Premessa
La presente informativa è resa da ISH Consulting SRL (di seguito anche "ISH" o "Titolare"), in qualità di titolare del trattamento, a tutte le persone fisiche i cui dati personali vengono trattati nell'ambito dell'attività della piattaforma Astika (https://astika.it).
L'informativa è redatta ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e si applica a distinte categorie di interessati, descritte nelle sezioni seguenti.
Per le categorie di interessati i cui dati non sono raccolti direttamente dal Titolare (dati da fonti pubbliche), l'informativa è resa mediante pubblicazione sul sito ai sensi dell'art. 14(5)(b) GDPR, in quanto la notifica individuale implicherebbe uno sforzo sproporzionato rispetto all'interesse tutelato. Le ragioni di tale valutazione sono documentate nel Legitimate Interest Assessment (LIA) del Titolare.
La presente informativa è pubblica e accessibile su https://astika.it/privacy-policy.
1. Titolare del trattamento
| Campo | Valore |
|---|---|
| Ragione sociale | ISH Consulting SRL |
| Sede legale | Via Amato Tiraboschi 9, 60131 Ancona (AN) |
| P.IVA / C.F. | 02971230426 |
| Rappresentante legale | Alessio Ragni — Amministratore Unico |
| Contatto per la privacy | privacy@astika.it |
| DPO | Non nominato (non obbligatorio ai sensi dell'art. 37 GDPR). |
2. Categorie di interessati, dati trattati, finalità e basi giuridiche
2.1 Utenti registrati alla piattaforma Astika
La presente sezione si applica alle persone fisiche che si registrano alla piattaforma Astika (art. 13 GDPR — raccolta diretta).
L'abbonamento è nominale e associato a una singola persona fisica identificata. Non è consentito l'utilizzo condiviso delle credenziali di accesso (e-mail condivisa, account aziendale multi-utente). Ciascun account è riservato all'utente che ha effettuato la registrazione.
| Finalità | Dati trattati e base giuridica |
|---|---|
| Registrazione e gestione dell'account | Nome e cognome, indirizzo email, password (in hash), dati di profilo. Base giuridica: art. 6(1)(b) GDPR — esecuzione del contratto. |
| Gestione abbonamento e fatturazione | Dati di fatturazione (ragione sociale, indirizzo, P.IVA/C.F. per clienti B2B), piano sottoscritto, storico pagamento. Base giuridica: art. 6(1)(b) GDPR — esecuzione del contratto; art. 6(1)(c) GDPR — obblighi fiscali e contabili. |
| Erogazione del servizio | Dati di utilizzo della piattaforma (ricerche, aste visualizzate, preferiti, alert impostati), log di accesso, dati di sessione. Base giuridica: art. 6(1)(b) GDPR — esecuzione del contratto. |
| Funzionalità AI/OCR (se utilizzate) | Contenuti e documenti caricati dall'utente (es. testi, PDF, immagini), metadati tecnici e log di elaborazione. Finalità: estrazione/normalizzazione di informazioni, OCR, supporto alla ricerca e generazione di riepiloghi. Base giuridica: art. 6(1)(b) GDPR — esecuzione del contratto, su richiesta dell'utente. Provider: OpenAI e Anthropic (servizi di elaborazione AI). |
| Supporto clienti e comunicazioni di servizio | Nome, email, contenuto dei messaggi di supporto, storico interazioni. Base giuridica: art. 6(1)(b) GDPR — esecuzione del contratto (il supporto tecnico è parte integrante del servizio). Provider: Intercom (customer support/chat). |
| Analisi delle performance e miglioramento del servizio | Dati di navigazione pseudonimizzati, eventi di utilizzo, dati tecnici del dispositivo. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse del Titolare al miglioramento del servizio. Il trattamento ha impatto limitato (dati pseudonimizzati, finalità tecnica). Provider: PostHog (servizio Cloud EU). |
| Sicurezza informatica e prevenzione frodi | Log di sistema, dati di accesso, anomalie rilevate. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse alla sicurezza dei sistemi; art. 6(1)(c) GDPR — obblighi di sicurezza ex art. 32 GDPR. |
| Marketing e comunicazioni promozionali (in attivazione) | Nome, email, preferenze di comunicazione. Base giuridica: art. 6(1)(a) GDPR — consenso libero, specifico, informato e inequivocabile; art. 130 D.Lgs. 196/2003. Il consenso è facoltativo e revocabile in qualsiasi momento. ATTENZIONE: servizio in fase di attivazione — sarà operativo solo previa raccolta del consenso. |
2.2 Visitatori del sito web (non registrati)
La presente sezione si applica ai visitatori del sito astika.it che non si registrano alla piattaforma (art. 13 GDPR — raccolta diretta tramite cookie e form).
