIA sottoscrive le Standard Contractual Clauses (SCC) approvate dalla Commissione UE (Decisione di esecuzione 2021/914) e, ove applicabile, verifica l'adesione al EU-US Data Privacy Framework (DPF).

L'elenco specifico e aggiornato dei sub-processori è comunicato ai clienti contrattualizzati e disponibile su richiesta scritta motivata dei DPO dei clienti via email a privacy@soraia.io.

7. Trasferimenti di dati extra UE

I dati personali sono trattati prevalentemente su infrastrutture localizzate all'interno dello Spazio Economico Europeo (SEE). Qualora si rendano necessari trasferimenti verso paesi terzi, questi avvengono nel rispetto degli artt. 44 e seguenti del GDPR.

Strumenti di trasferimento utilizzati

  • Decisione di adeguatezza (art. 45 GDPR): per i paesi riconosciuti dalla Commissione UE come garanti di un livello di protezione adeguato (es. UK, Svizzera, Giappone, Corea del Sud)
  • EU-US Data Privacy Framework (decisione di adeguatezza UE-USA del 10 luglio 2023): per i sub-processori statunitensi aderenti al DPF
  • Standard Contractual Clauses (SCC) approvate dalla Commissione UE con Decisione 2021/914: modulo 2 (titolare-responsabile) o modulo 3 (responsabile-sub-responsabile) a seconda del rapporto
  • Misure supplementari tecniche e organizzative ove richiesto dalla giurisprudenza Schrems II (es. cifratura end-to-end, pseudonimizzazione, controlli contrattuali di accesso governativo)

Transfer Impact Assessment (TIA)

Per ciascun trasferimento extra-UE, SORAIA ha condotto una valutazione di impatto del trasferimento (TIA) che considera: la natura dei dati, il rischio di accesso da parte di autorità del paese terzo, le tutele legali disponibili agli interessati e le misure tecniche e organizzative adottate.

8. Conservazione dei dati

I periodi di conservazione applicati sono i seguenti:

  • Dati dei contatti raccolti (lead): per la durata del rapporto contrattuale tra SORAIA e il cliente Titolare. Alla cessazione del contratto, i dati sono resi disponibili per il download per 30 giorni, dopodiché cancellati o anonimizzati secondo le istruzioni del cliente.
  • Dati degli utenti aziendali: per la durata dell'account, e per ulteriori 12 mesi dopo la disattivazione (per gestione richieste post-cessazione).
  • Log di accesso e dati tecnici: 12 mesi per finalità di sicurezza e prevenzione abusi (in linea con il provvedimento del Garante sui log di amministratore di sistema).
  • Dati amministrativi e di fatturazione: 10 anni dalla cessazione del rapporto, in ottemperanza all'art. 2220 c.c. e alla normativa fiscale.
  • Comunicazioni email e PEC: 5 anni, salvo specifiche esigenze di conservazione probatoria.
  • Dati di marketing diretto (newsletter, follow-up commerciali da SORAIA verso prospect): fino alla revoca del consenso o all'opposizione dell'interessato; al massimo 24 mesi dall'ultimo contatto attivo.

Per i dati trattati come Responsabile, i tempi di conservazione effettivi sono definiti dal cliente Titolare nel proprio Registro dei trattamenti e nelle istruzioni documentate nel DPA.

9. Diritti degli interessati

Ai sensi degli articoli 15-22 GDPR, gli interessati hanno il diritto di:

  • Accesso (art. 15), ottenere conferma del trattamento e copia dei dati
  • Rettifica (art. 16), correggere dati inesatti o incompleti
  • Cancellazione (art. 17), "diritto all'oblio" nei casi previsti
  • Limitazione (art. 18), sospendere il trattamento in casi specifici
  • Portabilità (art. 20), ricevere i propri dati in formato strutturato e leggibile
  • Opposizione (art. 21), opporsi al trattamento basato su legittimo interesse, in particolare per finalità di marketing
  • Non essere sottoposti a decisioni automatizzate con effetti significativi (art. 22): nella Piattaforma non vengono effettuate tali decisioni
  • Revoca del consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento precedente

Come esercitare i diritti

Le richieste devono essere inviate via email a privacy@soraia.io indicando:

  • l'identità del richiedente (con copia di un documento d'identità per verifica, ove necessario)
  • il diritto che si intende esercitare
  • i fatti e le motivazioni a supporto, ove applicabile

SORAIA risponde entro 30 giorni dalla ricezione della richiesta (art. 12 GDPR), estensibili a 60 giorni in caso di richieste complesse, con comunicazione motivata.

