Concierge GeniusHome

Privacy Policy

Last updated: 22 March 2026

1) Who We Are

Concierge Genius is a white-label AI concierge software service for hospitality properties.

Concierge Genius is operated by Euris Srl, Naples, Italy.

Where a merchant of record is used (for example Lemon Squeezy), payments and invoicing are handled by such provider. The service provider operates and delivers the software platform.

For privacy-related inquiries: concierge.genius.app@gmail.com

2) Roles Under Data Protection Law

When hospitality properties use Concierge Genius:

  • Euris Srl acts as an independent data controller for customer account data.
  • Euris Srl acts as an independent data controller for licensing and subscription records.
  • Euris Srl acts as an independent data controller for onboarding data.
  • Euris Srl acts as an independent data controller for administrative and security logs.

In relation to personal data submitted by end users (such as guests) through the chat interface, Euris Srl provides the technical infrastructure necessary to receive requests, route them to the relevant service components, generate responses, protect the service against abuse, and return outputs to the customer-facing interface.

For such chat data, Euris Srl acts only on behalf of the customer and only to the extent technically necessary to provide the service, maintain security, enforce rate limiting and abuse prevention measures, and ensure operational reliability. Euris Srl does not independently determine the customer-specific purposes for which such chat data is collected and does not use chat data for its own advertising, profiling, or independent commercial purposes. Euris Srl does not access, analyze, or exploit chat content beyond what is strictly necessary for automated processing and service delivery.

Concierge Genius does not implement a dedicated persistent database of chat history. Chat content is processed within the request flow and may be temporarily handled by infrastructure components, short-term service protection mechanisms, and external service providers involved in delivering the response.

AI-generated responses are produced through external AI providers used as part of the technical service stack. Such providers may process customer and end-user inputs under their own contractual terms and applicable legal frameworks. Euris Srl does not manually review or pre-approve AI outputs in real time and does not guarantee the accuracy, completeness, reliability, or suitability of AI-generated responses.

Customers remain solely responsible for determining the purposes and legal bases of processing, providing appropriate privacy disclosures to their end users, configuring the service lawfully, and supervising the outputs generated in their own operational context.

To the extent required under applicable law, Euris Srl acts as a data processor for such chat data, strictly limited to the technical delivery, protection, and operation of the service.

3) Categories of Data Processed

a) Customer Account Data

Name, email address, license status, domain configuration, onboarding information, and related administrative records.

b) Service Usage and Security Data

IP address, request metadata, rate-limiting identifiers, origin/referrer verification data, and authentication session information.

c) Chat Data

Messages submitted through the chat interface and AI-generated responses.

Chat data is processed within the request flow. Concierge Genius does not implement a dedicated persistent chat history database. However, chat content may be temporarily processed by infrastructure components and may be subject to provider-level logging.

Chat requests include a functional client identifier stored in browser localStorage (ccw_client_id) for continuity and abuse prevention.

The browser identifier stored in browser localStorage (ccw_client_id) is used as a technical and functional identifier for chat continuity, abuse prevention, and service protection. It is not used for advertising profiling or cross-site marketing tracking.

This identifier is strictly necessary for the provision of the service and does not require user consent where applicable under cookie laws.

d) Administrative and Audit Data

Authentication logs (for example OTP verification attempts), limited operational audit entries, and system-level event records.

e) Website Analytics and Conversion Data

If the visitor gives consent on the public website, Concierge Genius processes first-party website analytics data such as page views, entry pages, CTA clicks, checkout redirects, onboarding completions, attribution parameters (for example UTM values), referrer information, session-level navigation summaries, and limited technical context such as screen and viewport size.

4) Purpose of Processing

Personal data is processed to:

  • Provide and operate the Concierge Genius service.
  • Authenticate users and manage licenses.
  • Protect the platform against abuse and security threats.
  • Respond to support requests.
  • Measure website performance, funnel progression, and CTA effectiveness on the public site where consent is provided.
  • Comply with applicable legal obligations.

Concierge Genius does not sell personal data and does not use chat data for advertising profiling.

