Salta al contenuto principale

Privacy Policy

Ultimo aggiornamento: 21 maggio 2026 · Versione 2.0

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali e' NRC Company S.r.l., con sede legale in Italia. Per qualsiasi richiesta relativa al trattamento dei dati e' possibile scrivere a: privacy@nrc.company.

2. Tipologie di dati raccolti

Il servizio AmministraPro raccoglie e tratta le seguenti categorie di dati:

  • Dati anagrafici (nome, cognome, codice fiscale)
  • Dati di contatto (email, telefono, indirizzo)
  • Dati di accesso al servizio (credenziali, log di accesso, indirizzo IP)
  • Dati gestionali condominiali inseriti dall'Utente (rate, spese, documenti, comunicazioni)
  • Dati di pagamento gestiti tramite Stripe (PCI-DSS compliant)
  • Dati tecnici di osservabilità: log applicativi (errorLogs - stack trace, URL, user-agent, severità) e log di azioni amministrative (adminAuditLog - chi ha modificato cosa, quando, da quale IP) — tutti archiviati su Firestore Europa.

3. Finalita' del trattamento

  • Erogazione del servizio SaaS di gestione condominiale
  • Adempimento di obblighi contrattuali e fiscali
  • Sicurezza informatica e prevenzione frodi (rate limiting, audit log, error tracking)
  • Comunicazioni di servizio (consenso non richiesto - art. 6.1.b GDPR)
  • Email di benvenuto inviata al primo accesso (consenso non richiesto - art. 6.1.b GDPR, esecuzione del contratto)
  • Comunicazioni commerciali (solo previo consenso esplicito)

4. Base giuridica

Il trattamento e' fondato su: esecuzione di un contratto (art. 6.1.b GDPR), obbligo legale (art. 6.1.c GDPR), legittimo interesse (art. 6.1.f GDPR) e, ove richiesto, consenso esplicito dell'Utente (art. 6.1.a GDPR).

5. Conservazione dei dati

I dati sono conservati per il tempo necessario alle finalita' del trattamento e, comunque, non oltre i termini imposti da norme civilistiche e fiscali (10 anni per documenti contabili). Al termine del rapporto contrattuale i dati vengono cancellati o anonimizzati salvo obblighi di conservazione.

  • errorLogs: 30 giorni (pulizia bulk dal pannello super-admin).
  • adminAuditLog: minimo 1 anno per accountability GDPR e audit fiscali.
  • Backup Firestore: 30 giorni di retention via Lifecycle Policy bucket.
  • Rate limit counters: TTL automatico al termine della finestra (max 24 ore).
  • Registri contabili dei condomini: fino a 10 anni per obblighi civilistici e fiscali.

6. Trasferimento extra-UE

I dati sono ospitati su infrastruttura Google Firebase (regione europe-west). Eventuali trasferimenti verso paesi terzi avvengono esclusivamente sulla base di clausole contrattuali standard approvate dalla Commissione Europea.

7. Diritti dell'interessato

In conformita' agli artt. 15-22 GDPR l'Utente puo' esercitare i diritti di: accesso, rettifica, cancellazione, limitazione, portabilita', opposizione e revoca del consenso. Le richieste vanno inviate a privacy@nrc.company. E' sempre possibile proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

8. Sicurezza

Il servizio adotta misure tecniche e organizzative adeguate (cifratura in transito e a riposo, controllo accessi role-based, audit log, backup giornalieri, autenticazione multi-fattore opzionale) per garantire un livello di sicurezza proporzionato al rischio.

  • Audit log: ogni mutazione amministrativa (delete organization, restore backup, modifica add-on, cleanup errori) viene registrata in adminAuditLog con attore, target, IP, user-agent.
  • Rate limiting: protezione anti-spam con counter persistente Firestore (es. /api/demo/start: max 3/IP/ora + 50/giorno globali).
  • Error tracking: cattura automatica eccezioni server e client con sanitizzazione payload (stack clipped a 8000 char, URL/UA clipped a 500).
  • Health check: endpoint pubblico /api/health con probe Firestore + Auth per uptime monitoring esterno.
  • Backup: snapshot Firestore giornaliero verso bucket dedicato, retention 30gg via Lifecycle Policy. Restore con conferma esplicita.

9. Sub-responsabili del trattamento

Il Titolare si avvale dei seguenti sub-responsabili per l'erogazione del servizio:

  • Google Cloud Platform (Firebase) — hosting, database, autenticazione, backup. Regione europe-west1 (Belgio).
  • Stripe — gestione pagamenti (PCI-DSS Level 1).
  • Provider PEC selezionato dal Cliente (es. Aruba, ItaltelePost) per invio comunicazioni con valore legale.
  • Provider SMTP transazionale per email di benvenuto e notifiche (configurazione opzionale del Cliente).
  • Provider AI selezionato per add-on AI (OpenAI, Anthropic, Gemini) — solo se add-on attivo.

10. Cookies e tracker

Vedi la pagina dedicata Cookie Policy per dettagli su cookies tecnici e di sessione utilizzati dal servizio.

11. DPIA - Valutazione d'impatto

Una valutazione d'impatto sulla protezione dei dati (DPIA, art. 35 GDPR) e' stata condotta per il trattamento di dati anagrafici condominiali, dati di pagamento ricorrente e log di accesso. Il documento e' disponibile su richiesta scritta a privacy@nrc.company previa identificazione dell'Utente come legittimo interessato.

12. Ruolo del Cliente come Titolare e DPA

Quando il Cliente (Studio di amministrazione condominiale) utilizza AmministraPro per gestire i dati dei propri condomini e residenti, il Cliente agisce come Titolare del trattamento e NRC Company come Responsabileai sensi dell'art. 28 GDPR. I rapporti sono disciplinati dall'Accordo di nomina a Responsabile (DPA), parte integrante dei Termini di Servizio.

13. Modifiche

La presente informativa puo' essere aggiornata. Le modifiche sostanziali verranno comunicate via email almeno 30 giorni prima dell'entrata in vigore. Storico versioni disponibile su richiesta.