Protezione dei dati e GDPR

Questa pagina spiega come funziona la protezione dei dati su SOIS, chi è responsabile di cosa e cosa devi fare quando costruisci sulla piattaforma. Completa l'Informativa sulla Privacy e il modulo pubblico per le richieste sui diritti dei dati.

Chi controlla i dati

SOIS è multi-tenant, quindi la responsabilità dipende da dove risiedono i dati.

  • Gli operatori di rete sono i titolari. Quando un'organizzazione gestisce una rete con marchio su SOIS, quell'organizzazione è il titolare del trattamento dei dati personali che i suoi tenant e clienti vi inseriscono. SOIS agisce come responsabile del trattamento per loro conto.
  • SOIS è il titolare per i dati degli account creati direttamente con noi e per questo sito web.
  • I tenant decidono quali dati personali entrano nel loro workspace e perché.

Ogni rete ha il proprio database e spazio di archiviazione. I tenant sono isolati e non condividono mai dati tra loro.

Richieste sui diritti dei dati

Le persone possono esercitare i loro diritti (accesso, rettifica, cancellazione, portabilità, opposizione, limitazione) in due modi:

  1. Attraverso l'operatore. Se utilizzano una rete con marchio, la richiesta va a quell'operatore, che è il titolare. SOIS, come responsabile del trattamento, aiuta a soddisfarla.
  2. Direttamente attraverso SOIS. Il modulo pubblico su sois.ai/legal/gdpr indirizza una richiesta al team dati di SOIS per gli account e i dati che controlliamo.

Il webhook della richiesta

Il modulo pubblico invia una richiesta a una Cloudflare Pages Function, che inoltra la richiesta lato server al backend di SOIS:

POST /api/data-request
Authorization: Bearer <shared secret>
Content-Type: application/json

{
  "kind": "data_rights_request",
  "type": "access | rectify | delete | export | object | other",
  "name": "...",
  "email": "...",
  "account": "...",
  "details": "...",
  "locale": "en-US",
  "country": "GB",
  "received_at": "2026-05-24T00:00:00Z"
}

L'indirizzo di notifica è configurato solo lato server e non è mai esposto nell'HTML della pagina. L'endpoint convalida il segreto bearer, scrive una riga di log di audit e notifica il team dati. Le richieste vengono risposte entro il termine richiesto dalla legge.

Cosa significa quando costruisci un'estensione

Se la tua estensione memorizza o elabora dati personali, progettarla in modo che il titolare possa adempiere ai propri obblighi:

  • Minimizza. Raccogli solo ciò che la funzione necessita. Inserisci i campi aziendali all'interno del JSON data dell'entità ed evita di memorizzare dati personali che non utilizzi.
  • Essere cancellabile. I dati personali devono essere rimovibili. Usa cancellazioni soft per i record visibili agli utenti e assicurati che una richiesta di cancellazione possa raggiungere le righe di cui la tua estensione è proprietaria.
  • Essere portabile. Dove detieni dati personali, rendili esportabili in un formato comune.
  • Rispetta il consenso e i permessi. Un agente agisce solo entro i permessi della persona per cui agisce. Non ampliare mai l'accesso ai dati personali oltre quanto concesso dal tenant.
  • Conserva i segreti nel vault. Credenziali e token appartengono al vault delle password crittografato, recuperati solo quando un'azione ne ha bisogno. Non registrare mai dati personali o segreti.
  • Nessuna perdita tra estensioni. Non leggere i dati di un'altra estensione se non attraverso un contratto di integrazione governato a cui il tenant ha acconsentito.

Trasferimenti internazionali e conservazione

I dati possono essere elaborati in paesi al di fuori di quello dell'utente. Dove lo sono, si applicano garanzie appropriate come le clausole contrattuali standard. I dati personali vengono conservati solo per il tempo necessario allo scopo per cui sono stati raccolti, quindi eliminati o anonimizzati. Il contenuto del Workspace viene rimosso alla chiusura dell'account, soggetto a requisiti legali.

In breve

  • Gli operatori sono i titolari; SOIS è il responsabile del trattamento per le loro reti.
  • I tenant sono isolati; ogni rete ha il proprio database.
  • Le richieste sui diritti dei dati raggiungono il titolare corretto, tramite l'operatore o tramite il modulo SOIS.
  • Costruisci estensioni che siano minimali, cancellabili, portabili, consapevoli dei permessi e sicure per i segreti.