La presente Privacy Policy descrive come applico.io tratta i dati personali degli utenti che accedono alla piattaforma. Per quanto riguarda l'uso di cookie e di altri strumenti di tracciamento (incluso localStorage e sessionStorage), si rimanda alla Cookie Policy.
1. Titolare del trattamento
Ragione sociale: [RAGIONE SOCIALE — es. Applico S.R.L.]
Sede legale: [INDIRIZZO COMPLETO — Via, Numero, CAP, Città, Provincia]
Codice Fiscale / Partita IVA: [P.IVA / CF]
PEC: [INDIRIZZO PEC]
Email di contatto generale: [EMAIL — es. info@applico.io]
Email per richieste privacy: [EMAIL — es. privacy@applico.io]
Per esercitare i diritti riconosciuti dal GDPR (artt. 15-22), gli interessati possono scrivere all'email privacy indicata sopra.
2. Tipologie di dati raccolti
Tra i Dati Personali raccolti dalla piattaforma applico.io, in modo autonomo o tramite terze parti, ci sono:
2.1 Dati di registrazione e account
- Dati di registrazione e account: nome, cognome, indirizzo email, codice fiscale (per i mutuatari), ruolo organizzativo (operatore, amministratore o cliente), organizzazione di appartenenza (broker / mediatore creditizio).
- Credenziali di accesso: password o PIN (memorizzati esclusivamente in forma cifrata tramite hashing).
- Dati di profilo: eventuali informazioni aggiuntive caricate dall'utente nel proprio profilo.
- Dati di comunicazione: contenuto delle comunicazioni inviate al titolare tramite email o moduli di contatto.
Origine dei dati di registrazione (raccolta indiretta): gli operatori e gli amministratori si registrano direttamente sulla piattaforma. Per i clienti/mutuatari, invece, i dati identificativi necessari alla creazione dell'utenza (nome, cognome, codice fiscale, email) sono forniti dal broker al momento della creazione della pratica, e Applico li riceve in qualità di Titolare per la sola finalità di erogare l'accesso al portale documentale. Per tali dati, l'informativa ai sensi dell'art. 14 GDPR è fornita all'interessato al primo contatto, tramite l'email automatica contenente le credenziali, con link diretti alla presente Privacy Policy e alla Cookie Policy.
2.2 Dati raccolti automaticamente
- Dati di utilizzo: indirizzo IP, tipo e versione del browser, sistema operativo, identificativi del dispositivo, pagine visitate, data e ora delle richieste, riferimento (referrer), tempo di permanenza, sequenza di navigazione, codici di risposta del server, dimensione dei file richiesti.
- Dati tecnici di sessione: token di autenticazione memorizzati nel browser (vedi Cookie Policy).
- Log applicativi: registrazione delle attività effettuate sulla piattaforma per finalità di sicurezza e auditing.
2.3 Dati elaborati dall'assistente AI
La piattaforma include un assistente conversazionale basato su intelligenza artificiale, attivabile dall'utente per ricevere supporto nella raccolta e comprensione dei documenti necessari alla pratica. Quando l'utente interagisce con l'assistente, vengono inviati ai fornitori AI (vedi Sezione 7) i seguenti dati:
- Contenuto delle conversazioni con l'assistente (messaggi inviati dall'utente e risposte generate);
- Contesto della pratica: tipo di acquisto, stato dei documenti caricati, eventuali feedback dell'operatore, nome dei soggetti associati alla pratica;
- Recapiti dell'operatore di riferimento: nome, email e telefono, ove necessari a generare risposte coerenti.
L'assistente AI è uno strumento di supporto informativo: non assume decisioni che producano effetti giuridici sull'interessato (vedi Sezione 8). I fornitori AI utilizzati operano in modalità “Zero Data Retention” e con divieto contrattuale di utilizzare i dati per addestrare i propri modelli.
2.4 Dati trattati in qualità di Responsabile (per conto dei clienti B2B)
Quando un broker / mediatore creditizio utilizza Applico per raccogliere documentazione dei propri clienti finali (mutuatari), i documenti caricati e i dati di pratica (es. tipo di acquisto, finalità del mutuo, allegati personali) sono trattati da Applico in qualità di Responsabile del trattamento ex art. 28 GDPR, sulla base di un contratto di nomina (DPA) sottoscritto col Titolare (broker o banca). Per tali dati, l'informativa all'interessato spetta al broker in qualità di Titolare, e il trattamento è disciplinato dalla privacy policy di quest'ultimo, non dalla presente.
