Informativa sulla privacy

Versione: 3.1

Stand: 02 giugno 2026

ZEROVIA GmbH,Via Casti 52, 7151 Schluein, Svizzera

e-mail: info@zerovia.ch · privacy@zerovia.ch

 Nota sulla versione 3.1. Questa versione estende la v3.0 del 20.11.2025 con clausole relative all'obbligo di etichettatura dei contenuti generati dall'IA (Art. 50 Regolamento UE 2024/1689), alla pubblicazione di profili ESG pubblicati pubblicamente (reperibilità nei motori di ricerca e nelle macchine di risposta IA), al trattamento dei dati del referente ESG nel contesto B2B, all'incorporazione di profili sui siti web dei clienti e alla nomina dei fornitori di modelli IA impiegati.

La presente informativa sulla privacy descrive le modalità con cui il ZEROVIA GmbH, Via Casti 52, 7151 Schluein, Svizzera („ZEROVIA», „noi») elabora dati personali quando si utilizza il nostro sito Web o la nostra piattaforma SaaS. Si applica a:

  •  i siti web zerovia.ch, zerovia.ai e zerovia.academy
  • la piattaformazerovia.app,
  • ai moduli ESG, fornitori e acquisti,
  • Processi di verifica e validazione,
  • Condivisione dati con terze parti (Opt-in),
  • API e interfacce di integrazione,
  • profili ESG pubblicamente pubblicati e loro incorporazione sui siti web dei clienti.

Trattiamo i dati personali in conformità allaLegge svizzera sulla protezione dei dati (DSG) e, se del caso, ilRegolamento generale sulla protezione dei dati (GDPR).

1. organismo responsabile e rappresentanza dell'UE (art. 27 GDPR)

1.1 Organismo responsabile in Svizzera

ZEROVIA GmbH Via Casti 52 CH-7151 Schluein E-Mail:privacy@zerovia.ch

1.2 Rappresentanza dell'UE ai sensi dell'art. 27 GDPR

ZEROVIA ha nominato il seguente rappresentante per gli interessati e le autorità di controllo nell'UE:

Rappresentante dell'UE (art. 27 GDPR) iuro Rechtsanwälte GmbH t/a Prighter
Schellinggasse 3
1010 Vienna,
Austria
e-mail:privacy@zerovia.ch
Portale per le richieste di informazioni da parte delle persone interessate:https://app.prighter.com/portal/zerovia

1.3 Attività di trattamento della rappresentanza dell'UE

La rappresentanza dell'UE prende il sopravvento:

  • Ricezione delle richieste degli interessati,
  • Ricezione di richieste da parte delle autorità europee di protezione dei dati,
  • Strutturazione e trasmissione sicura delle richieste a ZEROVIA,
  • Fornitura di uno strumento per le richieste degli interessati (strumento DSR).

I dati trattati includono, tra gli altri: dati identificativi e di contatto, informazioni sulla richiesta del soggetto interessato, contenuti della domanda.

1.4 Chiarimento dei ruoli

  • Prighter in carica: per consulenza o assistenza ai sensi dell'art. 27 GDPR.
  • Prighter come processore: nel fornire lo strumento DSR. Utilizzando PrighterHetzner Online GmbH come provider di hosting.

2. tipi di dati personali

2.1 Dati anagrafici

Cognome, Nome, recapiti commerciali, ruolo e posizione, appartenenza aziendale.

2.2 Dati tecnici e di utilizzo

Indirizzo IP, file di log, marca temporale, informazioni sul browser e sul dispositivo, protocolli di opt-in, utilizzo del token API.

2.3 Dati relativi all'ESG

  • Dati dai profili ESG auto-dichiarati,
  • Risposte ai questionari ESG,
  • documenti caricati (Policy, Rapporti, Certificazioni),
  • Informazioni per le verifiche,
  • Dati per validazioni di partner esterni,
  • Stato del profilo e di validità.,
  • Livello di maturità (ZEROvia ESG Quick Check, Rating, VS Basic, VS Comprehensive) e tipo di profilo (Dichiarato / Verificato da ZEROVIA / Validato da Partner Esterno).

