Informativa Privacy Inquilino

Il Titolare del trattamento dei dati personali è:

Per l'esercizio dei diritti previsti dagli Artt. 15-22 GDPR e per qualsiasi comunicazione in materia di protezione dei dati personali, utilizzare esclusivamente l'indirizzo privacy@fidoaffitti.it.

FidoAffitti fornisce un servizio digitale di:

• Analisi documentale e valutazione dell'affidabilità economico-finanziaria
• Analisi dati bancari tramite tecnologia Open Banking
• Verifica creditizia tramite database autorizzati
• Attribuzione di un punteggio (score) e valutazione basati su algoritmi proprietari
• Generazione di report di solvibilità per supportare decisioni locative

NON verranno MAI condivisi con terzi (salvo obblighi di legge):

• Dati bancari completi (IBAN, saldi, transazioni)
• Documenti caricati (buste paga, estratti conto, documenti d'identità)
• Informazioni sensibili (dati sanitari, giudiziari, ecc.)

Verranno condivisi SOLO (e solo se l'Inquilino decide di condividere):

• Score numerico (0-100)
• Valutazione sintetica (Alta Affidabilità, Buona, Rischio Moderato, Rischio Elevato)
• Note sintetiche e raccomandazioni

Il Titolare tratta le seguenti categorie di dati personali:

INQUILINI (soggetti da verificare):

• Nome e cognome
• Codice fiscale (16 caratteri)
• Data di nascita
• Luogo di nascita (città, provincia, nazione)
• Indirizzo di residenza completo (via, numero civico, città, CAP, provincia, nazione)
• Email (validata)
• Numero di telefono cellulare (formato internazionale)
• Nazionalità
• Stato civile (opzionale)

PROPRIETARI (acquirenti - utenti registrati sulla Piattaforma):

• Nome e cognome (o ragione sociale se azienda)
• Codice fiscale / Partita IVA
• Email (utilizzata come credenziale di accesso)
• Stato verifica email (verificata / non verificata)
• Numero di telefono
• Indirizzo dell'immobile da locare
• Tipologia immobile (residenziale, commerciale)
• Dati di autenticazione: Password hashata, Token JWT, Token verifica email

AGENZIE IMMOBILIARI (se presenti):

• Denominazione sociale, Sede legale, Partita IVA, Codice REA
• Nominativo titolare o legale rappresentante
• Email aziendale, Telefono aziendale
• Anagrafica del referente commerciale

• Carta d'identità (fronte e retro)
• Passaporto (fronte e retro)
• Patente di guida (fronte e retro)
• Codice fiscale/Tessera sanitaria (fronte e retro)
• Permesso di soggiorno (per cittadini extra-UE)

METADATI ASSOCIATI AI DOCUMENTI:

• Nome file originale, Tipologia documento, Categoria
• Dimensione file (max 10MB), Formato file (MIME type)
• Hash crittografico SHA-256 (per integrità)
• Data e ora di caricamento (timestamp UTC)
• Utente che ha caricato il documento (UserID), Ordine di riferimento (OrderID)
• Note aggiuntive (opzionali)

• Buste paga (ultimi 3-6 mesi)
• CUD / Certificazione Unica
• Dichiarazione dei redditi (Modello 730, Modello Unico, Modello Redditi)
• Contratti di lavoro (tempo determinato, indeterminato, autonomo)
• Estratti contributivi INPS
• Certificati di pensione
• Attestazioni di reddito per autonomi/liberi professionisti
• Visure camerali (per titolari di partita IVA)
• Bilanci aziendali (per imprenditori)

Nota: il servizio Open Banking non è attualmente attivo. Potrebbe essere introdotto in una futura versione della Piattaforma tramite provider certificato PSD2, che sarà identificato al momento dell'attivazione del servizio.

