Privacy Policy
Ultimo aggiornamento: 14 maggio 2026
La presente informativa è resa ai sensi del Regolamento (UE) 2016/679 ("GDPR"), del D.Lgs. 196/2003 ("Codice Privacy") come modificato dal D.Lgs. 101/2018, nonché dei provvedimenti del Garante per la protezione dei dati personali. Descrive in modo chiaro e completo come Vokly tratta i dati personali degli utenti del sito vokly.ai, dei clienti (Tenant) della piattaforma e dei chiamanti finali che interagiscono con gli agenti vocali AI.
1. Titolare del trattamento
Il servizio Vokly (accessibile tramite il dominio vokly.ai) è
gestito da M2R di Emilio Bruna, con sede legale in Via S. Giorgio, 1, 25065 Lovere (BG), Italia,
P.IVA 03466780982 (di seguito "Titolare" o "Fornitore").
Per qualsiasi richiesta relativa al trattamento dei dati personali puoi scrivere a privacy@vokly.ai oppure via PEC a m2r@pec.it. Le richieste vengono evase senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione, salvo proroga motivata di ulteriori 60 giorni nei casi di complessità (art. 12 GDPR).
2. Responsabile della Protezione dei Dati (DPO)
Allo stato attuale il Titolare non è tenuto, ai sensi dell'art. 37 GDPR, alla nomina di un Responsabile della Protezione dei Dati. In presenza di trattamenti che lo rendano obbligatorio, il DPO verrà designato e i suoi recapiti pubblicati in questa pagina. Per ogni questione privacy puoi nel frattempo rivolgerti direttamente al Titolare ai recapiti indicati al punto 1.
3. Definizioni
- Dato personale: qualsiasi informazione che riguardi una persona fisica identificata o identificabile (art. 4(1) GDPR).
- Trattamento: qualsiasi operazione effettuata sui dati (raccolta, registrazione, conservazione, consultazione, comunicazione, cancellazione).
- Interessato: la persona fisica cui i dati personali si riferiscono.
- Tenant: il soggetto (Comune, studio, PMI, organizzazione) che sottoscrive il Servizio e configura un proprio agente Vokly.
- Chiamante finale: l'utente che chiama il numero del Tenant e interagisce con l'agente vocale Vokly.
- Sub-responsabile: fornitore terzo che tratta dati personali per conto del Titolare ai sensi dell'art. 28 GDPR.
4. Cosa fa Vokly
Vokly è un agente vocale basato su intelligenza artificiale che risponde alle telefonate in entrata sui numeri telefonici dei Tenant — tipicamente Comuni, studi professionali, PMI e organizzazioni — e svolge funzioni di smistamento chiamate, prenotazione appuntamenti, invio documenti via email, verifica identità tramite OTP, consultazione di sistemi gestionali e Knowledge Base aziendale.
In questa qualità il Fornitore opera come Responsabile del trattamento (art. 28 GDPR) nei confronti del Tenant, che resta Titolare autonomo dei dati dei propri chiamanti finali. Il rapporto è disciplinato da un Data Processing Agreement (DPA) standard, disponibile su richiesta.
5. Categorie di dati trattati
- Dati dei Tenant (clienti del Servizio): nome, cognome, ragione sociale, indirizzo email, numero di telefono, P.IVA/codice fiscale, dati di fatturazione, credenziali di accesso al gestionale collegato (cifrate con chiavi separate).
- Dati dei chiamanti finali: numero di telefono chiamante (CLI), flusso audio della chiamata trattato in tempo reale (in regime di Zero Data Retention: il segnale audio non viene mai memorizzato né dal Fornitore né dai sub-responsabili coinvolti), trascrizione testuale generata in tempo reale, contenuto della conversazione (incluso eventuale nome, codice fiscale, email, dati anagrafici e qualunque altra informazione fornita spontaneamente dal chiamante).
- Dati di navigazione del sito vokly.ai: indirizzo IP, user-agent, pagine visitate, referrer, timestamp di accesso, parametri di sessione tecnici.
- Dati tecnici operativi: log applicativi, metadati di chiamata (durata, esito, agent invocati, latenza), eventi di sistema, indirizzi IP di chi accede alla dashboard.