2.4 Dati del referente ESG di un cliente

Nei profili ESG pubblicati pubblicamente, vengono inoltre trattati e pubblicati nome, funzione e indirizzo e-mail aziendale di una persona di contatto ESG designata dal cliente. La pubblicazione si basa sull'interesse commerciale legittimo (contesto B2B, art. 6 comma 1 lett. f GDPR, art. 31 DS). Il cliente garantisce che l'interessato sia informato della pubblicazione.

2.5 Dati di comunicazione

Corrispondenza e-mail, richieste di supporto, feedback all'interno della piattaforma.

2.6 Dati di elaborazione relativi all'IA

Input (prompt) e testi di output dei modelli di IA generativa da noi impiegati (vedi §10), dati di registrazione correlati per l'etichettatura di contenuti assistiti dall'IA ai sensi dell'art. 50 (4) Regolamento UE 2024/1689.

3. finalità del trattamento dei dati

3.1 Fornitura della piattaforma

Creazione e gestione account utente, gestione ruoli e permessi, funzionamento moduli, diagnosi errori e stabilità.

3.2 Profilazione ESG

Creazione e gestione di profili ESG, inserimenti auto-dichiarati, verifiche formali („Verified by ZEROVIA»), supporto tecnico per validazioni da parte di partner esterni, visualizzazione dello stato del profilo, generazione di report (ESG Quick Check, ESG Rating, VS Basic, VS Comprehensive).

3.3 Pubblicazione del profilo pubblico e indicizzazione automatica

Con pubblicazione attiva di un profilo ESG sottozerovia.app/profiles/{slug} i dati contrassegnati come pubblici verranno:

  • reso pubblicamente disponibile,
  • come dati strutturati (Schema.org JSON-LD) per la reperibilità nei motori di ricerca e nei motori di risposta IA (tra cui ChatGPT, Perplexity, Google AI Overviews, Claude).

I campi contrassegnati come „Interni» nel centro di pubblicazione non compaiono né nel profilo visibile né in JSON-LD. Non è tecnicamente possibile una differenziazione per singoli sistemi di indicizzazione; un ritiro dell'indicizzazione ha effetto solo attraverso la de-pubblicazione completa del profilo.

3.4 Condivisione dei dati con terze parti (Opt-in)

Con esplicito consenso del cliente: cessione a banche, assicurazioni, grandi aziende, clienti e fornitori, organizzazioni di validazione o controllo esterne, rilasci basati su API, rilasci tramite codici partner o collegamenti di condivisione.

3.5 Incorporazione sui siti web dei clienti

Se viene incorporato un profilo ESG pubblicato sul sito web di un cliente (incorporamento tramite snippet, lato server o JavaScript), i dati vengono trasferiti tecnicamente da zerovia.app al visitatore finale del sito del cliente. ZEROVIA non utilizza propri cookie di marketing o di tracciamento. Il cliente è responsabile di informare i propri visitatori finali riguardo alla protezione dei dati (informativa sulla privacy, banner dei cookie) sulla sua terza parte.

3.6 Funzionalità basate sull'IA (vedi §10)

Classificazione e tagging, pulizia dei dati, ricerca semantica, assistenza e raccomandazioni testuali, verifica della coerenza delle dichiarazioni ESG, bozze di testo basate sull'IA per profili ESG.

3.7 Miglioramento e sviluppo continuo

Analisi statistiche anonime, miglioramento dell'UI/UX, sviluppo della piattaforma.

3.8 Comunicazione

Supporto, comunicazioni relative alla sicurezza, notifiche di modifiche ai termini e condizioni o alla privacy.

4. base giuridica del trattamento dei dati

4.1 Adempimento di un contratto

(Art. 6 cpv. 1 lett. b RGPD; Art. 31 VG) Registrazione e gestione dell'account, utilizzo dei moduli, creazione di profili ESG, esecuzione di verifiche, gestione tecnica delle validazioni, utilizzo dei moduli Fornitori e Approvvigionamento, fornitura di funzionalità API.