Qualora attivato, i seguenti dati saranno raccolti tramite provider Open Banking autorizzato e certificato PSD2:

DATI ACCOUNT BANCARI:

• IBAN completo, Nome banca/istituto di credito
• Tipo di conto (corrente, deposito, risparmio, carta prepagata)
• Saldo attuale, Saldo disponibile, Valuta (EUR, USD, ecc.)
• Data apertura conto, Numero conti correnti posseduti

DATI TRANSAZIONI:

• Data e ora transazione, Importo (dare/avere), Descrizione operazione
• Beneficiario/ordinante, Categoria di spesa, Codice identificativo transazione
• Stato transazione (pending, booked)

DATI AGGREGATI E STIMATI:

• Reddito mensile medio stimato (basato su accrediti ricorrenti)
• Spese mensili medie stimate (basato su addebiti)
• Saldo medio mensile, Numero di scoperti/negativi
• Frequenza pagamenti (bollette, affitto, utenze), Percentuale risparmio mensile

DATI TECNICI OPEN BANKING:

• Access Token (criptato AES-256), Refresh Token (criptato AES-256)
• Scadenza token (timestamp), Provider bancario utilizzato (Provider ID)
• Stato connessione (attiva, scaduta, revocata), Data ultima sincronizzazione

PROTESTI CAMBIARII:

• Numero protesto, Data protesto, Importo protestato (EUR)
• Tribunale competente, Stato protesto (Attivo, Estinto, In Contestazione), Causale protesto

PREGIUDIZIEVOLI:

• Tipo (Ipoteca, Pignoramento, Sequestro, Fallimento, Altro)
• Data iscrizione, Importo (se applicabile), Stato (Attivo, Estinto, Cancellato)
• Autorità competente (Tribunale, Agenzia delle Entrate, ecc.), Descrizione sintetica

EVENTUALE VERIFICA KYC:

• Verifica PEP (Politically Exposed Person): Sì/No
• Liste di sanzioni internazionali: Presente/Non Presente
• Risk Level KYC (Low, Medium, High, Very High), Data ultima verifica

RISK SCORING CRIF:

• Score creditizio (0-100), Livello di rischio
• Fattori di rischio identificati (con pesi relativi), Raccomandazioni automatiche

• Denominazione impresa/ditta individuale, Sede legale, Partita IVA, Codice fiscale
• Forma giuridica, Capitale sociale, Data costituzione, Stato attività
• Numero iscrizione Camera di Commercio, Codice REA, Attività ATECO
• Amministratori e rappresentanti legali, Bilanci depositati (ultimi 3 anni)
• Hash visura, Prezzo visura richiesta, Stato richiesta visura, Documento PDF visura (se disponibile)

• Canone mensile richiesto (EUR), Spese condominiali mensili (EUR)
• Deposito cauzionale richiesto (EUR), Durata contratto (3+2, 4+4, 6+6 anni)
• Tipologia contratto (uso abitativo, transitorio, studenti, commerciale)
• Stato contratto (In bozza, Scritto, Registrato, Depositato)
• Data presunta inizio locazione, Note specifiche sulla locazione

• Email (login), Password (conservata SOLO in forma hashata con BCrypt + salt, MAI in chiaro)
• Ruolo utente (Admin, Proprietario, Inquilino)
• Stato account (Attivo, Sospeso, Cancellato)
• Data creazione account, Data ultimo accesso
• Token JWT (claims: UserId, Email, Ruolo; scadenza: 480 minuti)
• Token di reset password (temporaneo, scadenza 1 ora)
• Token di verifica email (temporaneo, scadenza 24 ore)
• API Key (per integrazioni esterne, se applicabile)

• Indirizzo IP (IPv4 o IPv6), User Agent completo, Browser utilizzato
• Sistema operativo, Device type, Risoluzione schermo, Lingua browser, Fuso orario
• Referrer URL, Timestamp accesso/logout, Durata sessione
• Pagine visitate, Azioni eseguite (click, scroll, form submission)
• Cookie tecnici: Session Cookie, Authentication Cookie (JWT), CSRF Token
• Cookie di tracciamento (se implementati - richiede consenso): Analytics, Marketing

