Questa Informativa sulla Privacy si applica al trattamento delle Informazioni Personali da parte di Gnomi App Corp (GNOMI), incluso sulla nostra applicazione mobile, sul nostro sito web all'indirizzo gnomi.com e sulle nostre altre offerte online o offline (collettivamente, i Servizi).

1. Aggiornamenti alla Presente Informativa sulla Privacy

Potremmo aggiornare questa Informativa sulla Privacy di tanto in tanto. In tal caso, te lo faremo sapere pubblicando l'Informativa sulla Privacy aggiornata sul nostro sito web e/o potremmo anche inviare altre comunicazioni.

2. Informazioni Personali che Raccogliamo

Raccogliamo informazioni personali che ci fornisci, informazioni personali che raccogliamo automaticamente quando utilizzi i Servizi e informazioni personali da fonti terze.

A. Informazioni Personali che Ci Fornisci Direttamente

• Informazioni dell'Account: Nome utente, indirizzo email, password, paese di residenza e altre informazioni che memorizzi con il tuo account
• Informazioni del Profilo: Nome, titolo professionale, biografia, account di social media collegati, genere e data di nascita (privata)
• Funzionalità Interattive: Contenuti che invii tramite messaggistica, commenti e funzionalità dei social media
• Acquisti: Informazioni di pagamento per gli abbonamenti a GNOMI Premium
• Comunicazioni: Informazioni che ci invii tramite email o strumento di chat
• Sondaggi: Informazioni dai sondaggi a cui partecipi
• Concorsi: Informazioni da concorsi a premi o competizioni
• Eventi: Informazioni da conferenze e fiere
• Candidature di Lavoro: Informazioni di contatto e CV se ti candidi per posizioni lavorative

B. Informazioni Personali Raccolte Automaticamente

• Informazioni sul Dispositivo: Indirizzo IP, impostazioni utente, identificatori cookie, informazioni sul browser, informazioni sulla posizione
• Informazioni sull'Utilizzo: Pagine visitate, termini di ricerca, interazioni con i contenuti, frequenza e durata dell'attività
• Cookie e Tecnologie: Cookie, pixel tag e web beacon per raccogliere informazioni sul tuo utilizzo dei Servizi

C. Informazioni Personali Raccolte da Terze Parti

Potremmo raccogliere informazioni personali da servizi di terze parti quando colleghi GNOMI con account di social media (Reddit, LinkedIn, Meta, X) o utilizzi servizi di accesso di terze parti.

3. Come Utilizziamo le Informazioni Personali

A. Fornire i Servizi

• Gestione delle tue informazioni e fornitura di accesso alle funzionalità
• Assistenza clienti e comunicazioni
• Elaborazione dei pagamenti
• Elaborazione delle domande di lavoro

B. Migliorare i Servizi e Sviluppare Nuovi Prodotti

• Formazione di tecnologie di IA e apprendimento automatico
• Miglioramento e potenziamento dei Servizi

C. Finalità Amministrative

• Sicurezza e prevenzione delle frodi
• Analisi e misurazione del coinvolgimento
• Controllo qualità e sicurezza
• Conformità legale

D. Marketing

Potremmo utilizzare le tue informazioni personali per fornirti messaggi di marketing e offerte tramite campagne email, come consentito dalla legge applicabile.

F. Processo Decisionale Automatizzato

Potremmo impegnarci in processi decisionali automatizzati, inclusa la profilazione, per fornire contenuti personalizzati basati sulle tue interazioni con i Servizi.

4. Come Divulghiamo le Informazioni Personali

A. Divulgazioni per Fornire i Servizi

• Fornitori di Servizi: Servizi di IA/ML, hosting, servizio clienti, analisi, marketing, supporto IT
• Altri Utenti: Informazioni che scegli di condividere con altri utenti di GNOMI
• Servizi di Terze Parti: Servizi con cui ti connetti o interagisci
• Partner Commerciali: Partner con cui collaboriamo per fornire servizi
• Affiliati: I nostri affiliati aziendali
• Partner Pubblicitari: Per gli utenti gratuiti, potremmo condividere informazioni con partner pubblicitari per pubblicità mirata

B. Divulgazioni per Proteggere Noi o Altri

Potremmo divulgare informazioni per conformarci a richieste legali, proteggere diritti e sicurezza, far rispettare le politiche o assistere nelle indagini.

C. Transazioni Commerciali

Le tue informazioni potrebbero essere divulgate in relazione a fusioni, acquisizioni o altre transazioni aziendali.

5. Le Tue Scelte e Diritti sulla Privacy

Le Tue Scelte sulla Privacy

• Comunicazioni Email: Annulla l'iscrizione utilizzando i link nelle email
• Messaggi di Testo: Rispondi "STOP" per disattivare
• Dispositivi mobili: Regolare le impostazioni delle notifiche push e della posizione
• Cookie: Regolare le preferenze del browser (nota: potrebbe influire sulla funzionalità)
• Do Not Track: Non rispondiamo ai segnali DNT

I tuoi diritti sulla privacy

Potresti avere il diritto di:

• Confermare se stiamo elaborando i tuoi dati personali
• Richiedere l'accesso o la portabilità dei tuoi dati personali
• Richiedere la correzione dei tuoi dati personali
• Richiedere la cancellazione dei tuoi dati personali
• Richiedere la limitazione o opporti al trattamento
• Rifiutare la pubblicità mirata, la vendita o la profilazione
• Revocare il consenso

6. Trasferimenti internazionali di dati personali

I dati personali possono essere trasferiti, elaborati e archiviati ovunque nel mondo, inclusi paesi con leggi diverse sulla protezione dei dati. Per i trasferimenti dall'UE/UK, potremmo utilizzare le Clausole Contrattuali Standard dell'UE come garanzie.

7. Conservazione dei dati personali

Conserviamo i dati personali finché utilizzi i Servizi, o secondo necessità per raggiungere le finalità, fornire i Servizi, risolvere controversie e rispettare gli obblighi legali.

8. Avviso supplementare per GDPR UE/UK

Questa sezione si applica alle informazioni personali soggette al GDPR dell'UE o del Regno Unito. In alcuni casi, la fornitura di informazioni personali può essere richiesta per legge o contratto. Ti informeremo delle conseguenze se scegli di non fornire le informazioni richieste.

