1.
TITOLARE DEL TRATTAMENTO
MetaWeb Studio di Luca Costanzo
P.IVA: [INSERIRE] — Sede legale: [INSERIRE INDIRIZZO], Napoli (NA), Italia
Email privacy: privacy@domusflow.it — PEC: [INSERIRE]
DOMUSFLOW AI — Informativa sulla Privacy
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy)
Versione 1.0.0 — Aprile 2026
TITOLARE DEL TRATTAMENTO
MetaWeb Studio di Luca Costanzo
P.IVA: [INSERIRE]
Sede legale: [INSERIRE INDIRIZZO], Napoli (NA), Italia
Email: privacy@domusflow.it
PEC: [INSERIRE]
Per qualsiasi richiesta relativa alla protezione dei dati personali, è possibile contattare il Titolare all'indirizzo email: privacy@domusflow.it
Indice
2.
AMBITO DI APPLICAZIONE
La presente Informativa si applica al trattamento dei dati personali effettuato attraverso:
- il sito web www.domusflow.it e i relativi sottodomini (di seguito "Sito");
- la piattaforma SaaS DomusFlow AI, inclusa l'applicazione web e mobile (PWA) (di seguito "Piattaforma");
- il Portale Residente, sezione della Piattaforma dedicata ai condomini.
La presente Informativa è rivolta a: amministratori di condominio e collaboratori degli studi che utilizzano la Piattaforma ("Clienti"); condomini che accedono al Portale Residente ("Utenti Finali"); fornitori che interagiscono con la Piattaforma; visitatori del Sito.
3.
CATEGORIE DI DATI PERSONALI TRATTATI
3.1 Dati forniti volontariamente
- Dati di registrazione e profilo:
- nome, cognome, email, telefono, codice fiscale, P.IVA, indirizzo, ruolo professionale.
- Dati condominiali (inseriti dal Cliente):
- anagrafica condomini (proprietari, inquilini), unità immobiliari, millesimi, codice fiscale, contatti, situazione rate e pagamenti.
- Dati finanziari:
- IBAN (per pagamenti online), dati delle carte di pagamento (gestiti direttamente da Stripe, mai archiviati sui nostri server), movimenti contabili, fatture, rate.
- Dati di governance:
- presenze assembleari, voti espressi, deleghe, verbali, delibere.
- Dati di comunicazione:
- email inviate e ricevute tramite la Piattaforma, messaggi, segnalazioni, richieste.
- Documenti:
- regolamenti condominiali, contratti, documenti fiscali e ogni altro documento caricato sulla Piattaforma.
3.2 Dati raccolti automaticamente
- Dati tecnici:
- indirizzo IP, tipo di browser, sistema operativo, dispositivo, risoluzione schermo, lingua del browser, pagine visitate, data e ora di accesso, durata della sessione.
- Dati di utilizzo:
- funzionalità utilizzate, azioni eseguite nella Piattaforma, frequenza di accesso, preferenze di navigazione.
- Cookie e tecnologie simili:
- come specificato nella Cookie Policy (www.domusflow.it/cookies).
3.3 Dati generati dall'intelligenza artificiale
Output AI: trascrizioni di assemblee, analisi del sentiment, classificazioni, bozze di documenti, suggerimenti contabili, previsioni. Questi dati sono generati dalla Piattaforma a partire dai dati forniti dal Cliente e trattati esclusivamente nell'ambito del Servizio.
3.4 Categorie particolari di dati
La Piattaforma non è progettata per raccogliere categorie particolari di dati personali ai sensi dell'art. 9 del GDPR (dati sanitari, biometrici, relativi a condanne penali, ecc.). Qualora tali dati fossero presenti nei documenti caricati dal Cliente, il trattamento avviene sotto la responsabilità del Cliente in qualità di Titolare autonomo.
4.
FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
| # | Finalità | Base giuridica | Dati trattati | Conservazione |
|---|---|---|---|---|
| 4.1 | Esecuzione del contratto — Erogazione del Servizio SaaS, gestione account, assistenza tecnica | Art. 6(1)(b) GDPR — Esecuzione contrattuale | Dati di registrazione, contenuti del Cliente, dati tecnici | Durata del contratto + 30 giorni per export |
| 4.2 | Adempimenti contabili e fiscali — Fatturazione, dichiarazioni fiscali, tenuta registri | Art. 6(1)(c) GDPR — Obbligo legale (D.P.R. 600/1973, D.P.R. 633/1972) | Dati anagrafici, P.IVA, dati di fatturazione | 10 anni dalla cessazione del rapporto |
| 4.3 | Sicurezza del Servizio — Prevenzione frodi, accessi non autorizzati, monitoraggio anomalie | Art. 6(1)(f) GDPR — Legittimo interesse del Titolare | Dati tecnici, log di accesso, IP | 12 mesi (log sicurezza), 6 mesi (log accesso) |
| 4.4 | Miglioramento del Servizio — Analytics aggregati, test A/B, ottimizzazione performance | Art. 6(1)(f) GDPR — Legittimo interesse del Titolare | Dati di utilizzo anonimizzati/pseudonimizzati | 24 mesi |
| 4.5 | Comunicazioni di servizio — Notifiche tecniche, aggiornamenti, manutenzioni | Art. 6(1)(b) GDPR — Esecuzione contrattuale | Email, nome | Durata del contratto |
| 4.6 | Comunicazioni commerciali — Newsletter, promozioni, nuove funzionalità | Art. 6(1)(a) GDPR — Consenso dell'interessato | Email, nome | Fino a revoca del consenso |
| 4.7 | Funzionalità AI — Trascrizione, classificazione, generazione documenti, suggerimenti | Art. 6(1)(b) GDPR — Esecuzione contrattuale | Dati necessari alla specifica funzionalità | Durata del contratto |
| 4.8 | Pagamenti online — Elaborazione pagamenti rate condominiali tramite Stripe | Art. 6(1)(b) GDPR — Esecuzione contrattuale | Dati di pagamento (tokenizzati da Stripe) | Secondo policy Stripe (PCI DSS) |
| 4.9 | Tutela dei diritti in sede giudiziaria | Art. 6(1)(f) GDPR — Legittimo interesse | Dati pertinenti alla controversia | Durata dei termini di prescrizione applicabili |
5.
MODALITÀ DEL TRATTAMENTO
5.1.
I dati personali sono trattati con strumenti elettronici e automatizzati, con logiche di organizzazione e gestione strettamente correlate alle finalità indicate.
5.2.
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 del GDPR per garantire un livello di sicurezza adeguato al rischio, tra cui:
- crittografia dei dati in transito (TLS 1.3) e at rest;
- isolamento logico dei dati per Tenant (Row Level Security);
- controllo degli accessi basato sui ruoli (RBAC);
- backup giornalieri crittografati su data center EU separato;
- audit trail immutabile con hashing crittografico;
- monitoraggio continuo delle vulnerabilità e patch management;
- formazione del personale autorizzato al trattamento.
5.3.
I dati personali non sono soggetti a processi decisionali interamente automatizzati con effetti giuridici o significativi sull'interessato ai sensi dell'art. 22 del GDPR. Le Funzionalità AI producono suggerimenti e bozze che richiedono sempre la conferma di un operatore umano.
6.
COMUNICAZIONE E DESTINATARI DEI DATI
6.1.
I dati personali possono essere comunicati alle seguenti categorie di destinatari:
| Destinatario | Finalità | Ruolo GDPR |
|---|---|---|
| Supabase Inc. | Hosting database e autenticazione | Responsabile del trattamento (UE) |
| Vercel Inc. | Hosting applicazione web | Responsabile del trattamento (UE Edge) |
| OpenAI Inc. | Funzionalità AI (dati minimizzati) | Responsabile del trattamento (SCC) |
| Resend Inc. | Invio email transazionali | Responsabile del trattamento (UE) |
| Stripe Inc. | Pagamenti online | Titolare autonomo (PCI DSS Lv.1) |
| PostHog Inc. | Analytics (dati anonimizzati) | Responsabile del trattamento (EU Cloud) |
| Sentry Inc. | Monitoraggio errori (no dati personali) | Responsabile del trattamento (UE) |
L'elenco aggiornato dei Responsabili del trattamento è disponibile all'URL: www.domusflow.it/legal/sub-responsabili
6.2.
I dati personali non vengono diffusi né comunicati a terzi non autorizzati, salvo obblighi di legge o richieste dell'Autorità giudiziaria.
6.3.
All'interno dell'organizzazione del Titolare, i dati sono accessibili esclusivamente al personale autorizzato e istruito, nei limiti delle rispettive competenze.
7.
TRASFERIMENTO DATI EXTRA-UE
7.1.
I dati personali sono archiviati e trattati all'interno dell'Unione Europea (Supabase EU, regione eu-central-1, Francoforte, Germania).
7.2.
Per l'erogazione delle Funzionalità AI, dati minimizzati possono essere trasmessi a OpenAI Inc. (USA). Il trasferimento avviene sulla base delle Clausole Contrattuali Tipo (SCC) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914, e nel rispetto delle garanzie supplementari adeguate al rischio.
7.3.
I dati trasmessi a OpenAI per l'elaborazione AI non vengono utilizzati da OpenAI per l'addestramento dei propri modelli (API Terms of Use, sezione "Data Usage").
