Informativa Privacy per gli Utenti della Piattaforma
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
Ultimo aggiornamento: [DATA]
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali e:
[RAGIONE SOCIALE] Sede legale: [SEDE LEGALE] P.IVA: [P.IVA] Email per la privacy: [EMAIL PRIVACY]
Per qualsiasi questione relativa al trattamento dei dati personali, e possibile contattare il Titolare all'indirizzo email sopra indicato.
2. Categorie di dati personali trattati
Il Titolare tratta le seguenti categorie di dati personali degli utenti della piattaforma (mediatori creditizi e relativi collaboratori):
| Categoria | Dati specifici | Fonte |
|---|---|---|
| Dati identificativi | Nome, cognome, indirizzo email | Registrazione (Google OAuth o magic link) |
| Dati professionali | Numero telefono, qualifica professionale (opzionali) | Compilazione profilo utente |
| Dati regolamentari | Codice OAM dell'organizzazione | Creazione organizzazione |
| Immagine del profilo | Fotografia (opzionale) | Caricamento da parte dell'utente |
| Dati di autenticazione | Token OAuth di Google | Accesso tramite Google Sign-In |
| Dati di sessione | Token di sessione, scadenza, indirizzo IP | Utilizzo della piattaforma |
| Log di audit | Registrazioni di accesso/uscita, azioni eseguite sulla piattaforma | Utilizzo della piattaforma |
| Messaggi chat | Messaggi inviati ai clienti tramite la piattaforma | Utilizzo della piattaforma |
| Dati di fatturazione | Dati di pagamento gestiti tramite Stripe | Stripe Checkout |
Non vengono trattate categorie particolari di dati personali (art. 9 GDPR) ne dati relativi a condanne penali e reati (art. 10 GDPR) degli utenti della piattaforma.
3. Finalita e basi giuridiche del trattamento
I dati personali degli utenti sono trattati per le seguenti finalita, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 GDPR:
| Finalita | Base giuridica | Riferimento |
|---|---|---|
| Creazione e gestione dell'account, inclusa l'autenticazione e l'identificazione dell'utente | Esecuzione del contratto | Art. 6, par. 1, lett. b) GDPR |
| Erogazione del servizio, inclusa la comunicazione con l'utente e l'invio di messaggi ai clienti tramite la piattaforma | Esecuzione del contratto | Art. 6, par. 1, lett. b) GDPR |
| Fatturazione e gestione dei pagamenti, inclusa l'elaborazione degli abbonamenti tramite Stripe | Esecuzione del contratto | Art. 6, par. 1, lett. b) GDPR |
| Sicurezza della piattaforma e registrazione dei log di audit, incluso il monitoraggio degli accessi e delle azioni per la prevenzione di abusi e frodi | Legittimo interesse del Titolare | Art. 6, par. 1, lett. f) GDPR |
| Miglioramento del servizio tramite analisi aggregate e anonimizzate dell'utilizzo della piattaforma | Legittimo interesse del Titolare | Art. 6, par. 1, lett. f) GDPR |
| Adempimento di obblighi di legge, inclusa la conservazione dei dati ai fini antiriciclaggio (D.Lgs. 231/2007) e fiscali | Obbligo legale | Art. 6, par. 1, lett. c) GDPR |
Con riferimento ai trattamenti fondati sul legittimo interesse (art. 6, par. 1, lett. f) GDPR), il Titolare ha effettuato un bilanciamento tra il proprio interesse e i diritti e le liberta degli interessati, concludendo che tali trattamenti non pregiudicano in modo sproporzionato i diritti degli utenti, in considerazione della natura dei dati trattati e delle misure di sicurezza adottate.
4. Destinatari dei dati
I dati personali degli utenti possono essere comunicati alle seguenti categorie di destinatari, nella misura strettamente necessaria per le finalita sopra indicate:
| Destinatario | Tipologia | Finalita | Ruolo |
|---|---|---|---|
| Stripe, Inc. | Fornitore di servizi di pagamento | Elaborazione pagamenti e gestione abbonamenti | Titolare autonomo |
| Resend, Inc. | Fornitore di servizi email transazionali | Invio di email di servizio (magic link, notifiche) | Responsabile del trattamento |
| Google LLC | Fornitore di servizi di autenticazione | Autenticazione tramite Google OAuth | Titolare autonomo |
| Supabase, Inc. | Fornitore di servizi di database (PostgreSQL) | Hosting e gestione del database relazionale | Responsabile del trattamento |
| Cloudflare, Inc. (R2) | Fornitore di servizi di archiviazione cloud | Archiviazione documenti caricati | Responsabile del trattamento |
Nota sui fornitori di intelligenza artificiale: La piattaforma utilizza servizi di intelligenza artificiale forniti da Anthropic, PBC, Google LLC e OpenAI, Inc. esclusivamente per l'elaborazione dei documenti caricati dai clienti dei mediatori. I dati personali degli utenti della piattaforma (mediatori creditizi) non vengono trasmessi ai fornitori di IA.
I dati non vengono diffusi ne comunicati a soggetti diversi da quelli sopra indicati, salvo che cio sia richiesto dalla legge o da un'autorita giudiziaria o amministrativa.