9. Informazioni personali dei minori

I Servizi non sono diretti a minori di 16 anni e non raccogliamo consapevolmente informazioni personali da minori. Se ritieni che tuo figlio abbia caricato informazioni in violazione della legge applicabile, ti preghiamo di contattarci.

10. Informativa sulla privacy delle promozioni

GNOMI App Corp. ("Sponsor") raccoglie ed elabora le informazioni personali inviate dai partecipanti, inclusi nome, indirizzo email, paese o stato di residenza e informazioni necessarie per verificare l'idoneità e consegnare i premi. Queste informazioni sono utilizzate esclusivamente per amministrare la promozione, prevenire frodi, verificare l'idoneità e assegnare i premi.

Per i partecipanti situati nello Spazio Economico Europeo o nel Regno Unito, lo Sponsor elabora i dati personali sulla base dell'esecuzione di un contratto (amministrazione della promozione) e dei legittimi interessi dello Sponsor nel gestire e proteggere la promozione. Se i partecipanti scelgono di ricevere comunicazioni di marketing, il trattamento si basa sul consenso. La partecipazione alla promozione non è condizionata alla fornitura del consenso al marketing.

Lo Sponsor può utilizzare fornitori di servizi per assistere nell'amministrazione della promozione, nelle comunicazioni, nell'analisi e nell'assegnazione dei premi. I dati personali possono essere trasferiti ed elaborati negli Stati Uniti o in altri paesi in cui lo Sponsor o i suoi fornitori di servizi operano, soggetti a adeguate garanzie legali ove richiesto.

I dati personali vengono conservati fino a dodici (12) mesi dopo la fine della promozione e poi eliminati o resi anonimi, a meno che non sia richiesta una conservazione più lunga per scopi legali o normativi. La promozione è aperta solo a persone che hanno almeno 18 anni o l'età della maggioranza nella loro giurisdizione.

A seconda della legge applicabile, i partecipanti possono avere il diritto di richiedere l'accesso, la correzione o la cancellazione dei propri dati personali, limitare o opporsi al trattamento, o richiedere la portabilità dei dati. I partecipanti nel SEE o nel Regno Unito possono anche presentare un reclamo presso la loro autorità locale per la protezione dei dati. I residenti negli Stati Uniti possono avere ulteriori diritti sulla privacy ai sensi delle leggi statali applicabili.

Le richieste riguardanti i dati personali possono essere inviate a: privacy@gnomi.com

11. Politica di Conservazione e Cancellazione dei Dati

Documentazione di Conformità al GDPR e alle Leggi sulla Privacy Applicabili

2. Dichiarazione di Conformità al GDPR e alle Leggi sulla Privacy Applicabili

GNOMI mantiene questa Politica di Conservazione e Cancellazione dei Dati definita e applicata per supportare la conformità con le leggi applicabili in materia di privacy e protezione dei dati, incluso il Regolamento Generale sulla Protezione dei Dati (GDPR) laddove il GDPR si applichi alle attività di trattamento di GNOMI. Questa politica è progettata per operativizzare i principi di conservazione e cancellazione allineati al GDPR, inclusi la limitazione della conservazione, la minimizzazione dei dati, la limitazione delle finalità, l'integrità e la riservatezza, la responsabilità e la gestione lecita delle richieste di cancellazione e limitazione degli interessati.

I controlli di conservazione e cancellazione di GNOMI sono intesi a garantire che i Dati Personali non siano conservati più a lungo del necessario per le finalità per cui sono raccolti o altrimenti trattati lecitamente, a meno che la conservazione continuata non sia richiesta per scopi legali, normativi, contrattuali, di sicurezza, di prevenzione delle frodi, contabili, di audit, di risoluzione delle controversie o per scopi aziendali legittimi.

Laddove GNOMI tratti informazioni su conti finanziari o portafogli autorizzate dall'utente tramite Plaid o fornitori simili, GNOMI applica controlli di conservazione e cancellazione progettati per limitare la conservazione dei dati di integrazione finanziaria al periodo necessario per fornire le funzionalità autorizzate, mantenere la sicurezza, soddisfare gli obblighi contrattuali, prevenire le frodi e conformarsi alla legge applicabile.

3. Ambito di Applicazione

Questa politica si applica a tutti i dati raccolti, trattati, conservati, trasmessi o mantenuti da GNOMI o da fornitori di servizi terzi che agiscono per conto di GNOMI. Ciò include sistemi di produzione, servizi cloud, database applicativi, sistemi di account utente, sistemi di integrazione finanziaria, sistemi di analisi di portafoglio, sistemi di intelligence finanziaria generata da AI, sistemi di analisi finanziaria, integrazioni Plaid, integrazioni di conti di intermediazione, integrazioni bancarie, log di sicurezza, ambienti di analisi, strumenti di supporto clienti, piattaforme di fornitori, registri aziendali, backup e sistemi di disaster recovery.

Questa politica si applica ai dipendenti, appaltatori, consulenti, fornitori di servizi e altro personale autorizzato di GNOMI che crea, accede, gestisce, conserva, tratta, trasmette, conserva, cancella o smaltisce dati per conto di GNOMI.

4. Dichiarazione di Politica

GNOMI conserva i dati solo per il tempo necessario a fornire e migliorare i propri servizi, supportare le funzionalità autorizzate degli utenti, mantenere la sicurezza, soddisfare gli obblighi contrattuali e legali, condurre operazioni aziendali e proteggere GNOMI, i suoi partner e i suoi utenti. Quando i dati non sono più necessari, GNOMI li cancella, anonimizza, aggrega o smaltisce in modo sicuro utilizzando controlli amministrativi, tecnici e procedurali appropriati.

I periodi di conservazione si basano sul tipo di dati, sulla finalità del trattamento, sulla relazione con l'utente, sulla base giuridica, sulle esigenze aziendali, sugli obblighi contrattuali, sui requisiti normativi e sui requisiti di sicurezza. GNOMI rivede periodicamente le pratiche di conservazione e cancellazione per confermare che rimangano appropriate per la propria attività, i prodotti, i sistemi, i fornitori e gli obblighi di privacy applicabili.

