Proteggimicatastima

Informativa privacy

Informativa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR)e dell'art. 122 del D.Lgs. 196/2003 (Codice Privacy). Versione preliminare, in attesa di revisione legale completa.

1. Titolare del trattamento

Il sito catastima.it è un progetto in fase sperimentale realizzato e pubblicato da:

Proteggimi S.r.l.
Sede legale: Via Fabio Rugiadi 59d, 00054 Fiumicino (Roma)
P.IVA / C.F.: 18387191002
E-mail: info@proteggimi.com

Per esercitare i diritti previsti dalla normativa privacy o per qualsiasi richiesta relativa al trattamento dei dati personali, scrivi all'indirizzo e-mail sopra indicato.

2. Dati trattati

  • Analytics aggregate: per capire come viene usato il sito raccogliamo pageview anonime (path, timestamp, classe device, dominio referrer). Per le statistiche dashboard amministrative memorizziamo l'IP visitatore associato alla data e al conteggio di visite giornaliere; gli IP vengono inviati al servizio esterno ip-api.com in batch (max 100 per chiamata) per ottenere il paese, la regione, la città e le coordinate approssimate, il risultato viene memorizzato in una cache permanente associata all'IP. Base giuridica: legittimo interesse del titolare (art. 6.1.f GDPR) per statistiche aggregate e sicurezza. Nessun cookie, nessun fingerprint, rispettato il Do Not Track.
  • Indirizzo dell'immobile: fornito dall'utente per la valutazione. Trasformato in coordinate geografiche via OpenCage (UK — decisione di adeguatezza UK); solo le coordinate arrotondate (~11 m) sono conservate nella cache interna per resilienza operativa. L'indirizzo in chiaro non viene conservato.
  • Dati dell'edificio: anno, tipologia, superficie, destinazione d'uso, stato di manutenzione. Non associati a identità personali; usati solo per il calcolo del profilo di vulnerabilità.
  • Log valutazioni PAM: per ogni calcolo completato memorizziamo data, IP del richiedente (per arricchimento geo via la stessa cache ip-api.com delle analytics), città dell'immobile (ricavata dal geocoder OpenCage), risultato della valutazione (PAM p50/p05/p95, classe di rischio), tipologia strutturale e destinazione d'uso. Non conserviamo l'indirizzo in chiaro né le coordinate dell'edificio. Finalità: statistiche aggregate sulla distribuzione del rischio per la dashboard amministrativa e contatore attività per il monitor interno. Base giuridica: legittimo interesse del titolare (art. 6.1.f GDPR) per statistiche aggregate.
  • Indirizzo e-mail: raccolto solo se l'utente richiede l'invio del report via email (Fase 1.5 con paywall). Non condiviso con terze parti, usato esclusivamente per consegna del report e comunicazioni di servizio.
  • Log tecnici: IP, user-agent, timestamp — conservati per 30 giorni ai fini di sicurezza e diagnostica.
  • Richiesta accesso programma periti (form /periti): se ti iscrivi al programma di validazione professionale (periti e tecnici abilitati) raccogliamo email, nome e cognome, Albo professionale e numero di iscrizione, comune di esercizio, eventuali note sui casi di interesse, opt-in pubblicazione aggregata. L'IP della richiesta è conservato 30 giorni per anti-abuso. I dati del perito sono conservati per 5 anni (coerente con gli obblighi di conservazione delle perizie professionali) e sono usati esclusivamente per la gestione del programma beta e per la calibrazione empirica del motore. Non raccogliamo né trattiamo dati dei clienti finali del perito.
  • Account utente: la registrazione è self-service tramite il form /richiedi-accesso, oppure — se fai parte di un'organization con piano Business/Enterprise — tramite invito del proprietario (owner) dal suo pannello /manage. In entrambi i casi raccogliamo nome, cognome, indirizzo email e tipologia dichiarata di utilizzatore (privato / PMI-azienda / assicuratore-broker / perito-ingegnere / pubblica amministrazione / altro). L'IP della richiesta di registrazione è conservato 30 giorni per anti-abuso. Per autenticarti usiamo la tua email come identità e conserviamo l'hash bcrypt della password (mai la password in chiaro): l'hash serve solo a verificare il login. Alla creazione dell'account generiamo un token one-time per il primo setup della password (valido 7 giorni); per il reset il token ha validità 1 ora. Non richiediamo alcun dato finanziario (carte di credito, conto bancario, identificativi di pagamento) per registrarti. La sessione è gestita con un cookie catastima_session httpOnly, SameSite=Lax, durata 24 ore. I dati di account sono conservati per tutta la durata del rapporto; puoi chiedere in qualsiasi momento la cancellazione scrivendo a catastima@proteggimi.com. Base giuridica: esecuzione del rapporto contrattuale per la gestione dell'account (art. 6.1.b GDPR) e legittimo interesse per protezione anti-abuso (art. 6.1.f).

