Politica sulla privacy

1. Introduzione

Compass è una piattaforma di intelligence politica gestita da CL Corporate Affairs Consulting E.I. (di seguito « CL » o « CL Corporate Affairs Consulting », utilizzati indifferentemente nel presente documento), con sede legale in 1 avenue de l'Observatoire, 75006 Parigi, Francia (SIREN: 902 992 189), e un ufficio di rappresentanza in Avenue de Tervueren 103, B-1040 Bruxelles, Belgio. La presente Politica sulla privacy illustra le modalità di raccolta, utilizzo e protezione dei dati personali all'interno della piattaforma Compass, in conformità al Regolamento (UE) 2016/679 (il « GDPR ») e alla Loi Informatique et Libertés francese.

Compass è progettata e gestita da una società di consulenza in affari pubblici in attività e può essere resa disponibile ad altri professionisti del settore, a team interni di public affairs, ad associazioni di categoria, a ONG e ad altre organizzazioni la cui attività si sovrappone al nostro ambito di pratica. Questo contesto particolare ha plasmato il modo in cui abbiamo concepito la piattaforma: pur applicando CL, in quanto dovere professionale fondante, una politica rigorosa di rifiuto di qualsiasi conflitto di interessi (cfr. anche sezione 3 delle Condizioni generali), riteniamo che tale impegno contrattuale ed etico debba essere accompagnato da garanzie tecniche e organizzative che conferiscano a ciascun utente un controllo reale e dimostrabile sui propri dati. Le disposizioni che seguono — in particolare la cifratura end-to-end opzionale (sezione 10.1) e la nostra politica deliberata in materia di IA (sezione 9) — costituiscono l'espressione pratica di tale convinzione. Non si tratta di formule generiche di conformità: esse traducono una scelta di posizionamento che riteniamo inseparabile dal tipo di piattaforma che una società di consulenza in affari pubblici può responsabilmente offrire ai propri pari.

2. Titolare del trattamento

CL Corporate Affairs Consulting E.I.
1 avenue de l'Observatoire, 75006 Parigi, Francia
Avenue de Tervueren 103, B-1040 Bruxelles, Belgio
Contatti: cl.eu.com/contact

3. Ruoli e responsabilità ai sensi del GDPR

L'attribuzione dei ruoli in materia di protezione dei dati all'interno di Compass dipende dal contesto specifico di utilizzo, valutato caso per caso, in conformità agli articoli 4, paragrafo 7, 4, paragrafo 8, 26 e 28 del GDPR. Il fattore determinante è quale parte decide le finalità e i mezzi essenziali di ciascuna operazione di trattamento — e non la sola qualificazione contrattuale.

Quando CL utilizza Compass per la propria attività di consulenza, CL Corporate Affairs Consulting agisce in qualità di unico titolare del trattamento per tutti i dati trattati all'interno della piattaforma, ivi compresi i dati di riferimento, la mappatura degli stakeholder, l'analisi delle posizioni e le registrazioni di engagement.

Quando un utente terzo accede a Compass nell'ambito delle proprie attività di public affairs, i ruoli rispettivi sono determinati dalla natura della missione e dal grado di autonomia di ciascuna parte:

• Se l'utente definisce la strategia, seleziona gli stakeholder, determina i dati da raccogliere e controlla i deliverable, l'utente agisce in qualità di titolare del trattamento e CL Corporate Affairs Consulting agisce in qualità di responsabile del trattamento (articolo 4, paragrafo 8, del GDPR), fornendo l'infrastruttura tecnica e trattando i dati esclusivamente per conto e secondo le istruzioni dell'utente.
• Se CL Corporate Affairs Consulting e l'utente determinano congiuntamente gli obiettivi e i mezzi essenziali del trattamento (ad esempio, CL Corporate Affairs Consulting progetta la metodologia di mappatura, seleziona le fonti di dati e definisce i criteri di scoring mentre l'utente fissa gli obiettivi strategici), entrambe le parti possono essere considerate contitolari del trattamento (articolo 26 del GDPR). In tale caso, gli obblighi rispettivi sono definiti nel contratto di incarico.

In tutti i casi, CL Corporate Affairs Consulting si impegna ad attuare misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza dei dati personali, in conformità al GDPR. Quando CL Corporate Affairs Consulting agisce in qualità di responsabile del trattamento, le Condizioni generali della piattaforma disciplinano gli obblighi di ciascuna parte ai sensi dell'articolo 28 del GDPR.

3.1 Caso particolare — le metodologie analitiche progettate da CL

I ruoli descritti alla sezione 3 distinguono chi decide cosa in una determinata operazione di trattamento. In tale cornice, una sfumatura merita di essere esplicitamente enunciata: Compass integra un certo numero di metodologie analitiche progettate da CL Corporate Affairs Consulting — in particolare la ponderazione dell’influenza applicata agli stakeholder, lo scoring di urgenza che segnala gli engagement sensibili al tempo, l’individuazione dei target da attivare che fa emergere i contatti prioritari, e la stima predittiva delle durate legislative basata su schemi procedurali passati. L’utente controlla chi viene aggiunto alla piattaforma, quali dati vi sono inseriti e la finalità strategica perseguita; CL è l’autore della metodologia che trasforma tale dato controllato dall’utente in uno score, in una classifica o in una stima.

Ai sensi del GDPR, la determinazione dei mezzi essenziali del trattamento è uno dei criteri che distinguono un titolare del trattamento da un responsabile del trattamento (articolo 4(7) GDPR; Linee guida 07/2020 dell’EDPB sui concetti di titolare e responsabile del trattamento, §38 e seguenti). Poiché le metodologie di ponderazione e classifica integrate in Compass plasmano il modo in cui i dati dell’utente sono analizzati e presentati, CL Corporate Affairs Consulting riconosce che, per tali operazioni analitiche specifiche, essa conserva una parte di responsabilità in ragione della progettazione metodologica — accanto all’utente, che resta titolare del trattamento per i dati sottostanti, la scelta degli interessati e la finalità strategica perseguita. Tale analisi è coerente con la giurisprudenza della Corte di giustizia dell’Unione europea, che ha statuito che una responsabilità congiunta può sorgere per fasi specifiche di un’operazione di trattamento (sentenze C-210/16 Wirtschaftsakademie e C-40/17 Fashion ID).