• Email destinatario e mittente, Nome destinatario e mittente, Oggetto email
• Corpo email (testo e HTML), Allegati (se presenti), Template utilizzato
• Tipo email (Benvenuto, Notifica Ordine, Report Pronto, Promemoria, Link Inquilino, ecc.)
• Stato invio (In Attesa, Inviata, Consegnata, Aperta, Errore, Bounce)
• Data/ora invio, Data/ora consegna, Numero tentativi invio
• Email Tracking (eventi: Queued, Sent, Delivered, Open, Click, Bounce, Unsubscribe)

Questi dati NON sono copie di documenti originali, ma ELABORAZIONI e METRICHE:

• Score numerico (0-100), Valutazione affidabilità, Note sintetiche
• RTI (Rent-to-Income Ratio), Reddito mensile stimato, Spese mensili stimate
• Anomalie rilevate (tipo, severità, descrizione, impatto sul punteggio)
• Hash SHA-256 dei documenti caricati, Checksum di integrità
• Storico valutazioni (data, versione algoritmo, score precedenti, delta score)
• Log tecnici e operativi, Note operative (Admin only)

AUDIT LOG (tracciabilità completa):

• User ID dell'attore, Azione eseguita, Tipo entità coinvolta, ID entità coinvolta
• Timestamp azione (UTC), IP address, User Agent, Esito azione
• Delta modifiche (before/after per UPDATE)

CONSENSI PRIVACY:

• Consenso Privacy Policy, T&C, OpenAPI/CRIF, Marketing, Conservazione documenti
• Ogni consenso: Sì/No + timestamp + IP + User Agent + Versione documento accettata
• Stato consenso (Bozza, Confermato), Data ultima modifica consensi

• Data cancellazione logica (DeletedAt)
• Motivo cancellazione (es. "Richiesta utente Art. 17 GDPR", "Scadenza retention")
• User ID richiedente cancellazione, Metodo cancellazione, Stato cancellazione

I dati personali sono trattati per le seguenti finalità:

Le seguenti finalità sono necessarie per l'esecuzione del contratto di servizio stipulato con l'Inquilino:

• a) Valutazione affidabilità economico-finanziaria dell'inquilino
• b) Creazione profilo di rischio locativo
• c) Attribuzione score e valutazione
• d) Generazione report di solvibilità
• e) Erogazione del servizio richiesto
• f) Gestione ordini e pagamenti
• g) Assistenza clienti e supporto tecnico

• h) Condivisione risultati con proprietario/agenzia autorizzati — esclusivamente previo consenso esplicito e libero dell'Inquilino (Art. 6.1.a GDPR)
• i) Miglioramento algoritmi di scoring (legittimo interesse)
• j) Analisi statistiche aggregate e anonimizzate (legittimo interesse)
• k) Conservazione storica punteggi per ricostruzione profilo (legittimo interesse)
• l) Marketing diretto e comunicazioni promozionali (consenso esplicito)
• m) Personalizzazione esperienza utente (consenso)
• n) Prevenzione frodi e attività illecite (legittimo interesse)
• o) Sicurezza informatica e protezione dati (legittimo interesse)

• p) Adempimento obblighi fiscali e contabili
• q) Adempimento obblighi di legge (es. antiriciclaggio)
• r) Accertamento, esercizio o difesa di diritti in sede giudiziaria
• s) Risposta a richieste autorità competenti

• t) Logging tecnico per debugging e monitoraggio performance
• u) Backup e disaster recovery
• v) Audit e conformità normativa
• w) Tracciamento accessi per sicurezza

Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche:

Per:

• Documenti caricati (identità, reddito, estratti conto)
• Dati bancari da Open Banking
• Dati da verifiche creditizie (OpenAPI/CRIF)
• Condivisione risultati con proprietario/agenzia (consenso separato, specifico, revocabile)
• Marketing e comunicazioni promozionali
• Conservazione prolungata documenti (12 mesi)
• Email tracking e analytics

Per:

• Erogazione servizio di valutazione
• Gestione ordini e pagamenti
• Generazione report
• Assistenza clienti

Per:

• Miglioramento algoritmi di scoring
• Prevenzione frodi
• Sicurezza informatica
• Statistiche aggregate anonimizzate
• Conservazione punteggi storici (max 10 anni per tutela legale, allineato al termine di prescrizione ordinario ex Art. 2946 c.c.)