4.2 Legittimo interesse

(Art. 6, paragrafo 1, lettera f) GDPR; Art. 31 DPA) Mantenimento della sicurezza informatica, rilevamento di abusi e prevenzione delle frodi, ulteriore sviluppo del nostro software, documentazione e garanzia di qualità, creazione di analisi anonime,Pubblicazione del referente ESG nominato dal cliente nel contesto B2B (nome, funzione, indirizzo email aziendale).

4.3 Consenso (opt-in)

(Art. 6 cpv. 1 lett. a) RGPD; Art. 6 LG) Comunicazione di dati ESG a banche, assicurazioni e grandi imprese, comunicazione a partner di validazione o audit,pubblicazione attiva di un profilo ESG (inclusa l'indicizzazione associata da motori di ricerca e motori di risposta AI), accessi API, codici partner o link di condivisione, determinate funzioni basate sull'intelligenza artificiale (se spiegate separatamente). Il consenso può essere revocato in qualsiasi momento con effetto per il futuro.

4.4 Obbligo di legge

(Art. 6 cpv. 1 lett. c RGPD) Obblighi di conservazione ai sensi del CO e del diritto fiscale svizzeri.

5. Profili ESG e loro elaborazione

ZEROVIA distingue due assi ortogonali:Stadio di maturazione (Profondità della divulgazione) eTipo di profilo (Profondità di prova). La metodologia completa è disponibile suzerovia.ch/methodik recuperabile.

5.1 Tipi di profilo

  1.  Profilo ESG Autodichiarato – dichiarazione spontanea, nessun controllo da parte di ZEROVIA, piena responsabilità dell'azienda.
  2. Verificato da ZEROVIA – controllo formale dei documenti, verifiche di plausibilità, nessun audit, nessuna certificazione, è richiesta l'adesione volontaria.
  3. Validato da partner esterno – esame di contenuto da parte di specialisti esterni, ZEROVIA = esclusivo fornitore di piattaforme tecniche, condivisione solo dopo opt-in.

5.2 Fasi di maturazione

  1. ESG Quick Check (Livello 1),
  2. Valutazione ESG (Livello 2),
  3. VS Basic (Stufe 3, ex VSME Basic),
  4. VS Completo (Livello 4, precedentemente VSME Completo).

5.3 Pubblicazione

I profili vengono visualizzati pubblicamente solo se attivamente condivisi. La visibilità è configurabile per ogni campo dati (Pubblico / Interno). I profili pubblicati vengono resi indicizzabili per motori di ricerca e motori di risposta IA in conformità con il §3.3.

5.4 Depubblicazione e ciclo di vita del profilo

In caso di depubblicazione o cancellazione di un profilo, la pagina del profilo ZEROVIA verrà rimossa entro 14 giorni e servita con stato HTTP 410. ZEROVIA si impegna in buona fede a far rimuovere le versioni indicizzate dei profili dai motori di ricerca e dai motori di risposta AI, ma non garantisce la completa rimozione dalla loro cache e dai dati di training.

6. divulgazione dei dati personali a terzi (opt-in)

La condivisione avviene esclusivamente previo esplicito consenso del cliente. Possibili destinatari: banche e istituti finanziari, assicurazioni, grandi aziende, clienti e fornitori, organizzazioni esterne di validazione e verifica, destinatari basati su API o webhook, integrazioni di piattaforme di partner commerciali.

ZEROVIA non verifica la legittimità dei destinatari. Un ritiro è efficace solo per accessi futuri.

7. chiarimento dei ruoli: controllore/elaboratore

7.1 ZEROVIA come parte responsabile

buona gestione della piattaforma, gestione del profilo, verifiche, dati utente, elaborazione relativa alla sicurezza, log e monitoraggio.

7.2 Validatori esterni come parti responsabili

bei Prüfentscheiden und ESG-Validierungsberichten.

