Informativa Privacy — inRegola
[NOTA] Questo documento è una bozza redatta da un assistente AI ai sensi degli artt. 13 e 14 del Reg. UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy). Va revisionata da un avvocato qualificato in diritto della protezione dei dati prima della pubblicazione, in particolare per: (a) la corretta indicazione del Titolare in funzione della forma giuridica scelta, (b) la verifica dei sub-responsabili e delle relative regioni di trattamento, (c) la conferma che non sia richiesta la nomina di un DPO ai sensi dell'art. 37 GDPR.
Ultimo aggiornamento: [DATA DI PUBBLICAZIONE] Versione: 1.0
1. Premessa
Ai sensi degli artt. 13 e 14 del Reg. UE 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy"), ti forniamo le seguenti informazioni sul trattamento dei tuoi dati personali quando utilizzi il servizio inRegola (di seguito "Servizio").
2. Titolare del trattamento
Il Titolare del trattamento è:
- Denominazione: [NOME LEGALE PROVIDER]
- Sede: [INDIRIZZO LEGALE]
- Partita IVA / EIN: [P.IVA / EIN]
- Email per la privacy: privacy@inregola.net
- PEC: [PEC, se applicabile]
3. Responsabile della protezione dei dati (DPO)
inRegola non ha designato un Responsabile della protezione dei dati ai sensi dell'art. 37 GDPR. La nomina non è obbligatoria in quanto il Titolare non rientra nelle categorie di cui all'art. 37.1 (autorità pubblica, attività principale che richiede monitoraggio sistematico su larga scala, attività principale di trattamento su larga scala di categorie particolari di dati). La designazione sarà valutata in caso di crescita significativa della base utenti o di estensione del trattamento a categorie particolari di dati.
Per qualsiasi questione relativa alla privacy puoi comunque scrivere a privacy@inregola.net.
4. Categorie di dati personali trattati
Trattiamo le seguenti categorie di dati personali:
4.1 Dati che ci fornisci direttamente
| Categoria | Esempi |
|---|---|
| Dati di registrazione | Indirizzo email, lingua di notifica preferita |
| Dati di contatto | Numero di telefono (facoltativo, solo per ricevere SMS) |
| Dati delle proprietà gestite | Denominazione, indirizzo, città, provincia, codice CIN, codice struttura Alloggiati Web, comune per la tassa di soggiorno |
| Dati dei proprietari (Owner Portal) | Email, nome del proprietario della struttura per cui sei Property Manager |
| Credenziali Polizia di Stato | Username, password e Web Key del portale Alloggiati Web — cifrate con AES-256-GCM prima di essere persistite |
| Dati di pagamento | Gestiti direttamente da Stripe (vedi §7) — non riceviamo né conserviamo i dati di carta |
4.2 Dati Ospite (sei tu il Titolare, noi il Responsabile)
Per gli ospiti delle tue strutture trattiamo, per tuo conto in qualità di Responsabile ex art. 28 GDPR:
- nome, cognome, sesso, data e luogo di nascita;
- cittadinanza, paese di nascita;
- tipo, numero, data di rilascio e scadenza, paese di rilascio del documento di identità;
- date di check-in e check-out;
- ruolo nella prenotazione (singolo, capofamiglia, capogruppo);
- l'eventuale schedina e ricevuta PDF prodotta dal portale Polizia di Stato.
4.3 Dati raccolti automaticamente
| Categoria | Esempi |
|---|---|
| Dati tecnici | Indirizzo IP, User-Agent, identificativi di sessione |
| Log applicativi | Endpoint chiamato, codice di stato, timestamp |
| Dati anti-bot | Token di verifica Cloudflare Turnstile (esclusivamente al login) |
| Dati di errore | Stack trace e contesto di errore inviati a Sentry (con scrubbing PII) |
| Reservazioni iCal | Date e identificatori delle prenotazioni recuperate dai feed Airbnb/Booking |
4.4 Dati relativi al programma referral
- Codice referral generato per il tuo account (pseudonimo);
- Cookie
inregola_ref(durata 30 giorni) che attribuisce la tua iscrizione al referente; - Notifica al referente dell'avvenuta iscrizione (data, non email).