- Dati provenienti da integrazioni: eventi e disponibilità di calendari Google/Outlook, contenuti email inviate via Gmail/Brevo, record letti da gestionali (FileMaker, REST API custom).
Vokly non tratta intenzionalmente categorie particolari di dati personali (art. 9 GDPR: salute, opinioni politiche, religione, orientamento sessuale, dati genetici o biometrici). Se tali dati emergessero in conversazioni con i chiamanti finali, il Tenant resta unico responsabile della loro acquisizione e legittimità, conformemente al DPA sottoscritto.
6. Finalità del trattamento e base giuridica
- Erogazione del Servizio (registrazione, configurazione agente, gestione chiamate, fatturazione) — esecuzione del contratto, art. 6(1)(b) GDPR.
- Adempimenti fiscali, contabili e di legge (emissione e conservazione fatture, antiriciclaggio, risposta a richieste dell'Autorità Giudiziaria) — obbligo legale, art. 6(1)(c) GDPR.
- Sicurezza informatica e prevenzione abusi (rate-limiting, monitoraggio log, blocco IP malevoli, anti-frode) — legittimo interesse del Titolare, art. 6(1)(f) GDPR.
- Miglioramento del Servizio (analisi aggregate e anonimizzate di prestazioni e qualità delle conversazioni AI) — legittimo interesse, art. 6(1)(f) GDPR. Le registrazioni e le trascrizioni dei chiamanti finali non vengono mai utilizzate per addestrare modelli AI di terze parti, conformemente agli accordi Zero Data Retention sottoscritti con i provider.
- Marketing diretto verso clienti esistenti o lead che ne abbiano fatto richiesta — consenso esplicito, art. 6(1)(a) GDPR; revocabile in qualsiasi momento.
- Risposta a richieste dell'interessato (modulo di contatto, demo vocale interattiva) — esecuzione di misure precontrattuali, art. 6(1)(b) GDPR.
7. Conferimento dei dati e conseguenze del rifiuto
Il conferimento dei dati necessari all'erogazione del Servizio (registrazione, fatturazione, esecuzione delle chiamate) è obbligatorio: in difetto non sarà possibile attivare o mantenere il rapporto contrattuale. Il conferimento dei dati per finalità di marketing è facoltativo e il rifiuto non pregiudica in alcun modo l'erogazione del Servizio.
8. Modalità del trattamento e misure di sicurezza
I dati sono trattati con strumenti elettronici, in conformità alle misure tecniche e organizzative previste dagli artt. 24, 25 e 32 GDPR. In particolare:
- cifratura in transito (TLS 1.3) e a riposo (AES-256);
- cifratura asimmetrica dedicata per le credenziali di accesso ai gestionali dei Tenant, con chiavi gestite separatamente (Fernet);
- controllo degli accessi basato sui ruoli, principio del minimo privilegio, autenticazione multi-fattore per gli amministratori;
- backup giornalieri cifrati, conservati su infrastruttura europea;
- logging delle operazioni amministrative e tracciamento degli accessi ai dati;
- processo formalizzato di Data Breach (notifica al Garante entro 72 ore quando dovuta, ai sensi dell'art. 33 GDPR);
- aggiornamenti di sicurezza, scansione periodica delle vulnerabilità e test di penetrazione su base annuale.
9. Decisione automatizzata e profilazione (art. 22 GDPR)
L'agente vocale Vokly utilizza algoritmi di intelligenza artificiale per comprendere la voce del chiamante e fornire risposte. Tali algoritmi non producono decisioni che incidono in modo significativo sulla persona: l'agente esegue azioni operative (smistamento, prenotazione, invio documenti) pre-configurate dal Tenant. Quando una richiesta esce dal perimetro automatizzabile, il sistema trasferisce la chiamata a un operatore umano. In ogni caso, l'interessato ha il diritto di richiedere l'intervento umano scrivendo ai recapiti di cui al punto 1.