| Finalità | Dati trattati e base giuridica |
|---|---|
| Gestione cookie tecnici | Dati di sessione, preferenze del sito, identificatori tecnici. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse al funzionamento tecnico del sito. Non richiedono consenso (cookie strettamente necessari). |
| Analisi del traffico e cookie analitici | Dati di navigazione pseudonimizzati, IP parzialmente anonimizzato, pagine visitate, durata sessione. Base giuridica: art. 6(1)(a) GDPR — consenso prestato tramite il banner cookie. Provider: Google Analytics (Google LLC, USA — decisione di adeguatezza EU-US DPF ove applicabile e/o SCCs 2021); PostHog (servizio Cloud EU — trattamento in UE; eventuali accessi/trasferimenti extra-UE coperti da SCCs nel DPA, se applicabili). |
| Raccolta del consenso cookie (CMP) | Preferenze espresse tramite il banner, data e ora del consenso/rifiuto. Base giuridica: art. 6(1)(c) GDPR — obbligo di documentazione del consenso. Conservazione: 3 anni. |
Per il dettaglio dei cookie utilizzati e la gestione delle preferenze si rinvia alla Cookie Policy.
2.3 Dati di soggetti acquisiti mediatamente (dati da fonti pubbliche)
La presente sezione si applica alle persone fisiche i cui dati non sono raccolti direttamente dal Titolare, bensì acquisiti da fonti pubbliche (art. 14 GDPR). L'informativa è resa mediante pubblicazione sul sito ai sensi dell'art. 14(5)(b) GDPR.
Nell'ambito del servizio Astika, il Titolare raccoglie e aggrega informazioni relative a procedure esecutive immobiliari pubblicamente disponibili. I soggetti interessati appartengono a due categorie distinte, con profili di rischio differenti:
A) Professionisti coinvolti nelle procedure
| Campo | Dettaglio |
|---|---|
| Categorie di dati | Nome e cognome, ruolo professionale (delegato alle vendite, custode giudiziario, perito estimatore, notaio, avvocato), studio professionale, recapito professionale, riferimenti alla procedura. |
| Fonte | Portale delle Vendite Pubbliche (pvp.giustizia.it — Ministero della Giustizia) e portali di pubblicità legale delle aste giudiziarie. Dati pubblicati per obbligo normativo di pubblicità legale. |
| Finalità | Completamento delle schede asta e delle informazioni di contatto per le procedure. |
| Base giuridica | Art. 6(1)(f) GDPR — legittimo interesse del Titolare all'aggregazione di informazioni pubblicamente disponibili per finalità di trasparenza del mercato delle aste. LIA disponibile su richiesta. |
| Conservazione | Durata della pubblicazione sulla fonte originaria + massimo 5 anni dalla conclusione della procedura. |
B) Soggetti delle procedure esecutive
| Campo | Dettaglio |
|---|---|
| Categorie di dati | Nome e cognome, dati identificativi desumibili dagli atti pubblici di procedura (numero RGE, tribunale, riferimenti catastali dell'immobile oggetto della procedura). Non vengono trattati dati di categoria particolare ex art. 9 GDPR. |
| Fonte | Portale delle Vendite Pubbliche (pvp.giustizia.it — Ministero della Giustizia) e portali di pubblicità legale. Dati pubblicati per obbligo normativo. |
| Finalità | Aggregazione delle informazioni necessarie alla descrizione delle procedure esecutive nell'interesse della trasparenza del mercato delle aste giudiziarie. |
| Base giuridica | Art. 6(1)(f) GDPR — legittimo interesse. LIA disponibile e documentato. Il bilanciamento degli interessi tiene conto del carattere pubblico e della fonte legale obbligatoria delle informazioni. |
| Conservazione | Durata della pubblicazione sulla fonte originaria + massimo 5 anni dalla conclusione della procedura. Su richiesta motivata, il Titolare valuta la cancellazione anticipata. |
| Nota importante | I dati trattati provengono esclusivamente da fonti di pubblicità legale obbligatoria. Il Titolare non effettua scraping di portali che vietano espressamente tale attività nelle proprie condizioni d'uso. |
3. Destinatari dei dati e sub-responsabili
I dati personali sono trattati da personale autorizzato del Titolare e comunicati a soggetti terzi nei limiti strettamente necessari all'erogazione del servizio. I principali destinatari sono:
Alcuni fornitori (ad es. servizi di customer support e di elaborazione AI) possono comportare trasferimenti di dati verso Paesi terzi (in particolare Stati Uniti). In tali casi, il trasferimento avviene sulla base di una decisione di adeguatezza della Commissione europea (ove applicabile) e/o delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea, unitamente a misure tecniche e organizzative supplementari. Maggiori informazioni possono essere richieste al contatto privacy indicato sopra.
