Informativa sulla privacy

Titolare del trattamento

Il Titolare del trattamento è Meridian S.r.l., con sede legale in Roma, Italia. Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattare il Titolare all'indirizzo privacy@meridian.legal.

Dati raccolti

Meridian raccoglie le seguenti categorie di dati personali nell'ambito dell'erogazione del servizio:

• Dati di account: nome, cognome, indirizzo email, password (hash bcrypt), ruolo organizzativo, tenant di appartenenza.
• Audio e trascrizioni delle call: registrazioni caricate manualmente dall'utente o catturate dal Live Coach, trascrizioni testuali, segmenti diarizzati per speaker.
• Log di utilizzo: accessi, azioni in piattaforma, tool eseguiti dall'AI, metadati dei file caricati. Conservati per audit di sicurezza.
• Dati di fatturazione (per piani a pagamento): ragione sociale, P.IVA, dati richiesti dalla normativa fiscale.

Finalità del trattamento

• Erogazione del servizio: trascrizione, analisi AI, gestione progetti e contatti, generazione di report.
• Miglioramento del prodotto: solo su dati aggregati e anonimi. Non usiamo le tue call per addestrare modelli di terze parti.
• Adempimento di obblighi legali: conservazione di log d'accesso, fatturazione, risposta a richieste di autorità competenti.
• Sicurezza: rilevamento di abusi, prevenzione frodi, protezione dell'infrastruttura.

Base giuridica

Il trattamento dei dati personali avviene sulle seguenti basi giuridiche, ai sensi dell'art. 6 del Regolamento UE 2016/679 (GDPR):

• Art. 6(1)(b) — esecuzione del contratto: i dati di account e i contenuti caricati sono necessari per fornire il servizio.
• Art. 6(1)(c) — obblighi legali: log di accesso, dati fiscali.
• Art. 6(1)(f)— legittimo interesse: sicurezza dell'infrastruttura, prevenzione di abusi.
• Art. 6(1)(a) — consenso: cookie non tecnici e analytics opzionali.

Natura del conferimento (Art. 13(2)(e) GDPR)

La fornitura di alcuni dati personali costituisce un requisito contrattualenecessario per l'attivazione e l'erogazione del servizio. In particolare:

• Dati obbligatori(email, password, dati aziendali essenziali, eventuali registrazioni delle call che l'utente sceglie di caricare): il conferimento è necessario per l'esecuzione del contratto. Il rifiuto comporta l'impossibilità di attivare o utilizzare il servizio.
• Dati opzionali(es. P.IVA per fatturazione, integrazioni Microsoft 365): il conferimento è facoltativo; la mancata comunicazione può limitare l'accesso a specifiche funzionalità.
• Consensi revocabili (es. opt-in al corpus benchmark cross-tenant): il consenso è del tutto opzionale e revocabile in qualsiasi momento dalla pagina /account/privacy senza pregiudizio per il servizio.

Periodo di conservazione

• Dati di call (audio + trascrizioni): conservati fino a quando l'utente non li elimina. L'utente ha il pieno controllo: eliminando una call dalla piattaforma, i dati associati vengono rimossi entro 30 giorni anche dai backup.
• Dati di account: conservati per la durata del contratto. Alla cancellazione dell'account, eliminati entro 90 giorni (salvo dati richiesti per obblighi legali).
• Audit log e log di sicurezza: conservati 5 anni ai sensi degli obblighi normativi in materia di sicurezza informatica.
• Dati fiscali e di fatturazione: 10 anni ai sensi della normativa tributaria.

Sub-processor

Per l'erogazione del servizio Meridian si avvale di fornitori tecnologici qualificati (sub-processor) che trattano dati per conto del Titolare sulla base di accordi conformi all'art. 28 GDPR. L'elenco completo e versionato dei sub-processor è pubblicato alla pagina /legal/sub-processors ed è consultabile anche su richiesta a privacy@meridian.legal. A titolo esemplificativo: Anthropic (AI Sonnet), Deepgram (trascrizione vocale), Voyage AI (embedding semantici), Railway (hosting infrastruttura), provider email transazionali.

Per i clienti del verticale Lex, i dati coperti da segreto professionale possono essere processati esclusivamente da sub-processor con sede UE/EEA e con vincolo contrattuale di riservatezza rafforzata.