Per:

• Adempimenti fiscali e contabili
• Conservazione documenti obbligatori (10 anni)
• Risposta richieste autorità

Il trattamento dei dati personali avviene con strumenti elettronici e informatici, con logiche strettamente correlate alle finalità indicate e modalità atte a garantire sicurezza e riservatezza. In particolare:

• Crittografia AES-256 per dati sensibili (token bancari)
• Hash BCrypt + salt per password
• Hash SHA-256 per integrità documenti
• Accesso limitato al solo personale autorizzato
• Sistema di autenticazione JWT con scadenza tokens
• Audit logging completo di tutte le operazioni
• Backup periodici crittografati
• Firewall e sistemi di intrusion detection
• NESSUNA cessione non autorizzata a terzi

ARCHITETTURA TECNICA:

• Backend: .NET 8 (C#) con Entity Framework Core
• Database: PostgreSQL 15+ (crittografia at-rest)
• Frontend: Angular 18 (HTTPS obbligatorio)
• Hosting: IONOS con datacenter in EU
• Containerizzazione: Docker — Reverse proxy: Nginx con TLS 1.3
• Elaborazione documenti e analisi: Ollama (modello AI self-hosted, nessun dato esce dal server)

Tipologie: Documento d'identità, Buste paga/CUD/730, Estratti conto bancari, Contratti di lavoro, Dati Open Banking.

OPZIONE A — CON CONSENSO CONSERVAZIONE PROLUNGATA:

• Durata: 12 MESI dalla data di caricamento
• Base giuridica: Consenso esplicito Art. 6.1.a GDPR

OPZIONE B (di default) — SENZA CONSENSO CONSERVAZIONE PROLUNGATA:

• Durata: 90 GIORNI dalla data di caricamento
• Base giuridica: Esecuzione contrattuale Art. 6.1.b GDPR

CANCELLAZIONE: Metodo definitivo e irreversibile. Documenti eliminati da storage; token bancari revocati e cancellati; hash documenti conservati (vedi 7.2).

L'utente può SEMPRE richiedere la cancellazione anticipata dei documenti inviando richiesta a privacy@fidoaffitti.it.

Tipologie: Punteggi di scoring (0-100), Valutazione affidabilità, Metriche finanziarie aggregate, Hash SHA-256, Storico valutazioni, Anomalie rilevate, Note operative.

Conservazione:

• Durata: Fino a 10 ANNI dalla data di generazione
• Base giuridica: Legittimo interesse del Titolare (Art. 6.1.f GDPR)
• Finalità: Tutela legale del Titolare; ricostruzione storica del profilo; statistica interna e analisi trend (dati aggregati); accertamento, esercizio o difesa diritti in sede giudiziaria
• Proporzionalità: Il periodo di 10 anni è allineato al termine di prescrizione ordinario dei diritti di credito previsto dall'Art. 2946 del Codice Civile italiano, risultando proporzionato alla finalità di tutela legale.

• Password: Conservate solo in forma HASHATA (BCrypt + salt) — MAI in chiaro
• Token JWT: Scadenza 480 minuti (8 ore) — poi invalidati
• Token Open Banking (se attivato): Scadenza secondo policy del provider — poi revocati
• Token reset password: Scadenza 1 ora; Token verifica email: Scadenza 24 ore

• Audit Log: Conservati 10 ANNI (obbligo legale e tutela giudiziaria)
• Email Log: Conservati 24 MESI (legittimo interesse)
• Email Events (tracking): Conservati 12 MESI (consenso + legittimo interesse)
• API Call Log: Conservati 12 MESI (debugging e conformità)
• System Log: Conservati 6 MESI (sicurezza informatica)

• Conservazione: Per tutta la durata del rapporto + 10 ANNI (onere della prova)
• Finalità: Dimostrare consenso prestato (Art. 7.1 GDPR)
• Include: Timestamp, IP, User Agent, versione privacy accettata

Su richiesta utente (Art. 17 GDPR):

CANCELLAZIONE IMMEDIATA:

• Account utente (soft delete), Documenti caricati (hard delete)
• Token bancari (revoca + delete), Email address (anonimizzato)
• Dati anagrafici (anonimizzati)

CONSERVAZIONE RESIDUA (per obblighi legali):

• Audit log (anonimizzati, solo Action + Timestamp)
• Consensi privacy (prova consenso prestato)
• Punteggi storici (anonimizzati, solo Score + Data)
• Dati fiscali/contabili (obbligo 10 anni)

TEMPISTICHE: Cancellazione documenti entro 30 giorni; anonimizzazione dati entro 60 giorni; conferma scritta entro 90 giorni dalla richiesta.