Concretamente, l’utente resta libero di contestare uno score, di sostituirlo manualmente, e di utilizzare Compass senza affidarsi alla ponderazione suggerita — le posizioni e i valori di influenza possono sempre essere inseriti o sovrascritti a mano. CL descrive la logica generale di ciascuna metodologia di scoring nei contenuti di aiuto integrati alla piattaforma, documenta le evoluzioni metodologiche in note di versione trasparenti, e si assume la responsabilità della metodologia che progetta. Tale parte residuale di responsabilità metodologica non si estende al lavoro di mappatura dell’utente nel suo insieme: per i dati inseriti, gli interessati selezionati e la finalità perseguita, l’utente resta titolare del trattamento.

4. Categorie di dati trattati

Compass tratta tre distinte categorie di dati personali, ciascuna soggetta al proprio regime:

• Dati di riferimento — informazioni istituzionali e organizzative provenienti dalle banche dati ufficiali e pubblicamente accessibili dell'Unione europea (Parlamento europeo, Consiglio dell'Unione europea, Commissione europea, Registro per la trasparenza dell'UE). Ciò comprende nomi, funzioni, mandati, appartenenze a commissioni, affiliazioni a gruppi politici, nazionalità e recapiti ufficiali di personalità pubbliche che agiscono nella loro capacità istituzionale. CL Corporate Affairs Consulting è responsabile della raccolta e dell'aggiornamento periodico di tali dati.
• Dati di mappatura e di posizioni degli stakeholder — informazioni pubblicamente accessibili aggregate dall'utente, con assistenza opzionale di IA: posizioni dichiarate pubblicamente, dichiarazioni pubblicate, voti, comunicati stampa, post pubblici sui social media (da account esplicitamente convalidati dall'utente). L'utente seleziona gli stakeholder da seguire, convalida ciascuna posizione attribuita e determina come tali dati siano utilizzati nell'ambito della propria attività professionale.
• Note interne e registrazioni di engagement — contenuto in testo libero inserito esclusivamente dall'utente: verbali di riunione, note di telefonate, azioni di follow-up, osservazioni informali, valutazioni personali. Tale contenuto è redatto dal solo utente, accessibile esclusivamente all'utente che lo ha creato, e non è in alcun modo consultato, moderato, analizzato o sfruttato da CL Corporate Affairs Consulting. L'utente è il solo responsabile del contenuto, dell'esattezza e della liceità di tali note, alla stregua di qualunque altro fascicolo professionale privato.

I dati dell'account utente (nome, indirizzo e-mail, società, numero di telefono se fornito, credenziali di accesso sottoposte a hashing) sono altresì trattati al fine di fornire l'accesso alla piattaforma.

Dati di navigazione: un unico cookie di sessione (HTTP-only, strettamente funzionale, senza tracciamento) è utilizzato per l'autenticazione.

5. Base giuridica e finalità

Il trattamento dei dati personali all'interno di Compass si fonda sulle seguenti basi giuridiche:

• Legittimo interesse (articolo 6, paragrafo 1, lettera f, del GDPR): la finalità principale di Compass è supportare i professionisti degli affari pubblici nella comprensione delle posizioni, delle attese e del perimetro d'influenza degli attori politici. Ciò comprende la mappatura degli stakeholder, il monitoraggio delle posizioni e la gestione dell'engagement — attività riconosciute come funzioni professionali centrali dei professionisti degli affari pubblici. I dati trattati sono limitati alle informazioni pubblicamente accessibili o direttamente pertinenti al rapporto professionale tra l'utente e lo stakeholder.
• Esecuzione di un contratto (articolo 6, paragrafo 1, lettera b, del GDPR): i dati dell'account utente sono trattati al fine di fornire l'accesso alla piattaforma ed erogare il servizio convenuto.
• Obbligo legale (articolo 6, paragrafo 1, lettera c, del GDPR): ove applicabile, conformità agli obblighi di trasparenza (Registro per la trasparenza dell'UE, dichiarazioni HATVP ai sensi del diritto francese).

6. Valutazione del legittimo interesse

Ai sensi dell'articolo 6, paragrafo 1, lettera f, del GDPR, il ricorso al legittimo interesse quale base giuridica per il trattamento dei dati degli stakeholder è stato valutato come segue:

• Legittimità dell'interesse: il monitoraggio dei processi legislativi, la mappatura delle posizioni degli stakeholder e la gestione dell'engagement istituzionale costituiscono attività professionali lecite e consolidate nel settore degli affari pubblici e della rappresentanza di interessi. Tali attività rispondono al legittimo interesse del titolare del trattamento a svolgere la propria attività professionale in modo efficace.
• Necessità: il trattamento è necessario per il raggiungimento di tali obiettivi. Comprendere chi siano i decisori rilevanti, quali posizioni essi sostengano e come evolva l'equilibrio legislativo non può essere realizzato senza trattare dati personali relativi a tali personalità pubbliche.
• Bilanciamento degli interessi: i dati trattati riguardano nella stragrande maggioranza persone che agiscono nella loro capacità pubblica ufficiale (rappresentanti eletti, alti funzionari, rappresentanti di interessi registrati). Tali persone godono di una ridotta aspettativa di riservatezza rispetto alle loro attività istituzionali, che sono per natura pubbliche. I dati provengono da banche dati istituzionali ufficiali o da prese di posizione che gli interessati hanno reso pubbliche di propria iniziativa. Il trattamento non comporta profilazione a fini commerciali, non mira a prevedere comportamenti privati, non riguarda persone vulnerabili ed è limitato a quanto necessario alle attività legittime di affari pubblici. Gli interessati conservano in ogni momento il loro diritto di opposizione previsto dall'articolo 21 del GDPR.