| Fornitore / Categoria | Ruolo / Servizio | Garanzia trasferimento |
|---|---|---|
| Amazon Web Services EMEA SARL | Responsabile — Infrastruttura cloud (hosting, DB, backup) | Trattamento in UE (regioni UE). Eventuali accessi/assistenza da Paesi extra-UE: garanzie contrattuali e misure tecniche (SCC ove necessario). |
| Supabase Inc. | Responsabile — Database e autenticazione | DPA sottoscritto. SCCs 2021. Database configurato in area UE; eventuali accessi extra-UE: SCCs + misure supplementari. TIA completata. |
| PostHog Inc. (servizio Cloud EU) | Responsabile — Analytics comportamentale | Trattamento in UE (PostHog Cloud EU). Eventuali accessi/trasferimenti extra-UE: SCCs 2021 nel DPA, se applicabili. |
| Google LLC (Analytics) | Responsabile — Analisi traffico sito web | Decisione di adeguatezza EU-US DPF ove applicabile e/o SCCs 2021; misure supplementari. |
| Intercom R&D Unlimited Company | Responsabile — Customer support e chat | Trasferimento verso USA (servizio Intercom). Garanzie: SCCs 2021 nel DPA; decisione di adeguatezza EU-US DPF ove applicabile; misure supplementari. |
| OpenAI Inc. / Anthropic PBC | Responsabile — Elaborazione AI/OCR documenti | SCCs 2021 nel DPA. Dati non utilizzati per addestramento salvo istruzioni/opt-in. Conservazione limitata e/o opzioni di riduzione retention (es. ZDR) se attivate. TIA completata. |
4. Periodi di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati account utente registrato | Per tutta la durata del rapporto contrattuale + 10 anni (obblighi fiscali e contabili). |
| Dati di fatturazione | 10 anni dalla data di emissione (art. 2220 c.c.; D.P.R. 633/1972). |
| Log di accesso e sicurezza | 6 mesi (Linee guida Garante sugli amministratori di sistema, 2008). |
| Dati di supporto clienti | 3 anni dalla chiusura del ticket. |
| Cookie analitici | 14 mesi dalla raccolta. |
| Registro consensi cookie | 3 anni. |
| Dati marketing (previa attivazione) | Fino a revoca del consenso. Registro consensi: 3 anni. |
| Dati da fonti pubbliche (professionisti e soggetti di procedure) | Durata pubblicazione fonte + max 5 anni dalla conclusione della procedura. |
| Documenti PDF elaborati tramite AI | Non conservati dopo l'elaborazione (eliminati al termine del processo). |
5. Diritti degli interessati
Ai sensi degli artt. 15-22 del GDPR, gli interessati hanno il diritto di:
| Diritto | Contenuto |
|---|---|
| Accesso (art. 15) | Ottenere conferma del trattamento e copia dei propri dati. |
| Rettifica (art. 16) | Correggere dati inesatti o completare dati incompleti. |
| Cancellazione (art. 17) | Richiedere la cancellazione dei dati ("diritto all'oblio"), nei limiti previsti dalla legge. |
| Limitazione (art. 18) | Ottenere la limitazione del trattamento in determinati casi. |
| Portabilità (art. 20) | Ricevere i propri dati in formato strutturato e trasferirli a altro titolare (solo per dati trattati con consenso o contratto). |
| Opposizione (art. 21) | Opporsi al trattamento fondato su legittimo interesse, incluso il marketing diretto. |
| Revoca del consenso (art. 7(3)) | Revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento precedente. |
| Non essere soggetto a decisioni automatizzate (art. 22) | Lo Scoring Astika non costituisce decisione automatizzata con effetti giuridici ai sensi dell'art. 22 GDPR — la decisione finale rimane in capo all'utente. |
Le richieste di esercizio dei diritti possono essere inviate a:
- Email: privacy@astika.it
- Posta: ISH Consulting SRL, Via Amato Tiraboschi 9, 60131 Ancona (AN)
Il Titolare risponde entro 30 giorni dal ricevimento della richiesta. In caso di richieste complesse o numerose, il termine può essere prorogato di ulteriori 60 giorni, con comunicazione preventiva all'interessato (art. 12(3) GDPR).
Per i soggetti di cui alla Sez. 2.3 (dati da fonti pubbliche) che non sono utenti registrati, la procedura per l'esercizio dei diritti è disponibile scrivendo a privacy@astika.it.
6. Diritto di reclamo all'Autorità di controllo
Qualora ritenga che il trattamento dei propri dati personali violi le disposizioni del GDPR, l'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali:
| Campo | Valore |
|---|---|
| Autorità | Garante per la protezione dei dati personali |
| Sede | Piazza Venezia 11, 00187 Roma |
| Sito web | https://www.garanteprivacy.it |
| garante@gpdp.it | |
| PEC | protocollo@pec.gpdp.it |
In alternativa al reclamo, l'interessato può adire l'autorità giudiziaria ordinaria ai sensi dell'art. 79 GDPR.
7. Aggiornamenti dell'informativa
La presente informativa può essere aggiornata in caso di modifiche normative, variazioni nelle attività di trattamento o introduzione di nuovi servizi. La versione aggiornata è sempre disponibile su https://astika.it/privacy-policy.
In caso di modifiche sostanziali che interessino gli utenti registrati, il Titolare ne darà comunicazione via email o tramite notifica nella piattaforma con almeno 30 giorni di preavviso.