Privacy Policy

Ultimo aggiornamento: 26 marzo 2026 — Versione 1.0

1. Titolare del trattamento

Il titolare del trattamento dei dati personali relativi al presente servizio è l'amministratore di condominio che utilizza la piattaforma Condomini MVP (di seguito "il Titolare").

Il responsabile del trattamento per conto del Titolare è:

Davide Salvatore
Persona fisica
Email: davide.salvatore530@gmail.com

2. Che cos'è Condomini MVP

Condomini MVP è un software SaaS (Software as a Service) che consente agli amministratori di condominio di gestire le comunicazioni con i condomini, archiviare documenti, inviare convocazioni assembleari e monitorare le statistiche operative.

3. Dati personali trattati

Il servizio tratta le seguenti categorie di dati personali:

Dati dell'amministratore (account): nome, indirizzo email, password (memorizzata in forma hash bcrypt), token di sessione.
Dati dei condomini (terzi): nome, cognome, indirizzo email, numero di telefono, dati relativi alle unità abitative occupate.
Comunicazioni: testo delle email ricevute e inviate, allegati (PDF, immagini, documenti), trascrizioni audio.
Documenti: file caricati manualmente dall'amministratore, associati a ticket o edifici.
Dati tecnici: log di accesso, timestamp delle operazioni (audit trail).

4. Finalità e base giuridica del trattamento

Erogazione del servizio (art. 6.1.b GDPR — esecuzione di un contratto): gestione ticket, invio email, archiviazione documenti.
Adempimento di obblighi di legge (art. 6.1.c GDPR): conservazione delle comunicazioni ai sensi della Legge 220/2012 sulla gestione condominiale.
Legittimo interesse (art. 6.1.f GDPR): sicurezza dell'applicazione, prevenzione frodi, log tecnici.

5. Conservazione dei dati

I dati personali sono conservati per un massimo di 12 mesi dalla data di creazione del ticket o del documento, salvo che l'amministratore non attivi il flag "conserva" su un ticket specifico in presenza di controversie legali in corso.

I dati dell'account (nome, email) sono conservati per tutta la durata del rapporto contrattuale e cancellati entro 30 giorni dalla richiesta di chiusura account.

6. Sub-responsabili del trattamento

Il servizio utilizza i seguenti fornitori di infrastruttura, ciascuno dei quali opera come sub-responsabile:

Supabase Inc. (USA) — database PostgreSQL e storage documenti. Garanzia trasferimento dati: Standard Contractual Clauses (SCC). Dati fisicamente su server EU (Frankfurt).
Railway Corp. (USA) — hosting applicazione. Server attivo su region Europe West (eu-west).
OpenAI Inc. (USA) — elaborazione AI per generazione bozze risposta. I dati inviati sono limitati al testo del messaggio e al contenuto degli allegati. Dati non usati per training (API policy).
Google LLC (USA) — Gmail API per invio/ricezione email. Utilizzo soggetto alle policy Google Workspace.

7. Trasferimento dati extra-UE

Alcuni fornitori (Supabase, OpenAI, Google) hanno sede negli Stati Uniti. I trasferimenti avvengono nel rispetto dell'art. 46 GDPR mediante Standard Contractual Clauses (SCC) approvate dalla Commissione Europea. Il server applicativo è localizzato nell'Unione Europea.

8. Diritti degli interessati

Ogni interessato (condomino i cui dati sono trattati) ha diritto a:

Accesso ai propri dati personali (art. 15 GDPR)
Rettifica di dati inesatti (art. 16 GDPR)
Cancellazione ("diritto all'oblio", art. 17 GDPR)
Limitazione del trattamento (art. 18 GDPR)
Portabilità dei dati (art. 20 GDPR)
Opposizione al trattamento (art. 21 GDPR)

Le richieste vanno indirizzate all'amministratore di condominio (Titolare del trattamento) oppure, per questioni relative all'infrastruttura, al Responsabile: davide.salvatore530@gmail.com.

È possibile proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

9. Sicurezza

Il servizio adotta le seguenti misure di sicurezza tecniche e organizzative:

Comunicazioni cifrate via HTTPS (TLS 1.2+)
Password memorizzate con hash bcrypt (costo 12)
Autenticazione JWT con doppio token (access 15 min + refresh 30 giorni)
Accesso ai documenti tramite URL firmati temporanei (60 minuti)
Database cifrato a riposo (gestito da Supabase)
Isolamento multi-tenant: ogni amministratore accede solo ai propri dati

10. Cookie e archiviazione locale

Il servizio non utilizza cookie di profilazione o tracciamento di terze parti. Vengono salvati in localStorage del browser esclusivamente dati tecnici necessari al funzionamento (refresh token di sessione, preferenza tema chiaro/scuro). Non è richiesto il consenso cookie (art. 122 D.Lgs. 196/2003 — eccezione per cookie tecnici).

11. Modifiche alla presente Policy

Eventuali modifiche sostanziali alla presente Privacy Policy saranno notificate via email agli amministratori registrati con almeno 15 giorni di preavviso.