10. Integrazioni con servizi Google (Google API Services User Data Policy)
Quando il Tenant collega il proprio account Google a Vokly, l'applicazione accede alle seguenti API Google con gli scope corrispondenti:
https://www.googleapis.com/auth/calendar— lettura e scrittura sul calendario del Tenant per gestire appuntamenti, verificare disponibilità, creare, modificare o cancellare eventi su istruzione del chiamante.https://www.googleapis.com/auth/gmail.send— invio email per conto del Tenant, per recapitare conferme di appuntamento o documenti richiesti durante la telefonata.
Limited Use disclosure: l'uso dei dati Google ottenuti tramite le suddette API rispetta la Google API Services User Data Policy, inclusi i requisiti di Limited Use. In particolare, i dati ottenuti tramite tali API sono utilizzati esclusivamente per fornire o migliorare funzionalità rivolte all'utente che le ha autorizzate, e non vengono mai trasferiti a terze parti se non (i) per fornire o migliorare tali funzionalità, (ii) per scopi di sicurezza, (iii) quando richiesto dalla legge, o (iv) con il consenso esplicito dell'utente. Non utilizziamo i dati ottenuti tramite scope Google per servire annunci pubblicitari, né li vendiamo a terze parti, né li impieghiamo per addestrare modelli generici di AI.
11. Sub-responsabili (sub-processors)
Per erogare il Servizio il Titolare si avvale dei seguenti fornitori, ciascuno vincolato da un Data Processing Agreement conforme all'art. 28 GDPR:
- Railway Corp. (USA, con regioni europee) — hosting backend SaaS. Server applicativo localizzato in EU.
- Hostinger International Ltd. (Cipro, EU) — hosting del sito vokly.ai.
- ElevenLabs Inc. (USA) — sintesi vocale, riconoscimento del parlato e gestione SIP delle telefonate. Accordo enterprise di Zero Data Retention: l'audio della chiamata non viene mai memorizzato né da ElevenLabs né dagli altri sub-responsabili. L'elaborazione avviene esclusivamente in transito, attraverso canali cifrati, per il tempo strettamente necessario alla generazione della risposta vocale.
- Google LLC / Google Ireland Ltd. — solo se il Tenant attiva l'integrazione con Google Calendar e/o Gmail.
- Brevo SAS (Francia, EU) — invio di email transazionali (conferme, riepiloghi, OTP via email).
- Twilio Inc. (USA) — invio di SMS OTP, ove abilitato dal Tenant.
- Stripe Payments Europe Ltd. (Irlanda, EU, regolata dalla Central Bank of Ireland come istituto di pagamento) — gestione dei pagamenti elettronici e dei rinnovi automatici. Stripe è certificato PCI DSS Level 1 e raccoglie direttamente i dati completi della carta tramite il proprio iframe (Stripe Elements / Checkout): il Fornitore non vede né conserva PAN, CVV o data di scadenza completa, ma solo identificatori tokenizzati (
customer_id,payment_method_id), le ultime 4 cifre, il brand del circuito e i metadati di transazione. Stripe può effettuare verifiche antifrode, autenticazione forte SCA / 3-D Secure 2 ai sensi della PSD2, e controlli KYC/AML ai sensi del D.Lgs. 231/2007. Trasferimenti extra-UE coperti da Standard Contractual Clauses e dal DPA Stripe; informativa privacy completa: stripe.com/it/privacy. - Fatture in Cloud — TeamSystem S.p.A. (Italia) — emissione, trasmissione al Sistema di Interscambio (SdI) dell'Agenzia delle Entrate e conservazione a norma delle fatture elettroniche per soggetti italiani, gestione del registro IVA e dei documenti fiscali correlati. Trattamento conforme al GDPR, al DPR 633/1972, al D.Lgs. 127/2015 e ai provvedimenti dell'Agenzia delle Entrate in materia di fatturazione elettronica. Server localizzati in UE. Informativa privacy completa: fattureincloud.it/privacy. La conservazione fiscale a norma (D.M. 17 giugno 2014) è erogata da TeamSystem per la durata di 10 anni dall'emissione, in qualità di responsabile della conservazione.