7. Dati pubblicamente accessibili e categorie particolari

Una parte significativa dei dati personali trattati in Compass riguarda personalità pubbliche che agiscono nella loro capacità ufficiale (membri del Parlamento europeo, commissari, funzionari del Consiglio, rappresentanti di interessi registrati). Tali dati provengono da banche dati istituzionali ufficiali e pubblicamente accessibili:

• Sito web del Parlamento europeo, Osservatorio legislativo (OEIL) e annuario EU Who is Who
• Registro per la trasparenza dell'UE e LobbyFacts.eu
• Registri pubblici del Consiglio dell'Unione europea
• Organigrammi e press corner della Commissione europea
• Account social media pubblici (X/Twitter, LinkedIn) — esclusivamente account espressamente convalidati dall'utente

Qualora i dati trattati comprendano informazioni atte a rivelare opinioni politiche ai sensi dell'articolo 9, paragrafo 1, del GDPR (ad esempio: voti registrati, posizioni dichiarate pubblicamente su dossier legislativi, affiliazione a un gruppo politico), tale trattamento è consentito in virtù dell'articolo 9, paragrafo 2, lettera e, del GDPR, in quanto riguarda esclusivamente dati personali che l'interessato ha manifestamente reso pubblici tramite canali istituzionali ufficiali, voti parlamentari, dichiarazioni pubbliche o pubblicazioni volontarie su account social media pubblici. Tale eccezione è applicata rigorosamente ai dati che si trovano già nel dominio pubblico in conseguenza delle proprie azioni dell'interessato nella sua capacità ufficiale.

8. Il nostro approccio al controllo dell'utente e alla trasparenza

Due delle scelte progettuali più rilevanti di Compass — la cifratura end-to-end opzionale dei contenuti redatti dall'utente (sezione 10.1) e la politica della piattaforma in materia di IA (sezione 9) — sono governate da un medesimo principio sottostante. Le tecnologie moderne (crittografia avanzata, modelli linguistici) apportano un reale valore aggiunto al lavoro di affari pubblici, ma sollevano anche legittime domande: chi può leggere cosa, dove fluiscono i dati e cosa controlla realmente l'utente. Anziché rispondere a tali domande con rassicurazioni generiche, Compass è progettata affinché le risposte siano visibili, verificabili e scelte dall'utente.

Ciò si traduce in tre regole operative applicabili sia alla cifratura sia all'IA:

• Scelta esplicita dell'utente su qualunque trattamento non banale. Le opzioni sensibili (attivazione della cifratura end-to-end, attivazione di un fornitore di IA esterno) non sono mai abilitate per impostazione predefinita né imposte: ciascuna richiede un'azione deliberata e informata dell'utente. La configurazione predefinita è quella che meglio preserva la privacy (nessuna IA esterna, nessuna trasmissione fuori dall'UE; cifratura disponibile ma non forzata).
• Trasparenza su ciò che realmente accade, ivi compresi i limiti. Documentiamo non solo ciò che la piattaforma fa, ma anche ciò che non fa, e dove si collocano i confini di ciascuna garanzia. La sezione 10.1 elenca esplicitamente quali campi sono cifrati e quali no, e perché; la sezione 9 spiega cosa è trattato localmente e cosa sarebbe trasmesso a un fornitore terzo qualora l'utente scegliesse di attivarne uno. Evitiamo formulazioni che suggerirebbero garanzie più forti di quelle che la tecnologia effettivamente assicura.
• Garanzie tecniche a complemento, e non in sostituzione, degli impegni etici e contrattuali. Il nostro rifiuto dei conflitti di interessi, il nostro impegno contrattuale a non leggere mai i contenuti redatti dall'utente e l'impossibilità tecnica che offriamo tramite la cifratura end-to-end operano su tre livelli differenti e si rafforzano reciprocamente. Laddove la tecnologia può rendere una garanzia infrangibile, la implementiamo; laddove non può farlo, lo dichiariamo apertamente e ci affidiamo agli impegni contrattuali ed etici che disciplinano la nostra professione.

Le due sezioni che seguono applicano tale quadro ai due casi specifici dell'analisi assistita da IA (sezione 9) e della cifratura end-to-end (sezione 10.1).

9. Servizi di IA

Compass integra uno strato di intelligenza artificiale che supporta attività analitiche come la classificazione delle posizioni, l’analisi degli stakeholder e la produzione di briefing strategici. La piattaforma è progettata attorno a un principio fermo: l’utente sceglie sempre quale configurazione di IA sia utilizzata, se del caso, e può in qualunque momento tornare a una configurazione in cui non interviene alcuna IA.

CL Corporate Affairs Consulting ha deliberatamente limitato il perimetro di IA di Compass a Mistral, il fornitore europeo di IA con sede a Parigi (Francia). Nessun altro fornitore di IA terzo — né OpenAI, né Anthropic, né alcun modello non europeo — è integrato nella piattaforma, e nessuno è previsto per un’integrazione futura. L’utente può scegliere tra due configurazioni basate su Mistral, descritte di seguito.

9.1 IA locale — Ollama sul dispositivo dell’utente

In questa configurazione, un modello Mistral viene eseguito direttamente sul computer dell’utente tramite il runtime Ollama. L’utente installa Ollama, scarica un modello Mistral (tipicamente ollama pull mistral) e configura Ollama affinché accetti le richieste provenienti dall’interfaccia Compass impostando la variabile d’ambiente OLLAMA_ORIGINS=https://compass.eu.com prima di avviare il servizio.

In questa configurazione, nessun dato lascia mai il dispositivo dell’utente per il trattamento IA. L’interfaccia web di Compass comunica direttamente con l’istanza locale di Ollama, attraverso il browser, su http://localhost:11434 — indirizzo di loopback considerato un contesto sicuro da tutti i browser moderni (Chrome, Firefox, Safari), ai sensi della specifica W3C Mixed Content. Il server della piattaforma non interviene nello scambio e CL Corporate Affairs Consulting non dispone di alcun mezzo tecnico per ispezionare né i prompt inviati né le risposte ricevute.

È l’opzione a massima riservatezza e la configurazione raccomandata per i materiali altamente sensibili. Presuppone una configurazione tecnica iniziale da parte dell’utente (installazione di Ollama, download del modello, configurazione della variabile d’ambiente); una guida dettagliata è messa a disposizione nelle impostazioni utente.

