1. Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Koontrol (di seguito, la "Piattaforma") accessibile all'indirizzo www.koontrol.it e relative applicazioni, è:
Smiling Witooth di David Luis Naimo
Sede legale: Via Cesare Battisti, 62
Partita IVA: 05708220289
Email privacy: privacy@koontrol.it
(di seguito, il "Titolare").
2. Definizioni
Ai fini della presente informativa si intende per:
- "Utente": la persona fisica che accede alla Piattaforma e utilizza i servizi di Koontrol, sia in qualità di utente registrato che di utente ospite (Guest).
- "Fatture": i file XML in formato FatturaPA che l'Utente carica sulla Piattaforma ai fini dell'analisi dei propri costi di acquisto.
- "Dati di Terzi": i dati personali di soggetti terzi (ad es. fornitori persone fisiche, ditte individuali o liberi professionisti) eventualmente contenuti nelle Fatture caricate dall'Utente.
- "Servizi": le funzionalità offerte dalla Piattaforma, incluse l'analisi delle fatture, il monitoraggio delle fluttuazioni di prezzo e il confronto tra fornitori.
3. Categorie di dati trattati
3.1 Dati di registrazione e account
In fase di registrazione e utilizzo dell'account, il Titolare raccoglie i seguenti dati personali:
| Dato | Obbligatorio | Fonte |
|---|---|---|
| Indirizzo email | Sì | Inserito dall'Utente / Firebase Auth |
| Nome e cognome | No | Inserito dall'Utente |
| Numero di telefono | No | Inserito dall'Utente |
| Provincia | Sì (onboarding) | Inserito dall'Utente |
| Settore di attività | Sì (onboarding) | Inserito dall'Utente |
| Ruolo in azienda | Sì (onboarding) | Inserito dall'Utente |
| P.IVA / Codice fiscale azienda | No | Inserito dall'Utente |
3.2 Dati contenuti nelle fatture
Le Fatture in formato XML FatturaPA caricate dall'Utente possono contenere, tra gli altri, i seguenti dati:
- Dati identificativi del cedente/prestatore (fornitore): denominazione o nome e cognome, partita IVA, codice fiscale, indirizzo, recapiti.
- Dati identificativi del cessionario/committente (acquirente/Utente): denominazione, partita IVA, codice fiscale, indirizzo.
- Dati commerciali: descrizione dei prodotti/servizi, quantità, prezzi unitari, importi totali, aliquote IVA, sconti e maggiorazioni.
- Dati di pagamento: modalità di pagamento, IBAN, istituto finanziario, scadenze.
- Dati di trasporto e consegna, ove presenti.
Nota importante: qualora le Fatture contengano dati di fornitori che sono persone fisiche (ditte individuali, liberi professionisti), tali dati sono trattati come dati personali ai sensi del GDPR. L'Utente, caricando le Fatture, dichiara di essere il legittimo destinatario delle stesse e di avere titolo per condividerle con la Piattaforma ai fini dell'analisi dei costi.
3.3 Dati tecnici e di navigazione
Durante l'utilizzo della Piattaforma vengono raccolti automaticamente:
- Indirizzo IP
- User agent del browser
- Fingerprint del dispositivo (per le sessioni ospite)
- Dati di utilizzo e log di accesso
- Dati di analytics aggregati (tramite Google Analytics, ove attivo)
3.4 Dati di pagamento
I dati relativi ai pagamenti (numero di carta, scadenza, CVC) sono gestiti interamente da Stripe, Inc. e non transitano né vengono memorizzati sui server del Titolare. Il Titolare conserva unicamente l'identificativo cliente Stripe e l'identificativo dell'abbonamento per la gestione del rapporto contrattuale.
4. Finalità e base giuridica del trattamento
| Finalità | Base giuridica (Art. 6 GDPR) | Dati trattati |
|---|---|---|
| Registrazione e gestione dell'account | Esecuzione del contratto (art. 6.1.b) | Dati di registrazione, credenziali Firebase |
| Erogazione del servizio di analisi fatture e monitoraggio prezzi | Esecuzione del contratto (art. 6.1.b) | Fatture XML, dati estratti, price points |
| Gestione delle sessioni ospite e conversione ad account registrato | Esecuzione del contratto (art. 6.1.b) | Dati tecnici, email (se fornita) |
| Gestione degli abbonamenti e della fatturazione | Esecuzione del contratto (art. 6.1.b) | Dati account, ID Stripe |
| Trattamento dei Dati di Terzi contenuti nelle fatture | Legittimo interesse (art. 6.1.f) | Dati identificativi fornitori persone fisiche |
| Invio di comunicazioni di servizio | Esecuzione del contratto (art. 6.1.b) | |
| Analytics e miglioramento del servizio | Legittimo interesse (art. 6.1.f) | Dati tecnici e di navigazione aggregati |
| Adempimento di obblighi di legge | Obbligo legale (art. 6.1.c) | Dati necessari agli adempimenti |
Legittimo interesse — bilanciamento: con riferimento al trattamento dei Dati di Terzi contenuti nelle fatture, il Titolare ha effettuato un bilanciamento tra l'interesse legittimo dell'Utente ad analizzare i propri costi commerciali e i diritti dei terzi interessati. Tale trattamento è considerato proporzionato in quanto: (i) i dati sono di natura commerciale e relativi a rapporti B2B già in essere; (ii) sono utilizzati esclusivamente per finalità di analisi interna dell'Utente; (iii) non vengono condivisi con altri utenti o terze parti; (iv) l'impatto sui diritti degli interessati è minimo.