5. Trasferimenti internazionali di dati
Alcuni dei destinatari sopra indicati hanno sede al di fuori dello Spazio Economico Europeo (SEE). Il trasferimento dei dati avviene nel rispetto del Capo V del GDPR (artt. 44-49), sulla base delle seguenti garanzie:
| Destinatario | Paese | Garanzia per il trasferimento |
|---|---|---|
| Stripe, Inc. | Stati Uniti | EU-US Data Privacy Framework (decisione di adeguatezza della Commissione europea del 10 luglio 2023) |
| Resend, Inc. | Stati Uniti | Clausole contrattuali tipo (SCCs) adottate dalla Commissione europea ai sensi dell'art. 46, par. 2, lett. c) GDPR |
| Google LLC | Stati Uniti | EU-US Data Privacy Framework |
| Supabase, Inc. | Stati Uniti | EU-US Data Privacy Framework / SCC |
| Cloudflare, Inc. | Stati Uniti | EU-US Data Privacy Framework |
Il Titolare verifica periodicamente la permanenza delle garanzie di cui sopra e adotta misure supplementari ove necessario, conformemente alle indicazioni della Corte di Giustizia dell'Unione Europea (sentenza Schrems II, causa C-311/18).
6. Periodo di conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalita per le quali sono stati raccolti, nel rispetto dei seguenti periodi:
| Categoria di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati dell'account (nome, email, dati professionali) | Durata del rapporto contrattuale + 10 anni dalla cessazione | Obblighi fiscali e antiriciclaggio (D.Lgs. 231/2007, art. 31) |
| Log di audit (accessi, azioni, eventi di sicurezza) | 10 anni dalla data di creazione | Obblighi antiriciclaggio (D.Lgs. 231/2007) e di sicurezza |
| Dati di sessione (token, IP) | 30 giorni dalla creazione della sessione | Necessita operative di sicurezza |
| Dati di fatturazione | 10 anni dalla data della transazione | Obblighi fiscali (art. 2220 c.c., D.P.R. 600/1973) |
| Messaggi chat | Durata del rapporto contrattuale + 10 anni dalla cessazione | Obblighi antiriciclaggio e di documentazione |
| Immagine del profilo | Fino alla cancellazione da parte dell'utente o alla cessazione dell'account | Personalizzazione del servizio |
Decorsi i termini di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile.
7. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:
- Accesso (art. 15 GDPR): ottenere conferma dell'esistenza di un trattamento dei propri dati personali e l'accesso agli stessi, nonche alle informazioni previste dall'art. 15 GDPR.
- Rettifica (art. 16 GDPR): ottenere la rettifica dei dati personali inesatti o l'integrazione dei dati incompleti.
- Cancellazione (art. 17 GDPR): ottenere la cancellazione dei propri dati personali, nei casi previsti dall'art. 17 GDPR, salvo che il trattamento sia necessario per l'adempimento di un obbligo legale.
- Limitazione (art. 18 GDPR): ottenere la limitazione del trattamento nei casi previsti dall'art. 18 GDPR.
- Portabilita (art. 20 GDPR): ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare, ove tecnicamente fattibile.
- Opposizione (art. 21 GDPR): opporsi in qualsiasi momento al trattamento dei propri dati personali fondato sul legittimo interesse (art. 6, par. 1, lett. f) GDPR), per motivi connessi alla propria situazione particolare.
Come esercitare i diritti
L'utente puo esercitare i propri diritti inviando una richiesta scritta all'indirizzo email: [EMAIL PRIVACY]
Il Titolare rispondera alla richiesta entro un mese dal ricevimento, prorogabile di ulteriori due mesi in caso di richieste complesse o numerose, previa comunicazione all'interessato (art. 12, par. 3, GDPR).
Reclamo all'Autorita di controllo
L'utente ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, autorita di controllo italiana:
- Indirizzo: Piazza Venezia 11, 00187 Roma
- Email: [email protected]
- Sito web: www.garanteprivacy.it
8. Processo decisionale automatizzato
Ai sensi dell'art. 22 GDPR, si informa che i dati personali degli utenti della piattaforma non sono soggetti a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o che incidano in modo analogo significativamente sulla persona dell'interessato.
L'intelligenza artificiale integrata nella piattaforma e utilizzata esclusivamente come strumento di supporto per l'analisi documentale, sotto la supervisione e la responsabilita del mediatore creditizio. Nessuna decisione creditizia viene presa in modo automatizzato dal sistema.
9. Cookie
Per informazioni sull'utilizzo dei cookie e di tecnologie di tracciamento analoghe, si prega di consultare la Cookie Policy disponibile sul sito web della piattaforma.
10. Sicurezza dei dati
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'art. 32 GDPR, tra cui:
- Crittografia dei dati in transito tramite protocollo TLS/HTTPS.
- Crittografia dei dati a riposo per i dati archiviati nei sistemi di storage.
- Controlli di accesso basati su ruoli, con autenticazione sicura e gestione delle sessioni.
- Registrazione degli eventi di sicurezza (audit log) per il monitoraggio degli accessi e delle operazioni.
- Revisioni periodiche della sicurezza dei sistemi e delle procedure.
- Separazione logica dei dati tra le diverse organizzazioni presenti sulla piattaforma.
11. Modifiche all'informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, nel rispetto della normativa vigente.
In caso di modifiche sostanziali, il Titolare informera gli utenti con un preavviso di almeno 30 giorni tramite comunicazione via email o avviso all'interno della piattaforma, indicando le modifiche apportate e la data di decorrenza.
L'utilizzo continuativo della piattaforma successivamente all'entrata in vigore delle modifiche costituisce presa d'atto delle stesse. Qualora l'utente non intenda accettare le modifiche, potra esercitare il diritto di recesso dal contratto secondo le modalita ivi previste.
12. Contatti
Per qualsiasi domanda, richiesta o comunicazione relativa al trattamento dei dati personali:
- Email: [EMAIL PRIVACY]
Per reclami all'autorita di controllo:
- Garante per la Protezione dei Dati Personali
- Piazza Venezia 11, 00187 Roma
- Email: [email protected]
- PEC: [email protected]
- Sito web: www.garanteprivacy.it