1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è Patrimio, con sede in Italia, P.IVA in fase di registrazione, email: privacy@patrimio.it. Patrimio è in fase di lancio: le informazioni societarie saranno aggiornate al completamento della registrazione. Il Titolare determina le finalitĂ e i mezzi del trattamento dei dati personali e risponde degli obblighi di cui al Regolamento (UE) 2016/679 (di seguito âGDPRâ).
Per qualsiasi domanda relativa al trattamento dei Suoi dati personali o per l'esercizio dei diritti di cui all'art. 15-22 GDPR, può contattare il Titolare all'indirizzo email sopra indicato. Il Responsabile della Protezione dei Dati (DPO) è raggiungibile all'indirizzo dpo@patrimio.it.
2. Tipi di Dati Raccolti
I dati personali raccolti da Patrimio, sia direttamente dall'interessato sia tramite l'utilizzo della piattaforma, si dividono nelle seguenti categorie:
2.1 Dati di registrazione e account
- Nome e cognome
- Indirizzo email
- Password (conservata in forma crittografata con algoritmo bcrypt)
- Data di registrazione
2.2 Dati finanziari inseriti dall'utente
- Composizione del portafoglio (ETF, azioni, BTP, crypto, oro, immobili, contanti, ecc.)
- QuantitĂ e prezzi di acquisto/vendita degli asset
- Transazioni e operazioni finanziarie registrate
- Plusvalenze e minusvalenze calcolate
- Dati relativi alla dichiarazione fiscale (modello 730/Redditi PF)
Nota importante: Patrimio non accede, non richiede e non conserva credenziali bancarie, coordinate IBAN o dati di accesso ad home banking. I dati finanziari sono inseriti manualmente dall'utente e non sono collegati ad alcun istituto bancario o intermediario finanziario. Patrimio non è un servizio di pagamento nÊ un intermediario finanziario.
2.3 Dati di pagamento
- Dati di pagamento (numero carta, data di scadenza, CVV) sono gestiti esclusivamente da Stripe, Inc. tramite il suo sistema di checkout sicuro e certificato PCI-DSS Level 1
- Patrimio riceve unicamente un token identificativo della transazione e lo stato dell'abbonamento â mai i dati completi della carta
2.4 Dati di utilizzo e tecnici
- Indirizzo IP (anonimizzato ove possibile)
- Tipo e versione del browser
- Sistema operativo e tipo di dispositivo
- Pagine visitate, durata della sessione, azioni effettuate sulla piattaforma
- Dati di crash e log di errore tecnico
2.5 Cookie e tecnologie simili
Per informazioni dettagliate sull'uso dei cookie, si rinvia alla Cookie Policy di Patrimio.
3. FinalitĂ del Trattamento
I dati personali sono trattati per le seguenti finalitĂ :
3.1 FinalitĂ contrattuali e di servizio
- Fornire, gestire e mantenere il servizio Patrimio, inclusa la creazione e gestione dell'account
- Elaborare i dati finanziari inseriti per generare report, calcoli fiscali e analisi di portafoglio
- Gestire gli abbonamenti, i pagamenti e la fatturazione
- Fornire supporto tecnico e assistenza clienti
3.2 FinalitĂ di legge
- Adempimento di obblighi previsti dalla legge, da regolamenti o dalla normativa comunitaria (inclusi obblighi fiscali e contabili)
- Rispetto di richieste legittime da parte delle autoritĂ competenti
3.3 FinalitĂ legite interessi del Titolare
- Miglioramento del servizio e dell'esperienza utente (analisi aggregate e anonimizzate)
- Prevenzione di frodi, abusi e attivitĂ illecite sulla piattaforma
- Comunicazioni relative al servizio (aggiornamenti, manutenzione, nuove funzionalitĂ )
- Analisi statistiche interne per lo sviluppo del prodotto
3.4 FinalitĂ di marketing (previo consenso)
- Invio di newsletter, promozioni e offerte personalizzate
- Comunicazioni commerciali su prodotti e servizi correlati
Il consenso per le finalità di marketing è facoltativo e può essere revocato in qualsiasi momento senza pregiudicare l'utilizzo del servizio. La revoca può essere effettuata tramite le impostazioni dell'account o contattando privacy@patrimio.it.
