Gestio← Torna a gestio.studio

Privacy Policy

Informativa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: 14 aprile 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il servizio Gestio (disponibile all'indirizzo gestio.studio) è:

Andrea Lampugnani

Via dei Tessitori 2, 20025 Legnano (MI)

Codice Fiscale: LMPNDR98A19F205B

Email: andrea@gestio.studio

2. Categorie di dati trattati

Gestio tratta le seguenti categorie di dati personali:

  • Dati identificativi: nome, cognome, indirizzo email degli utenti dello studio (titolari, collaboratori).
  • Dati del profilo professionale: nome dello studio, ruolo nell'organizzazione.
  • Dati dei clienti dello studio: ragione sociale, codice fiscale, partita IVA, indirizzo, email, telefono, inseriti dallo studio per la gestione delle proprie pratiche.
  • Dati contabili e fiscali: fatture, proforma, pagamenti, importi, date — inseriti dallo studio nell'ambito della propria attività professionale.
  • Dati tecnici: indirizzi IP, log di accesso, dati di sessione gestiti da Supabase per autenticazione e sicurezza.

Gestio non tratta dati particolari ai sensi dell'art. 9 GDPR (dati sanitari, genetici, biometrici, religiosi, politici, sindacali).

3. Finalità e base giuridica del trattamento

Erogazione del servizio

Gestione dell'account, autenticazione, accesso alle funzionalità della piattaforma. Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).

Comunicazioni di servizio

Invio di email transazionali (inviti collaboratori, recupero password, notifiche fatture). Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).

Obblighi legali

Conservazione dei dati di fatturazione per adempiere agli obblighi fiscali previsti dal D.P.R. 633/1972 e dalla normativa sulla fatturazione elettronica (SDI). Base giuridica: obbligo legale (art. 6.1.c GDPR).

Sicurezza e prevenzione frodi

Monitoraggio della sicurezza dell'infrastruttura, prevenzione di accessi non autorizzati. Base giuridica: legittimo interesse (art. 6.1.f GDPR).

4. Responsabili del trattamento (subprocessor)

Il Titolare si avvale dei seguenti responsabili del trattamento ai sensi dell'art. 28 GDPR:

Supabase Inc.

550 Market Street, San Francisco, CA 94104, USA

Servizio: database, autenticazione, archiviazione dati.

Trasferimento extra-UE basato su Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE).

Privacy Policy Supabase

Resend Inc.

USA

Servizio: invio email transazionali (inviti, notifiche, recupero accesso).

Trasferimento extra-UE basato su Standard Contractual Clauses (SCC).

Privacy Policy Resend

Fattura-Elettronica-API / Intermediario SDI

Servizio: intermediazione con il Sistema di Interscambio (SDI) per la fatturazione elettronica, solo per gli studi che attivano l'integrazione SDI.

5. Periodo di conservazione

  • Dati di account (utenti): per tutta la durata del rapporto contrattuale e per 12 mesi successivi alla cancellazione dell'account.
  • Dati contabili e fatture: per 10 anni dalla data del documento, in ottemperanza agli obblighi di conservazione fiscale (art. 39 D.P.R. 633/1972 e art. 2220 Codice Civile).
  • Log tecnici di sicurezza: 90 giorni.
  • Email marketing (se consenso futuro): fino alla revoca del consenso.

Alla scadenza dei termini di conservazione, i dati vengono cancellati in modo sicuro o resi anonimi.

Limitazione al diritto di cancellazione (art. 17(3)(b) GDPR): i dati contabili e fiscali (fatture, adempimenti, anticipazioni) non possono essere cancellati prima del termine di conservazione obbligatoria decennale, anche in caso di esercizio del diritto all'oblio. La conservazione è imposta dalla legge e costituisce eccezione esplicita ai sensi dell'art. 17(3)(b) GDPR. Trascorsi i 10 anni, i dati saranno cancellati su richiesta o automaticamente.

6. Diritti degli interessati

Ai sensi degli artt. 15-22 GDPR, ogni interessato ha il diritto di:

  • Accesso: ottenere conferma dell'esistenza di dati personali e una copia degli stessi.
  • Rettifica: richiedere la correzione di dati inesatti o incompleti.
  • Cancellazione (“diritto all'oblio”): richiedere la cancellazione dei dati, salvo obblighi di conservazione legale.
  • Limitazione: richiedere la sospensione del trattamento in determinate circostanze.
  • Portabilità: ricevere i propri dati in formato strutturato e leggibile da machine.
  • Opposizione: opporsi al trattamento fondato su legittimo interesse.
  • Revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
  • Reclamo: presentare reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

Per esercitare i propri diritti, scrivere a: andrea@gestio.studio. Le richieste saranno evase entro 30 giorni.

7. Misure di sicurezza

Gestio adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui: cifratura dei dati a riposo e in transito (HTTPS/TLS), cifratura a livello applicativo dei dati bancari (IBAN), controllo degli accessi basato su ruolo (RLS), isolamento multi-tenant per studio, autenticazione sicura (Supabase Auth con hashing bcrypt), backup automatici dell'infrastruttura, protezione contro attacchi brute-force tramite rate limiting sull'autenticazione.

8. Violazioni dei dati personali (Data Breach)

In caso di violazione dei dati personali (data breach) ai sensi degli artt. 33-34 GDPR, Gestio si impegna a:

  • Notificare il Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta della violazione, salvo che sia improbabile che essa presenti un rischio per i diritti e le libertà delle persone fisiche.
  • Informare gli studi clienti (Titolari del trattamento) entro 24 ore dalla scoperta, fornendo tutte le informazioni necessarie affinché possano adempiere ai propri obblighi di notifica verso gli interessati.
  • Documentare internamente ogni violazione, incluse le circostanze, gli effetti e i provvedimenti adottati.

Per segnalare sospette violazioni: andrea@gestio.studio.

9. Cookie

Il sito utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio (autenticazione e gestione della sessione). Non vengono utilizzati cookie di profilazione o tracciamento. Per il dettaglio, consultare la Cookie Policy.

10. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate agli utenti tramite email o tramite avviso sulla piattaforma con almeno 15 giorni di preavviso.

Documento redatto in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.