Informativa sulla Privacy / Privacy Policy
**GOCOTECH Ltd** · Sofia, Bulgaria · EIK 208828892 · powered by GOAi&digital
Documento bilingue. La versione **italiana** è quella prevalente in caso di conflitto interpretativo. *Bilingual document. The **Italian** version prevails in case of interpretative conflict.* Versione / Version: 1.2 — 8 giugno 2026
🇮🇹 VERSIONE ITALIANA
1. Premessa e ambito di applicazione
La presente Informativa descrive le modalità con cui **GOCOTECH Ltd** ("GOCOTECH", "noi", "Titolare") tratta i dati personali degli **utenti registrati della piattaforma** (account dei nostri clienti e dei loro collaboratori autorizzati) e dei **visitatori dei nostri siti web, dello shop e delle piattaforme dedicate** (collettivamente, la "Piattaforma").
Il trattamento è conforme al **Regolamento (UE) 2016/679 ("GDPR")**, alla legge bulgara sulla protezione dei dati personali (*Закон за защита на личните данни*) e alla normativa applicabile.
Distinzione fondamentale dei ruoli (GDPR)
Questa Informativa riguarda **esclusivamente** i dati per cui GOCOTECH agisce come **Titolare del trattamento** (Controller): dati di account, dati di contatto, dati di navigazione raccolti direttamente.
⚠️ **Per i dati dei clienti finali del nostro cliente** (es. i dati che il cliente carica e gestisce sulla propria piattaforma dedicata — i suoi clienti, contatti, contenuti), **GOCOTECH agisce come Responsabile del trattamento** (Processor) e tratta tali dati **esclusivamente su istruzione documentata del cliente**, che ne è il Titolare. Questi trattamenti sono regolati dall'**Accordo sul Trattamento dei Dati (DPA)** sottoscritto con il cliente, non dalla presente Informativa. Per tali dati l'interessato deve rivolgersi al proprio fornitore di servizio (il cliente Titolare).
2. Titolare del trattamento e contatti
| | | |---|---| | **Titolare** | GOCOTECH Ltd („ГОКОТЕХ" ЕООД) — società unipersonale a responsabilità limitata (EOOD) di diritto bulgaro | | **EIK / codice fiscale** | 208828892 | | **VAT EU** | BG208828892 | | **Sede legale** | Sofia 1336, distretto Lyulin, "Fortov pat" Str. 15, fl. 2, apt. 2, Bulgaria | | **Referente privacy** | privacy@gocotech.com |
GOCOTECH non ha nominato un DPO ai sensi dell'art. 37 GDPR; il referente privacy sopra indicato gestisce le richieste in materia di protezione dei dati personali.
3. Categorie di dati personali trattati
| Categoria | Esempi | Origine | |---|---|---| | **Dati di account** | nome, cognome, username, indirizzo email, password (in forma cifrata/hash), ruolo, tenant di appartenenza | forniti dall'interessato in fase di registrazione/invito | | **Dati di contatto e profilo** | azienda, ragione sociale, telefono, lingua, preferenze | forniti dall'interessato | | **Dati di fatturazione e amministrativi** | dati per fatturazione, P.IVA, indirizzo (per i clienti) | forniti dal cliente | | **Dati di navigazione e tecnici** | indirizzo IP, tipo di browser/dispositivo, log di accesso, timestamp, pagine visitate, identificativi di sessione | raccolti automaticamente | | **Dati di utilizzo della Piattaforma** | azioni compiute, log di audit, consumo di GO-chips, interazioni con gli assistenti AI (Sofia, Sara) | generati dall'uso | | **Contenuti forniti dall'utente** | testi, prompt, file caricati nell'interazione con gli assistenti AI a fini di account/supporto | forniti dall'interessato | | **Comunicazioni** | richieste di supporto, email, messaggi | forniti dall'interessato |
GOCOTECH **non raccoglie deliberatamente categorie particolari di dati** (art. 9 GDPR) tramite la Piattaforma e invita gli utenti a non inserirne nei campi liberi e nelle interazioni con l'AI.