7.3 ZEROVIA come processore

elaborazione dei dati personali per conto del cliente, integrazioni API, processi di verifica tecnica. Si applica ilAccordo sul trattamento dei dati (DPA) di ZEROVIA, recuperabile tramiteprivacy@zerovia.ch.

8. subprocessori

Utilizziamo fornitori di servizi accuratamente selezionati. Un elenco consolidato e costantemente aggiornato fa parte delContratto di elaborazione dati (DPA, Allegato C ai Termini di abbonamento). Lo stand al 02.06.2026 comprende la lista produttiva:

8.1 Hosting e infrastruttura

Fornitore

Scopo

Sede / Posizione dei dati

Base giuridica della trasmissione

Infomaniak Network SA

Hosting ambiente di produzione zerovia.app e zerovia.ch

Svizzera (Ginevra)

all'interno della Svizzera, nessun trasferimento verso paesi terzi

Uvensys GmbH

Hosting ambiente di sviluppo e test

Germania (Gießen)

all'interno dell'UE

8.2 Rappresentanza UE e diritti degli interessati

Fornitore

Scopo

Sede / Posizione dei dati

Base giuridica della trasmissione

iuro Rechtsanwälte GmbH (Prighter)

Rappresentanza UE Art. 27 GDPR, funzionamento strumento DSR

Austria

all'interno dell'UE

Hetzner Online GmbH(Sotto-sotto-processore di Prighter)

Hosting Prighter DSR-Tool

Germania

all'interno dell'UE

8.3 Modelli di IA

Fornitore

Scopo

Sede / Posizione dei dati

Base giuridica della trasmissione

OpenAI Irlanda S.r.l.

Modelli di KI generativa (serie GPT) per la bozza di testo e il controllo della coerenza nei profili ESG

Irlanda (residenza dati UE), elaborazione parzialmente USA

SCC + Valutazione d'Impatto sul Trasferimento + misure di protezione tecnica

Anthropic PBC

Modelli di IA generativa (serie Claude) per bozze di testo e controllo di coerenza

Stati Uniti

SCC + Valutazione d'Impatto sul Trasferimento + misure di protezione tecnica

Mistral AI(ripristino pianificato)

Modelli di IA generativa come fornitore di riserva europeo

Francia

all'interno dell'UE

8.4 Gestione del sito web zerovia.ch

Fornitore

Scopo

Sede / Posizione dei dati

Base giuridica della trasmissione

Google LLC (Site Kit / Analytics)

Misurazione della portata Website zerovia.ch

UE/USA

solo dopo l'accettazione dei cookie; SCC

TranslatePress (DevriX)

Multilinguismo zerovia.ch

UE

all'interno dell'UE

SpeedyCache

Caching della pagina zerovia.ch

UE

all'interno dell'UE

CookieAdmin Pro

Gestione del Consenso dei Cookie

UE

all'interno dell'UE

Nota: Utilizziamo prevalentemente provider con sede nell'UE o in Svizzera. Per i modelli di IA con elaborazione dati negli Stati Uniti (OpenAI, Anthropic) si applica un'estensione con SCC, TIA e misure di protezione tecnica aggiuntive (crittografia in transito e a riposo, nessun utilizzo dei dati dei clienti per l'addestramento dei modelli). Mistral AI è previsto come opzione di riserva europea per ridurre la dipendenza da paesi terzi.

9. trasmissione di dati all'estero

I dati possono essere trasmessi:

  • in paesi con decisione di adeguatezza della Commissione europea o con stati terzi riconosciuti secondo l'allegato 1 della VDSG,
  • in paesi terzi basati suClausole contrattuali standard (SCC) della Commissione europea, integrato dalla valutazione dell'impatto dei trasferimenti (TIA) e dalle misure di salvaguardia tecniche,
  • su esplicito consenso,
  • per obblighi di legge.

Le trasmissioni ai partner di convalida avvengono solo su base opt-in. Le trasmissioni ai fornitori di modelli IA con sede negli Stati Uniti avvengono esclusivamente sulla base delle SCC con l'aggiunta di misure complementari (crittografia, pseudonimizzazione ove possibile).