I dati personali potranno essere comunicati a:

• Inquilino richiedente: dati propri + report proprio (sempre)
• Proprietario immobile: SOLO risultati sintetici (score, valutazione, note — NO documenti integrali), e SOLO se l'Inquilino decide liberamente di condividere il proprio Report tramite consenso esplicito
• Agenzia immobiliare incaricata: se autorizzata — SOLO risultati sintetici, e SOLO se l'Inquilino ha condiviso il Report

Tutti i fornitori operano come Responsabili del Trattamento con contratto scritto Art. 28 GDPR:

a) Provider Open Banking (da definire al momento dell'attivazione del servizio)
Sede: UE — Finalità: Aggregazione dati bancari PSD2 (servizio non attualmente attivo)
Il provider sarà identificato e comunicato agli utenti prima dell'attivazione di tale funzionalità — Trasferimenti extra-UE: NO (datacenter EU)

b) IONOS (Hosting Provider)
Sede: UE — Finalità: Hosting applicazione, database, storage
Certificazioni: ISO 27001, GDPR compliant — Trasferimenti extra-UE: NO

c) OpenAPI.it / CRIF (Credit Scoring)
Sede: Italia (UE) — Finalità: Verifiche creditizie, protesti, pregiudizievoli
Certificazioni: Autorizzazione Garante Privacy — Trasferimenti extra-UE: NO

d) Visengine / Altravia (Visure Camerali)
Sede: Italia (UE) — Finalità: Recupero visure camerali — Trasferimenti extra-UE: NO

e) IONOS (Email Service Provider - SMTP)
Sede: Germania (UE) — Finalità: Invio email transazionali e promozionali (solo con consenso)
Certificazioni: ISO 27001, GDPR compliant — Trasferimenti extra-UE: NO

f) OLLAMA (AI Self-Hosted)
Sede: Server locale Titolare (Italia)
Tecnologia: Modelli AI open source eseguiti localmente (self-hosted)
NESSUN DATO viene inviato a servizi esterni: tutta l'elaborazione avviene sul server del Titolare — Trasferimenti extra-UE: NO

• Consulenti fiscali/legali (obbligo segreto professionale)
• Autorità giudiziarie (su richiesta obbligatoria)
• Forze dell'ordine (su richiesta obbligatoria)
• Garante Privacy (in caso di ispezioni)
• Revisori contabili (obbligo segreto professionale)

I dati NON sono soggetti a diffusione (comunicazione indeterminata). NON verranno MAI venduti, ceduti o scambiati con terze parti per finalità commerciali non autorizzate.

I dati sono conservati ESCLUSIVAMENTE in datacenter localizzati nell'Unione Europea. In caso di trasferimento extra-UE (es. qualora in futuro venisse attivato il servizio Open Banking con accesso a banche internazionali), il Titolare garantisce l'adozione di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.

L'utente ha diritto di ricevere copia delle garanzie adottate scrivendo a privacy@fidoaffitti.it.

L'utente può esercitare in qualsiasi momento i seguenti diritti:

Ottenere conferma che sia in corso un trattamento di dati personali e, in tal caso, ottenere copia dei dati trattati, finalità, categorie, destinatari, periodo di conservazione, fonte dei dati.

MODALITÀ: Richiesta a privacy@fidoaffitti.it — oggetto: "Richiesta GDPR - Accesso"
TEMPISTICA: Risposta entro 30 giorni (prorogabili di ulteriori 60 gg se complessa)
FORMATO: PDF, CSV, JSON (a scelta dell'utente)

Ottenere correzione di dati personali inesatti o integrazione di dati incompleti.

