Informativa alla Privacy

ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 in materia di protezione dei dati personali (“GDPR”), del Regolamento UE 2024/1689 sull’Intelligenza Artificiale (“AI Act”), del D.Lgs. n. 196/03 e successive modificazioni, ti informiamo di quanto segue.

Ultimo aggiornamento: marzo 2026

1. Titolare del trattamento

Il titolare del trattamento è l’Associazione Kraken APS, con sede legale in Via Oliviero Frosali 20, 50019 Sesto Fiorentino (FI) — C.F. 94286040483 —

email: info @ krakengdr.it

PEC: presidente @ pec.krakengdr.it

2. Finalità del trattamento e base giuridica

L’Associazione tratta i tuoi dati personali esclusivamente per lo svolgimento dell’attività istituzionale ed in particolare:

1. per la gestione del rapporto associativo (invio della corrispondenza, convocazione alle sedute degli organi, procedure amministrative interne) e per l’organizzazione ed esecuzione del servizio;
2. per adempiere agli obblighi di legge (es. fiscali, assicurativi, ecc.) riferiti ai soci dell’Associazione;
3. per l’invio (tramite posta, posta elettronica, newsletter o numero di cellulare o altri mezzi informatici) di comunicazioni legate all’attività e alle iniziative dell’Associazione;
4. in relazione alle immagini/video, per la pubblicazione nel sito dell’Associazione, sui social network o su newsletter o su materiale cartaceo di promozione delle attività istituzionali, previo Tuo esplicito consenso;
5. in relazione alla foto personale, per l’inserimento nel tesserino di riconoscimento;
6. per la partecipazione dei soci a corsi, incontri e iniziative e per l’organizzazione e gestione dei relativi eventi;
7. per la partecipazione alle attività istituzionali dell’Associazione;
8. per analisi statistiche, anche in forma aggregata e anonimizzata;
9. per lo svolgimento di attività organizzative e comunicative interne con il supporto di strumenti di intelligenza artificiale, nei limiti e con le garanzie descritte nella sezione 6.

Base giuridica del trattamento:

Finalità	Base giuridica
Gestione rapporto associativo (punti 1, 6, 7)	Art. 6(1)(b) GDPR – esecuzione del contratto associativo
Obblighi di legge (punto 2)	Art. 6(1)(c) GDPR – obbligo legale
Comunicazioni istituzionali (punto 3)	Art. 6(1)(b) GDPR e art. 9(2)(d) GDPR – contatti regolari con l’Associazione
Pubblicazione immagini/video (punto 4)	Art. 6(1)(a) e art. 9(2)(a) GDPR – consenso esplicito
Tesserino (punto 5)	Art. 6(1)(b) GDPR
Statistiche (punto 8)	Art. 6(1)(f) GDPR – legittimo interesse, su dati aggregati e anonimi
Utilizzo strumenti AI (punto 9)	Art. 6(1)(b) GDPR – nell’ambito della gestione associativa; Art. 6(1)(f) GDPR – legittimo interesse organizzativo

3. Modalità e principi del trattamento

Il trattamento avverrà nel rispetto del GDPR e del D.Lgs. n. 196/03, nonché dei principi di liceità, correttezza e trasparenza, adeguatezza, pertinenza e minimizzazione, con modalità cartacee ed informatiche, ad opera di persone appositamente autorizzate dall’Associazione e con l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza e la riservatezza dei dati.

L’Associazione si avvale di strumenti di intelligenza artificiale per attività organizzative e comunicative interne (v. sezione 6). Tali strumenti non vengono impiegati per adottare decisioni automatizzate che producano effetti giuridici o che incidano significativamente sulle persone fisiche ai sensi dell’art. 22 GDPR. Ogni decisione che riguarda i soci è sempre assunta da persone fisiche autorizzate dell’Associazione.

4. Comunicazione dei dati e trasferimenti all’estero

I dati potranno essere comunicati agli altri soci nella misura necessaria per l’organizzazione e l’esecuzione del servizio. Potranno altresì essere comunicati ai soggetti deputati allo svolgimento di attività a cui l’Associazione è tenuta per obbligo di legge (commercialista, assicuratore, sistemista, ecc.) e a tutte quelle persone fisiche e/o giuridiche, pubbliche e/o private, quando la comunicazione risulti necessaria o funzionale all’attività istituzionale (formatori, Enti Locali, ditte per la manutenzione informatica, società organizzatrici dei corsi, ecc.).

I dati potranno essere trasferiti a destinatari con sede extra-UE che abbiano sottoscritto accordi idonei ad assicurare un livello di protezione adeguato ai sensi degli artt. 46 e ss. GDPR.

Si precisa che Anthropic, PBC (fornitore di Claude Team) non riceve dati personali dei soci nell’ambito dell’utilizzo corrente della piattaforma (v. sezione 6). Il DPA con le Clausole Contrattuali Standard (SCC) è comunque in vigore come misura di garanzia contrattuale.

Ove necessario, i soggetti cui vengono trasmessi i dati per svolgere attività per conto dell’Associazione saranno nominati Responsabili (esterni) del trattamento ai sensi dell’art. 28 GDPR.

I dati personali non vengono ceduti o venduti a terzi per finalità commerciali o di profilazione.

5. Periodo di conservazione dei dati

I dati saranno conservati per tutta la durata del rapporto associativo e, successivamente alla sua cessazione, per finalità di archivio, adempimento di obblighi legali, contabili o fiscali, o per esigenze di tutela dell’Associazione. In ogni caso si applicano i principi di proporzionalità e minimizzazione, con esclusione di comunicazioni a terzi non necessarie.