10. Funzioni basate sull'IA — Trasparenza ai sensi dell'articolo 50 del regolamento UE 2024/1689

10.1 Funzioni utilizzate

ZEROVIA utilizza modelli di intelligenza artificiale generativa per:

  • Bozze di testo basate sull'IA nei profili ESG (strategia di sostenibilità, misure chiave, divulgazione specifica del settore),
  • Controllo di coerenza delle dichiarazioni ESG (controllo di plausibilità, indicatore di greenwashing),
  • Classificazione e tag dei documenti caricati,
  • ricerca semantica.

10.2 Obbligo di etichettatura

I contenuti creati con IA nei profili pubblici saranno contrassegnati come tali, visibili nel profilo e leggibili dalla macchina in JSON-LD tramite il campoStatoOperaCreativa. Questa marcatura avviene già prima dell'entrata in vigore normativa dell'art. 50, paragrafo 4, del Regolamento UE 2024/1689 (applicabile dal 02.08.2026).

10.3 Fornitori di modelli di IA utilizzati

Attualmente impiegato in modo produttivoOpenAI Irlanda S.r.l. (Modelli GPT) eAnthropic PBC (Modelli Claude). Come fallback europeo, il collegamento diMistral AI (Francia) previsto, per ridurre ulteriormente la dipendenza da paesi terzi. I cambi di fornitore sono aggiornati nell'elenco dei sub-processori (§8.3) e nel DPA; le modifiche sostanziali vengono comunicate ai clienti in anticipo secondo i termini di abbonamento §13.

10.4 Dati di addestramento

I dati del cliente vengononon utilizzati per l'addestramento di modelli di intelligenza artificiale accessibili al pubblico. L'uso di dati aggregati anonimizzati per il miglioramento interno del modello è consentito solo previa adesione esplicita del cliente.

10.5 Nessuna decisione automatizzata con effetto giuridico

Nessuna decisione automatizzata ai sensi dell'articolo 22 del GDPR produce effetti giuridici. Le bozze di IA e i controlli di coerenza sono funzioni di assistenza che il cliente verifica e approva.

11. periodo di conservazione

Memorizziamo i dati personali:

  • finché esiste un account utente,
  • finché esistono obblighi di conservazione legali (10 anni secondo l'articolo 958f CO svizzero per libri commerciali e giustificativi),
  • finché esiste un interesse legittimo,
  • fino a quando non viene richiesta una cancellazione lecita.

I profili ESG vengono salvati in base alla loro durata e successivamente contrassegnati. Dopo la depubblicazione: rimozione della pagina del profilo entro 14 giorni, risposta HTTP 410, ulteriori indicazioni secondo il § 5.4.

12. Sicurezza informatica e misure tecniche e organizzative (TOM)

Proteggiamo i dati con misure organizzative e tecniche moderne, tra cui:

  • Crittografia SSL/TLS,
  • Controlli di accesso basati sui ruoli e 2FA opzionale,
  • Firewall, IDS/IPS,
  • Monitoraggio di sistema,
  • backup regolari,
  • audit interni e test di sicurezza esterni.

La nostra architettura di sicurezza è orientata aISO/IEC 27001 e le raccomandazioni delFDPIC.

13. diritti degli interessati

A seconda della legge applicabile, avete i seguenti diritti:

  • Informazioni (Art. 15 RGPD / Art. 25 RG),
  • Correzione (art. 16 RGPD / art. 32 RGPD),
  • Cancellazione (Art. 17 GDPR / Art. 32 DSG),
  • Limitazione (Art. 18 RGPD),
  • Portabilità dei dati (art. 20 GDPR / art. 28 GDPR),
  • Opposizione (art. 21 RGPD),
  • Revoca dei consensi (Art. 7 (3) RGPD).

Richieste di informazioni a:privacy@zerovia.ch

Cittadini dell'UE:https://app.prighter.com/portal/zerovia

Diritto di reclamo Le persone residenti in Svizzera possono rivolgersi all'Informatore federale per la protezione dei dati e la trasparenza (IFPDT). Le persone residenti nell'UE possono rivolgersi all'autorità nazionale di sorveglianza competente per la protezione dei dati.