3. Base giuridica

Esecuzione di un servizio richiesto dall'utente (art. 6(1)(b) GDPR) per il calcolo del rischio; consenso esplicito (art. 6(1)(a)) per la raccolta email a fini di invio report e per l'iscrizione al programma periti; legittimo interesse (art. 6(1)(f)) per log tecnici, statistiche aggregate e protezione anti-abuso.

4. Responsabili del trattamento (processors)

Ci avvaliamo dei seguenti fornitori, con cui è stato stipulato un accordo di nomina a responsabile del trattamento ex art. 28 GDPR:

  • Aruba S.p.A. (Italia) — hosting VPS + archivio report PDF. Infrastruttura UE, no trasferimenti extra-UE.
  • OpenCage GmbH (UK / Germania) — geocoding indirizzi. UK coperta da decisione di adeguatezza della Commissione Europea.
  • Anthropic PBC (Stati Uniti) — generazione narrativa AI del report. Trasferimento extra-UE basato su Standard Contractual Clauses (SCC) ex art. 46 GDPR.
  • ip-api.com (Germania) — batch resolution geo-IP (paese, città, coordinate approssimate degli accessi per statistiche admin aggregate). Infrastruttura UE.
  • proteggimi.com SMTP — invio email transazionali (inviti, reset password, notifiche contatto). Infrastruttura del titolare.
  • GitHub Inc. (Stati Uniti, gruppo Microsoft) — repository codice sorgente (non contiene dati personali) e workflow di deploy. SCC in essere.

L'elenco viene aggiornato al variare dei fornitori. Non è attualmente attivo alcun processore di pagamento: quando verrà selezionato, la presente informativa sarà aggiornata con nominativo, sede e basi giuridiche del trasferimento.

5. Retention (tempi di conservazione)

Categoria datiDurata
Account utente (profilo, email, hash password, organization)Per la durata del rapporto; cancellazione self-service da /account oppure su richiesta via email
Archivio clienti e immobili (Professional / Business)Per la durata dell'account; eliminati/archiviati alla cancellazione
Report PDF generati (metadata + file)Conservati per lo storico della property; anonimizzati (user_id rimosso) alla cancellazione dell'utente
Log valutazioni PAM (pseudo-anonime, solo IP)90 giorni
Access log / analytics aggregate (IP, pageview)90 giorni
IP della richiesta registrazione / form contatti / programma periti30 giorni (anti-abuso)
Token one-time (setup / reset password)Validità 7 giorni (setup) / 1 ora (reset); cancellati dopo l'uso o alla scadenza
Dati programma periti (email, Albo, comune, feedback)5 anni (coerente con obblighi di conservazione perizie professionali)
Cookie tecnico di sessione catastima_session24 ore (rinnovato all'uso); eliminato a logout o chiusura del browser

6. Cookie e localStorage

catastima.it utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio. Nessun cookie di profilazione, nessun tracker di terze parti, nessuna tecnologia di fingerprinting. Le linee guida del Garante Privacy italiano sui cookie (8 maggio 2014, aggiornate 10 giugno 2021) non richiedono consenso per i cookie strettamente necessari; il banner di benvenuto è meramente informativo. Vedi anche la cookie policy completa.

  • Cookie catastima_session (httpOnly, SameSite=Lax, Secure in produzione): conserva il riferimento alla tua sessione autenticata per 24 ore. Contiene un JWT firmato con chiave server, nessun dato personale in chiaro. Essenziale per l'autenticazione.
  • localStorage catastima:check:v1: conserva lo stato del flusso di valutazione (indirizzo, parametri edificio, opzioni avanzate) perché tu non perda il lavoro al refresh. Si cancella svuotando il sito dai dati del browser oppure cliccando "Nuova valutazione" in alto a destra in /check.
  • localStorage catastima.cookie-notice-ack: ricorda che hai già visto il banner informativo, per non mostrartelo ad ogni visita. Nessun dato personale.

Rispettiamo l'header Do Not Track: se il tuo browser lo invia, non registriamo l'evento di pageview anonimo nella tabella interna di analytics (già cookie-less).