GNOMI conserva i dati di integrazione finanziaria autorizzati dall'utente solo per il tempo necessario a fornire le funzionalità di intelligence finanziaria autorizzate richieste dall'utente, incluse l'analisi di portafoglio, l'analisi di diversificazione, la generazione di sentiment di portafoglio, gli insight finanziari generati da AI, la prevenzione delle frodi e il supporto all'integrazione.

5. Principi di Conservazione Allineati al GDPR

• Limitazione della conservazione: GNOMI conserva i Dati Personali solo per il periodo necessario alla finalità di trattamento pertinente, a meno che una conservazione più lunga non sia giustificata da legge, contratto, sicurezza, risoluzione delle controversie, audit, contabilità o requisiti di conformità.
• Minimizzazione dei dati: GNOMI limita i dati conservati a quanto ragionevolmente necessario per la finalità aziendale, di prodotto, di sicurezza, legale o di conformità pertinente.
• Limitazione delle finalità: GNOMI valuta la conservazione in base alla finalità per cui i dati sono stati raccolti o altrimenti trattati lecitamente.
• Integrità e riservatezza: GNOMI protegge i dati conservati con controlli di accesso appropriati, autorizzazioni basate sul principio del minimo privilegio, monitoraggio e pratiche di gestione sicura.
• Responsabilità: GNOMI mantiene le responsabilità di titolarità, revisione e applicazione per le decisioni di conservazione e cancellazione.
• Diritti degli interessati: GNOMI tratta le richieste applicabili di cancellazione, correzione, limitazione e opposizione in conformità con la legge sulla privacy applicabile e con eventuali eccezioni lecite.
• Limitazione dell'autorizzazione dell'utente: I dati di integrazione finanziaria sono conservati e trattati solo per la durata e le finalità autorizzate dall'utente e supportate da basi di trattamento lecite applicabili.

6. Classificazione dei Dati

GNOMI classifica i dati in base alla sensibilità, alla finalità del trattamento, agli obblighi applicabili e all'uso operativo. I controlli di conservazione e cancellazione sono applicati in base alla natura dei dati e ai sistemi in cui risiedono.

• Dati di clienti e utenti: informazioni relative all'account, informazioni del profilo utente, preferenze, dati di utilizzo del prodotto, comunicazioni di supporto e registrazioni relative al servizio.
• Dati di connessione finanziaria: dati dell'account di intermediazione autorizzati dall'utente, dati delle relazioni bancarie, partecipazioni in portafoglio, metadati delle transazioni, metadati dell'account di investimento, saldi, identificatori di istituti finanziari, credenziali o token di integrazione finanziaria, informazioni finanziarie generate dall'IA, output di analisi di portafoglio e informazioni correlate elaborate tramite Plaid o fornitori di integrazione finanziaria simili.
• Dati di intelligence finanziaria generati dall'IA: analisi del sentiment del portafoglio, analisi di diversificazione, riepiloghi finanziari, output IA a livello di account e intelligence finanziaria specifica dell'utente correlata generata da integrazioni finanziarie autorizzate.
• Log di sicurezza e operativi: registrazioni di autenticazione, log di accesso, log di audit, dati di monitoraggio, log di attività del sistema e registrazioni di risposta agli incidenti.
• Dati aziendali e amministrativi: contratti, registrazioni dei fornitori, registrazioni di fatturazione, registrazioni aziendali, registrazioni legali, registrazioni fiscali e documentazione operativa interna.
• Dati aggregati, anonimizzati o de-identificati: analisi, dati di miglioramento del prodotto e dati di reporting che non sono ragionevolmente collegati a un individuo identificabile.

7. Programma di Conservazione

GNOMI applica periodi di conservazione in base alle categorie seguenti. Periodi specifici possono essere adeguati ove richiesto dalla legge, dal contratto, da esigenze di sicurezza, da requisiti tecnici del sistema o da necessità aziendali approvate. Laddove un periodo di conservazione specifico non sia richiesto per legge, GNOMI conserva i dati solo per il tempo necessario allo scopo applicabile e successivamente li elimina, anonimizza o smaltisce in modo sicuro.

Categoria di Dati	Finalità Principale	Standard di Conservazione	Metodo di Eliminazione
Dati dell'account e del profilo utente	Gestione dell'account, autenticazione, assistenza utente, erogazione del servizio	Conservati finché l'account è attivo e per un periodo limitato dopo la chiusura, nella misura necessaria per finalità di sicurezza, prevenzione delle frodi, legali, di audit o di assistenza.	Cancellazione, anonimizzazione o eliminazione sicura dai sistemi attivi.
Dati di integrazione finanziaria autorizzati dall'utente	Fornitura di funzionalità di intelligence finanziaria autorizzate, funzionalità richieste dall'utente, supporto all'integrazione e sicurezza	Conservati solo finché l'utente mantiene la connessione finanziaria autorizzata o finché necessario per fornire funzionalità di intelligence finanziaria autorizzate, mantenere la sicurezza, prevenire frodi, supportare operazioni aziendali lecite, rispettare obblighi contrattuali o soddisfare requisiti legali e normativi. Le integrazioni revocate, disconnesse, scadute o inattive vengono cancellate, disattivate, anonimizzate o revocate tramite token secondo i requisiti operativi e legali.	Cancellazione dai sistemi attivi, revoca sicura dei token, anonimizzazione, conservazione in archivio limitato ove richiesto dalla legge, o eliminazione sicura.
Approfondimenti finanziari generati dall'IA e analisi di portafoglio	Intelligence di portafoglio, analisi di diversificazione, analisi del sentiment, funzionalità di chat IA, analisi richieste dall'utente	Conservati finché gli account utente associati rimangono attivi e la funzionalità rimane abilitata, fatte salve le richieste di cancellazione, i requisiti di sicurezza, gli obblighi legali e la necessità operativa	Cancellazione, anonimizzazione, aggregazione o eliminazione sicura
Registrazioni di assistenza e comunicazioni	Assistenza clienti, risoluzione di problemi, garanzia di qualità e conformità	Conservate nella misura necessaria per risolvere le richieste, mantenere i registri del servizio e supportare requisiti aziendali o legali.	Cancellazione o eliminazione sicura dall'archivio alla scadenza.
Log di sicurezza, accesso e audit	Monitoraggio della sicurezza, prevenzione delle frodi, rilevamento degli incidenti, revisione degli accessi, audit e integrità del sistema	Conservati per un periodo appropriato alla finalità di sicurezza, ai requisiti di sistema e agli obblighi legali o contrattuali.	Scadenza programmata, eliminazione sicura o eliminazione dall'archivio limitato.
Registrazioni di fatturazione, fiscali, aziendali e legali	Contabilità, fisco, governance aziendale, audit, amministrazione contrattuale e conformità legale	Conservate per il periodo richiesto dalla legge applicabile, dagli standard di audit, dal contratto o dai requisiti di governance aziendale.	Eliminazione sicura dopo la scadenza dell'esigenza legale o aziendale.
Dati aggregati, anonimizzati o de-identificati	Analisi, miglioramento del prodotto, ricerca, reportistica e business intelligence	Possono essere conservati per periodi più lunghi quando i dati non sono ragionevolmente identificabili e sono al di fuori dell'ambito dei dati personali ai sensi della legge applicabile.	Uso continuativo, ulteriore aggregazione o eliminazione quando non più necessari.
Dati di backup e disaster recovery	Continuità aziendale, ripristino di sicurezza e ripristino del sistema	Conservati secondo i programmi del ciclo di vita dei backup e sovrascritti o eliminati attraverso la normale rotazione dei backup, salvo obbligo di conservazione legale.	Sovrascrittura programmata, scadenza o distruzione sicura.