7.4.
Il Titolare non trasferisce dati personali verso paesi terzi che non garantiscano un livello di protezione adeguato, salvo che sussistano le garanzie previste dagli artt. 46-49 del GDPR.
8.
PERIODO DI CONSERVAZIONE
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di registrazione Account | Durata del contratto + 30 giorni per export |
| Contenuti del Cliente (dati condominiali) | Durata del contratto + 30 giorni (poi cancellazione entro 60 giorni) |
| Dati di fatturazione e contabili | 10 anni dalla cessazione del rapporto (D.P.R. 600/1973) |
| Log di sicurezza (IP, accessi anomali) | 12 mesi |
| Log di accesso ordinari | 6 mesi |
| Dati di analytics (anonimizzati) | 24 mesi |
| Cookie tecnici | Durata della sessione |
| Cookie analytics (PostHog) | 12 mesi |
| Consenso newsletter | Fino a revoca |
| Trascrizioni assemblee (audio) | 90 giorni dalla generazione |
| Trascrizioni assemblee (testo) | Durata del contratto |
| Audit trail | Durata del contratto + 5 anni (obbligo legale per documentazione condominiale) |
| Backup | 30 giorni (rolling), cancellati entro 60 giorni dalla cessazione |
Alla scadenza dei termini di conservazione, i dati vengono cancellati in modo definitivo e irreversibile o anonimizzati in modo da non consentire più l'identificazione dell'interessato.
9.
DIRITTI DELL'INTERESSATO
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha il diritto di:
- Accesso (art. 15):
- ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l'accesso ai dati e alle informazioni previste dalla norma.
- Rettifica (art. 16):
- ottenere la rettifica dei dati personali inesatti o l'integrazione dei dati incompleti.
- Cancellazione (art. 17):
- ottenere la cancellazione dei dati personali, nei casi previsti dalla norma (diritto all'oblio).
- Limitazione (art. 18):
- ottenere la limitazione del trattamento nei casi previsti dalla norma.
- Portabilità (art. 20):
- ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare senza impedimenti.
- Opposizione (art. 21):
- opporsi in qualsiasi momento al trattamento basato sul legittimo interesse del Titolare, per motivi connessi alla propria situazione particolare. In caso di trattamento per finalità di marketing diretto, l'opposizione è sempre efficace senza necessità di motivazione.
- Revoca del consenso:
- revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.
- Reclamo:
- proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), Piazza Venezia 11, 00187 Roma — email: protocollo@gpdp.it — PEC: protocollo@pec.gpdp.it.
Come esercitare i diritti
Le richieste possono essere inviate a: privacy@domusflow.it
Il Titolare risponderà entro 30 (trenta) giorni dal ricevimento della richiesta, prorogabili di ulteriori 60 (sessanta) giorni in caso di complessità, previa comunicazione motivata all'interessato.
Per i Clienti della Piattaforma, molti diritti sono esercitabili direttamente tramite la sezione "Privacy" delle Impostazioni dell'Account (Centro Privacy).
10.
INFORMATIVA SPECIFICA PER IL PORTALE RESIDENTE (CONDOMINI)
10.1.
Quando un amministratore di condominio (Cliente) utilizza DomusFlow AI per gestire un condominio, i dati dei condomini (Utenti Finali) vengono trattati dal Titolare in qualità di Responsabile del trattamento per conto del Cliente (che è il Titolare del trattamento rispetto ai dati dei propri condomini).
10.2.
Per le informazioni sul trattamento dei propri dati personali, i condomini devono fare riferimento all'informativa privacy fornita dal proprio amministratore di condominio (Cliente di DomusFlow AI).
10.3.
Il Titolare di DomusFlow AI tratta i dati dei condomini esclusivamente su istruzione documentata del Cliente e nei limiti previsti dall'Accordo sul Trattamento dei Dati (DPA) allegato ai Termini di Servizio.
10.4.
I condomini possono esercitare i diritti previsti dal GDPR rivolgendosi al proprio amministratore di condominio. Il Titolare di DomusFlow AI si impegna a supportare il Cliente nell'evasione delle richieste.
11.
MODIFICHE ALL'INFORMATIVA
11.1.
Il Titolare si riserva il diritto di aggiornare la presente Informativa per adeguarla alla normativa vigente o a variazioni del Servizio. Le modifiche saranno comunicate tramite pubblicazione sul Sito e, per i Clienti registrati, tramite notifica nella Piattaforma.
11.2.
La data dell'ultimo aggiornamento è indicata in apertura del documento.
MetaWeb Studio di Luca Costanzo — Napoli, Italia
Versione 1.0.0 — Aprile 2026