4-bis) Legal Bases for Processing

Where applicable under GDPR or other data protection laws, personal data is processed on the following legal bases:

  • performance of a contract, where processing is necessary to provide the Concierge Genius service to customers.
  • legitimate interests, including service security, fraud prevention, abuse prevention, authentication, operational monitoring, and administrative logging.
  • consent, for optional website analytics and any optional replay or heatmap tooling enabled on the public site.
  • compliance with legal obligations, where processing is required by applicable law.

Where Concierge Genius processes chat data on behalf of customers, the customer is responsible for identifying and relying on an appropriate lawful basis toward its end users.

5) Subprocessors and Service Providers

To operate the service, Concierge Genius uses infrastructure and service providers, including:

  • OpenAI (AI model processing).
  • Upstash Redis (data storage and rate limiting).
  • Vercel (application hosting and deployment).
  • Mailgun (transactional email delivery).
  • Lemon Squeezy (where applicable, payment processing and merchant of record).
  • Optional analytics/replay providers enabled from time to time on the public website, if configured and consented to by the visitor.
  • Equivalent successor providers performing the same functions, where applicable.

These providers process data under their own contractual terms and safeguards.

Where required by applicable law, appropriate data processing agreements or equivalent contractual safeguards are put in place with relevant service providers.

5-bis) AI Processing

The Service relies on external AI providers to generate responses.

Customer and end-user inputs may be processed by such external AI providers as part of service delivery.

Euris Srl does not manually review or pre-approve AI outputs in real time.

AI-generated responses may be inaccurate, incomplete, misleading, inappropriate, or unexpected.

Customers are responsible for reviewing, supervising, and lawfully using the Service in their own operational context. Euris Srl does not guarantee the accuracy, reliability, or suitability of AI-generated outputs.

6) International Transfers

Where personal data is transferred outside the European Economic Area, such transfers are subject to appropriate safeguards such as Standard Contractual Clauses or equivalent mechanisms adopted by the respective service providers in accordance with applicable law.

7) Data Retention

Retention periods vary depending on data category and operational necessity.

Examples include:

  • Onboarding draft data: approximately 30 days.
  • Administrative authentication audit logs (for example OTP attempts): approximately 7 days.
  • Certain operational counters (for example email-related events): approximately 35 days.
  • Website analytics session summaries and aggregate counters: up to approximately 90 days.
  • License and subscription records: retained for the duration of the subscription and an administrative period thereafter (up to approximately 12 months, currently ~366 days in system settings).
  • Some technical keys related to operational integrity may not have fixed expiration where required for system functionality.

Personal data is not retained longer than necessary for operational, security, or legal purposes.

8) Data Security

Reasonable technical and organizational measures are implemented to protect personal data against unauthorized access, alteration, disclosure, or destruction.

8-bis) Special Categories of Data

The Service is not intended for the collection or processing of special categories of personal data, including health data, biometric data, payment card data, or other sensitive data.

Customers must not configure or use the Service for such data unless they have independently ensured full legal and technical compliance.

8-ter) Children

The Service is not intended for children and is not designed to knowingly collect personal data from minors.

Customers remain responsible for ensuring lawful use of the Service on their own websites and toward their own end users.

9) Customer Responsibility

Customers embedding Concierge Genius on their websites are responsible for:

  • Informing their end users about the integration of a third-party hosted chat service.
  • Ensuring compliance with applicable data protection laws.
  • Configuring the service in a lawful manner.

10) Your Rights

Depending on applicable law, individuals may have the right to:

  • access their personal data.
  • request rectification of inaccurate data.
  • request deletion of personal data.
  • request restriction of processing.
  • object to processing where applicable.
  • request data portability where applicable.
  • lodge a complaint with the competent data protection authority.

Requests may be submitted to: concierge.genius.app@gmail.com

10-bis) Additional Local Rights

This Privacy Policy is designed to comply with applicable data protection laws, including the General Data Protection Regulation (GDPR), and is intended to apply to users globally.