9.2 IA cloud — API commerciale di Mistral

In questa configurazione, le richieste di IA sono inviate all’API commerciale di Mistral AI (api.mistral.ai). Mistral AI è una società di diritto francese; l’API è operata da un’infrastruttura europea (Francia e Svezia) e l’intero trattamento IA si svolge all’interno dell’Unione europea, senza alcun trasferimento verso un paese terzo.

• Utilizzo dei dati per l’addestramento del modello: ai sensi delle condizioni commerciali dell’API di Mistral, i prompt inviati e le risposte ottenute non sono utilizzati per addestrare i modelli di Mistral, salvo esplicito consenso dell’utente (che Compass non richiede).
• Conservazione: Mistral conserva input e output dell’API per un massimo di 30 giorni rolling, esclusivamente a fini di monitoraggio degli abusi, e quindi li cancella. Un’opzione Zero Data Retention (ZDR), disponibile su determinati piani API di Mistral, può ridurre tale conservazione alla durata necessaria al trattamento della richiesta.
• Garanzie contrattuali: per impostazione predefinita si applicano un addendum sul trattamento dei dati (DPA) e condizioni allineate al GDPR. Essendo CL Corporate Affairs Consulting e Mistral AI entrambi stabiliti nell’Unione europea, non si verifica alcun trasferimento al di fuori dello SEE e non sono richieste clausole contrattuali tipo.
• Sub-trattamento: in questa configurazione, Mistral AI agisce in qualità di sub-responsabile del trattamento ai sensi dell’articolo 28, paragrafo 4, del GDPR. Il quadro applicabile è integralmente descritto nella documentazione Mistral di seguito referenziata.

Documentazione di riferimento — Termini Mistral: legal.mistral.ai/terms · Addendum sul trattamento dei dati: legal.mistral.ai/terms/data-processing-addendum.

9.3 Nessun fornitore di IA è mai imposto all’utente

L’attivazione di una qualsiasi configurazione di IA presuppone un’azione deliberata dell’utente da Manage my account. Lo stato predefinito di ogni account Compass è « nessuna IA » — le funzionalità assistite da IA sono semplicemente assenti finché l’utente non sceglie esplicitamente l’opzione 9.1 o l’opzione 9.2. L’utente può inoltre passare da un’opzione all’altra, o tornare a « nessuna IA », in qualunque momento, senza persistenza di dati tra le configurazioni.

I contenuti generati da IA, prodotti localmente (opzione 9.1) oppure tramite l’API di Mistral (opzione 9.2), sono forniti a titolo puramente informativo e devono sempre essere rivisti e convalidati dall’utente prima di essere utilizzati o condivisi all’esterno. CL Corporate Affairs Consulting non garantisce l’esattezza, la completezza o l’affidabilità degli output generati da IA.

10. Sicurezza dei dati e hosting

L'insieme dei dati trattati da Compass è conservato su un server privato e dedicato situato all'interno dell'Unione europea, sotto il controllo fisico di CL Corporate Affairs Consulting. La piattaforma attua le seguenti misure di sicurezza:

• Autenticazione tramite e-mail e password, con le password sottoposte a hash mediante PBKDF2-HMAC-SHA256 (600.000 iterazioni, in linea con le raccomandazioni attuali dell'OWASP) e un sale unico per utente;
• Sessioni gestite tramite cookie sicuri HTTP-only, SameSite=Strict;
• Token CSRF per sessione, verificati su ciascuna richiesta che modifichi lo stato;
• Blocco automatico dell'account dopo 5 tentativi di accesso falliti (raffreddamento di 15 minuti) e limitazione del traffico a livello di IP (blocco di 30 minuti dopo ripetuti tentativi falliti dalla stessa fonte);
• Cifratura HTTPS in transito (TLS tramite certificato Let's Encrypt);
• Intestazioni di risposta HTTP a difesa in profondità (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy);
• Audit log persistente degli eventi di autenticazione, delle azioni privilegiate e delle anomalie di sicurezza rilevanti;
• Nessuna indicizzazione dell'area autenticata da parte dei motori di ricerca: sono indicizzabili soltanto le pagine pubbliche (home page, Politica sulla privacy, Condizioni generali); qualunque altro percorso — dashboard, gestione account, interfacce amministrative, endpoint API — è esplicitamente bloccato tramite robots.txt e direttive noindex;
• Nessun dato è conservato presso servizi cloud terzi a fini di trattamento IA. Per impostazione predefinita non è attivata alcuna IA. Quando l’utente attiva l’opzione di IA locale (sezione 9.1), il modello Mistral è eseguito interamente sul dispositivo dell’utente e nessun dato lo abbandona. Quando l’utente attiva l’opzione API commerciale di Mistral (sezione 9.2), prompt e risposte transitano verso l’infrastruttura europea di Mistral (Francia e Svezia) per il trattamento; la conservazione da parte di Mistral è limitata a 30 giorni rolling al solo fine di monitoraggio degli abusi (o alla durata della richiesta nell’ambito dell’opzione Zero Data Retention), e i dati non sono utilizzati per addestrare i modelli di Mistral.

Le e-mail relative alla gestione dell'account (creazione di password, reset, notifiche di modifica) sono inviate tramite SMTP con cifratura TLS.

10.1 Cifratura end-to-end opzionale

Perché esiste questa funzionalità. Compass è progettata e gestita da una società di consulenza in affari pubblici in attività i cui utenti sono spesso, a loro volta, professionisti degli affari pubblici impegnati su questioni sensibili — talvolta su dossier che toccano gli stessi ambiti di politica pubblica seguiti da CL stessa o dai suoi altri clienti. Pur applicando CL Corporate Affairs Consulting, in quanto dovere professionale fondante, una rigorosa politica di rifiuto di qualsiasi conflitto di interessi (cfr. anche sezione 3 delle Condizioni generali) e impegnandosi contrattualmente a non leggere mai i contenuti redatti dagli utenti (cfr. sezione 11 delle Condizioni generali), riteniamo che agli utenti non debba essere richiesto di accettare tale impegno sulla sola base della fiducia. La cifratura end-to-end è la traduzione tecnica di tale convinzione: essa offre agli utenti un mezzo per assicurarsi, tramite la stessa architettura della piattaforma, che il loro lavoro analitico sia matematicamente fuori dalla portata degli operatori di CL, di qualunque terzo che ottenga l'accesso ai server e di qualunque autorità che richieda una divulgazione coatta. È, a nostro avviso, una conseguenza naturale del costruire uno strumento per la propria professione.