4. Finalità del trattamento e basi giuridiche
| # | Finalità | Base giuridica (art. 6 GDPR) | |---|---|---| | 1 | Creazione e gestione dell'account, autenticazione, erogazione della Piattaforma e dei servizi richiesti | **Esecuzione del contratto** (art. 6.1.b) | | 2 | Gestione di fatturazione, pagamenti, adempimenti contabili e fiscali | **Obbligo legale** (art. 6.1.c) ed esecuzione del contratto | | 3 | Assistenza, supporto tecnico e gestione delle richieste | Esecuzione del contratto / **legittimo interesse** (art. 6.1.f) | | 4 | Sicurezza della Piattaforma, prevenzione frodi/abusi, log di audit, integrità del servizio | **Legittimo interesse** (art. 6.1.f) a garantire un servizio sicuro | | 5 | Miglioramento del servizio, analisi statistiche aggregate sull'utilizzo | Legittimo interesse (art. 6.1.f) | | 6 | Cookie tecnici/necessari | Legittimo interesse / esecuzione del contratto (v. **Cookie Policy**) | | 7 | Cookie analitici non anonimizzati, comunicazioni marketing, newsletter | **Consenso** (art. 6.1.a), revocabile in qualsiasi momento | | 8 | Adempimento di obblighi di legge e difesa in sede giudiziaria | Obbligo legale (art. 6.1.c) / legittimo interesse (art. 6.1.f) |
Ove la base giuridica sia il **legittimo interesse**, GOCOTECH ha effettuato un bilanciamento tra tale interesse e i diritti/libertà degli interessati; l'interessato può richiedere informazioni su tale bilanciamento e opporsi (v. §9).
5. Modalità del trattamento e processo decisionale automatizzato / AI
Il trattamento avviene con strumenti informatici e telematici, con misure di sicurezza adeguate (§8).
**Assistenti AI (Sofia e Sara).** La Piattaforma integra assistenti basati su intelligenza artificiale ("Sofia", "Sara") che elaborano gli input dell'utente per fornire risposte, generare contenuti ed eseguire azioni richieste. A fini di trasparenza:
- gli assistenti AI operano **su richiesta e sotto il controllo dell'utente**; non adottano decisioni che producono **effetti giuridici** o incidono in modo analogamente significativo sull'interessato ai sensi dell'**art. 22 GDPR** senza supervisione umana;
- gli input forniti agli assistenti possono essere trasmessi ai **fornitori di modelli AI** indicati al §6, esclusivamente per generare la risposta richiesta;
- secondo gli accordi (DPA/Terms) con tali fornitori, **i dati trasmessi tramite le API utilizzate non vengono impiegati per addestrare i loro modelli**;
- l'utente è invitato a non inserire dati personali non necessari o categorie particolari di dati nelle interazioni con l'AI;
- l'output generato dall'AI può contenere imprecisioni e va verificato dall'utente prima di un utilizzo che produca effetti.
I dati inviati ai provider AI tramite API sono trattati esclusivamente per generare l'output richiesto, non sono usati per addestrare modelli e sono conservati dai provider solo per il periodo previsto dai rispettivi DPA/termini API o per obblighi di sicurezza e abuse monitoring. GOCOTECH applica minimizzazione e, ove disponibile, redazione o esclusione di dati personali non necessari prima dell'invio.
6. Destinatari e sub-responsabili (fornitori)
I dati possono essere trattati da personale autorizzato di GOCOTECH e comunicati a fornitori terzi che agiscono come **Responsabili / sub-responsabili del trattamento**, vincolati da accordi conformi all'art. 28 GDPR. I principali sono:
| Fornitore | Finalità | Sede / Trasferimento | |---|---|---| | **Supabase** | Database e storage dedicato per cliente | UE (datacenter Francoforte, Germania) | | **Vercel** | Hosting e distribuzione del frontend | USA (con SCC + edge UE) | | **Anthropic** (Claude) | Modelli linguistici per assistenti AI | USA (SCC) | | **OpenAI** | Modelli linguistici, embeddings, trascrizione (Whisper) | USA (SCC) | | **ElevenLabs** | Sintesi vocale (voce AI) | USA (SCC) | | **HeyGen** | Generazione avatar video | USA (SCC) | | **fal.ai** | Generazione immagini/audio | USA (SCC) | | **RunPod** | Render ed elaborazione video (GPU) | USA / UE (SCC) | | **Resend** | Invio email transazionali | USA (SCC) | | **Marketplace** (eBay, Amazon, Google) | Integrazioni attivate **su istruzione del cliente** con i suoi account | UE/USA (SCC ove applicabile) |
I dati possono inoltre essere comunicati a: consulenti professionali (legali, fiscali, contabili) vincolati a riservatezza; autorità pubbliche e giudiziarie ove richiesto dalla legge.