Where local data protection laws grant additional or different rights (including, for example, United States state privacy laws such as the California Consumer Privacy Act (CCPA/CPRA) or the United Kingdom data protection framework), such rights apply to the extent required by applicable law.

Nothing in this Privacy Policy limits or excludes any rights that individuals may have under applicable mandatory data protection laws in their jurisdiction.

11) Governing Law and Jurisdiction

This Privacy Policy is governed by the laws of Italy.

Where mandatory data protection laws grant rights or impose obligations under another applicable jurisdiction, such mandatory provisions shall prevail to the extent required by law.

Subject to the foregoing, if the customer acts in a professional capacity, any dispute relating to this Privacy Policy shall be subject to the exclusive jurisdiction of the courts of Naples, Italy.

12) Updates

This Privacy Policy may be updated from time to time. The latest version will always be published on this page.

13) Language

If this policy is translated into another language, the English version shall prevail in case of conflict or inconsistency.

Informativa Privacy (IT)

Ultimo aggiornamento: 17 marzo 2026

1) Chi Siamo

Concierge Genius è un servizio software white-label di AI concierge per strutture ricettive.

Concierge Genius è gestito da Euris Srl, Napoli, Italia.

Dove viene usato un merchant of record (ad esempio Lemon Squeezy), pagamenti e fatturazione sono gestiti da tale provider. Il fornitore del servizio gestisce ed eroga la piattaforma software.

Per richieste privacy: concierge.genius.app@gmail.com

2) Ruoli ai sensi della normativa privacy

Quando le strutture ricettive usano Concierge Genius:

  • Euris Srl agisce come titolare autonomo per i dati account cliente.
  • Euris Srl agisce come titolare autonomo per i record di licenza e abbonamento.
  • Euris Srl agisce come titolare autonomo per i dati di onboarding.
  • Euris Srl agisce come titolare autonomo per log amministrativi e di sicurezza.

In relazione ai dati personali inviati dagli utenti finali (ad esempio ospiti) tramite l'interfaccia di chat, Euris Srl fornisce l'infrastruttura tecnica necessaria a ricevere le richieste, instradarle verso i componenti di servizio rilevanti, generare risposte, proteggere il servizio da abusi e restituire gli output all'interfaccia visibile al cliente.

Per tali dati chat, Euris Srl agisce esclusivamente per conto del cliente e solo nella misura tecnicamente necessaria a fornire il servizio, mantenere la sicurezza, applicare misure di rate limiting e prevenzione abusi e garantire l'affidabilita operativa. Euris Srl non determina in autonomia le finalita specifiche del cliente per cui tali dati chat vengono raccolti e non usa i dati chat per finalita proprie di pubblicita, profilazione o sfruttamento commerciale indipendente. Euris Srl non accede, analizza o sfrutta il contenuto delle chat oltre quanto strettamente necessario per l'elaborazione automatizzata e l'erogazione del servizio.

Concierge Genius non implementa un database dedicato di storico chat persistente. I contenuti chat sono trattati nel flusso della richiesta e possono essere gestiti temporaneamente da componenti infrastrutturali, meccanismi di protezione di breve periodo e provider esterni coinvolti nell'erogazione della risposta.

Le risposte generate sono prodotte tramite provider AI esterni usati come parte dello stack tecnico del servizio. Tali provider possono trattare input del cliente e dell'utente finale secondo i propri termini contrattuali e il quadro normativo applicabile. Euris Srl non rivede manualmente ne approva in tempo reale gli output AI e non garantisce accuratezza, completezza, affidabilita o idoneita delle risposte generate.

I clienti restano gli unici responsabili di determinare finalita e basi giuridiche del trattamento, fornire informative privacy adeguate ai propri utenti finali, configurare il servizio in modo lecito e supervisionare gli output generati nel proprio contesto operativo.

Nella misura richiesta dalla legge applicabile, Euris Srl agisce come responsabile del trattamento per tali dati chat, limitatamente alla consegna tecnica, protezione e operativita del servizio.