3. Modalità e luogo del trattamento
3.1 Modalità
I Dati Personali sono trattati con strumenti elettronici e con misure di sicurezza tecniche e organizzative adeguate a prevenire accessi non autorizzati, perdita, distruzione o divulgazione, in particolare:
- Cifratura in transito (HTTPS/TLS) e a riposo
- Hashing delle password (bcrypt / argon2)
- Row-Level Security (RLS) sul database
- Controllo degli accessi basato su ruoli
- Logging e tracciatura delle attività amministrative
- Backup periodici e procedure di disaster recovery
3.2 Luogo
Il trattamento dei dati avviene principalmente all'interno dell'Unione Europea. Il database, lo storage dei file e le funzioni applicative sono ospitati su infrastrutture localizzate nella regione eu-west-1 (Irlanda).
Alcuni fornitori hanno sede negli Stati Uniti e possono comportare trasferimenti di dati verso paesi extra-UE:
- Vercel Inc. e Resend Inc. per servizi infrastrutturali (hosting frontend, invio email transazionali);
- OpenRouter Inc. e Google LLC per il servizio di assistenza AI (elaborazione delle conversazioni con l'assistente conversazionale).
In tutti i casi il trasferimento avviene sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR. Per i fornitori certificati al programma EU-US Data Privacy Framework (DPF), il trasferimento è inoltre coperto dalla decisione di adeguatezza ex art. 45 GDPR. Lo strumento giuridico applicabile a ciascun fornitore è indicato nella Sezione 7. Il trattamento è in ogni caso accompagnato da misure supplementari tecniche (cifratura, Zero Data Retention per i fornitori AI, divieto di utilizzo dei dati per addestramento) coerenti con le raccomandazioni del Comitato Europeo per la Protezione dei Dati (EDPB) successive alla sentenza Schrems II.
4. Finalità e basi giuridiche del trattamento
| # | Finalità | Base giuridica (art. 6 GDPR) |
|---|---|---|
| 1 | Erogazione del Servizio richiesto (creazione account, accesso, raccolta documentale) | Esecuzione del contratto (art. 6.1.b) |
| 2 | Adempimento degli obblighi legali, fiscali e contabili | Obbligo di legge (art. 6.1.c) |
| 3 | Sicurezza della piattaforma, prevenzione frodi e abusi, monitoraggio attività anomale | Legittimo interesse (art. 6.1.f) |
| 4 | Risposta a richieste degli utenti, supporto tecnico | Esecuzione del contratto / Legittimo interesse |
| 5 | Difesa di un diritto in sede giudiziaria | Legittimo interesse (art. 6.1.f) |
| 6 | Erogazione del servizio di assistenza AI (chat di supporto alla raccolta documentale, attivata su richiesta dell'utente) | Esecuzione del contratto (art. 6.1.b) |
5. Periodi di conservazione
I Dati Personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità sopra indicate, e in particolare:
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di account utente attivo (operatori e amministratori) | Per tutta la durata del rapporto contrattuale |
| Account operatore disattivato | 14 giorni (poi cancellazione automatica del profilo e delle pratiche associate) salvo obblighi di legge |
| Account cliente/mutuatario disattivato | 30 giorni (poi cancellazione automatica) salvo obblighi di legge |
| Pratica archiviata | 14 giorni dalla data di archiviazione (poi cancellazione di pratica, documenti caricati e profilo cliente associato) |
| Log applicativi e di sicurezza (audit log) | 24 mesi |
| Backup di sistema | Rotazione automatica gestita dal fornitore di hosting |
| Documentazione contrattuale e fiscale | 10 anni (art. 2220 c.c.) |
| Conversazioni con l'assistente AI | Non conservate — i fornitori AI operano in modalità Zero Data Retention; Applico non memorizza il contenuto delle conversazioni |
| Metadati di utilizzo dell'assistente AI (user ID, IP, timestamp) per finalità di rate limiting e prevenzione abusi | 24 ore |
| Dati trattati come Responsabile (per conto del Titolare broker) | Secondo le istruzioni del Titolare, e comunque cancellati a fine contratto |
6. Diritti degli interessati
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto a:
- Diritto di accesso (art. 15): ottenere conferma del trattamento e copia dei propri dati
- Diritto di rettifica (art. 16): chiedere la correzione di dati inesatti o incompleti
- Diritto alla cancellazione (art. 17) — “diritto all'oblio”
- Diritto di limitazione (art. 18): limitare il trattamento in determinati casi
- Diritto alla portabilità (art. 20): ricevere i propri dati in un formato strutturato e leggibile
- Diritto di opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse
- Diritto di revoca del consenso (art. 7): in qualunque momento, senza pregiudicare la liceità del trattamento precedente
- Diritto di reclamo all'Autorità di controllo: Garante per la Protezione dei Dati Personali — www.garanteprivacy.it
Come esercitare i diritti
Le richieste vanno inviate a [EMAIL — es. privacy@applico.io]. Il titolare risponde entro 30 giorni dalla ricezione (prorogabili a 60 giorni in caso di richieste complesse, con preventiva comunicazione all'interessato). L'esercizio dei diritti è gratuito; in caso di richieste manifestamente infondate o eccessive, il titolare può rifiutarsi o richiedere un contributo spese ragionevole.