8. Procedure di Cancellazione dei Dati e Smaltimento Sicuro

GNOMI applica la cancellazione e lo smaltimento dei dati attraverso controlli amministrativi, tecnici e procedurali. I metodi di smaltimento sono selezionati in base al tipo di dati, al sistema, alla sensibilità, ai requisiti di conservazione e alla fattibilità tecnica.

• Cancellazione o eliminazione dai sistemi di produzione attivi quando i dati non sono più necessari.
• Anonimizzazione o aggregazione quando GNOMI necessita di preservare analisi o informazioni sul prodotto senza conservare dati personali ragionevolmente identificabili.
• Restrizione o disattivazione dei dati quando la cancellazione è temporaneamente limitata da blocco legale, sicurezza, audit, contabilità, risoluzione di controversie o vincoli tecnici.
• Smaltimento sicuro di registrazioni ed esportazioni utilizzando processi approvati di cancellazione, distruzione o revoca dell'accesso.
• Revisione di sistemi e fornitori per confermare che gli obblighi di conservazione e smaltimento siano operativi dove i dati sono trattati per conto di GNOMI.
• Revoca e cancellazione dei token di accesso Plaid, credenziali OAuth, credenziali API e segreti di integrazione associati quando le integrazioni sono disconnesse, scadute o non più necessarie.
• Cancellazione o anonimizzazione delle informazioni finanziarie generate dall'AI quando le integrazioni finanziarie sottostanti associate sono revocate o cancellate, salvo che la conservazione sia altrimenti richiesta.

9. Richieste degli Interessati GDPR e Chiusura dell'Account

Quando si applica il GDPR o altra legge sulla privacy applicabile, GNOMI tratta le richieste degli interessati relative ad accesso, correzione, cancellazione, restrizione, opposizione e portabilità in conformità con i requisiti legali applicabili e le eccezioni legittime. GNOMI valuta le richieste in base all'identità del richiedente, alla natura dei dati, alla base giuridica applicabile, ai requisiti di sistema e a qualsiasi obbligo legittimo di conservare i dati.

A seguito di chiusura dell'account verificata o richiesta di cancellazione verificata, GNOMI cancella, anonimizza o limita i Dati Personali applicabili dai sistemi attivi salvo che la conservazione sia richiesta o consentita per scopi legali, normativi, contrattuali, di sicurezza, prevenzione delle frodi, contabilità, audit, risoluzione di controversie o legittimi scopi aziendali. Quando i dati non possono essere immediatamente cancellati dai backup, sono protetti dall'uso ordinario e rimossi attraverso il ciclo di vita del backup applicabile.

Quando tecnicamente fattibile e legalmente consentito, GNOMI tratta le richieste verificate di disconnettere le integrazioni finanziarie, revocare i token di accesso finanziario, cancellare i dati di analisi del portafoglio associati e rimuovere le informazioni finanziarie generate dall'AI associate alle integrazioni finanziarie autorizzate dall'utente.

10. Blocchi Legali ed Eccezioni alla Conservazione

GNOMI può sospendere i normali programmi di conservazione o cancellazione quando i dati sono soggetti a blocco legale, controversia, indagine, richiesta normativa, requisito di audit, incidente di sicurezza, obbligo contrattuale, obbligo contabile o altro requisito aziendale legittimo. I dati soggetti a blocco legale o eccezione approvata sono conservati solo per il tempo in cui l'eccezione si applica e vengono quindi restituiti al processo di conservazione e smaltimento applicabile. Gli obblighi di sicurezza, prevenzione delle frodi, anti-abuso, risoluzione di controversie, audit, revisione normativa o altri obblighi di conformità legittimi possono richiedere una conservazione continuata limitata delle registrazioni di integrazione finanziaria o dei metadati finanziari relativi alla sicurezza.

11. Fornitori, Responsabili del Trattamento e Sistemi di Terze Parti

Quando GNOMI utilizza fornitori di servizi terzi per archiviare o trattare dati, GNOMI richiede una gestione appropriata della conservazione e dello smaltimento attraverso la revisione dei fornitori, obblighi contrattuali ove applicabile e controlli operativi. Per i fornitori che agiscono come responsabili del trattamento o fornitori di servizi, GNOMI si aspetta che gli obblighi di conservazione, cancellazione, riservatezza, sicurezza e assistenza siano affrontati negli accordi applicabili, nei termini di trattamento dei dati o nei controlli dei fornitori.

GNOMI esamina le pratiche di gestione dei dati dei fornitori in modo appropriato alla natura del servizio, alla sensibilità dei dati e ai requisiti di privacy e sicurezza applicabili. Quando GNOMI riceve una richiesta di cancellazione verificata che si applica ai dati detenuti da un fornitore o responsabile del trattamento, GNOMI adotta misure ragionevoli per comunicare o eseguire la richiesta di cancellazione, restrizione o anonimizzazione attraverso il flusso di lavoro del fornitore applicabile, fatte salve le eccezioni legittime.

