Document legale · v1.0
Informativa
sulla privacy.
Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 («GDPR») e del D.Lgs 196/2003 come modificato dal D.Lgs 101/2018 («Codice Privacy»).
Ultimo aggiornamento: 2026-05-05
1. Titolare del trattamento
Il Titolare del trattamento dei dati è Didap S.r.l.s. (di seguito «Quadra», «noi», «il Titolare»), con sede legale in [INSERIRE INDIRIZZO COMPLETO], P. IVA e Codice Fiscale [INSERIRE], iscritta al Registro Imprese di [INSERIRE].
- Email: amministrazione@didap.it
- PEC: [INSERIRE PEC]
- Address postale: [INSERIRE]
2. Responsabile della protezione dei dati (DPO)
Quadra non è soggetta all'obbligo di nomina del DPO ai sensi dell'art. 37 GDPR. Per qualsiasi questione relativa al trattamento dei dati personali puoi comunque rivolgerti al Titolare ai contatti indicati al paragrafo 1 oppure scrivere a privacy@didap.it.
3. Ambito della presente informativa
La presente informativa descrive come Quadra tratta i dati personali nei seguenti contesti:
- Sito vetrina (quadra.it e sottodomini pubblici): visitatori, lead, richieste di contatto.
- Servizio SaaS: registrazione e utilizzo della piattaforma da parte di studi commercialisti («Studio») e dei loro collaboratori, oltre che da parte di imprese e professionisti («Client dello Studio») che usano direttamente l'applicazione.
Doppio ruolo. Quando lo Studio carica nella piattaforma dati relativi ai propri clienti finali per finalità di tenuta della contabilità o di adempimenti fiscali, lo Studio agisce come Titolare autonomo del trattamento e Quadra agisce come Responsabile del trattamento ex art. 28 GDPR. In tal caso si applica il contratto di nomina (Data Processing Agreement, «DPA») sottoscritto all'attivazione del servizio, disponibile a richiesta. La presente informativa copre invece i trattamenti in cui Quadra agisce come Titolare, ovvero relativi all'account, alla fatturazione del servizio, all'assistenza e ai dati di navigazione.
4. Tipologie di dati trattati
A seconda dell'interazione, possiamo trattare:
- Dati di registrazione e profilo: nome, cognome, email, password (in forma di hash Argon2id), number di telefono, role nello Studio, lingua, fuso orario.
- Dati identificativi dello Studio o del Client: ragione sociale, partita IVA, codice fiscale, sede legale, address PEC, codice destinatario SDI, regime fiscale.
- Dati di fatturazione del servizio: plan sottoscritto, metodo di pagamento (gestito tramite Stripe), storico pagamenti, documenti contabili emessi nei tuoi confronti.
- Dati di utilizzo: log applicativi, address IP, user-agent, identificativo sessione, azioni compiute (audit log per ragioni di sicurezza e tracciabilità).
- Comunicazioni: contenuti delle richieste di assistenza, messaggi nella chat interna, allegati.
- Dati relativi a categorie particolari (art. 9 GDPR): di norma non trattiamo categorie particolari di dati. Eccezione: possono comparire in documenti caricati dall'utente (es. certificati di malattia, tessere sanitarie); in tal caso il trattamento avviene per esecuzione di un contratto e/o per obblighi fiscali e previdenziali, ed è limitato alla custodia.
- Dati relativi a condanne e reati (art. 10 GDPR): possono essere trattati nell'ambito degli adempimenti antiriciclaggio (PEP screening, sanctions list, adverse media) limitatamente a quanto previsto dal D.Lgs 231/2007.
5. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogare il servizio richiesto, gestire l'account, autenticare l'utente, fornire assistenza tecnica. | Esecuzione del contratto (art. 6.1.b). |
| Fatturare il servizio, gestire pagamenti, conservare documenti contabili. | Obbligo legale (art. 6.1.c) e contratto (art. 6.1.b). |
| Garantire la sicurezza della piattaforma, prevenire abusi e frodi, mantenere log e audit trail. | Legittimo interesse del Titolare a un servizio sicuro (art. 6.1.f). |
| Adempimenti antiriciclaggio (KYC, PEP, sanctions, UBO, conservazione fascicolo). | Obbligo legale (art. 6.1.c, D.Lgs 231/2007). |
| Cookie analitici e di performance (es. monitoraggio errori). | Consenso (art. 6.1.a) — revocabile in qualsiasi momento. |
| Invio di comunicazioni di servizio (manutenzioni, aggiornamenti contrattuali, modifiche all'informativa). | Esecuzione del contratto (art. 6.1.b). |
| Invio di comunicazioni promozionali su funzioni e novità di Quadra. | Consenso, oppure legittimo interesse per soft-spam ex art. 130 c. 4 Codice Privacy verso clienti esistenti su prodotti analoghi (sempre con possibilità di opt-out). |
| Difesa di un diritto in sede giudiziaria. | Legittimo interesse (art. 6.1.f). |
Il conferimento dei dati strettamente necessari per la registrazione e l'erogazione del servizio è obbligatorio: in mancanza non potremo attivare il tuo account. Il conferimento dei dati per finalità di marketing o l'attivazione di cookie non strettamente necessari è facoltativo e revocabile.
6. Periodi di conservazione
- Dati di account: per tutta la durata del rapporto contrattuale; in caso di chiusura, fino a 30 giorni per consentire il recupero, poi cancellazione o anonimizzazione.
