Privacy Policy
Informativa sul trattamento dei dati personali resa ai sensi dell'art. 19 della Legge federale svizzera sulla protezione dei dati (nLPD, revisione in vigore dal 1 settembre 2023) e degli artt. 13-14 del Regolamento UE 2016/679 (GDPR), relativa al servizio Sistema Finestra Vendite (di seguito anche "il Servizio") accessibile all'indirizzo vendite.sistemafinestra.it.
Ai sensi dell'art. 19 nLPD, il presente documento informa l'Interessato in modo trasparente, in occasione della raccolta dei suoi dati personali, sull'identita e i recapiti del Titolare, sulle finalita del trattamento, sulle categorie di destinatari e, ove applicabile, sui trasferimenti all'estero.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali e BAUTRUST AG, con sede in Via San Gottardo 10, 6900 Lugano, Svizzera (numero di identificazione delle imprese CHE-282.456.034), raggiungibile all'indirizzo assistenza@gruppoalberti.it. Il referente interno per le questioni di protezione dei dati e Guido Alberti, raggiungibile al medesimo indirizzo.
Il Servizio Sistema Finestra Vendite e erogato da BAUTRUST AG. L'eventuale fatturazione amministrativa per clienti italiani puo essere intestata ad Alberti S.r.l. (Milano), senza che cio incida sul trattamento dei dati, che resta in capo esclusivamente a BAUTRUST AG come unico Titolare.
2. Tipologie di dati trattati
2.1 Dati forniti direttamente dall'Interessato
Rientrano in questa categoria i dati di account e autenticazione (indirizzo email, autenticazione tramite magic-link OTP gestita da Supabase Auth), i dati aziendali del tenant inseriti in fase di onboarding (ragione sociale, partita IVA, indirizzo, dati di contatto), i dati commerciali inseriti per generare stime preliminari (anagrafica clienti finali, descrizione dei lavori, voci di listino, finanziamento opzionale) e gli asset di branding caricati dal Cliente (logo, foto dei consulenti, dati identificativi della propria azienda).
2.2 Dati generati automaticamente dal sistema
Il sistema genera e mantiene la storicizzazione delle stime prodotte dal Cliente (input, output, PDF generato), un log di audit tecnico delle operazioni rilevanti (creazione, modifica, cancellazione) e i dati tecnici di accesso (indirizzo IP, user-agent del browser, timestamp delle richieste HTTP, identificatori di sessione Supabase).
2.3 Dati di soggetti terzi nelle anagrafiche caricate
Quando il Cliente inserisce in piattaforma i dati anagrafici dei propri clienti finali per emettere stime nominative, BAUTRUST AG tratta tali dati in qualita di Responsabile del trattamento ai sensi dell'art. 28 GDPR. Il Cliente, in quanto Titolare di tali dati, e responsabile di disporre di una propria base giuridica per il trattamento e per il trasferimento a BAUTRUST AG.
BAUTRUST AG non tratta intenzionalmente categorie particolari di dati di cui all'art. 9 GDPR. Il Servizio e progettato per dati commerciali ordinari (anagrafica cliente, dati di commessa, prezzi orientativi), non per dati sensibili.
3. Finalita e basi giuridiche del trattamento
Le finalita del trattamento e le relative basi giuridiche ai sensi dell'art. 6 GDPR sono le seguenti. La creazione e gestione dell'account tenant, l'autenticazione, l'erogazione del modulo Preventivo Veloce, la conservazione dello storico delle stime, la generazione del PDF brandizzato e la gestione del listino del Cliente si fondano sull'esecuzione del contratto (art. 6.1.b GDPR), in quanto rappresentano le funzioni costitutive del Servizio.
I cookie strettamente necessari per la sessione di autenticazione e le attivita di sicurezza del sistema si fondano sul legittimo interesse di BAUTRUST AG (art. 6.1.f GDPR), senza necessita di consenso preventivo. I cookie statistici e le comunicazioni di marketing - non attualmente attivi - saranno trattati, ove introdotti, sulla base del consenso dell'Interessato (art. 6.1.a GDPR). L'adempimento degli obblighi fiscali e contabili trova la propria base nell'obbligo di legge (art. 6.1.c GDPR).