In cosa consiste, in pratica. Oltre alle misure di sicurezza di base sopra descritte, Compass offre una modalità di cifratura end-to-end opzionale che gli utenti possono attivare in qualunque momento da Gestisci il mio account. Tale funzionalità non è abilitata per impostazione predefinita; si tratta di un opt-in esplicito, destinato agli utenti che maneggiano materiale particolarmente sensibile e desiderano aggiungere una garanzia tecnica agli impegni contrattuali di CL. Gli utenti che non la attivano sono, ovviamente, pienamente coperti dall'impegno contrattuale di non consultazione, che si applica indipendentemente dallo stato di cifratura; la funzionalità è offerta come strato aggiuntivo per chi la desidera e non come prerequisito per l'utilizzo della piattaforma.

Cosa viene cifrato. Quando la cifratura end-to-end è abilitata su un account, i seguenti dati sono cifrati nel browser dell'utente prima di essere conservati sul server: l'elenco dei dossier seguiti dall'utente, le note personali, il contenuto redatto dall'utente della mappatura degli stakeholder (sintesi delle posizioni attribuite, argomentazioni, commenti privati e fonti), le parole chiave di sorveglianza (in modalità Secure Search), i nomi dei topic, le biografie e note di profilo redatte dall'utente, le voci del registro di engagement (verbali di riunione, take-away, segnali), la cache del radar personale dell'utente e qualunque altro contenuto redatto personalmente dall'utente. Il perimetro di cifratura è volutamente ampio e mira a impedire a qualunque osservatore del server — ivi compresi gli operatori CL — di profilare l'attività, gli interessi o le posizioni analitiche dell'utente.

Cosa non è cifrato, e perché. Le seguenti categorie restano non cifrate, per progettazione: dati di riferimento pubblici condivisi tra tutti gli utenti (membri del Parlamento europeo, commissari, personale della Commissione, personale del Consiglio, organizzazioni del Registro per la trasparenza, eventi del calendario istituzionale, tutti provenienti dalle banche dati ufficiali dell'UE); informazioni dell'account necessarie all'autenticazione e alle notifiche (nome, cognome, e-mail, numero di telefono, organizzazione); identificativi tecnici necessari ai join SQL (chiavi primarie, chiavi esterne, identificativi utente); timestamp di audit (orari di creazione, modifica, accesso); hash crittografici di ricerca (digest SHA-256 irreversibili delle parole chiave di sorveglianza in modalità Secure Search, utilizzati per il matching lato server senza rivelare la parola chiave); e i punteggi analitici e le classifiche da essi derivate (i punteggi di influenza, urgenza, engagement e atteggiamento associati a ciascuno stakeholder, nonché il quadrante di priorità e i contrassegni «target da attivare» calcolati a partire da essi). Questi ultimi non sono testo redatto dall'utente ma valori prodotti dalle metodologie analitiche progettate da CL (ponderazione dell'influenza, scoring di urgenza e di target da attivare), che il server calcola e ricalcola; mantenere i punteggi numerici leggibili dal motore è precisamente ciò che consente alla piattaforma di posizionare gli stakeholder sulla mappa, classificarli e ricalcolarne il quadrante. Il ragionamento scritto che giustifica ciascun punteggio è invece cifrato, e un semplice numero — un'influenza di 80, ad esempio — è comunque assai meno rivelatore dell'analisi redatta, che resta protetta. Tali categorie sono o già pubbliche per natura, o necessarie al funzionamento tecnico del servizio. Le elenchiamo qui, anziché evocare la cifratura in termini vaghi, perché riteniamo che una descrizione onesta dei confini della garanzia faccia parte della garanzia stessa.

Come funziona — in termini semplici. Quando un utente attiva la cifratura end-to-end, due cose accadono all'interno del suo browser, entrambe invisibili al server. In primo luogo, una nuova chiave maestra viene generata localmente: è la chiave che effettivamente cifrerà il contenuto dell'utente. In secondo luogo, tale chiave maestra è essa stessa riposta all'interno di una busta sigillata, la cui serratura è apribile solo con la password di accesso dell'utente. Il server conserva la busta sigillata, ma mai la chiave maestra in chiaro né mai la password. A ogni accesso, la password apre localmente la busta nel browser, la chiave maestra è recuperata per la durata della sessione e i campi cifrati possono essere letti; quando l'utente effettua il logout, tutto torna all'interno della propria busta sigillata sul lato server. CL non possiede mai la chiave maestra e non può ricostruirla: la garanzia crittografica è che ciò che è conservato sui nostri server, in forma cifrata, è per costruzione illeggibile per noi.

Come funziona — in termini tecnici. Lo schema è zero-knowledge: le chiavi che decifrano i dati dell'utente non lasciano mai il suo dispositivo e non sono conservate sul server in alcuna forma recuperabile. Più precisamente:

• Derivazione della chiave. Una prima chiave è derivata nel browser dalla password di accesso dell'utente mediante PBKDF2-HMAC-SHA256 con 600.000 iterazioni (in linea con le raccomandazioni attuali dell'OWASP) e un sale casuale da 16 byte generato all'attivazione. Il sale è conservato lato server (non è segreto); la password stessa e la chiave da essa derivata non lo sono.
• Progettazione a due chiavi (key-wrapping). La chiave derivata dalla password non è utilizzata direttamente per cifrare i dati dell'utente. Essa serve piuttosto a proteggere una chiave maestra distinta, generata casualmente, che è la chiave effettivamente utilizzata per cifrare il contenuto dell'utente. Solo la chiave maestra, nella sua forma protetta (« wrapped »), è conservata sul server. Tale progettazione a due chiavi è il medesimo approccio adottato dalle applicazioni zero-knowledge di riferimento (gestori di password professionali, messenger end-to-end). Essa ha un'importante conseguenza pratica, descritta al paragrafo successivo: consente agli utenti di modificare la propria password di accesso senza ricifrare alcun dato conservato.
• Cifratura autenticata. I dati utente sono cifrati con AES-256-GCM, un nonce a 96 bit estratto da una sorgente casuale crittograficamente sicura per ciascuna scrittura, e un tag di autenticazione verificato alla lettura. Il medesimo algoritmo protegge la chiave maestra all'interno della sua busta.
• Formato di conservazione. I payload cifrati sono conservati come stringhe codificate in base64url precedute da un breve tag di versione, in modo che il server possa distinguere i campi cifrati da quelli in chiaro senza poterli mai decifrare.
• Requisiti del browser. La funzionalità utilizza l'API standard Web Crypto, disponibile in tutti i browser moderni su HTTPS. Non dipende da alcun servizio esterno né da alcuna libreria di terzi.