GNOMI valuta Plaid e altri fornitori di integrazione finanziaria per controlli appropriati contrattuali, di privacy, sicurezza, conservazione, cancellazione, riservatezza e conformità normativa.

Quando richiesto, GNOMI implementa adeguate garanzie di trasferimento dei dati conformi al GDPR per il trattamento transfrontaliero che coinvolge dati di integrazione finanziaria.

12. Backup e Disaster Recovery

I dati contenuti nei backup o nei sistemi di disaster recovery possono persistere per un periodo limitato dopo la cancellazione dai sistemi di produzione attivi. I dati di backup sono protetti dall'accesso non autorizzato e sono soggetti a controlli del ciclo di vita, programmi di conservazione e sovrascrittura o cancellazione programmata. GNOMI non utilizza i dati di backup per l'elaborazione aziendale ordinaria dopo una richiesta di cancellazione applicabile, salvo quando il ripristino sia richiesto per necessità di sicurezza, disaster recovery, legale o operativa. I dati di integrazione finanziaria e le informazioni finanziarie generate dall'AI conservati nei sistemi di backup rimangono soggetti a restrizioni di accesso, controlli di crittografia, gestione del ciclo di vita e procedure di sovrascrittura sicura.

13. Applicazione e Responsabilità

Il management, la sicurezza, l'ingegneria, il prodotto, le operazioni e il personale di conformità di GNOMI sono responsabili dell'applicazione di questa policy nelle loro aree di responsabilità. I dipendenti e i collaboratori devono seguire le procedure approvate di conservazione, cancellazione, controllo degli accessi e smaltimento. La conservazione, l'esportazione, la copia o lo smaltimento non autorizzati di dati al di fuori dei processi approvati sono vietati.

14. Revisione Periodica

Questa policy è rivista almeno annualmente e in seguito a modifiche sostanziali ai prodotti, sistemi, fornitori, attività di trattamento dei dati, requisiti legali, obblighi contrattuali o postura di sicurezza di GNOMI. Le revisioni sono intese a confermare che gli standard di conservazione, le procedure di smaltimento, le pratiche allineate al GDPR, i controlli dei fornitori e l'applicazione operativa rimangano appropriati ed efficaci. Le revisioni devono considerare nuove funzionalità di integrazione finanziaria, funzionalità di analisi finanziaria AI, sistemi di analisi del portafoglio, modifiche alle integrazioni Plaid e obblighi in evoluzione relativi alla privacy o ai dati finanziari.

15. Conferma di Conformità

GNOMI mantiene questa policy come documentazione aziendale attiva per la conservazione, cancellazione e smaltimento dei dati. Questa policy è progettata per supportare la conformità con le leggi applicabili sulla privacy dei dati, incluso il GDPR ove applicabile, e per fornire un quadro definito e applicabile per come GNOMI conserva, cancella, anonimizza e smaltisce i dati.

16. Approvazione

Approvata dal management di GNOMI come policy aziendale attiva per la Conservazione e lo Smaltimento dei Dati, incluse le pratiche di conservazione e cancellazione allineate al GDPR.

12. Politica di Sicurezza delle Informazioni

Inclusi i Controlli del GDPR e delle Leggi sulla Privacy Applicabili

2. Ambito di Applicazione

La presente politica si applica a tutti i dipendenti, fondatori, funzionari, appaltatori, consulenti, fornitori di servizi, fornitori, sistemi, applicazioni, ambienti cloud, database, repository di codice sorgente, asset di produzione, dispositivi aziendali, dati utente, dati dei partner e qualsiasi altro asset informativo utilizzato per fornire prodotti e servizi GNOMI.

La presente politica si applica ai dati aziendali, dei clienti, degli utenti, finanziari, tecnici, operativi, di autenticazione, API e gestiti dai fornitori, inclusi i dati dei conti di intermediazione autorizzati dall'utente, i dati delle relazioni bancarie, le partecipazioni in portafoglio, i metadati delle transazioni, i token di integrazione finanziaria, l'analisi del portafoglio generata dall'IA e gli output di intelligence finanziaria, inclusi i Dati Personali, i dati sensibili e i dati regolamentati trattati da o per conto di GNOMI.

3. Conformità Legale, Normativa e in Materia di Privacy

GNOMI progetta e gestisce il proprio programma di sicurezza per supportare la conformità con tutte le leggi, norme, regolamenti e requisiti contrattuali applicabili in materia di sicurezza delle informazioni e privacy pertinenti alle proprie operazioni, inclusi, ove applicabili:

• Regolamento Generale sulla Protezione dei Dati (GDPR) e requisiti applicabili in materia di protezione dei dati UE/SEE;
• Requisiti del GDPR del Regno Unito e del Data Protection Act, ove applicabili;
• Leggi statali degli Stati Uniti in materia di privacy e sicurezza, inclusi CCPA/CPRA e il New York SHIELD Act, ove applicabili;
• Requisiti del GLBA e della FTC Safeguards Rule nella misura in cui GNOMI tratta dati soggetti a tali obblighi;
• Obblighi contrattuali di sicurezza dei partner, inclusi protezione dei dati, riservatezza, controllo degli accessi, notifica degli incidenti e requisiti di sicurezza dei fornitori;
• Requisiti applicabili in materia di notifica delle violazioni, minimizzazione dei dati, conservazione, cancellazione e diritti degli utenti;
• Obblighi contrattuali di sicurezza e gestione dei dati di Plaid applicabili agli ambienti di integrazione finanziaria;
• Obblighi applicabili in materia di privacy dei dati finanziari, salvaguardia e protezione dei consumatori relativi alle integrazioni finanziarie autorizzate dall'utente.

Laddove leggi, contratti o requisiti dei partner impongano obblighi più rigorosi rispetto alla presente politica, si applica lo standard più rigoroso. GNOMI rivede periodicamente la presente politica per garantire che rimanga allineata ai requisiti legali, normativi, dei partner e di sicurezza applicabili.