I dati personali **non sono oggetto di vendita** né di cessione a terzi per finalità di marketing di terze parti.
7. Trasferimenti di dati extra-UE
Alcuni fornitori indicati al §6 hanno sede o infrastrutture negli **Stati Uniti** o in Paesi terzi. Tali trasferimenti avvengono in presenza di garanzie adeguate ai sensi del **Capo V del GDPR**, in particolare:
- **Clausole Contrattuali Tipo (SCC)** approvate dalla Commissione Europea (Decisione 2021/914), integrate da misure supplementari ove necessario; e/o
- adesione del fornitore al **EU–U.S. Data Privacy Framework (DPF)**, ove certificato, che fornisce un livello di protezione riconosciuto adeguato dalla decisione di adeguatezza della Commissione del 10 luglio 2023.
L'interessato può richiedere copia delle garanzie adottate scrivendo a privacy@gocotech.com.
8. Periodo di conservazione
| Tipologia | Periodo di conservazione | |---|---| | Dati di account | per la durata del rapporto contrattuale e fino a **30 giorni** dalla cessazione (per consentire l'eventuale ripristino), salvo richiesta di cancellazione anticipata | | Dati di fatturazione/contabili | **10 anni** dalla registrazione, per obbligo di legge | | Log di accesso e audit di sicurezza | di norma fino a **12 mesi**, salvo necessità di sicurezza o contenzioso | | Contenuti e interazioni AI | per la durata del rapporto, salvo cancellazione anticipata su richiesta | | Richieste supporto e comunicazioni | durata del rapporto + **24 mesi**, salvo contenzioso o obblighi di legge | | Preferenze cookie/consenso in localStorage | **6-12 mesi** o fino a revoca/reset browser | | Token OAuth marketplace | fino a revoca dell'integrazione, cessazione del rapporto o richiesta di cancellazione compatibile con obblighi di sicurezza | | Audio, immagini e file AI/OCR | durata necessaria all'elaborazione o alla funzione richiesta dal Cliente, salvo salvataggio esplicito nel servizio | | Backup tecnici | cancellazione secondo ciclo di rotazione e comunque entro i termini indicati nel DPA, salvo obblighi legali | | Dati trattati su base di consenso (marketing) | fino alla revoca del consenso e comunque entro **24 mesi** dall'ultimo contatto |
Alla scadenza i dati sono cancellati o anonimizzati in modo irreversibile.
9. Diritti dell'interessato
In qualità di interessato, l'utente può esercitare in qualsiasi momento i seguenti diritti (artt. 15–22 GDPR):
- **Accesso** ai propri dati personali (art. 15);
- **Rettifica** dei dati inesatti o incompleti (art. 16);
- **Cancellazione** ("diritto all'oblio", art. 17);
- **Limitazione** del trattamento (art. 18);
- **Portabilità** dei dati in formato strutturato e leggibile da dispositivo automatico (art. 20);
- **Opposizione** al trattamento basato sul legittimo interesse, incluso il marketing diretto (art. 21);
- **Revoca del consenso** in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente (art. 7.3);
- diritto a non essere sottoposto a una **decisione basata unicamente su trattamento automatizzato** che produca effetti giuridici o significativi (art. 22).
Le richieste vanno inviate a **privacy@gocotech.com**; GOCOTECH risponde senza ingiustificato ritardo e comunque entro **un mese** (prorogabile di due mesi per richieste complesse, con avviso all'interessato).
Se l'utente è un **cliente finale del nostro cliente** (i cui dati GOCOTECH tratta come Responsabile), deve esercitare i propri diritti presso il **proprio fornitore (il cliente Titolare)**. GOCOTECH assisterà il Titolare nel dare seguito alla richiesta, come previsto dal DPA.