Cosa significa nell'uso quotidiano. La progettazione a due chiavi presenta un beneficio diretto e concreto per gli utenti:

• Cambiare la password è sicuro e istantaneo. Tramite il flusso ordinario Cambia password (che richiede la password attuale), la chiave maestra è brevemente recuperata con la password attuale e immediatamente protetta nuovamente con la nuova. I dati conservati dell'utente non sono mai ricifrati né mai ricaricati e non vi è alcun rischio di perdita d'accesso — struttura del tutto identica a quella di un gestore di password professionale.
• Dimenticare la password è, al contrario, irrecuperabile per i dati cifrati. Qualora la password sia dimenticata, la busta che protegge la chiave maestra non può essere aperta da nessuno — né da CL, né dall'utente. Il flusso Password dimenticata può reimpostare la password, ma non può recuperare la chiave maestra, e i campi cifrati esistenti diventano pertanto definitivamente illeggibili. Tale compromesso è il prezzo dell'architettura zero-knowledge ed è la ragione per cui la funzionalità è strettamente opt-in. Gli utenti che attivano la cifratura end-to-end sono caldamente invitati a conservare la propria password in un gestore di password e a mantenerne almeno un backup sicuro.

Conseguenze per CL. Poiché la chiave che protegge la chiave maestra è derivata dalla password dell'utente e non lascia mai il suo browser, CL Corporate Affairs Consulting e i suoi amministratori non possono, per costruzione, leggere i campi cifrati di un account su cui la cifratura end-to-end è attiva. Tale proprietà è imposta tecnicamente, e non solo contrattualmente, e si applica anche a fronte di un'indagine interna, di un incidente di sicurezza o di un provvedimento giudiziale: CL non possiede la chiave, non può ricostruirla e non può essere obbligata a produrre il contenuto in chiaro dei campi cifrati. Tale limite si applica anche a CL stessa ed è assunto come conseguenza deliberata dell'architettura zero-knowledge (cfr. anche sezione 11 delle Condizioni generali).

I campi che non sono cifrati restano tecnicamente accessibili agli operatori di CL. In assenza di cifratura end-to-end, ciò include il contenuto delle note, della mappatura degli stakeholder, delle posizioni attribuite, dei commenti privati e di qualunque altro contenuto redatto dall'utente. La non consultazione di tali campi da parte di CL è disciplinata esclusivamente dall'impegno contrattuale di cui alla sezione 11 delle Condizioni generali e non è, in assenza di cifratura end-to-end, garantita da un'impossibilità tecnica. Riteniamo che tale distinzione debba essere enunciata esplicitamente: essa segna la differenza tra una garanzia che promettiamo di onorare e una garanzia che la piattaforma stessa impone.

Anche quando la cifratura end-to-end è attivata, taluni metadati operativi restano tecnicamente visibili agli operatori CL, come conseguenza inevitabile della gestione di un servizio web. Tali metadati non consentono la ricostruzione del contenuto cifrato, ma possono permettere di inferire alcune caratteristiche d'uso:

• Volume approssimativo di dati — il numero di righe cifrate conservate in ciascuna delle tabelle personali dell'utente è visibile lato server (ad esempio: che un utente segue 47 dossier o ha 312 voci nel registro di engagement), senza che il contenuto stesso sia leggibile;
• Timestamp di attività — accessi, scritture e letture sono datati a fini di audit;
• Indirizzo IP — richiesto dal protocollo TCP/IP, consente di inferire una localizzazione geografica approssimativa;
• Pattern di attività correlati — qualora più utenti modifichino record correlati in tempi prossimi, si può inferire una relazione di collaborazione.

Tali metadati strutturali ricadono entro il medesimo impegno contrattuale di non consultazione di qualunque altro dato non cifrato (sezione 11 delle Condizioni generali). CL Corporate Affairs Consulting si impegna a non sfruttarli per finalità diverse dalla supervisione tecnica del servizio (monitoraggio della sicurezza, debugging, capacity planning). Li documentiamo qui, anziché ometterli, perché la credibilità della garanzia complessiva dipende da una descrizione trasparente dei suoi confini.

Al contrario, i campi cifrati mediante cifratura end-to-end non possono essere letti da nessun altro al di fuori dell'utente, ivi compresa CL stessa. Si tratta di una proprietà della progettazione crittografica, non di una promessa contrattuale: la chiave di decifrazione è derivata dalla password dell'utente all'interno del suo browser e non lascia mai il suo dispositivo. CL non possiede la chiave, non può ricostruirla e non può essere obbligata a produrre il contenuto in chiaro dei campi cifrati — né in risposta a un provvedimento giudiziale, né nell'ambito di un'indagine di sicurezza, né su richiesta di un terzo che acceda ai server. Tale limite si applica anche a CL Corporate Affairs Consulting ed è assunto come conseguenza deliberata della progettazione zero-knowledge.

10.2 Separazione tra la piattaforma Compass e la pratica di consulenza di CL Corporate Affairs

CL Corporate Affairs Consulting svolge due attività distinte all’interno di una stessa entità giuridica: l’edizione di Compass e una pratica di consulenza in affari pubblici. Tale duplice ruolo può, in determinati casi, generare un rischio di conflitto di interessi cui rispondono già l’impegno contrattuale di non consultazione (sezione 11 delle Condizioni generali) e la cifratura end-to-end opzionale (sezione 10.1). Le disposizioni che seguono completano tale quadro con impegni pratici che non richiedono, per essere onorati, alcun apparato formale di compliance.