6. Utilizzo di strumenti di intelligenza artificiale (AI)

6.1 Strumento utilizzato

L’Associazione utilizza Claude Team, un servizio di intelligenza artificiale fornito da Anthropic, PBC (548 Market St, PMB 90375, San Francisco, CA 94104, USA — www.anthropic.com), esclusivamente per le seguenti attività interne:

• supporto organizzativo (gestione e organizzazione di eventi associativi, coordinamento attività associative);
• redazione di testi e comunicazioni istituzionali;
• gestione e produzione di contenuti per il sito web e i canali social dell’Associazione;
• redazione della newsletter associativa.

6.2 Dati personali e Claude Team

L’Associazione non inserisce dati personali dei soci (nomi, indirizzi email, recapiti o altri dati identificativi) nella piattaforma Claude Team. L’utilizzo è limitato a compiti redazionali e organizzativi di carattere generale, che non richiedono il trattamento di informazioni riferite a persone fisiche identificate o identificabili.

Pertanto, Claude Team non opera come responsabile del trattamento di dati personali dei soci nell’ambito dell’attività associativa di Kraken APS. La presente sezione è inclusa per completezza informativa e trasparenza ai sensi dell’AI Act.

6.3 Garanzie contrattuali

Il piano Claude Team rientra nei Termini Commerciali di Anthropic (Commercial Terms of Service). In forza di tali termini e del Data Processing Addendum (DPA) automaticamente incorporato:

• I contenuti inseriti non vengono utilizzati da Anthropic per addestrare i propri modelli di intelligenza artificiale;
• I log operativi sono soggetti a periodi di conservazione minimi (di norma 30 giorni);
• Nel caso in cui dati personali fossero in futuro trattati tramite la piattaforma, Anthropic opererebbe in qualità di Responsabile del trattamento ai sensi dell’art. 28 GDPR.

Per maggiori informazioni: https://www.anthropic.com/legal/privacy — DPA e SCCs: https://privacy.claude.com

6.4 Trasferimento extra-UE

Il servizio è erogato da un soggetto con sede negli Stati Uniti. Poiché i contenuti inseriti non includono dati personali dei soci, non si configura un trasferimento di dati personali ai sensi del Capo V GDPR. In ogni caso, il DPA di Anthropic incorpora le Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea, a tutela di qualunque dato che dovesse transitare sulla piattaforma.

6.5 Conformità all’AI Act (Regolamento UE 2024/1689)

Il Regolamento UE 2024/1689 (AI Act), in vigore dal 1° agosto 2024, si applica progressivamente. Le principali tappe già operative sono:

• 2 febbraio 2025: in vigore i divieti per pratiche di IA a rischio inaccettabile (art. 5) e gli obblighi di alfabetizzazione;
• 2 agosto 2025: in vigore le regole per i modelli di IA di uso generale (GPAI);
• 2 febbraio 2026: entrata in vigore delle norme per i sistemi di IA ad alto rischio (Allegato III).

Classificazione del sistema: Il sistema Claude, per le modalità d’uso adottate dall’Associazione (redazione testi, supporto organizzativo interno), rientra nella categoria dei sistemi AI a rischio limitato o minimo ai sensi dell’AI Act. L’Associazione non utilizza Claude per nessuna delle finalità classificate come ad alto rischio dall’Allegato III del Regolamento (es. valutazione di persone, accesso a servizi essenziali, istruzione, occupazione, infrastrutture critiche).

Ruolo dell’Associazione: L’Associazione Kraken APS agisce in qualità di deployer (utilizzatore) del sistema AI ai sensi dell’art. 3(4) dell’AI Act, e adotta le misure di trasparenza previste dall’art. 50 del Regolamento, tra cui la presente informativa.

Nessuna decisione automatizzata: Claude Team non viene impiegato per adottare decisioni automatizzate con effetti giuridici o significativi sui soci o su terzi. La supervisione umana è sempre garantita.

7. Necessità del conferimento dei dati

Il conferimento dei dati anagrafici e di contatto è necessario in quanto strettamente legato alla gestione del rapporto associativo. In mancanza non sarà possibile costituire o mantenere il rapporto associativo.

Il consenso all’utilizzo delle immagini/video e alla loro diffusione è facoltativo: il mancato conferimento non pregiudica il rapporto associativo.

8. Diritti dell’interessato

Nella qualità di interessato, ti sono garantiti tutti i diritti di cui agli artt. 15–20 GDPR, tra cui:

• Diritto di accesso (art. 15): ottenere conferma del trattamento e copia dei dati;
• Diritto di rettifica (art. 16): correggere dati inesatti o incompleti;
• Diritto di cancellazione (“diritto all’oblio”) (art. 17);
• Diritto di limitazione del trattamento (art. 18);
• Diritto alla portabilità dei dati (art. 20);
• Diritto di opposizione (art. 21): anche in relazione a trattamenti basati sul legittimo interesse;
• Diritto di revocare il consenso in qualsiasi momento (senza pregiudizio per la liceità del trattamento basato sul consenso acquisito prima della revoca).

Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) qualora tu ritenga che il trattamento che ti riguarda violi il GDPR o la normativa italiana.

I suddetti diritti possono essere esercitati mediante comunicazione scritta inviata a mezzo posta elettronica, PEC o raccomandata A/R presso la sede dell’Associazione, all’indirizzo indicato nella sezione 1.