4. Requisiti del GDPR e Privacy-by-Design

GNOMI applica i principi di privacy-by-design e security-by-design ai sistemi e ai processi che coinvolgono Dati Personali. Laddove si applichi il GDPR, i controlli di sicurezza e privacy di GNOMI sono progettati per supportare i seguenti principi:

• Liceità, correttezza e trasparenza nelle attività di trattamento dei dati;
• Limitazione delle finalità e utilizzo dei dati solo per scopi aziendali, di prodotto, legali, di sicurezza o autorizzati dall'utente legittimi;
• Minimizzazione dei dati e raccolta solo dei dati ragionevolmente necessari per la finalità dichiarata;
• Esattezza e processi appropriati di correzione o cancellazione;
• Limitazione della conservazione attraverso standard definiti di conservazione e cancellazione;
• Integrità e riservatezza attraverso misure tecniche e organizzative appropriate;
• Responsabilizzazione attraverso documentazione, titolarità, revisione e applicazione dei controlli di privacy e sicurezza.
• Il trattamento dei dati finanziari autorizzati dall'utente deve essere limitato all'ambito del consenso, della necessità contrattuale o di altra base lecita applicabile alla funzionalità richiesta.
• Le funzionalità di intelligence finanziaria e di analisi del portafoglio generata dall'IA devono incorporare minimizzazione dei dati, accesso con privilegi minimi, trattamento sicuro e controlli di trasparenza appropriati per l'utente.

GNOMI supporta i processi relativi ai diritti degli interessati, inclusi accesso, rettifica, cancellazione, limitazione, portabilità e opposizione ove applicabili. Le richieste sono valutate in base alla legge applicabile e ai requisiti interni di GNOMI in materia di privacy, sicurezza, conservazione e blocco legale.

5. Governance della Sicurezza e Responsabilità

• Il management esecutivo è responsabile di garantire che GNOMI mantenga un programma di sicurezza delle informazioni appropriato alle dimensioni dell'azienda, al profilo di rischio, ai prodotti, ai dati e agli obblighi verso i partner.
• Le responsabilità di sicurezza sono assegnate tra gli stakeholder di ingegneria, prodotto, operazioni, legale ed esecutivi, a seconda dei casi.
• I requisiti di sicurezza sono incorporati nello sviluppo del prodotto, nella selezione dei fornitori, nella gestione degli accessi, nella risposta agli incidenti, nella gestione dei dati e nel processo decisionale operativo.
• GNOMI mantiene procedure interne e controlli di supporto per l'implementazione di questa policy, inclusi controlli di accesso, conservazione dei dati, risposta agli incidenti, gestione dei fornitori e pratiche di sviluppo sicuro.

6. Gestione del Rischio

GNOMI identifica, valuta, mitiga e monitora i rischi per la sicurezza delle informazioni che possono influenzare la riservatezza, l'integrità, la disponibilità, la privacy o la conformità legale. La revisione del rischio può includere l'architettura dei sistemi, i flussi di dati, le dipendenze dai fornitori, i controlli di autenticazione, i privilegi di accesso, gli ambienti di produzione, le nuove funzionalità del prodotto, le integrazioni di terze parti e la cronologia degli incidenti.

I rischi materiali vengono escalati al management appropriato per la risoluzione, l'accettazione, il trasferimento o l'applicazione di controlli aggiuntivi. Le decisioni di trattamento del rischio devono considerare i requisiti legali, gli obblighi verso i partner, l'impatto sugli utenti, l'impatto sulla sicurezza e la continuità operativa.

Le valutazioni del rischio devono considerare le integrazioni finanziarie, le dipendenze da Plaid, la funzionalità di analisi finanziaria generata dall'AI, i sistemi di analisi del portafoglio, i controlli di accesso ai dati finanziari, gli output dei modelli e i flussi di dati finanziari di terze parti.

7. Classificazione e Gestione dei Dati

GNOMI classifica e protegge i dati in base alla sensibilità, al valore aziendale, agli obblighi legali e al rischio. Le categorie di dati possono includere dati pubblici, interni, riservati, sensibili, personali, finanziari, di autenticazione, codice sorgente, sicurezza e dati dei partner.

• I Dati Sensibili e Personali devono essere accessibili solo da personale autorizzato con una legittima necessità aziendale.
• I dati devono essere archiviati, trasmessi e trattati utilizzando sistemi approvati e salvaguardie appropriate.
• Secrets, credenziali, token, chiavi API, chiavi private e certificati non devono essere archiviati in repository in testo semplice, documenti non protetti, messaggi di chat o sistemi non autorizzati.
• I dati di produzione non possono essere copiati in ambienti non di produzione a meno che non siano approvati e adeguatamente protetti, minimizzati, anonimizzati o pseudonimizzati ove possibile.
• La gestione dei dati deve essere allineata con i requisiti di conservazione, cancellazione, smaltimento e privacy di GNOMI.
• I dati degli account di intermediazione autorizzati dall'utente, le informazioni bancarie, le partecipazioni in portafoglio, i metadati delle transazioni, le informazioni finanziarie generate dall'AI e gli output del sentiment del portafoglio devono essere classificati come Dati Sensibili.
• I dati di integrazione finanziaria possono essere trattati solo attraverso sistemi approvati e flussi di lavoro autorizzati.
• I dati di integrazione finanziaria di produzione non possono essere copiati in ambienti di sviluppo o test a meno che non siano minimizzati, anonimizzati, pseudonimizzati o altrimenti adeguatamente protetti.

8. Gestione dell'Identità e degli Accessi

GNOMI applica controlli di accesso progettati per limitare l'accesso alle risorse di produzione, alle risorse cloud, agli strumenti amministrativi, ai sistemi, ai repository di codice sorgente e ai Dati Sensibili. L'accesso è concesso in base al ruolo, alla necessità aziendale, al privilegio minimo e ai requisiti di approvazione.