Dati di pagamento — finalità e basi giuridiche specifiche. Per la finalità di esecuzione del contratto (art. 6(1)(b) GDPR) trattiamo i metadati dei pagamenti elettronici (importo, valuta, esito, identificativo transazione, brand carta, ultime 4 cifre, paese di emissione). Per la finalità di adempimento di obblighi di legge (art. 6(1)(c) GDPR, in particolare D.Lgs. 231/2007 antiriciclaggio e DPR 633/1972 IVA), trattiamo i dati fiscali e di fatturazione del Cliente. Per la finalità di prevenzione frodi (art. 6(1)(f) GDPR, legittimo interesse) Stripe può analizzare segnali comportamentali (IP, fingerprint del dispositivo, velocità di compilazione) tramite il proprio motore Stripe Radar. Il Cliente ha diritto di chiedere una revisione manuale di eventuali decisioni interamente automatizzate di rifiuto del pagamento scrivendo a privacy@vokly.ai.
Dati di fatturazione e fattura elettronica. Per i Clienti italiani la fatturazione avviene in formato elettronico ai sensi del D.Lgs. 127/2015 e dei provvedimenti dell'Agenzia delle Entrate. I dati fiscali del Cliente (ragione sociale o nome e cognome, indirizzo, P.IVA o codice fiscale, codice destinatario SdI o PEC, regime fiscale) sono trasmessi a Fatture in Cloud (TeamSystem S.p.A.), che li elabora per emettere la fattura, inviarla al Sistema di Interscambio (SdI) e conservarla a norma (D.M. 17 giugno 2014). Base giuridica: obbligo legale (art. 6(1)(c) GDPR; DPR 633/1972; D.Lgs. 127/2015). Conservazione: 10 anni dalla data di emissione, in coerenza con l'art. 2220 c.c. e gli obblighi tributari. L'Agenzia delle Entrate è destinataria della fattura tramite SdI in quanto titolare autonomo del trattamento ai fini di legge.
L'elenco aggiornato dei sub-responsabili può essere richiesto in qualsiasi momento scrivendo a privacy@vokly.ai. In caso di aggiunta o sostituzione di un sub-responsabile rilevante, i Tenant attivi vengono informati con almeno 30 giorni di preavviso e hanno diritto di opporsi.
12. Trasferimenti di dati extra-UE
ElevenLabs, Twilio e — limitatamente alle integrazioni esplicitamente attivate dal Tenant — Google e Railway possono trattare alcuni dati al di fuori dello Spazio Economico Europeo, principalmente negli Stati Uniti. Tali trasferimenti avvengono sulla base di:
- decisione di adeguatezza della Commissione Europea, ove applicabile (es. EU-US Data Privacy Framework);
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914);
- misure tecniche e organizzative supplementari (cifratura end-to-end, pseudonimizzazione, controlli d'accesso) coerenti con le raccomandazioni EDPB 01/2020.
Copia delle garanzie adottate può essere richiesta scrivendo ai recapiti del Titolare.
13. Periodo di conservazione
- Registrazioni audio delle chiamate: nessuna conservazione — Vokly applica una politica di Zero Data Retention sul flusso audio. L'audio è elaborato esclusivamente in tempo reale nel canale cifrato tra chiamante, infrastruttura SIP e motori di sintesi/riconoscimento vocale, e non viene mai salvato, né dal Fornitore né dai sub-responsabili coinvolti. Conseguentemente nessuna copia audio è disponibile per il download, l'esercizio dei diritti o la consegna alle autorità.
- Trascrizioni testuali: 12 mesi.
- Metadati di chiamata (CDR): 24 mesi per esigenze statistiche e di sicurezza, in forma pseudonimizzata oltre i 6 mesi.
- Dati contrattuali e di fatturazione: 10 anni dalla cessazione del rapporto (obbligo di legge ex art. 2220 c.c.).
- Log tecnici e di sicurezza: 6 mesi, salvo diversa esigenza investigativa o di tutela in giudizio.
- Dati di marketing: fino a revoca del consenso e comunque non oltre 24 mesi dall'ultimo contatto utile.
- Dati di richiesta demo / form sito: 6 mesi se non sfociano in un contatto commerciale.
Al termine dei periodi indicati, i dati vengono cancellati o anonimizzati in modo irreversibile. Eventuali back-up cifrati vengono sovrascritti secondo il normale ciclo di rotazione (massimo 90 giorni).