3) Categorie di dati trattati

a) Dati account cliente

Nome, email, stato licenza, configurazione dominio, informazioni onboarding e relativi record amministrativi.

b) Dati di utilizzo e sicurezza

Indirizzo IP, metadati richiesta, identificatori di rate-limit, dati di verifica origin/referrer e informazioni di sessione autenticata.

c) Dati chat

Messaggi inviati tramite chat e risposte generate dall'AI.

I dati chat sono trattati nel flusso della richiesta. Concierge Genius non implementa un database dedicato di storico chat persistente. Tuttavia, i contenuti chat possono essere processati temporaneamente da componenti infrastrutturali e possono essere soggetti a logging a livello provider.

Le richieste chat includono un identificatore funzionale client salvato nel localStorage del browser (ccw_client_id) per continuità e prevenzione abusi.

L'identificatore salvato nel localStorage del browser (ccw_client_id) è usato come identificatore tecnico e funzionale per continuità della chat, prevenzione abusi e protezione del servizio. Non è usato per profilazione pubblicitaria o tracciamento marketing cross-site.

Questo identificatore è strettamente necessario per la fornitura del servizio e non richiede consenso, ove applicabile ai sensi della normativa cookie.

d) Dati amministrativi e audit

Log di autenticazione (ad esempio tentativi OTP), voci operative di audit limitate ed eventi di sistema.

4) Finalità del trattamento

I dati personali sono trattati per:

  • Fornire ed erogare il servizio Concierge Genius.
  • Autenticare utenti e gestire licenze.
  • Proteggere la piattaforma da abusi e minacce di sicurezza.
  • Rispondere a richieste di supporto.
  • Adempiere obblighi legali applicabili.

Concierge Genius non vende dati personali e non usa i dati chat per profilazione pubblicitaria.

4-bis) Basi giuridiche del trattamento

Ove applicabile ai sensi del GDPR o di altre norme privacy, i dati personali sono trattati sulle seguenti basi giuridiche:

  • esecuzione di un contratto, quando il trattamento è necessario a fornire il servizio Concierge Genius ai clienti.
  • legittimo interesse, inclusi sicurezza del servizio, prevenzione frodi e abusi, autenticazione, monitoraggio operativo e logging amministrativo.
  • adempimento di obblighi legali, quando il trattamento è richiesto dalla legge applicabile.

Quando Concierge Genius tratta dati chat per conto dei clienti, resta il cliente a dover individuare e utilizzare una base giuridica adeguata nei confronti dei propri utenti finali.

5) Subfornitori e provider di servizio

Per operare il servizio, Concierge Genius usa provider infrastrutturali e di servizio, inclusi:

  • OpenAI (elaborazione modelli AI).
  • Upstash Redis (storage dati e rate limiting).
  • Vercel (hosting applicazione e deploy).
  • Mailgun (invio email transazionali).
  • Lemon Squeezy (dove applicabile, pagamenti e merchant of record).
  • Provider equivalenti successivi che svolgano le stesse funzioni, dove applicabile.

Questi provider trattano i dati secondo i propri termini contrattuali e salvaguardie.

Ove richiesto dalla legge applicabile, sono in essere accordi di trattamento dati o salvaguardie contrattuali equivalenti con i provider rilevanti.

5-bis) Trattamento AI

Il servizio si basa su provider AI esterni per generare risposte.

Input del cliente e dell'utente finale possono essere trattati da tali provider AI esterni come parte dell'erogazione del servizio.

Euris Srl non rivede manualmente né pre-approva in tempo reale gli output AI.

Le risposte generate dall'AI possono essere inaccurate, incomplete, fuorvianti, inappropriate o inattese.

I clienti sono responsabili di rivedere, supervisionare e usare lecitamente il servizio nel proprio contesto operativo. Euris Srl non garantisce accuratezza, affidabilita o idoneita degli output generati dall'AI.

6) Trasferimenti internazionali

Quando dati personali sono trasferiti fuori dallo Spazio Economico Europeo, tali trasferimenti sono soggetti a salvaguardie adeguate, come Clausole Contrattuali Standard o meccanismi equivalenti adottati dai rispettivi provider, in conformità alla legge applicabile.