Reclamo all'autorità di controllo
L'interessato ha diritto di proporre **reclamo all'autorità di controllo**. L'autorità competente per GOCOTECH è:
**Комисия за защита на личните данни (КЗЛД) — Commission for Personal Data Protection (CPDP)** Sofia 1592, bul. „Prof. Tsvetan Lazarov" No. 2, Bulgaria · web: cpdp.bg
L'interessato può comunque rivolgersi all'autorità di controllo del proprio Stato membro di residenza (in Italia: **Garante per la protezione dei dati personali**, garanteprivacy.it).
10. Sicurezza del trattamento
GOCOTECH adotta misure tecniche e organizzative adeguate al rischio ai sensi dell'**art. 32 GDPR**, tra cui: isolamento dei dati per cliente con database dedicato; controllo d'accesso multi-tenant a livello di riga (RLS); cifratura in transito (TLS) e at-rest; gestione sicura delle credenziali (hashing delle password, secrets in vault); registri di audit; backup periodici; principio del minimo privilegio. Le misure sono dettagliate nella documentazione di sicurezza (Misure Tecniche e Organizzative — TOMs) e allineate agli standard di settore (ISO/IEC 27001, SOC 2 come riferimento). In caso di **violazione dei dati personali**, GOCOTECH notifica l'autorità competente entro **72 ore** ove richiesto e informa gli interessati nei casi previsti dagli **artt. 33–34 GDPR**.
11. Natura del conferimento
Il conferimento dei dati necessari alla creazione dell'account e all'erogazione del servizio è **necessario** per l'esecuzione del contratto: il rifiuto rende impossibile fornire il servizio. Il conferimento per finalità di marketing è facoltativo.
12. Modifiche all'Informativa
GOCOTECH può aggiornare la presente Informativa per riflettere modifiche normative, tecniche o organizzative. La versione aggiornata è pubblicata sulla Piattaforma con indicazione della data di ultima revisione; le modifiche sostanziali sono comunicate agli utenti registrati.
13. Contatti
Per ogni questione relativa al trattamento dei dati personali: **privacy@gocotech.com**.
🇬🇧 ENGLISH VERSION
This is a courtesy translation. In case of interpretative conflict, the **Italian** version prevails.
1. Introduction and scope
This Privacy Policy describes how **GOCOTECH Ltd** ("GOCOTECH", "we", "Controller") processes the personal data of **registered users of the platform** (our clients' accounts and their authorised collaborators) and of **visitors to our websites, shop and dedicated platforms** (collectively, the "Platform").
Processing complies with **Regulation (EU) 2016/679 ("GDPR")**, the Bulgarian Personal Data Protection Act and applicable law.
Fundamental distinction of roles (GDPR)
This Policy concerns **exclusively** the data for which GOCOTECH acts as **Controller**: account data, contact data, navigation data collected directly.
⚠️ **For the data of our client's own end-customers** (e.g. data that the client uploads and manages on its dedicated platform — its customers, contacts, content), **GOCOTECH acts as a Processor** and processes such data **solely on the documented instructions of the client**, who is the Controller. Such processing is governed by the **Data Processing Agreement (DPA)** signed with the client, not by this Policy. For such data, the data subject must contact their service provider (the client Controller).
2. Controller and contact details
| | | |---|---| | **Controller** | GOCOTECH Ltd („ГОКОТЕХ" ЕООД) — single-member limited liability company (EOOD) under Bulgarian law | | **EIK / tax ID** | 208828892 | | **EU VAT** | BG208828892 | | **Registered office** | Sofia 1336, Lyulin district, "Fortov pat" Str. 15, fl. 2, apt. 2, Bulgaria | | **Privacy / DPO contact** | privacy@gocotech.com |
GOCOTECH is not currently subject to a mandatory obligation to appoint a Data Protection Officer (DPO) under Art. 37 GDPR; it has nonetheless designated a **privacy contact** reachable at the address above for any matter relating to the processing of personal data.