MODALITÀ: Area utente → Modifica profilo, oppure richiesta a privacy@fidoaffitti.it
TEMPISTICA: Correzione entro 30 giorni

Ottenere cancellazione dei dati personali quando non sono più necessari per le finalità, è stato revocato il consenso, i dati sono stati trattati illecitamente o vi è obbligo legale di cancellazione.

ECCEZIONI: Obbligo legale di conservazione (dati fiscali/contabili: 10 anni); accertamento, esercizio o difesa diritti in sede giudiziaria.

MODALITÀ: Richiesta scritta a privacy@fidoaffitti.it
TEMPISTICA: Cancellazione entro 30 giorni (conferma entro 90 gg)

Ottenere limitazione del trattamento (i dati vengono "congelati" — solo conservazione, no elaborazione) quando si contesta l'esattezza dei dati, il trattamento è illecito o si è esercitato diritto di opposizione.

MODALITÀ: Richiesta a privacy@fidoaffitti.it

Ricevere in formato strutturato i dati personali forniti al Titolare (profilo utente, documenti, report, consensi, storico ordini).

MODALITÀ: Richiesta a privacy@fidoaffitti.it — FORMATO: JSON, CSV, PDF — TEMPISTICA: Consegna entro 30 giorni

Opporsi al trattamento basato su legittimo interesse, marketing diretto o profilazione.

MODALITÀ: Marketing: link "Unsubscribe" in email; altri trattamenti: richiesta motivata a privacy@fidoaffitti.it
EFFETTO: Il Titolare cessa il trattamento, salvo motivi legittimi cogenti o difesa diritti in sede giudiziaria.

Revocare in qualsiasi momento il consenso prestato per: Open Banking, Verifiche creditizie (OpenAPI/CRIF), Marketing, Conservazione prolungata documenti, Email tracking, Condivisione Report con Proprietario/Agenzia.

MODALITÀ: Area utente → Gestione consensi; oppure email a privacy@fidoaffitti.it
EFFETTO: Cessazione immediata dei trattamenti basati su quel consenso. La revoca NON è retroattiva (Art. 7.3 GDPR).
CONSEGUENZA: Potrebbe rendere impossibile erogare il servizio.

Proporre reclamo all'Autorità di controllo:

• Garante per la Protezione dei Dati Personali — Piazza Venezia, 11 - 00187 Roma
• Tel: +39 06.696771 — Email: garante@gpdp.it — PEC: protocollo@pec.gpdp.it
• Web: https://www.garanteprivacy.it

Per esercitare i diritti GDPR:

1. Inviare richiesta scritta a: privacy@fidoaffitti.it
2. Oggetto email: "Richiesta GDPR - [TIPO DIRITTO]"
3. Includere: Nome e cognome, email account, copia documento identità (per verifica), descrizione richiesta

TEMPISTICHE: Riscontro entro 30 giorni dalla ricezione (proroga fino a 60 giorni per richieste complesse, con comunicazione).
La prima richiesta è GRATUITA. Richieste successive manifestamente infondate o eccessive potrebbero comportare costi amministrativi ragionevoli.

Sì, il servizio effettua:

• Scoring automatizzato (punteggio 0-100)
• Valutazione automatizzata (Alta Affidabilità / Buona / Rischio Moderato / Rischio Elevato)
• Profilazione finanziaria (analisi reddito, sostenibilità canone, situazione creditizia)

Il punteggio generato è un indice di AFFIDABILITÀ LOCATIVA (NON una valutazione di merito creditizio bancario, NON un rating finanziario regolamentato).