5. Cookie e tecnologie di tracciamento
La Piattaforma utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio, in particolare per la gestione dell'autenticazione tramite Firebase Authentication. Tali cookie non richiedono il consenso dell'Utente ai sensi dell'art. 122 del D.Lgs. 196/2003 e del Provvedimento del Garante Privacy dell'8 maggio 2014.
Qualora in futuro vengano introdotti cookie di profilazione o di analytics di terze parti (es. Google Analytics), l'Utente verrà informato tramite apposito banner e potrà esprimere o revocare il proprio consenso in conformità alle Linee Guida del Garante Privacy sui cookie del 10 giugno 2021.
6. Destinatari e responsabili del trattamento
I dati personali dell'Utente possono essere comunicati ai seguenti soggetti, nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR ove applicabile:
| Fornitore | Servizio | Sede / Dati | Garanzie extra-UE |
|---|---|---|---|
| Google LLC (Firebase) | Autenticazione utenti | UE / USA | DPA Google; SCC; Data Privacy Framework |
| Stripe, Inc. | Gestione pagamenti | UE / USA | Stripe DPA; SCC; Data Privacy Framework |
| Railway Corp. | Hosting app e DB | UE (EU-West) | Railway DPA; dati in EU |
| Vercel, Inc. | Hosting frontend | UE / USA (CDN) | Vercel DPA; SCC; Data Privacy Framework |
| Twilio Inc. (SendGrid) | Email transazionali | USA | Twilio DPA; SCC; Data Privacy Framework |
I dati non vengono venduti, ceduti o comunicati a terzi per finalità di marketing, né diffusi in alcun modo. L'accesso ai dati è limitato al personale del Titolare strettamente autorizzato e istruito ai sensi dell'art. 29 GDPR.
7. Trasferimento dei dati verso Paesi terzi
Alcuni dei fornitori di servizi indicati alla Sezione 6 hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso tali Paesi è effettuato sulla base delle seguenti garanzie:
- EU-U.S. Data Privacy Framework: ove il fornitore sia certificato ai sensi della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
- Standard Contractual Clauses (SCC): clausole contrattuali tipo approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914.
8. Periodo di conservazione dei dati
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati dell'account e di registrazione | Per tutta la durata del rapporto contrattuale. Eliminati alla cancellazione dell'account. |
| Fatture XML e dati estratti | Per tutta la durata del rapporto contrattuale. Eliminati alla cancellazione dell'account. |
| Dati delle sessioni ospite | Per la durata della sessione. In caso di conversione, collegati all'account. |
| Dati di pagamento (ID Stripe) | Per la durata del contratto + 10 anni (art. 2220 c.c.). |
| Log tecnici e dati di navigazione | Massimo 12 mesi dalla raccolta. |
| Dati di analytics (ove attivi) | Massimo 14 mesi con anonimizzazione IP. |
9. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, l'Utente ha il diritto di:
- Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali.
- Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
- Cancellazione (art. 17): ottenere la cancellazione dei propri dati personali, nei casi previsti dalla legge.
- Limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla legge.
- Portabilità (art. 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse del Titolare.
- Revoca del consenso (art. 7.3): revocare il consenso in qualsiasi momento.
Per esercitare i propri diritti, l'Utente può inviare una richiesta a privacy@koontrol.it. Il Titolare risponderà entro 30 giorni dal ricevimento della richiesta.
10. Diritto di reclamo
L'Utente ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali qualora ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR.
Garante per la Protezione dei Dati Personali
Sito web: www.garanteprivacy.it
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
11. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'art. 32 GDPR, tra cui:
- Trasmissione dei dati esclusivamente tramite protocollo HTTPS/TLS.
- Autenticazione sicura tramite Firebase Authentication.
- Database PostgreSQL con accesso limitato e credenziali protette.
- Separazione logica dei dati per tenant (isolamento multi-tenant).
- Gestione dei pagamenti delegata a Stripe (PCI DSS compliant).
- Cancellazione completa dei dati su richiesta dell'Utente o alla chiusura dell'account.
12. Modifiche alla presente informativa
Il Titolare si riserva il diritto di apportare modifiche alla presente informativa in qualsiasi momento. In caso di modifiche sostanziali, l'Utente verrà informato tramite comunicazione in-app o via email. La versione aggiornata sarà sempre disponibile sulla Piattaforma con indicazione della data dell'ultimo aggiornamento.
13. Contatti
Per qualsiasi domanda o richiesta relativa alla presente informativa o al trattamento dei dati personali, l'Utente può contattare il Titolare ai seguenti recapiti:
Smiling Witooth di David Luis Naimo
Via Cesare Battisti, 62
Email: privacy@koontrol.it