(a) Non riutilizzo dei dati utenti negli incarichi di consulenza di CL. CL Corporate Affairs Consulting si impegna a non utilizzare mai, nei propri incarichi di consulenza, alcun dato, analisi, posizione, mappatura, commento, bozza di emendamento, lista di sorveglianza o informazione inseriti da un utente di Compass — che la cifratura end-to-end sia attivata o meno. Tale impegno copre l’identità dei dossier seguiti dall’utente, la sostanza del suo lavoro analitico, e perfino il semplice fatto che egli si interessi a un determinato argomento. Quando la cifratura end-to-end è attivata, l’impegno è inoltre garantito da un’impossibilità crittografica (sezione 10.1).

(b) Tassonomia dei dati in tre categorie. Compass tratta tre categorie distinte di dati, ciascuna dotata del proprio regime di protezione:

• Dati di riferimento pubblici — membri del Parlamento europeo, commissari, personale del Consiglio e della Commissione, Registro per la trasparenza dell’UE, calendari istituzionali; provenienti dalle banche dati ufficiali dell’UE e condivisi tra tutti gli utenti; mai cifrati in alcuna configurazione (il dato è per sua natura pubblico).
• Dati dell’account — nome, cognome, e-mail, telefono, organizzazione. Necessari all’autenticazione e alle notifiche; conservati in chiaro; protetti dal quadro GDPR e dall’impegno contrattuale di non consultazione; non interessati dalla cifratura end-to-end (che impedirebbe l’accesso e i contatti).
• Contenuti analitici redatti dall’utente — dossier seguiti, mappatura degli stakeholder, posizioni, note, registro di engagement, bozze di emendamenti, osservazioni interne, parole chiave di sorveglianza. Quando la cifratura end-to-end è disattivata (predefinito), conservati in chiaro lato server; la protezione poggia allora sull’impegno contrattuale di non consultazione e sul punto (a) sopra. Quando la cifratura end-to-end è attivata (su opt-in), cifrati nel browser prima della conservazione con una chiave derivata dalla password dell’utente; CL non può, per costruzione, leggerne il contenuto.

(c) Politica dei diritti di accesso. L’accesso al database di produzione è rigorosamente limitato alle funzioni tecniche necessarie all’esercizio del servizio, e ogni azione privilegiata è registrata nella traccia di audit menzionata alla sezione 10. La piattaforma gira su un server privato situato nell’UE e fisicamente controllato da CL Corporate Affairs — senza ricorso a un fornitore cloud pubblico né a un terzo con accesso ai contenuti utenti. La compartimentazione tra account è assicurata a livello applicativo da interrogazioni scopate per utente, e rafforzata — per gli account con cifratura end-to-end attivata — da buste di cifratura per utente: nessun utente può accedere ai contenuti analitici di un altro.

(d) Impegno di riservatezza rafforzato. Oltre al GDPR, CL Corporate Affairs Consulting allinea volontariamente la propria pratica agli standard di riservatezza professionale applicabili ai professionisti degli affari pubblici: il Codice di condotta del Registro per la trasparenza dell’UE allegato all’Accordo interistituzionale del 2021 tra Parlamento, Consiglio e Commissione (in particolare le sue disposizioni sull’ottenimento, il trattamento e la diffusione onesti dell’informazione europea); i valori di integrità, trasparenza, accuratezza e riservatezza enunciati dal Codice di condotta della SEAP (Society of European Affairs Professionals); e gli standard deontologici della Haute Autorité pour la transparence de la vie publique (HATVP) francese per i rappresentanti di interessi dichiarati — in particolare il divieto di ottenere informazioni con mezzi fraudolenti e di vendere informazioni ottenute da responsabili pubblici. Al momento di accettare un nuovo incarico di consulenza, CL Corporate Affairs verifica in buona fede l’assenza di sovrapposizione manifesta con l’attività nota di un utente di Compass, e declina l’incarico se tale sovrapposizione viene riscontrata.

(e) Procedura semplice di segnalazione, in entrambi i sensi.

• Dall’utente verso CL. Un utente di Compass che abbia motivo di ritenere che un incarico di consulenza di CL possa sovrapporsi al proprio lavoro in modo conflittuale può segnalarlo tramite il modulo di contatto. CL si impegna a esaminare la segnalazione in buona fede e, qualora venga identificata una sovrapposizione effettiva, a sospendere l’incarico di consulenza in causa e a confermare all’utente che la situazione è stata risolta. La cifratura end-to-end attenua sostanzialmente questo rischio alla fonte: quando è attivata, CL non ha alcun mezzo tecnico per notare anche solo una tale sovrapposizione.
• Da CL verso sé stessa. Simmetricamente, quando CL identifica tramite la propria pratica di consulenza che un incarico potenziale interseca l’attività nota di un utente di Compass (nella misura limitata in cui ciò è tecnicamente rilevabile, e soltanto quando la cifratura è disattivata), CL si impegna a declinare l’incarico prima dell’inizio dei lavori — senza divulgare l’identità dell’utente al prospect cliente.
• I ricorsi esterni restano disponibili, indipendentemente da CL. Ogni persona conserva i ricorsi che esistono già a suo favore nel diritto francese ed europeo: la CNIL (cnil.fr) per le questioni di protezione dei dati, la HATVP (hatvp.fr) per le questioni che rientrano nel quadro di trasparenza del lobbying, o le autorità giudiziarie competenti in caso di sospetto di illecito penale. Non si tratta di canali designati da CL: essi esistono di per sé e CL si limita a richiamarne la disponibilità a chiunque desiderasse farne uso.
• Assenza di rappresaglie. CL Corporate Affairs si impegna a non adottare alcuna misura di rappresaglia contro un utente di Compass che segnali in buona fede un conflitto o un inadempimento sospetti — il che include l’assenza di risoluzione dell’abbonamento, l’assenza di degrado del servizio, e l’assenza di divulgazione della sua identità a terzi oltre quanto strettamente necessario all’esame della segnalazione.

Ogni segnalazione è presa sul serio. Ogni segnalazione ricevuta — da un utente, da CL stessa o da un terzo — è esaminata con diligenza etica e giuridica. Consideriamo tale trattamento come una condizione stessa della credibilità della piattaforma e del suo editore, e non come una cortesia opzionale: in una professione in cui la discrezione fa parte di ciò che si consegna, uno strumento che trattasse con leggerezza segnalazioni di conflitto di interessi perderebbe ciò che giustifica il suo uso.