5. Finalità del trattamento e basi giuridiche
| Finalità | Categorie di dati | Base giuridica (art. 6 GDPR) |
|---|---|---|
| Erogazione del Servizio (autenticazione, gestione proprietà, dashboard) | Tutti i dati di account e proprietà | art. 6.1.b — esecuzione del contratto |
| Trasmissione automatica delle schedine alla Polizia di Stato | Dati Ospite, credenziali Alloggiati | art. 6.1.c — obbligo di legge (art. 109 TULPS) |
| Conservazione dei dati Ospite per 5 anni | Dati Ospite, ricevute PDF | art. 6.1.c — obbligo di legge (regolamento PS) |
| Calcolo tassa di soggiorno e tracciamento DAC7 | Dati proprietà, dati di soggiorno aggregati | art. 6.1.b — esecuzione del contratto |
| Invio di notifiche transazionali (scadenze, errori, riepiloghi) | Email, telefono, ID utente | art. 6.1.b — esecuzione del contratto |
| Fatturazione e pagamenti | Email, dati Stripe Customer | art. 6.1.b + art. 6.1.c (norme fiscali) |
| Conservazione dati di fatturazione per 10 anni | Dati di fatturazione | art. 6.1.c — obbligo fiscale (art. 2220 c.c.) |
| Sicurezza, anti-abuso, rate limiting, anti-bot | IP, User-Agent, hash bucket | art. 6.1.f — legittimo interesse del Titolare alla protezione del Servizio |
| Diagnostica errori (Sentry) | Stack trace, ID utente pseudonimo | art. 6.1.f — legittimo interesse alla manutenzione |
| Programma referral | Codice referral, cookie attribuzione | art. 6.1.f — legittimo interesse alla crescita |
| Owner Portal — invio inviti e accesso proprietari | Email + nome del proprietario | art. 6.1.f — legittimo interesse del Cliente alla rendicontazione verso il proprietario |
5.1 Bilanciamento legittimi interessi
Per i trattamenti basati sull'art. 6.1.f, il Titolare ha effettuato il bilanciamento di interessi e ritenuto prevalente l'interesse legittimo perseguito sui diritti e le libertà degli interessati, in considerazione della natura limitata dei dati trattati, della finalità di sicurezza/manutenzione/rendicontazione e dell'aspettativa ragionevole degli interessati. Il bilanciamento è disponibile su richiesta scrivendo a privacy@inregola.net.
5.2 Obbligatorietà del conferimento
- Il conferimento dei dati di registrazione e dei dati di proprietà è necessario per accedere al Servizio: il rifiuto comporta l'impossibilità di erogare il Servizio.
- Il conferimento dei dati Ospite è obbligatorio per legge (art. 109 TULPS): il rifiuto da parte tua di registrarli ti espone alle sanzioni previste dalla normativa.
- Il conferimento del numero di telefono è facoltativo ed è richiesto solo se desideri ricevere notifiche SMS.
6. Periodo di conservazione
| Categoria | Periodo |
|---|---|
| Dati di account (email, telefono, preferenze) | Per tutta la durata del rapporto contrattuale + 30 giorni (finestra di backup) |
| Dati di proprietà | Per tutta la durata del rapporto + 30 giorni |
| Dati Ospite e ricevute Alloggiati | 5 anni dalla registrazione (regolamento Pubblica Sicurezza) |
| Dati di fatturazione | 10 anni (art. 2220 c.c.) |
| Credenziali Alloggiati Web cifrate | Fino alla disconnessione esplicita o cancellazione account |
| Log applicativi e dati di sicurezza | 90 giorni |
| Eventi di rate-limiting | 90 giorni |
| Dati di errore Sentry | 90 giorni |
Cookie inregola_ref (referral) |
30 giorni |
Cookie inregola_cookie_notice (preferenza) |
365 giorni |
Alla cancellazione dell'account, i dati identificativi (email, telefono) vengono anonimizzati entro 30 giorni. I dati Ospite e di fatturazione vengono mantenuti in forma pseudonimizzata fino alla scadenza dei rispettivi obblighi di legge, dopodiché sono cancellati.
7. Destinatari dei dati (responsabili esterni e sub-responsabili)
Per erogare il Servizio ci avvaliamo dei seguenti fornitori, tutti nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR:
| Fornitore | Servizio | Regione del trattamento | Trasferimenti extra-UE |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione, storage | UE — Frankfurt | No |
| Vercel Inc. | Hosting applicativo | UE primaria, edge globale | SCC per edge non-UE |
| Stripe Payments Europe Ltd. | Pagamenti e fatturazione | UE — Irlanda | SCC per supporto USA |
| Resend Inc. | Invio email transazionali | UE (regione selezionata) | SCC se non in UE |
| Twilio Ireland Ltd. | Invio SMS | UE — Irlanda | SCC per supporto USA |
| Functional Software Inc. (Sentry) | Rilevazione errori | UE — Frankfurt | SCC per fallback USA |
| Cloudflare Inc. | Anti-bot Turnstile (cookie strettamente necessari) | Globale | SCC |
7.1 Destinatari per obbligo di legge
- Polizia di Stato — Servizio Alloggiati Web: destinatario obbligatorio dei dati Ospite ex art. 109 TULPS;
- Agenzia delle Entrate: destinataria dei dati DAC7 — la trasmissione è effettuata direttamente dalle piattaforme (Airbnb, Booking) e inRegola si limita a riconciliare i dati;
- Comune di riferimento: per la tassa di soggiorno il Cliente paga direttamente al Comune, inRegola tiene la traccia.