4. Base Giuridica del Trattamento
Il trattamento dei dati personali si basa sulle seguenti basi giuridiche, ai sensi dell'art. 6 GDPR:
| FinalitĂ | Base giuridica | ObbligatorietĂ |
|---|---|---|
| Gestione account e servizio | Art. 6(1)(b) â Esecuzione contratto | Obbligatoria |
| Pagamenti e fatturazione | Art. 6(1)(b) â Esecuzione contratto | Obbligatoria |
| Obblighi di legge | Art. 6(1)(c) â Obbligo legale | Obbligatoria |
| Miglioramento e sicurezza | Art. 6(1)(f) â Legittimo interesse | Facoltativa |
| Marketing e promozioni | Art. 6(1)(a) â Consenso | Facoltativa |
Il conferimento dei dati contrassegnati come obbligatori è necessario per l'erogazione del servizio. Il rifiuto di fornire tali dati comporta l'impossibilità di registrarsi e utilizzare Patrimio. Il conferimento dei dati facoltativi è libero e non comporta alcuna conseguenza sulla disponibilità del servizio.
5. ModalitĂ del Trattamento
Il trattamento dei dati personali è effettuato con modalità strumentali e informatiche, con logiche strettamente correlate alle finalità sopra indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi. I dati finanziari inseriti dall'utente sono salvati su database server-side (PostgreSQL ospitato su infrastruttura Neon, con crittografia a riposo) e sincronizzati con il dispositivo dell'utente per l'accesso offline. Le password sono conservate esclusivamente in forma crittografata con algoritmo bcrypt (cost factor 12).
Patrimio adotta misure tecniche e organizzative appropriate per proteggere i dati personali contro accessi non autorizzati, perdita, distruzione o alterazione accidentale. Le misure includono: crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256), autenticazione sicura con hash bcrypt, protezione CSRF e CSP (Content Security Policy), header di sicurezza HTTP (COOP, CORP, COEP, X-Frame-Options), monitoraggio continuo della sicurezza, e formazione del personale sulla protezione dei dati.
6. Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalitĂ per cui sono stati raccolti, e comunque nei seguenti termini:
- Dati di account: per la durata del rapporto contrattuale e fino a 12 mesi successivi alla cancellazione dell'account, per finalitĂ di legge e di risoluzione controversie
- Dati finanziari: per la durata dell'abbonamento. Alla scadenza o cancellazione, i dati finanziari vengono eliminati dai server entro 30 giorni. I dati salvati localmente sul dispositivo dell'utente restano sotto il pieno controllo dell'utente
- Dati di pagamento: i dati di pagamento sono gestiti da Stripe e conservati secondo la normativa applicabile e le politiche di Stripe. Patrimio conserva unicamente il record della transazione per 10 anni ai sensi della normativa fiscale italiana
- Dati di utilizzo: per un massimo di 24 mesi dalla raccolta, salvo esigenze di legge
- Dati di marketing: fino alla revoca del consenso, e comunque non oltre 24 mesi dall'ultimo contatto
Al termine del periodo di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile, salvo diverso obbligo di legge.
7. Comunicazione e Diffusione dei Dati
I dati personali non sono soggetti a diffusione, ovvero non vengono comunicati a soggetti indeterminati. Possono essere comunicati esclusivamente alle seguenti categorie di destinatari:
- Stripe, Inc. â per la gestione dei pagamenti e degli abbonamenti (in qualitĂ di Responsabile del Trattamento)
- Neon / Vercel â per l'hosting del database PostgreSQL e della piattaforma (in qualitĂ di Responsabile del Trattamento)
- Provider di servizi email â per l'invio di comunicazioni di servizio e, previo consenso, di marketing
- AutoritĂ competenti â ove richiesto dalla legge, da regolamenti o da provvedimenti delle autoritĂ preposte
- Consulenti professionali â per la consulenza legale, contabile e fiscale, nel rispetto del segreto professionale
L'elenco aggiornato dei Responsabili del Trattamento è disponibile presso la sede del Titolare e può essere richiesto scrivendo a privacy@patrimio.it.
8. Trasferimento dei Dati al di fuori dell'UE
I dati personali possono essere trasferiti verso Paesi terzi rispetto all'Unione Europea nell'ambito dell'utilizzo di servizi di terze parti (in particolare Stripe e Vercel). Tali trasferimenti avvengono esclusivamente verso Paesi per i quali la Commissione Europea ha adottato una decisione di adeguatezza, o sulla base di clausole contrattuali tipo approvate dalla Commissione Europea (art. 46 GDPR), o nell'ambito di certificazioni di adeguamento al GDPR.