7. I tuoi diritti (artt. 15-22 GDPR)

Puoi esercitare in qualsiasi momento i seguenti diritti:

  • Accesso (art. 15) e portabilità (art. 20): dalla pagina /account→ "Scarica i miei dati" ottieni un JSON machine-readable con tutti i dati riferibili al tuo account.
  • Rettifica(art. 16): anagrafica modificabile dal pannello admin (per ora via email al titolare); in sviluppo un'interfaccia self-service.
  • Cancellazione(art. 17, "diritto all'oblio"): da /account→ "Cancella definitivamente il mio account". Richiede conferma via password.
  • Limitazione (art. 18) e opposizione (art. 21): scrivi a catastima@proteggimi.com indicando la base del trattamento a cui ti opponi.
  • Reclamo: hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali italiano (Piazza Venezia 11, 00187 Roma; PEC protocollo@pec.gpdp.it) se ritieni che il trattamento violi il GDPR.

8. Decisioni automatizzate e AI (art. 22 GDPR e AI Act)

Il calcolo della PAM è un'elaborazione automatica di dati tecnici dell'edificio e di dataset pubblici (INGV, ISPRA) che non produce effetti giuridici nei tuoi confronti. La narrativa del report PDF è generata da un sistema di intelligenza artificiale (Claude Opus 4.7 di Anthropic). In conformità all'art. 50 del Regolamento UE sull'AI (AI Act, in vigore dal 2 agosto 2026) tutti i contenuti AI-generati sono etichettati come tali nel report; hai diritto a una revisione umana dei contenuti e a contestare l'output tramite i contatti sopra indicati. Nessuna decisione assicurativa, creditizia o professionale viene presa automaticamente sulla base dei nostri output: il report è uno strumento di supporto, non una decisione.

8-bis. Misure di sicurezza (art. 32 GDPR)

Adottiamo misure tecniche e organizzative adeguate al rischio:

  • Crittografia in transito: tutto il traffico è servito esclusivamente via HTTPS (TLS 1.2+) con HSTS attivo; i certificati sono Let's Encrypt rinnovati automaticamente sul reverse proxy (Plesk).
  • Crittografia a riposo: il server VPS Aruba (Italia) sul quale risiede il database PostgreSQL e lo storage dei PDF utilizza dischi cifrati a livello infrastrutturale dal provider; le password utente sono hashate con bcrypt (cost factor 12), i token di sessione/setup/reset sono memorizzati in DB come hash SHA-256.
  • Controllo accessi: pannello amministrativo protetto da HTTP Basic + IP allowlist opzionale per organization Enterprise; tutte le mutazioni admin sono tracciate in admin_audit_log.
  • Minimizzazione: nessun cookie di profilazione, nessun tracker di terze parti, indirizzi salvati solo con consenso esplicito (le valutazioni anonime usano lat/lon arrotondati a ~11 m); cleanup automatico giornaliero dei log tecnici a 90 giorni e degli IP a 30 giorni.
  • Backup: snapshot giornalieri del database e dei PDF su sistema di backup separato del provider VPS, ritenzione 7 giorni rolling.
  • Risposta a incidenti: in caso di data breach ti notificheremo entro 72 ore (art. 33-34 GDPR) all'email di registrazione, indicando categorie di dati coinvolti e misure adottate.

9. Minori

Il servizio è rivolto ad adulti, professionisti e imprese. Non è previsto l'utilizzo da parte di minori di 18 anni. Non raccogliamo consapevolmente dati di minori; se vieni a conoscenza di un account riconducibile a un minore, ti invitiamo a segnalarcelo al più presto ai contatti sopra indicati e provvederemo alla cancellazione.

10. Data Protection Officer (DPO)

Allo stato attuale, Proteggimi Srl non è obbligata alla nomina di un Data Protection Officer ai sensi dell'art. 37 GDPR (non svolge trattamenti su larga scala di dati particolari o giudiziari, né di monitoraggio sistematico). Il riferimento unico per qualsiasi questione privacy è catastima@proteggimi.com, monitorato dall'amministrazione. Ci impegniamo a rispondere alle richieste degli interessati entro 30 giorni (estendibili a 60 in casi complessi, con comunicazione motivata). Se la struttura o il volume dei trattamenti in futuro imporranno la nomina del DPO, aggiorneremo la presente informativa.

11. Modifiche a questa informativa

Potremo aggiornare la presente informativa per riflettere cambiamenti nei trattamenti, nei fornitori o nella normativa applicabile. Le modifiche sostanziali saranno comunicate via email agli utenti registrati; la versione vigente è sempre consultabile a questa URL con data di ultimo aggiornamento in fondo alla pagina.

Ultimo aggiornamento: maggio 2026 (versione 2026-05). Versione in attesa di revisione legale completa; per questioni urgenti contatta direttamente il titolare.