7.2 Trasferimenti internazionali (art. 44+ GDPR)
Quando un sub-responsabile si trova al di fuori dello Spazio Economico Europeo, il trasferimento è coperto dalle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 e dalle valutazioni di impatto sul trasferimento (Transfer Impact Assessment) condotte ai sensi della sentenza Schrems II.
8. Diritti dell'interessato (artt. 15-22 GDPR)
In qualità di interessato, hai diritto in qualsiasi momento di:
- Accesso (art. 15) — ricevere conferma del trattamento e una copia dei dati personali;
- Rettifica (art. 16) — chiedere la correzione di dati inesatti o incompleti;
- Cancellazione "diritto all'oblio" (art. 17) — chiedere la cancellazione dei dati, fatti salvi gli obblighi legali di conservazione;
- Limitazione del trattamento (art. 18) — chiedere la sospensione del trattamento in casi specifici;
- Portabilità (art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON);
- Opposizione (art. 21) — opporti ai trattamenti basati sul legittimo interesse;
- Revoca del consenso — quando il trattamento si basa sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità dei trattamenti precedenti;
- Reclamo al Garante (art. 77) — proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it).
8.1 Modalità di esercizio
- Cancellazione account: disponibile in autonomia da Impostazioni → Elimina account.
- Esportazione dati (accesso + portabilità): disponibile in autonomia da Impostazioni → Esporta i miei dati. Il sistema produce un archivio JSON + PDF con tutti i tuoi dati.
- Altri diritti: scrivi a privacy@inregola.net indicando: (a) il diritto che intendi esercitare, (b) un identificativo che ci consenta di verificare la tua identità (tipicamente l'email associata all'account). Risponderemo entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 giorni per richieste particolarmente complesse, ai sensi dell'art. 12.3 GDPR.
8.2 Reclamo all'Autorità Garante
Hai diritto di proporre reclamo a:
Garante per la protezione dei dati personali Piazza Venezia, 11 — 00187 Roma Tel.: (+39) 06.69677.1 PEC: protocollo@pec.gpdp.it Web: https://www.garanteprivacy.it
9. Decisioni automatizzate (art. 22 GDPR)
inRegola non effettua decisioni esclusivamente automatizzate che producano effetti giuridici o significativi nei tuoi confronti ai sensi dell'art. 22 GDPR. Le automazioni del Servizio (invio schedine, calcolo tassa, alert) eseguono regole deterministiche su tuoi dati e per tuo conto, e non comportano profilazione.
10. Sicurezza dei dati (art. 32 GDPR)
Adottiamo misure tecniche e organizzative adeguate al rischio, tra cui:
- Cifratura at-rest delle credenziali Alloggiati Web (AES-256-GCM con IV casuale e authTag — chiave gestita fuori dal database);
- Cifratura in transito TLS 1.2+ obbligatoria su tutte le comunicazioni;
- Controllo accessi multi-tenant tramite Row Level Security su Postgres + ulteriore filtro applicativo;
- Header di sicurezza Content-Security-Policy, HSTS, X-Frame-Options DENY, Referrer-Policy strict;
- Anti-bot Turnstile sul login;
- Rate limiting sulle azioni sensibili;
- Webhook firmati HMAC-SHA256 in uscita;
- Audit logging delle operazioni critiche;
- Backup giornalieri automatici tramite Supabase, ripristino testato.
Per il dettaglio tecnico delle misure di sicurezza, vedi docs/security-audit-2026-05-03.md (interno).
11. Violazioni dei dati (art. 33-34 GDPR)
In caso di violazione dei dati personali (data breach) che presenti un rischio per i diritti e le libertà degli interessati, inRegola provvederà a:
- notificare al Garante entro 72 ore dalla scoperta;
- comunicare la violazione agli interessati, senza ingiustificato ritardo, qualora il rischio sia elevato.
12. Cookie e tracciatori
Per l'uso dei cookie da parte del Servizio si rimanda alla Cookie Policy, che costituisce parte integrante della presente Informativa.
13. Modifiche all'informativa
Eventuali modifiche sostanziali alla presente Informativa ti saranno comunicate via email. Le modifiche puramente formali sono pubblicate su questa pagina con aggiornamento della data in calce.
Versione: 1.0 Effective date: [DATA DI PUBBLICAZIONE] Contatti privacy: privacy@inregola.net