In ogni caso, il trasferimento avviene nel rispetto delle garanzie appropriate richieste dal GDPR e delle decisioni di esecuzione della Commissione Europea. I dati finanziari inseriti dall'utente, essendo memorizzati prevalentemente sul dispositivo locale, non sono oggetto di trasferimenti internazionali da parte di Patrimio.
9. Diritti dell'Interessato
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:
- Accesso (art. 15): ottenere conferma del trattamento dei propri dati e accedere alle informazioni dettagliate (finalitĂ , categorie, destinatari, periodo di conservazione)
- Rettifica (art. 16): ottenere la correzione dei dati personali inesatti o incompleti
- Cancellazione (art. 17): ottenere la cancellazione dei dati personali nei casi previsti dalla legge (diritto all'oblio)
- Limitazione (art. 18): ottenere la limitazione del trattamento in determinate circostanze (controversia sull'esattezza, opposizione al trattamento, trattamento illecito)
- PortabilitĂ (art. 20): ricevere i dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare senza impedimenti
- Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse per motivi connessi alla propria situazione particolare
- Revoca del consenso (art. 7): revocare il consenso in qualsiasi momento, senza pregiudicare la liceitĂ del trattamento basato sul consenso prestato prima della revoca
- Proporre reclamo (art. 77): presentare un reclamo all'AutoritĂ Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
Per l'esercizio dei propri diritti, l'interessato può inviare una richiesta a privacy@patrimio.it. Il Titolare provvederà a rispondere entro 30 giorni dal ricevimento della richiesta, ai sensi dell'art. 12 GDPR. Il Titolare si riserva di richiedere informazioni aggiuntive per verificare l'identità dell'interessato al fine di proteggere i dati personali da richieste non autorizzate.
10. Profiling e Decisioni Automatiche
Patrimio non effettua attività di profiling nel senso dell'art. 22 GDPR. L'analisi dei dati di portafoglio e i calcoli fiscali sono strumenti di supporto decisionale forniti all'utente, che rimane il solo responsabile delle decisioni di investimento. Nessuna decisione che produca effetti giuridici o incida significativamente sull'utente è adottata sulla base del trattamento automatizzato dei dati. Le raccomandazioni e i suggerimenti generati dalla piattaforma (es. suggerimenti di tax-loss harvesting) hanno natura meramente informativa e non costituiscono consulenza finanziaria, fiscale o legale.
11. Dati dei Minori
Il servizio Patrimio è destinato esclusivamente a persone di età superiore ai 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori di 18 anni. Qualora venga accertato che un minore abbia fornito dati personali senza il consenso dei genitori o del tutore, il Titolare provvederà alla cancellazione tempestiva dei dati. Per segnalazioni, è possibile contattare privacy@patrimio.it.
12. Sicurezza dei Dati
Patrimio adotta misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, conformemente all'art. 32 GDPR. Le misure includono:
- Crittografia dei dati in transito (HTTPS/TLS 1.3) e a riposo (PostgreSQL/Neon con crittografia a riposo)
- Hashing delle password con algoritmo bcrypt (cost factor 12)
- Autenticazione sicura tramite NextAuth.js con protezione CSRF e verifica Origin header
- Content Security Policy (CSP) con nonce-based script-src e default-src 'none'
- Header di sicurezza HTTP: COOP, CORP, COEP, X-Frame-Options, X-Content-Type-Options
- Verifica server-side dello stato premium (nessun bypass client-side possibile)
- Webhook Stripe con verifica firma crittografica (HMAC-SHA256)
- Monitoraggio continuo dei sistemi e test di sicurezza periodici
- Formazione del personale sulla protezione dei dati e sulla sicurezza delle informazioni
- Piano di risposta agli incidenti e procedura di notifica delle violazioni dei dati entro 72 ore
Nonostante l'adozione delle misure di sicurezza sopra descritte, il Titolare informa che nessun sistema di trasmissione o archiviazione dati può essere considerato completamente sicuro. L'utente è pertanto invitato a mantenere riservate le proprie credenziali di accesso e a comunicare tempestivamente eventuali utilizzi non autorizzati.
13. Modifiche all'Informativa
Il Titolare si riserva il diritto di apportare modifiche alla presente informativa in qualsiasi momento, per adeguarla a intervenimenti normativi o all'evoluzione del servizio. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, gli utenti saranno informati tramite email o tramite notifica all'interno della piattaforma. Si raccomanda di consultare periodicamente la presente informativa per prendere visione delle eventuali modifiche.