• Il controllo degli accessi basato sui ruoli (RBAC) è utilizzato ove supportato da sistemi e applicazioni.
• L'accesso privilegiato e amministrativo è limitato al personale autorizzato e rivisto periodicamente.
• Le soluzioni centralizzate di gestione dell'identità e degli accessi sono utilizzate ove appropriato per gestire l'autenticazione e l'autorizzazione degli utenti.
• L'autenticazione a più fattori è richiesta per gli account privilegiati e i sistemi critici ove supportata.
• Le revisioni e gli audit degli accessi sono eseguiti periodicamente per verificare che l'accesso rimanga appropriato.
• L'accesso viene modificato o revocato quando il personale cambia ruolo, trasferisce responsabilità o termina il proprio rapporto con GNOMI.
• L'autenticazione non umana, inclusi account di servizio, token OAuth, credenziali API e certificati TLS, deve essere approvata, archiviata in modo sicuro, limitata ai privilegi minimi richiesti e ruotata o revocata quando non più necessaria.
• L'accesso ai sistemi di integrazione finanziaria, agli ambienti amministrativi Plaid, ai sistemi di intelligenza finanziaria AI e ai dataset finanziari degli utenti deve essere limitato al personale autorizzato con una legittima necessità operativa, di sicurezza, conformità o supporto.
• L'accesso amministrativo ai sistemi in grado di recuperare o analizzare i dati degli account finanziari autorizzati dall'utente richiede l'autenticazione a più fattori ove supportata.

9. Sicurezza degli Asset di Produzione

• Gli ambienti di produzione devono essere protetti attraverso controlli di accesso, registrazione, monitoraggio, configurazione sicura e pratiche di gestione delle modifiche.
• L'accesso alla produzione è limitato al personale con una necessità operativa o ingegneristica approvata.
• Le modifiche ai sistemi di produzione devono seguire appropriate pratiche di revisione, test, approvazione e distribuzione basate sul rischio e sull'urgenza.
• I dati sensibili di produzione non devono essere esportati, scaricati o trasferiti a meno che non siano autorizzati per uno scopo aziendale, legale, di sicurezza o operativo legittimo.
• L'accesso di emergenza alla produzione deve essere limitato, registrato e revisionato dopo l'uso.
• I sistemi che elaborano dati di integrazione finanziaria autorizzati dall'utente devono implementare appropriati controlli di registrazione, monitoraggio, crittografia, restrizione dell'accesso e configurazione sicura.
• L'accesso agli insight finanziari generati dall'AI e agli output di analisi del portafoglio deve essere limitato in modo coerente con la sensibilità dei dati finanziari dell'utente associati.

10. Crittografia, Segreti e Gestione delle Chiavi

GNOMI utilizza appropriate misure di sicurezza tecniche per proteggere dati sensibili, credenziali e comunicazioni. La crittografia deve essere utilizzata per i dati sensibili in transito e applicata ai dati sensibili a riposo dove supportato e appropriato. Segreti, token, certificati, chiavi e credenziali devono essere archiviati in sistemi sicuri approvati e protetti contro l'uso o la divulgazione non autorizzati.

Le chiavi e le credenziali devono essere ruotate, disabilitate o revocate quando compromesse, non più necessarie o quando l'accesso del personale o del fornitore cambia. Le credenziali non devono essere condivise tra utenti tranne quando vengono utilizzati controlli di account di servizio approvati.

Le credenziali API Plaid, i token di integrazione finanziaria, le credenziali OAuth, i segreti webhook, i token di aggiornamento e i relativi segreti di integrazione finanziaria devono essere crittografati, archiviati in modo sicuro e protetti contro l'accesso non autorizzato.

11. Registrazione, Monitoraggio e Revisione della Sicurezza

GNOMI mantiene pratiche di registrazione e monitoraggio appropriate ai suoi sistemi e profilo di rischio. I log possono includere eventi di autenticazione, attività amministrativa, eventi applicativi, attività di sistema, modifiche di produzione, modifiche di accesso ed errori o avvisi rilevanti per la sicurezza.

• I log vengono revisionati secondo necessità per indagare eventi di sicurezza, problemi operativi, anomalie di accesso e incidenti.
• Gli eventi rilevanti per la sicurezza vengono escalati al personale responsabile per l'indagine e la risoluzione.
• I controlli di monitoraggio e allerta vengono aggiornati man mano che i sistemi, i fornitori e i rischi aziendali evolvono.
• I log contenenti Dati Personali o informazioni sensibili devono essere protetti e conservati in modo coerente con gli obblighi di conservazione e privacy di GNOMI.
• Il monitoraggio della sicurezza dovrebbe includere l'attività di integrazione finanziaria, gli eventi di integrazione Plaid, gli eventi di gestione dei token, l'accesso privilegiato ai dataset finanziari e i pattern di accesso anomali che coinvolgono informazioni finanziarie dell'utente.

12. Sviluppo Sicuro e Gestione delle Modifiche

GNOMI incorpora la sicurezza nello sviluppo software e nella consegna del prodotto. I requisiti di sicurezza vengono considerati durante la progettazione, lo sviluppo, il test, la distribuzione e la manutenzione dei sistemi GNOMI.

• Le modifiche al codice dovrebbero essere revisionate prima della distribuzione in produzione dove appropriato.
• Le modifiche che impattano la sicurezza devono essere valutate per il rischio, incluse le modifiche che coinvolgono autenticazione, autorizzazione, flussi di dati, API, integrazioni, infrastruttura di produzione o dati sensibili.
• Le dipendenze, le librerie e i componenti di terze parti dovrebbero essere revisionati e aggiornati in modo appropriato per ridurre le vulnerabilità note.
• Le vulnerabilità identificate attraverso revisione interna, segnalazioni di terze parti, monitoraggio o notifiche dei fornitori devono essere classificate e risolte in base alla gravità e all'impatto aziendale.
• Le modifiche che impattano la sicurezza e coinvolgono integrazioni finanziarie, API Plaid, analisi del portafoglio generate dall'AI, funzionalità di analisi finanziaria o flussi di dati finanziari dell'utente devono essere sottoposte ad appropriata revisione di sicurezza e privacy prima della distribuzione.

13. Sicurezza dei Fornitori e delle Terze Parti

GNOMI valuta fornitori terzi, responsabili del trattamento, sub-responsabili e partner di integrazione in base al tipo di dati trattati, ai servizi forniti, alla dipendenza operativa, alla postura di sicurezza, agli obblighi legali e ai requisiti contrattuali.