11. Conservazione dei dati

• Dati dell'account utente: conservati per la durata dell'account. Eliminati alla cancellazione dell'account o su richiesta.
• Account disattivati e rimossi: quando un account viene disattivato (dal titolare) o rimosso (da un amministratore), l'accesso è bloccato immediatamente. Un account rimosso da un amministratore è quindi conservato in uno stato congelato e ripristinabile per 30 giorni; durante questa finestra può essere integralmente ripristinato. Trascorso tale termine, l'account e tutti i contenuti creati al suo interno sono eliminati dal database in modo definitivo e irreversibile (le voci del registro di audit di sicurezza sono conservate separatamente, per le legittime finalità di sicurezza descritte alla sezione 10). Prima dell'eliminazione, i titolari dell'account possono ottenere una copia completa dei propri contenuti — inclusi i contenuti cifrati end-to-end — tramite l'esportazione self-service descritta alla sezione 13.
• Dati di riferimento (istituzionali, provenienti dalle banche dati ufficiali dell'UE): aggiornati periodicamente, conservati per tutta la durata di esercizio della piattaforma. Le voci obsolete sono sovrascritte all'aggiornamento.
• Dati di mappatura e di posizioni degli stakeholder: conservati per la durata della missione o del progetto, più 1 anno nel database attivo. Possono essere archiviati per un massimo di 6 anni a fini amministrativi e probatori, in linea con i periodi di conservazione professionali standard per gli incarichi di consulenza ai sensi del diritto commerciale francese.
• Note interne e registri di engagement: conservati per la durata della missione, quindi archiviati per un massimo di 6 anni. L'utente può cancellare le proprie note in qualunque momento.

12. Destinatari dei dati

I dati personali trattati all'interno di Compass sono accessibili solo agli utenti autorizzati della piattaforma. Ciascun utente accede esclusivamente ai dati rilevanti per la propria attività. Le note interne e i registri di engagement sono visibili solo all'utente che li ha creati.

Nessun dato è condiviso con terzi, salvo:

• Ove richiesto dalla legge (autorità giudiziarie, di polizia o amministrative);
• Con un cliente di CL Corporate Affairs Consulting, qualora la condivisione di dati sia strettamente necessaria all'esecuzione di un incarico di consulenza e contrattualmente definita;
• Con Mistral AI, esclusivamente qualora l’utente abbia esplicitamente attivato l’opzione API commerciale di Mistral descritta alla sezione 9.2. Nessun dato è trasmesso ad alcun servizio di IA quando l’utente esegue Ollama localmente (sezione 9.1) o quando nessuna IA è attivata (stato predefinito).

13. I tuoi diritti

Il GDPR conferisce diritti specifici alle persone i cui dati personali sono trattati. All'interno di Compass, tali diritti si esercitano in modo differente a seconda della categoria di persona interessata:

Gli utenti della piattaforma (titolari di account) possono in qualunque momento:

• Accedere ai dati del proprio account e ottenere informazioni sul relativo trattamento;
• Rettificare i dati dell'account inesatti o incompleti;
• Cancellare il proprio account e tutti i dati associati;
• Modificare la propria password dalla dashboard;
• Esportare i propri contenuti — inclusi i contenuti cifrati end-to-end — tramite un'esportazione self-service dedicata in Gestisci il mio account, accessibile al solo titolare dell'account. Poiché i contenuti cifrati possono essere decifrati solo con la password dell'utente, all'interno del suo browser, l'esportazione è generata lato client mentre l'utente è connesso e sbloccato; CL non ha mai accesso ai contenuti decifrati, e l'esportazione include quindi materiale che è, per costruzione, illeggibile per CL (portabilità dei dati, articolo 20 GDPR). In un account di organizzazione collaborativo, ciascun membro esporta i contenuti che ha personalmente redatto; i dati a livello di organizzazione sono gestiti dal gestore dell'account.

Le persone referenziate come stakeholder (personalità pubbliche, attori istituzionali) i cui dati pubblicamente accessibili sono trattati in Compass possono:

• Accedere ai dati detenuti sul loro conto e ottenere informazioni sulle finalità del trattamento;
• Rettificare i dati inesatti;
• Opporsi al trattamento fondato sul legittimo interesse (articolo 21 del GDPR), nel qual caso il titolare valuterà se motivi legittimi cogenti prevalgano sull'opposizione;
• Chiedere la cancellazione dei propri dati, fatta salva la prevalenza di un legittimo interesse o di un obbligo legale.

A chi rivolgersi: le richieste relative ai dati dell'account utente devono essere indirizzate a CL Corporate Affairs Consulting. Qualora un utente terzo agisca in qualità di titolare del trattamento per dati di stakeholder che ha inserito, le richieste degli stakeholder relative a tali dati devono essere indirizzate all'utente competente (titolare). CL Corporate Affairs Consulting assisterà, ove opportuno, nell'inoltro di tali richieste.

Per esercitare uno qualsiasi di tali diritti, vi invitiamo a contattarci tramite il nostro modulo di contatto. Potete altresì proporre reclamo alla CNIL (cnil.fr) o a qualunque autorità di controllo competente.

14. Cookie

Compass utilizza un unico cookie funzionale di sessione (HTTP-only, SameSite=Strict) necessario per l'autenticazione. Tale cookie non raccoglie alcun dato personale al di là dell'identificativo di sessione, non traccia gli utenti tra siti web e scade dopo 7 giorni. Non sono utilizzati cookie di tracciamento, di profilazione o pubblicitari. Sulla piattaforma Compass non è installato alcuno strumento di misurazione del pubblico.

15. Modifiche alla presente politica

La presente politica può essere aggiornata per riflettere evoluzioni delle funzionalità della piattaforma, della legislazione applicabile o degli orientamenti regolamentari. Le modifiche sono pubblicate su questa pagina con una data di aggiornamento. Qualora le modifiche incidano in modo sostanziale sul trattamento dei dati personali, gli utenti ne saranno informati al successivo accesso.