4. Modalita del trattamento
BAUTRUST AG adotta misure tecniche e organizzative strutturate per garantire la sicurezza e la riservatezza del trattamento. Ogni tenant e isolato dagli altri attraverso Row Level Security (RLS) a livello di database Postgres su Supabase, di modo che nessun dato di un tenant sia accessibile a un altro. Tutte le comunicazioni avvengono esclusivamente tramite HTTPS con TLS 1.2 o superiore; i dati sono cifrati at-rest sull'infrastruttura Supabase. La generazione dei PDF brandizzati avviene server-side tramite Chromium headless con token HMAC firmato a tempo, senza esporre service-role key al client.
5. Conservazione dei dati
| Categoria di dato | Periodo di conservazione |
|---|---|
| Account tenant, profilo, asset di branding | Per tutta la durata del contratto + 90 giorni di grace period post-disdetta, al termine dei quali cancellazione automatica |
| Storico delle stime prodotte | Come l'account; cancellazione singola stima possibile in qualsiasi momento dalla dashboard |
| Anagrafica clienti finali e listino del Cliente | Come l'account; cancellabili in qualsiasi momento dal Cliente in quanto Titolare |
| Log tecnici (IP, log di accesso) | 12 mesi rolling |
| Log di accettazione documenti legali | A tempo indeterminato (prova di consenso e accountability) |
| Preferenze cookie e consenso | 12 mesi |
| Dati fiscali e fatture | 10 anni dall'emissione (obbligo di legge; gestiti da sistema di billing separato da Sistema Finestra Vendite) |
| Backup logici di sistema | 30 giorni rolling su storage separato |
6. Subprocessor (responsabili del trattamento)
BAUTRUST AG si avvale dei fornitori di servizi elencati nella pagina dedicata /subprocessor, designati responsabili del trattamento ai sensi dell'art. 28 GDPR e dell'art. 9 nLPD. Ciascun fornitore e vincolato da apposite clausole contrattuali che impongono standard di protezione dei dati equivalenti a quelli previsti dalla presente informativa.
Sub-responsabili attivi alla data di emissione: Supabase Inc. (database + auth + storage, eu-central-1), Vercel Inc. (hosting + serverless), OpenRouter (proxy LLM per generazione note tecniche), Google LLC (modello Gemini 2.5 Flash via OpenRouter), Sparticuz Chromium CDN (binary Chromium per render PDF server-side). La lista aggiornata e disponibile alla pagina /subprocessor.
7. Trasferimenti internazionali
I dati at-rest sono ospitati nella regione UE eu-central-1 (Francoforte) di Supabase. I trasferimenti verso fornitori statunitensi (Vercel, OpenRouter, Google, GitHub LLC per il binary Chromium) avvengono nel rispetto dell'EU-US Data Privacy Framework e delle Clausole Contrattuali Standard 2021. I trasferimenti CH-UE sono coperti dalla decisione di adeguatezza UE del 15 gennaio 2024.
8. Diritti dell'Interessato
L'Interessato puo in qualsiasi momento esercitare i diritti previsti dagli artt. 15-22 GDPR e dagli artt. 25-26 nLPD: accesso, rettifica, cancellazione, limitazione, portabilita, opposizione, revoca del consenso e diritto di non essere sottoposto a decisioni automatizzate. Le richieste possono essere inviate via email a assistenza@gruppoalberti.it. La risposta avviene entro 30 giorni dalla ricezione della richiesta.
L'Interessato ha altresi diritto di proporre reclamo all'Autorita di controllo competente: il Garante italiano per la protezione dei dati personali per gli Interessati con residenza in Italia, o l'IFPDT svizzero per gli Interessati con residenza in Svizzera.
9. Modifiche
La presente informativa puo essere aggiornata in caso di evoluzioni normative o tecnologiche del Servizio. La versione corrente e identificata da numero di versione e data di ultimo aggiornamento riportati in cima al documento. Le modifiche sostanziali sono comunicate al Cliente con almeno 30 giorni di anticipo via email.
10. Contatti
BAUTRUST AG, Via San Gottardo 10, 6900 Lugano, Svizzera. IDE CHE-282.456.034. Telefono +41 91 640 07 00. Email assistenza@gruppoalberti.it.