• Algoritmo: proprietario FidoAffitti, basato su regole, soglie predefinite e modelli AI self-hosted
• Input: reddito, canone, tipo contratto, anzianità lavorativa, protesti/pregiudizievoli
• Input aggiuntivo (Piano Premium): dati bancari da Open Banking
• Output: Score 0-100, Valutazione affidabilità, Note sintetiche
• Elaborazione AI: eseguita interamente su server locale (Ollama), nessun dato viene trasmesso a provider esterni

Il punteggio di affidabilità (0-100) viene calcolato sulla base dei seguenti fattori principali:

• a) Sostenibilità del canone: rapporto tra canone mensile richiesto e reddito mensile netto (RTI — Rent-to-Income Ratio). Un rapporto più basso indica maggiore capacità di sostenere il costo dell'affitto.
• b) Stabilità lavorativa e reddituale: tipologia di contratto di lavoro (tempo indeterminato, determinato, autonomo) e, per i lavoratori autonomi, anzianità dell'attività.
• c) Situazione creditizia: presenza o assenza di protesti e pregiudizievoli, tenendo conto dell'eventuale estinzione e della relativa tempistica.
• d) Verifica bancaria (solo Piano Premium, su richiesta dell'utente): connessione Open Banking (PSD2) al conto corrente, previa autorizzazione esplicita, per confermare titolarità conto, stimare reddito e spese mensili, calcolare saldo complessivo. I dati bancari completi NON vengono mai condivisi con il Proprietario/Agenzia.

I fattori sopra indicati hanno pesi diversi nel calcolo finale, con prevalenza della sostenibilità economica del canone. L'algoritmo completo rimane proprietà intellettuale del Titolare.

L'utente ha il diritto di:

• Ottenere l'intervento umano da parte del Titolare
• Esprimere la propria opinione sulla valutazione ricevuta
• Contestare la decisione automatizzata
• Richiedere riesame manuale del proprio profilo
• Ottenere spiegazione dei fattori che hanno determinato il punteggio

MODALITÀ: Richiesta a privacy@fidoaffitti.it con oggetto "Riesame Valutazione"

L'utente può richiedere spiegazione dettagliata del proprio punteggio, quali fattori hanno influito positivamente/negativamente, il peso relativo di ciascun fattore, l'esito della verifica bancaria (a seconda del piano scelto) e suggerimenti per migliorare il punteggio.

Il Titolare adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (Art. 32 GDPR):

CRITTOGRAFIA:

• Crittografia in transito: TLS 1.3 (HTTPS obbligatorio)
• Crittografia at-rest: AES-256 per dati sensibili
• Hash password: BCrypt + salt (cost factor 12) — Hash documenti: SHA-256

AUTENTICAZIONE E AUTORIZZAZIONE:

• JWT Token con scadenza 8 ore
• Role-Based Access Control (RBAC): Admin, Proprietario, Inquilino
• Password policy: minimo 8 caratteri, complessità

INFRASTRUTTURA:

• Firewall applicativo (WAF), Intrusion Detection System (IDS)
• DDoS protection, Rate limiting API
• Input validation e sanitization (prevenzione SQL injection, XSS)
• CSRF token protection, Secure headers (CSP, X-Frame-Options, ecc.)

BACKUP E DISASTER RECOVERY:

• Backup automatici giornalieri crittografati, Ridondanza geografica (GRS)
• Recovery Point Objective (RPO): 24 ore — Recovery Time Objective (RTO): 4 ore
• Test disaster recovery periodici

• Accesso ai dati limitato al personale AUTORIZZATO
• Formazione personale su GDPR e sicurezza
• Confidentiality Agreement (NDA) per dipendenti e collaboratori
• Procedure interne di gestione data breach
• Vulnerability Assessment periodici, Penetration Testing annuali
• Security code review, Audit di sicurezza annuali
• Incident Response Plan (IRP), Business Continuity Plan (BCP)

• Ambiente Development: Dati fittizi
• Ambiente Testing: Dati anonimizzati
• Ambiente Production: Dati reali (protetti)

NESSUN dato personale reale viene utilizzato in sviluppo o test.

• Minimizzazione dati: raccolta SOLO dati strettamente necessari
• Pseudonimizzazione e anonimizzazione dove possibile
• Data retention automatica: cancellazione automatica documenti scaduti
• Consensi granulari: separazione consensi per finalità — Opt-in: nessun consenso pre-flaggato
• Trasparenza: informativa completa e chiara

NOTIFICA AL GARANTE (Art. 33 GDPR): entro 72 ORE dalla scoperta della violazione, tramite piattaforma web Garante Privacy. Contenuto: natura della violazione, categorie e numero di interessati coinvolti, probabili conseguenze, misure adottate.