• I fornitori che trattano dati sensibili, personali, finanziari o degli utenti devono essere esaminati per verificare la presenza di adeguate misure di sicurezza e protezione della privacy.
• I contratti devono includere obblighi di riservatezza, protezione dei dati, sicurezza, controllo degli accessi, notifica degli incidenti, conservazione, cancellazione e relativi ai subprocessori, ove appropriato.
• L'accesso dei fornitori ai sistemi o ai dati di GNOMI deve essere limitato all'uso autorizzato e revocato quando non più necessario.
• GNOMI monitora i rischi materiali dei fornitori e può richiedere documentazione sulla sicurezza, attestazioni o prove di conformità dai fornitori quando appropriato.
• I fornitori di integrazione finanziaria, inclusi Plaid e i relativi subprocessori, devono essere valutati per la postura di sicurezza, i controlli di protezione dei dati, l'allineamento alla conformità normativa e gli obblighi contrattuali in materia di privacy.
• I trasferimenti transfrontalieri che coinvolgono dati di integrazione finanziaria dell'UE o del Regno Unito devono utilizzare meccanismi di trasferimento leciti appropriati ove richiesto.

14. Risposta agli Incidenti e Notifica delle Violazioni

GNOMI mantiene procedure di risposta agli incidenti per identificare, indagare, contenere, rimediare, documentare e comunicare gli incidenti di sicurezza. Gli incidenti di sicurezza possono includere accesso non autorizzato, esposizione di dati, compromissione delle credenziali, compromissione del sistema, perdita di dati, malware, interruzione del servizio o sospetta violazione della riservatezza, integrità o disponibilità.

• Gli incidenti devono essere segnalati tempestivamente alle parti interessate interne appropriate.
• GNOMI valuterà la natura, la portata, i sistemi interessati, i dati interessati, l'impatto sugli utenti, l'impatto sui partner, gli obblighi legali e le misure di rimedio.
• La notifica agli utenti, alle autorità di regolamentazione, ai partner, ai fornitori o ad altre parti sarà effettuata quando richiesto dalla legge applicabile, dal contratto o dalla determinazione di risposta agli incidenti di GNOMI.
• Le lezioni apprese dagli incidenti possono essere utilizzate per migliorare i controlli, le procedure, la formazione, il monitoraggio e la supervisione dei fornitori.
• Gli incidenti che coinvolgono sistemi di integrazione finanziaria, credenziali Plaid, informazioni di intermediazione o bancarie, sistemi di analisi del portafoglio o output di intelligence finanziaria generati dall'IA devono essere prioritari per l'indagine e il contenimento.

15. Conservazione dei Dati, Smaltimento e Conservazione Legale

GNOMI conserva le informazioni solo per il tempo ragionevolmente necessario allo scopo per cui sono state raccolte o trattate, inclusa la fornitura del prodotto, la gestione dell'account utente, la sicurezza, la prevenzione delle frodi, l'analisi, la conformità legale, i registri finanziari, gli obblighi contrattuali, la risoluzione delle controversie e le operazioni commerciali legittime.

• I Dati Personali devono essere cancellati, anonimizzati o smaltiti in modo sicuro quando non più necessari, fatte salve le esigenze di conservazione legali, normative, contrattuali, di sicurezza o commerciali legittime.
• Le richieste di cancellazione degli utenti e di chiusura dell'account sono gestite in conformità con le leggi sulla privacy applicabili e i requisiti di conservazione di GNOMI.
• I backup e i log sono conservati e smaltiti secondo pratiche di ciclo di vita definite e possono essere soggetti a cancellazione ritardata a causa di requisiti tecnici, di sicurezza o legali.
• Le conservazioni legali possono sospendere la cancellazione o lo smaltimento quando necessario per preservare le informazioni per scopi legali, normativi, di audit, di indagine o di controversia.
• I dati di integrazione finanziaria e le informazioni finanziarie generate dall'IA devono essere cancellati, anonimizzati, limitati o revocati tramite token quando non più necessari per funzionalità autorizzate, fatti salvi i requisiti di conservazione leciti.

16. Sicurezza del Personale e Formazione

Il personale e i collaboratori di GNOMI con accesso ai sistemi aziendali, alle risorse di produzione o ai dati sensibili devono seguire questa policy e le procedure di sicurezza applicabili. Il personale è tenuto a proteggere le credenziali, utilizzare sistemi approvati, segnalare sospetti incidenti di sicurezza e gestire i dati secondo i requisiti di classificazione e need-to-know.

La consapevolezza in materia di sicurezza e privacy può essere fornita attraverso l'onboarding, orientamenti specifici per ruolo, comunicazioni interne e aggiornamenti continui man mano che i prodotti, i rischi e gli obblighi di conformità di GNOMI evolvono.

Il personale con accesso ai sistemi di integrazione finanziaria o ai dati finanziari autorizzati dagli utenti può ricevere orientamenti aggiuntivi riguardanti la gestione dei dati finanziari, gli obblighi di privacy, il trattamento sicuro, la prevenzione del phishing, la sicurezza dei token e le procedure di escalation degli incidenti.

17. Continuità Operativa e Disponibilità

GNOMI mantiene misure ragionevoli per supportare la continuità e la disponibilità dei servizi critici. I controlli possono includere resilienza cloud, backup, monitoraggio, escalation degli incidenti, revisione delle dipendenze dai fornitori, pianificazione del disaster recovery e procedure di risposta operativa basate sulla criticità del sistema e sul rischio. La pianificazione della continuità operativa dovrebbe considerare le dipendenze da Plaid e altri fornitori di integrazione finanziaria, inclusi i rischi di disponibilità, le interruzioni dei fornitori, i guasti dei token e le interruzioni del servizio di integrazione finanziaria.

18. Eccezioni

Qualsiasi eccezione a questa policy deve essere approvata dalla direzione appropriata di GNOMI sulla base delle esigenze aziendali, del rischio, dei controlli compensativi, della durata e dei requisiti legali o contrattuali. Le eccezioni devono essere documentate ove appropriato e riviste periodicamente fino a quando non vengono rimediate o formalmente accettate.

19. Applicazione

Il mancato rispetto di questa policy può comportare la revoca dell'accesso, requisiti di rimedio, azioni nei confronti dei fornitori, azioni disciplinari, risoluzione del contratto o altre misure appropriate alla natura e alla gravità della violazione. GNOMI può indagare su sospette violazioni e intraprendere azioni correttive per proteggere i sistemi aziendali, gli utenti, i partner e i dati.