7. Sub-responsabili e fornitori esterni
Per erogare il Servizio, applico.io si avvale dei seguenti sub-responsabili del trattamento, nominati ai sensi dell'art. 28 GDPR:
| Fornitore | Ruolo | Localizzazione | Privacy Policy |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione, storage file, edge functions | EU (Irlanda — eu-west-1) | supabase.com/privacy |
| Vercel Inc. | Hosting frontend (CDN globale) | USA con repliche EU | vercel.com/legal/privacy-policy |
| Resend Inc. | Invio email transazionali (recupero password, credenziali, notifiche pratica). Dominio mittente configurato sulla region EU | USA (sede legale) — processing in EU (Irlanda, eu-west-1) — base giuridica trasferimento: certificazione EU-US Data Privacy Framework (DPF) + Clausole Contrattuali Standard (SCC, moduli 1, 2 e 3) | resend.com/legal/privacy-policy |
| OpenRouter Inc. | Routing API verso modelli AI per il servizio di assistente conversazionale. Configurato in modalità Zero Data Retention (ZDR) — nessuna conservazione dei prompt | USA — base giuridica trasferimento: Clausole Contrattuali Standard (SCC) ex art. 46 GDPR + misure supplementari tecniche (ZDR, divieto di addestramento) | openrouter.ai/privacy |
| Google LLC | Esecuzione del modello Gemini 2.5 Flash invocato tramite OpenRouter per l'assistente AI. Divieto contrattuale di utilizzo dei dati per addestramento | USA (Google Vertex AI) — base giuridica trasferimento: certificazione EU-US Data Privacy Framework (DPF) ex art. 45 GDPR + Clausole Contrattuali Standard (SCC) | policies.google.com/privacy |
| BunnyWay d.o.o. | CDN per servizio font tipografici (Bunny Fonts) — privacy-friendly, no logging IP | Slovenia (UE) | bunny.net/privacy |
Eventuali modifiche alla lista dei sub-responsabili (aggiunta, sostituzione o rimozione) saranno comunicate agli interessati con un preavviso di almeno 30 giorni tramite la piattaforma o via email, riservando all'interessato la facoltà di esercitare i propri diritti ai sensi dell'art. 21 GDPR.
8. Decisioni automatizzate e profilazione
Applico non effettua decisioni automatizzate né profilazione che producano effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR.
La piattaforma offre un servizio di assistenza conversazionale basato su intelligenza artificiale (vedi Sezioni 2.3, 4 e 7), che costituisce un'elaborazione automatizzata di dati personali finalizzata esclusivamente a fornire informazioni di supporto per la raccolta documentale (es. spiegare quale documento serve, come caricarlo, in che formato). L'assistente AI non valuta la solvibilità dell'interessato, non assume decisioni sulla pratica e non produce alcun effetto giuridico: ogni decisione operativa resta in capo all'operatore umano del Titolare (broker/banca). L'assistente è attivato solo su richiesta esplicita dell'utente.
9. Minori
Applico è una piattaforma B2B destinata a professionisti e operatori del settore creditizio: gli utenti registrati (operatori e amministratori) sono persone maggiorenni che operano in ambito professionale. Applico non raccoglie consapevolmente dati di minori di 16 anni per finalità proprie.
Nelle pratiche di mutuo gestite per conto dei clienti broker (Titolari del trattamento), può accadere che la documentazione caricata contenga riferimenti a minori (es. componenti del nucleo familiare del mutuatario). Tali dati sono trattati da Applico esclusivamente in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, sotto le istruzioni e la responsabilità del Titolare, e disciplinati dalla privacy policy di quest'ultimo.
10. Modifiche alla Privacy Policy
Il titolare si riserva il diritto di apportare modifiche alla presente policy. Le modifiche sostanziali (es. nuove finalità di trattamento, nuovi sub-responsabili, modifiche ai periodi di conservazione, trasferimenti extra-UE aggiuntivi) saranno comunicate agli utenti con un preavviso di almeno 30 giorni tramite la piattaforma o via email, prima della loro entrata in vigore. Le modifiche di natura formale o di mero adeguamento normativo possono essere apportate senza preavviso e si intendono efficaci dalla data di pubblicazione. La data di ultimo aggiornamento è indicata in cima al documento. Si invita l'utente a consultare regolarmente la presente policy.
11. Riferimenti normativi
- GDPR: Regolamento (UE) 2016/679
- Codice Privacy: D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
- Direttiva ePrivacy: Direttiva 2002/58/CE
- Provvedimento Cookie del Garante: Provvedimento 10 giugno 2021