14. Cookie e tracciamento

Il sito web zerovia.ch utilizza:

  • Cookie tecnicamente necessari (Sessione, impostazioni lingua, consenso cookie) — Base giuridica: interesse legittimo.
  • Cookie funzionali (ad es. Prestazioni, Caching) — Base giuridica: interesse legittimo o consenso.
  • Analisi dei cookie (Google Site Kit / Analytics) — esclusivamente previa espressa approvazione tramite il banner dei cookie.
  • Cookie pubblicitari — attualmente non in uso; se utilizzato in futuro, solo previo consenso esplicito.

La piattaforma ZEROVIA zerovia.app utilizza solo cookie tecnicamente necessari per l'autenticazione e la gestione della sessione.

Le impostazioni dei cookie possono essere modificate in qualsiasi momento tramite il link „Impostazioni cookie» nel footer del sito web.

15. Accordo sul trattamento dei dati (DPA)

Se ZEROVIA tratta i dati personali per conto di clienti commerciali, si applica anche quanto segueZEROVIA DPA, che disciplina: Scopo e ambito del trattamento, responsabilità, misure tecniche e organizzative, sub-fornitori (inclusi fornitori di modelli AI), trasferimenti internazionali. Richiesta suprivacy@zerovia.ch.

16. Incorporazione su siti web dei clienti

Quando un cliente incorpora un profilo ESG pubblicato sul proprio sito web:

  • Snippet e integrazione lato server: ZEROVIA fornisce codice HTML statico con JSON-LD inline. Non vi è alcuna connessione in tempo reale dal sito web del cliente a ZEROVIA. ZEROVIA non elabora dati dei visitatori finali.
  • JavaScript-Integrato: Il visitatore finale sul sito del cliente carica una risorsa da embed.zerovia.app. In questo processo vengono elaborati dati tecnicamente necessari (indirizzo IP, user agent, orario) per la consegna. ZEROVIA non utilizza cookie di tracciamento.

Il cliente è il titolare del trattamento dei dati ai sensi della normativa sulla protezione dei dati per i visitatori del proprio sito web e deve informarli in merito all'incorporamento nella propria informativa sulla privacy.

17. Modifiche alla presente informativa sulla privacy

Questa informativa sulla privacy può essere adattata, in particolare in caso di modifiche ai prodotti, cambiamenti nei requisiti legali, nuove funzionalità o processi di validazione rivisti. In caso di modifiche sostanziali, i clienti saranno informati in modo appropriato in anticipo. La versione attuale è disponibile suhttps://zerovia.ch/datenschutzerklaerung/ recuperabile.

Cronologia delle versioni:

  • v3.1 (02.06.2026) — KI-VO Art. 50, pubblicazione referente ESG, indicizzazione IA, privacy degli embed, tabella concreta sub-processori (Infomaniak, Uvensys, OpenAI, Anthropic, Mistral-pianificato), livelli di maturità, DPA referenziato come Allegato C delle AB.
  • v3.0 (20.11.2025) — Introduzione della Rappresentanza UE di Prighter, tre tipi di profilo, riferimento DPA.

18. Contatto

ZEROVIA GmbH
Via Casti 52
CH-7151 Schluein
privacy@zerovia.ch ·info@zerovia.ch

I cookie necessari abilitano funzionalità essenziali del sito come accessi sicuri e regolazioni delle preferenze di consenso. Non memorizzano dati personali.
Nessuno
I cookie funzionali supportano funzionalità come la condivisione di contenuti sui social media, la raccolta di feedback e l’abilitazione di strumenti di terze parti.
Nessuno
I cookie analitici tracciano le interazioni dei visitatori, fornendo dati su metriche come il numero di visitatori, il tasso di rimbalzo e le fonti di traffico.
Nessuno
I cookie pubblicitari offrono annunci personalizzati basati sulle tue visite precedenti e analizzano l'efficacia delle campagne pubblicitarie.
Nessuno