Informativa privacy

Il titolare del trattamento dei dati personali è:

Considerata la natura individuale dell'attività in fase beta, non è nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. Tutte le comunicazioni in materia privacy possono essere indirizzate al Titolare all'email sopra indicata.

Per chiarezza espositiva, il Fornitore riveste due ruoli distinti, da non confondere:

La presente informativa riguarda principalmente il primo ruolo. Per il secondo, lo Studio Notarile è invitato a richiedere al Fornitore la sottoscrizione di un accordo dedicato (DPA — Data Processing Agreement).

Il Fornitore raccoglie e tratta le seguenti categorie di dati personali dell'Utente:

• Dati di registrazione: nome, cognome, email, ruolo (notaio / impiegato), studio di appartenenza.
• Credenziali di accesso: password (memorizzata in forma crittografata e irreversibile, mai in chiaro).
• Dati di utilizzo: data e ora di accesso, indirizzo IP, browser, sistema operativo, pagine visitate all'interno della piattaforma.
• Comunicazioni: contenuto delle email scambiate per supporto, segnalazioni o richieste.
• Notifiche push (se attivate): identificativo del dispositivo (endpoint del browser) per inviare notifiche di sistema.

Durante la fase beta, è inoltre attivo un sistema di tracking delle sessioni (login, logout, IP geolocalizzato a livello di città) accessibile esclusivamente al Fornitore per finalità di sicurezza e debugging. Tale sistema sarà disattivato al termine della beta.

I dati sono trattati per le seguenti finalità, ciascuna con la propria base giuridica ai sensi dell'art. 6 GDPR:

• Erogazione del Servizio (creazione account, accesso, gestione del profilo) — base: esecuzione di un contratto, art. 6.1.b GDPR.
• Sicurezza informatica (log, prevenzione abusi, monitoring sessioni in beta) — base: legittimo interesse, art. 6.1.f GDPR.
• Comunicazioni di servizio (email per password reset, conferme, manutenzione, aggiornamenti tecnici) — base: esecuzione di un contratto, art. 6.1.b GDPR.
• Adempimento di obblighi di legge (es. richieste dell'Autorità Giudiziaria) — base: obbligo legale, art. 6.1.c GDPR.

Non sono effettuati trattamenti per finalità di marketing, profilazione automatica o cessione dei dati a terzi per attività promozionali.

I dati sono trattati con strumenti elettronici, applicando misure di sicurezza tecniche e organizzative adeguate, tra cui:

• Crittografia dei dati in transito (HTTPS/TLS) e a riposo (database e backup crittografati).
• Hashing irreversibile delle password (algoritmo bcrypt gestito da Supabase Auth).
• Isolamento multi-tenant a livello database tramite Row Level Security (RLS): ogni Studio vede esclusivamente i propri dati, anche in caso di errore applicativo.
• Controllo degli accessi basato su ruoli (RBAC) e autenticazione obbligatoria per qualunque operazione.
• Log degli accessi e delle operazioni rilevanti.
• Backup giornalieri automatici, conservati per 7 giorni rolling.

• Dati di account attivo: per tutta la durata del rapporto.
• Dati di account disattivato: cancellati entro 30 giorni dalla richiesta di disattivazione.
• Log di accesso e sicurezza: 12 mesi.
• Email di supporto: 24 mesi dall'ultimo contatto.
• Backup: 7 giorni rolling.

I dati possono essere comunicati a soggetti terzi che agiscono come Responsabili del trattamento per conto del Fornitore, individuati tra fornitori che offrono adeguate garanzie di sicurezza:

• Supabase (Supabase Inc., con server europei attivati): hosting database, autenticazione, storage allegati. Conforme al GDPR e con DPA pubblicato.
• Vercel (Vercel Inc., regione UE — Francoforte): hosting dell'applicazione web. Conforme al GDPR e con DPA pubblicato.
• Aruba S.p.A.: registrazione e gestione del dominio planningnotarile.it. Soggetto di diritto italiano.

L'elenco aggiornato dei sub-responsabili è disponibile su richiesta scrivendo all'email del Titolare. Le modifiche rilevanti (es. cambio di provider) saranno comunicate agli Utenti con preavviso.

Tutti i dati sono ospitati su server situati nell'Unione Europea. Non sono previsti trasferimenti sistematici di dati verso paesi extra-UE.

Eventuali accessi tecnici da parte dei provider statunitensi (Supabase Inc., Vercel Inc.) per finalità di supporto tecnico avvengono nei limiti delle clausole contrattuali standard approvate dalla Commissione Europea (Standard Contractual Clauses) e delle ulteriori misure introdotte dopo la sentenza "Schrems II".

In ogni momento l'Utente, in qualità di interessato, può esercitare nei confronti del Titolare i diritti previsti dagli articoli 15 e seguenti del GDPR:

• Diritto di accesso (art. 15): ottenere conferma e copia dei dati trattati.
• Diritto di rettifica (art. 16): correggere dati inesatti o incompleti.
• Diritto alla cancellazione ("oblio", art. 17): chiedere la rimozione dei dati.
• Diritto di limitazione (art. 18): chiedere la sospensione del trattamento.
• Diritto alla portabilità (art. 20): ricevere i propri dati in formato strutturato (es. JSON).
• Diritto di opposizione (art. 21): opporsi al trattamento basato su legittimo interesse.
• Diritto di reclamo: presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Per esercitare tali diritti è sufficiente scrivere a coniamep@gmail.com. Le richieste sono evase entro 30 giorni, salvo casi di particolare complessità.

Il conferimento dei dati di registrazione (nome, email, password) è necessario per l'erogazione del Servizio. Senza tali dati non è possibile creare l'account né accedere alla piattaforma. Il loro mancato conferimento comporta l'impossibilità di utilizzare il Servizio.

Il Servizio non effettua decisioni basate unicamente su trattamento automatizzato (incluso profiling) ai sensi dell'art. 22 GDPR.

La presente informativa può essere aggiornata in caso di modifiche normative, organizzative o tecniche. Le modifiche rilevanti saranno comunicate via email agli Utenti registrati e segnalate nella pagina al momento dell'accesso.