Trasferimenti extra-UE / adeguatezza (Schrems II)

Per i sub-processor con sede fuori dallo Spazio Economico Europeo (EEA), il trasferimento dei dati personali avviene sulla base delle Clausole Contrattuali Standard (SCC)approvate dalla Commissione Europea ai sensi dell'art. 46(2)(c) GDPR, integrate da un Transfer Impact Assessment (TIA) condotto in conformità con la sentenza Schrems II (CGUE C-311/18) e con le Raccomandazioni 01/2020 dell'EDPB. Sono adottate misure supplementari tecniche e organizzative, tra cui minimizzazione e pseudonimizzazione dei dati prima dell'invio.

• Anthropic Inc. (Stati Uniti) — fornitore del modello Claude per analisi e sintesi AI. Trasferimento basato su SCC (art. 46(2)(c) GDPR) + TIA. Misure supplementari: testo pseudonimizzato dalla pipeline 4-layer (cfr. §03) prima della trasmissione. Copia delle SCC firmate disponibile presso il DPO su richiesta.
• Deepgram Inc. (Stati Uniti)— fornitore del servizio di trascrizione vocale. Trasferimento basato su SCC + TIA. Misure supplementari: l'audio non viene persistito lato sub-processor; le PII identificabili vengono rimosse dalla trascrizione tramite la pipeline 4-layer (cfr. §03) prima della persistenza locale.
• Voyage AI (Stati Uniti) — fornitore degli embedding semantici per la ricerca interna. Trasferimento basato su SCC + TIA. Misure supplementari: gli embedding sono calcolati su testo già pseudonimizzato.
• Microsoft Corporation (Irlanda / EEA)— quando utilizzata, l'infrastruttura Microsoft (Graph API, Teams web) opera all'interno della regione EEA: nessun trasferimento extra-UE richiesto.

L'elenco completo, aggiornato e versionato dei trasferimenti extra-UE — comprensivo della data di esecuzione delle SCC, della versione della TIA di riferimento e delle eventuali misure supplementari adottate — è disponibile presso il DPO all'indirizzo dpo@meridian.legal.

Diritti dell’interessato

Ai sensi degli artt. 15-22 GDPR, l'utente ha diritto a:

• Accesso ai propri dati personali e ricezione di una copia.
• Rettifica di dati inesatti o incompleti.
• Cancellazione("diritto all'oblio"): è possibile richiedere l'eliminazione dell'account dalla pagina /account/delete.
• Portabilità: ricezione dei dati in formato strutturato e leggibile da macchina (JSON).
• Opposizione al trattamento e limitazione.
• Revoca del consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento basata sul consenso prima della revoca.

Le richieste possono essere inviate a privacy@meridian.legal e saranno evase entro 30 giorni.

Decisioni automatizzate (Art. 22 GDPR)

Meridian utilizza modelli di intelligenza artificiale — in particolare Claude (Anthropic) — per attività di analisi, estrazione e sintesi dei contenuti delle call e dei documenti caricati. Tutti gli output AI hanno natura consultiva: ogni decisione operativa (assunzioni, conclusione di un deal, accettazione o rifiuto di una controparte, esecuzione di un contratto, comunicazioni esterne) resta sempresotto il controllo dell'utente umano, che la valuta e la conferma prima dell'esecuzione.

Conseguentemente, Meridian non adotta decisioni automatizzateai sensi dell'art. 22(1) GDPR che producano effetti giuridici o che incidano in modo analogamente significativo sull'interessato. In particolare, Meridian non esegue scoring del credito,non seleziona automaticamente personale, non accetta o rifiuta autonomamente transazioni o controparti.

Logiche coinvolte e finalità:

• Estrazione e sintesi: Claude (Anthropic) genera riassunti, action item e classificazioni clausola-per-clausola dei documenti legali e finanziari.
• Classificatori interni: modelli ad-hoc per la tassonomia di term sheet, LPA, MAR Annex I e clausole NPL, sempre come supporto al revisore umano.
• Ricerca semantica: embedding (Voyage AI) calcolati su testo già pseudonimizzato per consentire la navigazione del knowledge graph aziendale.