3. Categories of personal data processed
| Category | Examples | Source | |---|---|---| | **Account data** | name, surname, username, email, password (encrypted/hashed), role, tenant | provided on registration/invitation | | **Contact and profile data** | company, business name, phone, language, preferences | provided by the data subject | | **Billing and administrative data** | billing details, VAT number, address (for clients) | provided by the client | | **Navigation and technical data** | IP address, browser/device type, access logs, timestamps, pages visited, session identifiers | collected automatically | | **Platform usage data** | actions performed, audit logs, GO-chips consumption, interactions with AI assistants (Sofia, Sara) | generated by use | | **User-provided content** | text, prompts, files submitted when interacting with AI assistants for account/support purposes | provided by the data subject | | **Communications** | support requests, emails, messages | provided by the data subject |
GOCOTECH does **not deliberately collect special categories of data** (Art. 9 GDPR) through the Platform and invites users not to enter such data in free-text fields or AI interactions.
4. Purposes of processing and legal bases
| # | Purpose | Legal basis (Art. 6 GDPR) | |---|---|---| | 1 | Account creation and management, authentication, provision of the Platform and requested services | **Performance of a contract** (Art. 6.1.b) | | 2 | Billing, payments, accounting and tax compliance | **Legal obligation** (Art. 6.1.c) and contract | | 3 | Assistance, technical support, handling of requests | Contract / **legitimate interest** (Art. 6.1.f) | | 4 | Platform security, fraud/abuse prevention, audit logs, service integrity | **Legitimate interest** (Art. 6.1.f) in a secure service | | 5 | Service improvement, aggregated statistical usage analysis | Legitimate interest (Art. 6.1.f) | | 6 | Technical/necessary cookies | Legitimate interest / contract (see **Cookie Policy**) | | 7 | Non-anonymised analytics cookies, marketing communications, newsletter | **Consent** (Art. 6.1.a), revocable at any time | | 8 | Compliance with legal obligations and legal defence | Legal obligation (Art. 6.1.c) / legitimate interest (Art. 6.1.f) |
Where the legal basis is **legitimate interest**, GOCOTECH has carried out a balancing test between such interest and the rights/freedoms of data subjects; the data subject may request information on this assessment and object (see §9).
5. Methods of processing and automated decision-making / AI
Processing is carried out with IT and electronic tools, with appropriate security measures (§8).
**AI assistants (Sofia and Sara).** The Platform integrates AI-based assistants ("Sofia", "Sara") that process user input to provide answers, generate content and perform requested actions. For transparency:
- the AI assistants operate **at the user's request and under the user's control**; they do not make decisions producing **legal effects** or similarly significantly affecting the data subject under **Art. 22 GDPR** without human oversight;
- input provided to the assistants may be transmitted to the **AI model providers** listed in §6, solely to generate the requested response;
- under the agreements (DPA/Terms) with such providers, **data transmitted via the APIs used is not employed to train their models**;
- users are invited not to enter unnecessary personal data or special categories of data in AI interactions;
- AI-generated output may contain inaccuracies and must be verified by the user before any use producing effects.
Data sent to AI providers via API is processed exclusively to generate the requested output, is not used to train models and is retained by providers only for the period stated in their DPA/API terms or for security and abuse-monitoring obligations. GOCOTECH applies minimisation and, where available, redaction or exclusion of unnecessary personal data before transmission.
6. Recipients and sub-processors (vendors)
Data may be processed by authorised GOCOTECH personnel and disclosed to third-party vendors acting as **Processors / sub-processors**, bound by agreements compliant with Art. 28 GDPR. The main ones are:
| Vendor | Purpose | Location / Transfer | |---|---|---| | **Supabase** | Per-client dedicated database and storage | EU (Frankfurt datacenter, Germany) | | **Vercel** | Frontend hosting and delivery | USA (with SCC + EU edge) | | **Anthropic** (Claude) | Language models for AI assistants | USA (SCC) | | **OpenAI** | Language models, embeddings, transcription (Whisper) | USA (SCC) | | **ElevenLabs** | Voice synthesis (AI voice) | USA (SCC) | | **HeyGen** | Video avatar generation | USA (SCC) | | **fal.ai** | Image/audio generation | USA (SCC) | | **RunPod** | Video rendering and processing (GPU) | USA / EU (SCC) | | **Resend** | Transactional email delivery | USA (SCC) | | **Marketplaces** (eBay, Amazon, Google) | Integrations enabled **on the client's instruction** with its accounts | EU/USA (SCC where applicable) |
Data may also be disclosed to: professional advisors (legal, tax, accounting) bound by confidentiality; public and judicial authorities where required by law.