- Documenti fiscali (fatture emesse e ricevute, F24, registri IVA): 10 anni dalla data del document, ai sensi dell'art. 2220 c.c. e dell'art. 22 DPR 600/1973. Tale obbligo prevale sulla richiesta di cancellazione (art. 17.3.b GDPR).
- Fascicoli antiriciclaggio: 10 anni dalla cessazione del rapporto, ai sensi dell'art. 31 D.Lgs 231/2007.
- Log applicativi e di sicurezza: 12 mesi, salvo necessità di indagini su incidenti di sicurezza.
- Cookie : secondo i tempi indicati nella Cookie Policy ; il consenso ha durata massima 6 mesi.
- Comunicazioni di marketing: fino a revoca del consenso o opposizione.
7. Destinatari e sub-responsabili
Per erogare il servizio ci avvaliamo di fornitori selezionati che agiscono come Responsabili del trattamento (art. 28 GDPR) o, dove il rapporto è autonomo, come Titolari distinti. L'elenco aggiornato è il seguente:
| Fornitore | Funzione | Sede / trasferimento |
|---|---|---|
| Hetzner Online GmbH | Hosting infrastruttura, database, storage. | Germania (UE). |
| OpenAPI S.r.l. | Invio fatture SDI, visure camerali, KYC, AML, firme digitali. | Italia (UE). |
| Stripe Payments Europe Ltd | Gestione pagamenti del servizio. | Irlanda (UE) con eventuale trasferimento USA — DPF. |
| Resend Inc. | Invio email transazionali. | USA — DPF e Clausole Contrattuali Standard. |
| Twilio Ireland Ltd | Invio SMS di scadenza e verifica. | Irlanda (UE) ed eventuale trasferimento USA — CCS. |
| Anthropic PBC | Modello linguistico per l'assistente AI (solo se attivato). | USA — DPF e Clausole Contrattuali Standard. |
Possono inoltre accedere ai dati: il personale autorizzato di Quadra (vincolato da obbligo di riservatezza), professionisti esterni (commercialista, consulente del lavoro, legale) che ci assistono, autorità pubbliche su richiesta legittima.
8. Trasferimenti di dati al di fuori dell'Unione Europea
Alcuni fornitori (Resend, Anthropic) hanno sede negli Stati Uniti. I trasferimenti avvengono in condizioni di adeguatezza ai sensi del Data Privacy Framework UE-USA (decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e/o tramite Clausole Contrattuali Standard adottate dalla Commissione (decisione 2021/914), con misure supplementari quando necessarie. Una copia delle garanzie adottate è disponibile a richiesta scrivendo a privacy@didap.it.
9. Processi decisionali automatizzati e profilazione
Quadra non assume nei tuoi confronti decisioni basate unicamente su trattamenti automatizzati ai sensi dell'art. 22 GDPR. I sistemi di scoring AML, alert antiriciclaggio e suggerimenti AI hanno funzione di supporto: la valutazione finale è sempre rimessa al professionista umano (commercialista o operatore Quadra).
10. I tuoi diritti
In qualsiasi momento puoi esercitare i diritti riconosciuti dagli artt. 15-22 GDPR:
- Accesso ai tuoi dati personali (art. 15).
- Rettifica di dati inesatti o incompleti (art. 16).
- Cancellazione dei dati che non siamo obbligati per legge a conservare (art. 17).
- Limitazione del trattamento (art. 18).
- Portabilità: ricevere i tuoi dati in formato strutturato e leggibile da macchina e trasmetterli ad altro Titolare (art. 20).
- Opposizione a trattamenti basati su legittimo interesse o per finalità di marketing diretto (art. 21).
- Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca (art. 7).
11. Come esercitare i diritti
Puoi:
- inviare una email a privacy@didap.it;
- scrivere via PEC a [INSERIRE PEC];
- usare gli strumenti self-service nelle Impostazioni del tuo account (esportazione dati, richiesta di cancellazione) — disponibili dopo l'attivazione del servizio.
Risponderemo senza ingiustificato ritardo e comunque entro 30 giorni, prorogabili di altri 60 in casi complessi.
12. Reclamo all'Autorità di controllo
Se ritieni che il trattamento dei tuoi dati personali violi il GDPR, hai diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it), Piazza Venezia 11, 00187 Roma, oppure all'Autorità di controllo dello Stato membro UE in cui risiedi abitualmente.
13. Sicurezza
Adottiamo misure tecniche e organizzative adeguate al rischio (art. 32 GDPR), tra cui: cifratura in transito (TLS 1.2+) e a riposo, autenticazione a due fattori obbligatoria per i ruoli operativi, principio del minimo privilegio, backup giornalieri cifrati e off-site, segregazione multi-tenant, rate limiting, audit log immutabile, test periodici di vulnerabilità. In caso di violazione di dati personali notificheremo il Garante entro 72 ore e gli interessati senza ingiustificato ritardo dove previsto dall'art. 34 GDPR.
14. Modifiche all'informativa
Possiamo aggiornare la presente informativa per esigenze tecniche, normative o di servizio. La versione corrente è sempre pubblicata su questa pagina con data di ultimo aggiornamento. Le modifiche sostanziali ti saranno comunicate via email o tramite avviso nell'applicazione con ragionevole anticipo.
Per consultare la lista dei cookie utilizzati, le finalità e la durata, oltre che per modificare le tue scelte, vedi la Cookie Policy oppure .