COMUNICAZIONE ALL'INTERESSATO (Art. 34 GDPR): quando la violazione comporta un rischio ELEVATO, tramite email + notifica in-app. Contenuto: natura, dati compromessi, conseguenze, misure di mitigazione, raccomandazioni (es. cambio password).

La comunicazione all'interessato NON è richiesta se: i dati erano crittografati (chiavi non compromesse); sono state adottate misure immediate per ridurre il rischio; la comunicazione richiederebbe sforzi sproporzionati (comunicazione pubblica).

Il Titolare mantiene un registro interno di tutte le violazioni (anche non notificate), contenente: data/ora violazione, circostanze, effetti, misure adottate.

Il Titolare si riserva il diritto di modificare la presente Informativa per adeguamento normativo, modifiche tecnologiche, nuove funzionalità o feedback Garante Privacy. Le modifiche sostanziali richiedono NUOVO consenso esplicito; le modifiche minori si considerano accettate con il proseguimento dell'utilizzo del servizio.

NOTIFICA MODIFICHE: email a tutti gli utenti registrati; notifica in-app al primo accesso successivo; pubblicazione sul sito web con evidenza.

VERSIONING: Versione attuale: 2.2.0 — Data: 02 Aprile 2026. Storico versioni disponibile a richiesta a privacy@fidoaffitti.it.

La Piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio. Non vengono utilizzati cookie di profilazione o marketing.

• Cookie di autenticazione: mantiene sessione autenticata (JWT httpOnly) — Durata: 8 ore

Qualora in futuro venissero introdotti cookie analitici o di marketing, verrà predisposta una Cookie Policy separata e sarà richiesto il consenso esplicito tramite apposito banner.

Il servizio NON è destinato a minori di 18 anni. Il Titolare NON raccoglie consapevolmente dati di minori. Requisito: età minima 18 anni per registrazione e utilizzo del servizio.

Se un genitore/tutore scopre che un minore ha fornito dati personali, può richiedere la cancellazione immediata scrivendo a privacy@fidoaffitti.it.

Il sito/app può contenere link a siti web di terze parti (OpenAPI, IONOS e altri provider). Il Titolare NON è responsabile delle privacy policy di siti terzi. L'utente è invitato a leggere le informative privacy dei siti visitati.

Ai sensi dell'Art. 35 GDPR, il Titolare ha condotto una Data Protection Impact Assessment (DPIA) per i trattamenti ad alto rischio:

• Profilazione automatizzata su larga scala con impatto su accesso all'abitazione
• Trattamento dati finanziari sensibili
• Utilizzo di modelli AI self-hosted per analisi documenti e supporto alla valutazione

Rischi identificati: accesso non autorizzato a dati finanziari, profilazione non proporzionata, data breach con esposizione documenti sensibili. Misure di mitigazione: crittografia AES-256, accesso role-based, audit logging, data retention automatica, soft-delete, OCR self-hosted, separazione ambienti. Rischio residuo: ACCETTABILE.

Copia DPIA disponibile su richiesta motivata a privacy@fidoaffitti.it.

Il Titolare dichiara la conformità alle seguenti normative:

• Regolamento (UE) 2016/679 (GDPR)
• D.Lgs. 196/2003 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018
• Direttiva PSD2 (Payment Services Directive 2) per Open Banking
• Direttiva ePrivacy (2002/58/CE)
• Linee Guida Garante Privacy italiano e Linee Guida EDPB

Per qualsiasi informazione, richiesta, esercizio diritti GDPR:

La raccolta dei consensi dell'utente avviene tramite il Modulo di Raccolta Consensi, documento separato dalla presente Informativa, presentato all'utente in fase di registrazione e/o acquisto del servizio.

I consensi sono granulari, specifici per finalità e revocabili in qualsiasi momento tramite l'area utente o richiesta scritta a privacy@fidoaffitti.it, come descritto nella Sezione 10.7 della presente Informativa.