Personal data is **never sold** nor transferred to third parties for their own marketing purposes.
7. International (non-EU) data transfers
Some vendors listed in §6 are based or operate infrastructure in the **United States** or other third countries. Such transfers take place with adequate safeguards under **Chapter V of the GDPR**, in particular:
- **Standard Contractual Clauses (SCC)** approved by the European Commission (Decision 2021/914), supplemented by additional measures where necessary; and/or
- the vendor's adherence to the **EU–U.S. Data Privacy Framework (DPF)**, where certified, providing a level of protection recognised as adequate by the Commission's adequacy decision of 10 July 2023.
A copy of the safeguards adopted can be requested at privacy@gocotech.com.
8. Retention period
| Type | Retention period | |---|---| | Account data | for the duration of the contractual relationship and up to **30 days** after termination (to allow restoration), unless earlier deletion is requested | | Billing/accounting data | **10 years** from registration, by legal obligation | | Access logs and security audit | normally up to **12 months**, save for security or litigation needs | | AI content and interactions | for the duration of the relationship, unless earlier deletion is requested | | Data processed on consent (marketing) | until consent is withdrawn and in any case within **24 months** of the last contact |
Upon expiry, data is irreversibly deleted or anonymised.
9. Data subject rights
As a data subject, the user may exercise at any time the following rights (Arts. 15–22 GDPR):
- **Access** to personal data (Art. 15);
- **Rectification** of inaccurate or incomplete data (Art. 16);
- **Erasure** ("right to be forgotten", Art. 17);
- **Restriction** of processing (Art. 18);
- **Portability** in a structured, machine-readable format (Art. 20);
- **Objection** to processing based on legitimate interest, including direct marketing (Art. 21);
- **Withdrawal of consent** at any time, without affecting prior lawful processing (Art. 7.3);
- the right not to be subject to a **decision based solely on automated processing** producing legal or significant effects (Art. 22).
Requests should be sent to **privacy@gocotech.com**; GOCOTECH responds without undue delay and within **one month** (extendable by two months for complex requests, with notice to the data subject).
If the user is an **end-customer of our client** (whose data GOCOTECH processes as Processor), rights must be exercised with **their own provider (the client Controller)**. GOCOTECH will assist the Controller in fulfilling the request, as provided in the DPA.
Complaint to the supervisory authority
The data subject has the right to lodge a **complaint with a supervisory authority**. The competent authority for GOCOTECH is:
**Комисия за защита на личните данни (КЗЛД) — Commission for Personal Data Protection (CPDP)** Sofia 1592, bul. "Prof. Tsvetan Lazarov" No. 2, Bulgaria · web: cpdp.bg
The data subject may alternatively contact the supervisory authority of their Member State of residence (in Italy: **Garante per la protezione dei dati personali**, garanteprivacy.it).
10. Security of processing
GOCOTECH implements technical and organisational measures appropriate to the risk under **Art. 32 GDPR**, including: per-client data isolation with a dedicated database; row-level multi-tenant access control (RLS); encryption in transit (TLS) and at rest; secure credential management (password hashing, secrets in vault); audit logs; periodic backups; least-privilege principle. Measures are detailed in the security documentation (Technical and Organisational Measures — TOMs) and aligned with industry standards (ISO/IEC 27001, SOC 2 as reference). In the event of a **personal data breach**, GOCOTECH notifies the competent authority within **72 hours** where required and informs data subjects in the cases set out in **Arts. 33–34 GDPR**.
11. Nature of the provision of data
Providing the data necessary to create an account and deliver the service is **required** to perform the contract: refusal makes it impossible to provide the service. Providing data for marketing purposes is optional.
12. Changes to this Policy
GOCOTECH may update this Policy to reflect regulatory, technical or organisational changes. The updated version is published on the Platform with the date of last revision; material changes are communicated to registered users.
13. Contact
For any matter relating to personal data processing: **privacy@gocotech.com**.
*GOCOTECH Ltd · Sofia, Bulgaria · EIK 208828892 · powered by GOAi&digital · GOCOTECH Ltd*