Quando l'interessato esercita un diritto rispetto a dati trattati da SORAIA come Responsabile (es. lead raccolti tramite Linkly per conto di un cliente), SORAIA inoltra senza ritardo la richiesta al cliente Titolare e fornisce a quest'ultimo l'assistenza necessaria (art. 28.3.e GDPR).

Reclamo all'autorità di controllo

Resta salvo il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (garanteprivacy.it) ai sensi dell'art. 77 GDPR, ovvero alla diversa autorità di controllo competente in base alla residenza o al luogo di lavoro abituale dell'interessato.

10. Misure di sicurezza

Ai sensi dell'art. 32 GDPR, SORAIA adotta misure tecniche e organizzative adeguate al rischio, tra cui:

  • Cifratura dei dati in transito tramite TLS 1.2+ con cipher suite moderne
  • Cifratura dei dati at-rest sui database (AES-256)
  • Controlli di accesso basati su credenziali individuali e principio del minimo privilegio
  • Autenticazione multi-fattore obbligatoria per gli account amministrativi
  • Hashing delle password con algoritmi industry-standard (bcrypt)
  • Separazione logica tra ambienti (sviluppo, staging, produzione) e tra dati dei clienti
  • Logging e monitoraggio degli accessi amministrativi (conservazione 12 mesi)
  • Backup automatici giornalieri con procedure di disaster recovery testate
  • Gestione degli incidenti con procedura interna che prevede notifica al Garante entro 72 ore (art. 33 GDPR) e ai clienti coinvolti senza ritardo
  • Revisione periodica degli accessi (review trimestrale)
  • Formazione del personale ai sensi dell'art. 29 GDPR (annuale)
  • Penetration test periodici sulle componenti critiche
  • Patch management tempestivo per vulnerabilità note

Il Sito utilizza esclusivamente cookie tecnici necessari per il funzionamento, ai sensi dell'art. 122 D.lgs. 196/2003 (per i quali non è richiesto il consenso preventivo).

Per il dettaglio dei cookie utilizzati, finalità, durata e gestione, si rimanda alla Cookie Policy dedicata.

12. Trattamento di dati relativi a minori

La Piattaforma Linkly è uno strumento B2B destinato esclusivamente a utenti professionali maggiorenni. SORAIA non raccoglie consapevolmente dati di minori. Qualora un cliente Titolare dovesse erroneamente inserire dati di minori, è tenuto a comunicarlo immediatamente a privacy@soraia.io per la cancellazione.

Contatti per la protezione dei dati

Per qualsiasi domanda relativa al trattamento dei dati personali, all'esercizio dei diritti GDPR, o per ricevere copia del Data Processing Agreement, contattare:

Responsabile della Protezione dei Dati (DPO): non designato. SORAIA S.R.L. non è soggetta all'obbligo di designazione del DPO ai sensi dell'art. 37 GDPR (assenza dei requisiti di cui ai par. 1 lett. b e c). Le richieste degli interessati e dei DPO dei clienti sono gestite direttamente dalla funzione privacy aziendale tramite i recapiti sopra.

Reclami: ferma restando la possibilità di rivolgersi direttamente al Titolare/Responsabile, gli interessati hanno il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali italiana (garanteprivacy.it) o ad altra autorità di controllo competente in base alla propria residenza.

Modifiche al documento

SORAIA S.R.L. si riserva il diritto di aggiornare il presente documento per ragioni normative o evoluzioni del servizio. Le modifiche sostanziali saranno comunicate ai clienti attivi tramite email e pubblicate sulla presente pagina con aggiornamento della data di ultima modifica.

Approfondisci con AI

Le pagine Linkly sono ottimizzate per essere lette correttamente dagli assistenti AI. Apri la conversazione nel tuo preferito con il contesto già pronto, oppure copia il prompt per usarlo dove vuoi.

ChatGPT Claude Perplexity Gemini