7) Conservazione dei dati

I tempi di conservazione variano in base alla categoria di dati e alla necessità operativa.

Esempi:

  • Dati draft onboarding: circa 30 giorni.
  • Log audit autenticazione amministrativa (ad esempio tentativi OTP): circa 7 giorni.
  • Alcuni contatori operativi (ad esempio eventi email): circa 35 giorni.
  • Record di licenza e abbonamento: conservati per la durata dell'abbonamento e un periodo amministrativo successivo (fino a circa 12 mesi, attualmente ~366 giorni nelle impostazioni di sistema).
  • Alcune chiavi tecniche di integrità operativa possono non avere scadenza fissa se necessarie al funzionamento.

I dati personali non sono conservati oltre il necessario per finalità operative, di sicurezza o legali.

8) Sicurezza dei dati

Sono implementate misure tecniche e organizzative ragionevoli per proteggere i dati personali da accessi non autorizzati, alterazione, divulgazione o distruzione.

8-bis) Categorie particolari di dati

Il servizio non è destinato alla raccolta o al trattamento di categorie particolari di dati personali, inclusi dati sanitari, biometrici, dati di pagamento con carta o altri dati sensibili.

I clienti non devono configurare o usare il servizio per tali dati, salvo abbiano verificato in autonomia la piena conformità legale e tecnica.

8-ter) Minori

Il servizio non è destinato a minori e non è progettato per raccogliere consapevolmente dati personali di soggetti minorenni.

I clienti restano responsabili di garantire l'uso lecito del servizio sui propri siti e verso i propri utenti finali.

9) Responsabilità del cliente

I clienti che integrano Concierge Genius sui propri siti sono responsabili di:

  • Informare gli utenti finali dell'integrazione di una chat hosted di terza parte.
  • Garantire conformità alle norme privacy applicabili.
  • Configurare il servizio in modo lecito.

10) I tuoi diritti

In base alla legge applicabile, gli interessati possono avere il diritto di:

  • accedere ai propri dati personali.
  • richiedere la rettifica di dati inesatti.
  • richiedere la cancellazione dei dati personali.
  • richiedere la limitazione del trattamento.
  • opporsi al trattamento, ove applicabile.
  • richiedere la portabilità dei dati, ove applicabile.
  • proporre reclamo all'autorità di controllo competente.

Le richieste possono essere inviate a: concierge.genius.app@gmail.com

10-bis) Diritti locali aggiuntivi

Questa Privacy Policy è progettata per conformarsi alle normative applicabili in materia di protezione dei dati, incluso il Regolamento Generale sulla Protezione dei Dati (GDPR), ed è destinata ad applicarsi a utenti a livello globale.

Quando normative locali in materia di protezione dei dati riconoscono diritti ulteriori o diversi (inclusi, ad esempio, statuti privacy statali degli Stati Uniti come il California Consumer Privacy Act (CCPA/CPRA) o il quadro britannico di protezione dei dati), tali diritti si applicano nella misura richiesta dalla legge applicabile.

Nulla in questa Privacy Policy limita o esclude i diritti che gli interessati possono avere ai sensi di norme imperative applicabili nella propria giurisdizione.

11) Legge applicabile e foro competente

Questa Privacy Policy è regolata dalla legge italiana.

Quando norme imperative in materia di protezione dei dati riconoscono diritti o impongono obblighi in un'altra giurisdizione applicabile, tali disposizioni imperative prevalgono nella misura richiesta dalla legge.

Fermo quanto sopra, se il cliente agisce in qualità professionale, ogni controversia relativa a questa Privacy Policy è devoluta alla competenza esclusiva del foro di Napoli, Italia.

12) Aggiornamenti

Questa Privacy Policy può essere aggiornata periodicamente. La versione più recente sarà sempre pubblicata in questa pagina.

13) Lingua

Se questa policy è tradotta in un'altra lingua, in caso di conflitto o incoerenza prevale la versione inglese.