Diritto a intervento umano (art. 22(3) GDPR): qualora l'utente ritenga che un output AI abbia inciso in modo significativo su una sua decisione, può richiedere revisione umana, contestare il risultato e ottenere l'intervento manuale di un operatore Meridian inviando una richiesta a privacy@meridian.legal. La trasparenza è garantita dal registro per-call delle esecuzioni AI (ToolRun history) e dall'audit log della ricostruzione del Brain, consultabili dall'utente.

Profilazione (Art. 13(2)(f) GDPR)

Meridian costruisce un Knowledge Graphdel "cervello aziendale" del cliente: entità (persone, organizzazioni, deal, concetti), relazioni storiche, decisioni ricorrenti e action item. Su queste rappresentazioni il sistema calcola score di rilevanzaper contatti, deal e azioni di follow-up al fine di suggerire all'utente le informazioni più pertinenti al contesto della call in corso.

Tale attività si configura come profilazioneai sensi dell'art. 4(4) GDPR ("qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica"). La base giuridica è l'art. 6(1)(b) GDPR (esecuzione del contratto: la generazione del Brain aziendale è parte essenziale del servizio richiesto dall'utente).

La profilazione opera esclusivamente all'interno del tenant del cliente e nonviene utilizzata per decisioni con effetti giuridici o significativi (cfr. §08 Decisioni automatizzate). L'utente può consultare il grafo, modificare o eliminare singoli nodi e relazioni direttamente dall'interfaccia "Brain".

Partecipanti terzi alle chiamate (Art. 14 GDPR)

Le chiamate registrate o catturate tramite Live Coach possono contenere voci, nomi e dichiarazioni di partecipanti che non sono titolari di un account Meridian (controparti, clienti, investitori, advisor esterni). Si tratta di dati personali raccolti indirettamente, per i quali si applica l'art. 14 GDPR.

Nel rapporto contrattuale Meridian opera in qualità di responsabile del trattamento (data processor) ai sensi dell'art. 28 GDPR; il titolare (data controller) è il tenant operatore (l'organizzazione cliente che decide quali call registrare e per quali finalità). Conseguentemente, è responsabilità dell'utente Meridian che carica o avvia la registrazione di:

• Acquisire il consenso preventivodei partecipanti prima dell'inizio della registrazione, oppure verificare la sussistenza di un'altra base giuridica (art. 6(1) GDPR — tipicamente legittimo interesse ex art. 6(1)(f) o consenso ex art. 6(1)(a)).
• Informare i partecipanti che la registrazione sarà elaborata tramite sub-processori AI (Anthropic + Deepgram, Stati Uniti, con SCC e TIA conformi — cfr. §06) ai fini di trascrizione, analisi e sintesi.
• Comunicare ai partecipanti i loro diritti ai sensi degli artt. 15-22 GDPR e indicare il proprio canale di contatto per l'esercizio di tali diritti.

Il Data Processing Agreement (DPA) firmato fra Meridian e il tenant operatore regola in dettaglio la ripartizione delle responsabilità e le istruzioni documentate impartite a Meridian in qualità di responsabile. Una copia del DPA è disponibile presso il DPO all'indirizzo dpo@meridian.legal.

I partecipanti terzi che vengano a conoscenza del trattamento dei propri dati possono esercitare i diritti previsti dal GDPR rivolgendosi anzitutto al titolare (l'organizzazione che ha avviato la registrazione) oppure, in subordine, al DPO di Meridian.

Cookie

Meridian utilizza cookie tecnici strettamente necessari al funzionamento del servizio (autenticazione, sessione) per i quali non è richiesto il consenso ai sensi dell'art. 122 del Codice Privacy. Cookie analitici e funzionali opzionali sono attivati esclusivamente previa raccolta del consenso tramite il banner cookie, le cui preferenze sono modificabili in qualsiasi momento dal banner stesso (riapribile dal footer del sito).

Data Protection Officer e reclami

Il Data Protection Officer (DPO) di Meridian è contattabile all'indirizzo dpo@meridian.legal.

L'interessato ha inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) o all'autorità di controllo dello Stato membro dell'Unione europea in cui risiede o lavora.

Per qualsiasi controversia, foro competente è quello di Roma.