14. Diritti dell'interessato (artt. 15-22 GDPR)
In qualsiasi momento puoi esercitare i seguenti diritti:
- Accesso (art. 15): ottenere conferma del trattamento dei tuoi dati e copia degli stessi.
- Rettifica (art. 16): correggere dati inesatti o incompleti.
- Cancellazione / "diritto all'oblio" (art. 17): chiedere la rimozione dei tuoi dati nei casi previsti.
- Limitazione del trattamento (art. 18): chiedere la "messa in pausa" temporanea del trattamento.
- Portabilità (art. 20): ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Opposizione (art. 21): opporti al trattamento basato su legittimo interesse o marketing diretto.
- Revoca del consenso (art. 7(3)): in ogni momento, senza pregiudicare la liceità del trattamento basato sul consenso precedentemente prestato.
- Non essere soggetto a decisioni automatizzate (art. 22): richiedere l'intervento umano sulle decisioni interamente automatizzate (cfr. punto 9).
- Reclamo al Garante per la protezione dei dati personali (art. 77) — Piazza Venezia 11, 00187 Roma; www.garanteprivacy.it; e per i chiamanti finali residenti in altri Stati membri, l'autorità di controllo del proprio Paese.
Per esercitare i tuoi diritti scrivi a privacy@vokly.ai o via PEC a m2r@pec.it, allegando un documento di identità. La risposta è gratuita e fornita entro 30 giorni (prorogabili di ulteriori 60 in casi complessi). Le richieste manifestamente infondate o eccessive — in particolare per ripetitività — possono essere rifiutate o sottoposte a un contributo spese ragionevole.
15. Trattamento dei dati dei chiamanti finali
I chiamanti finali interagiscono con un'intelligenza artificiale: prima di proseguire, l'agente vocale comunica chiaramente la propria natura e l'identità del Tenant per cui opera. Il chiamante può in qualunque momento chiedere di parlare con un operatore umano o terminare la chiamata. Il trattamento delle registrazioni e delle trascrizioni avviene per conto del Tenant, che è Titolare autonomo dei dati e a cui devono essere indirizzate in via primaria le richieste di esercizio dei diritti relative a quella specifica chiamata.
Vokly fornisce ai Tenant strumenti operativi (esportazione, cancellazione mirata, anonimizzazione) per dare seguito alle richieste degli interessati e supporta i Tenant nel rispetto degli obblighi GDPR.
16. Cookie e strumenti di tracciamento
Il sito vokly.ai utilizza solo cookie tecnici essenziali e non utilizza cookie di profilazione né strumenti di tracciamento di terze parti. Per il dettaglio consulta la Cookie Policy.
17. Minori di 16 anni
Il Servizio non è destinato a minori di 16 anni e il Titolare non raccoglie consapevolmente dati di minori. Qualora un genitore o tutore ritenga che un minore abbia fornito dati personali tramite il sito o le telefonate gestite da un Tenant, può scrivere a privacy@vokly.ai per richiederne la cancellazione, che sarà eseguita senza ritardo.
18. Data Breach
In caso di violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, il Titolare procede alla notifica al Garante entro 72 ore dalla conoscenza del fatto (art. 33 GDPR) e, ove richiesto dalla gravità del rischio, alla comunicazione individuale agli interessati (art. 34 GDPR), unitamente ai Tenant interessati nella loro qualità di Titolari autonomi.
19. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente informativa per riflettere modifiche normative, tecnologiche o organizzative. Le modifiche saranno pubblicate su questa pagina con la nuova data di aggiornamento. Modifiche sostanziali verranno comunicate via email ai Tenant attivi con almeno 15 giorni di preavviso e, ove richiesto, verrà richiesto un nuovo consenso.
20. Contatti
Per qualsiasi questione relativa al trattamento dei tuoi dati personali puoi contattare il Titolare ai seguenti recapiti:
- Email privacy: privacy@vokly.ai
- Email generale: hello@vokly.ai
- PEC: m2r@pec.it
- Indirizzo postale: M2R di Emilio Bruna, Via S. Giorgio, 1, 25065 Lovere (BG), Italia
M2R di Emilio Bruna — 14 maggio 2026