Informativa Privacy
Versione 1.4 — ultimo aggiornamento: 19 maggio 2026. Resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy italiano).
1. Titolare del trattamento
Titolare del trattamento è Proteggimi SRL. Per qualsiasi richiesta relativa ai dati personali (esercizio dei diritti, informazioni, segnalazioni) scrivere a info@appaltintel.it.
DPO non nominato: il trattamento svolto da Proteggimi SRL non rientra fra i casi di nomina obbligatoria previsti dall'art. 37 GDPR (autorità pubblica, monitoraggio sistematico su larga scala di soggetti, trattamento su larga scala di categorie particolari ex art. 9). Eventuale nomina futura sarà annotata in questa sezione.
2. Categorie di dati personali e finalità
2.1 Dati raccolti dall'utente registrato
- Email (obbligatoria, per autenticazione e comunicazioni di servizio)
- Nome e cognome (facoltativo)
- Ragione sociale e P.IVA dell'azienda (facoltativi, abilitano la funzione Benchmark)
- Password (memorizzata come hash Argon2, mai in chiaro né accessibile a noi)
- Cookie tecnico di sessione (firmato
itsdangerous,httpOnly,Secure,SameSite=Lax, scadenza 30 giorni)
Finalità: erogazione del servizio, gestione dell'account, obblighi di legge (fatturazione per utenti paganti, obblighi fiscali). Base giuridica: art. 6.1.b GDPR (esecuzione del contratto) e art. 6.1.c GDPR (obblighi di legge).
2.2 Dati nelle comunicazioni dirette (form contatti)
Quando ci scrivi tramite /contatti o via email, raccogliamo: nome, indirizzo email, motivo del contatto, contenuto del messaggio. Finalità: rispondere alla tua richiesta e tenere traccia della corrispondenza. Base giuridica: art. 6.1.b GDPR (misure precontrattuali su tua richiesta) o art. 6.1.f GDPR (legittimo interesse a gestire la corrispondenza).
2.3 Dati di pubblico dominio (terzi)
AppaltIntel mostra dati di aggiudicazione di contratti pubblici italiani provenienti da fonti pubbliche obbligatorie: ANAC OCDS (D.Lgs. 36/2023 art. 28), Open Contracting Partnership (mirror dei bulk ANAC), TED (Direttiva UE 2014/24), e dati di pubblicazione bandi dai portali regionali italiani — attualmente Intercent-ER / SATER (Emilia-Romagna), via API REST anonima e rendering HTML pubblico (D.Lgs. 36/2023 art. 28; legge regionale Emilia-Romagna 11/2004 sull'agenzia regionale Intercent-ER).
Tali dataset includono anche dati personali di persone fisiche (RUP, amministratori, ditte individuali, soggetti aggiudicatari). Base giuridica: art. 6.1.f GDPR (legittimo interesse del Titolare a fornire un servizio di intelligence competitiva di mercato sui contratti pubblici, supportato dal pubblico interesse alla trasparenza degli appalti) e art. 14.5.b GDPR (informazione sproporzionata data la mole di soggetti).
Minimizzazione: mostriamo il ruolo al posto del nome dove possibile, non emettiamo etichette qualitative su soggetti terzi (no "sospetto", "rischio", "anomalo"), non attribuiamo punteggi reputazionali. Le persone fisiche menzionate nei dataset hanno diritto di rettifica/opposizione (vedi sez. 5).
3. Cookie e tracker
Usiamo esclusivamente un cookie tecnico di sessione, necessario per mantenere l'utente autenticato fra una pagina e l'altra. Esente da consenso ai sensi delle Linee guida sui cookie del Garante Privacy (10 giugno 2021, par. 4).
Niente analytics di terze parti, niente Google Analytics, niente pixel di marketing, niente fingerprinting, niente tracker pubblicitari.
Notifiche browser (Web Push). Se decidi di attivarle dal pannello Notifiche, registriamo un identificatore tecnico anonimo del tuo browser fornito dal sistema operativo (endpoint del servizio push del browser-vendor: Mozilla, Google, Apple) con il solo scopo di recapitarti le notifiche delle tue watchlist. Il consenso è espresso al momento dell'attivazione (permesso del browser + opt-in nel nostro pannello) ed è revocabile in qualsiasi momento dal pannello stesso o dalle impostazioni del browser. Non condividiamo dati con terze parti diverse dal servizio di recapito del browser; nessun dato personale aggiuntivo viene trasmesso al di fuori del titolo + corpo della notifica.
4. Sub-processor (Responsabili del trattamento esterni)
Per erogare il servizio ci avvaliamo dei seguenti fornitori, ognuno con accordo ai sensi dell'art. 28 GDPR e — quando applicabile — con Clausole Contrattuali Standard (SCC) per i trasferimenti extra-SEE:
| Fornitore | Finalità | Sede | Garanzie |
|---|---|---|---|
| Aruba SpA | Hosting VPS, conservazione dati applicativi | Italia | SEE — nessun trasferimento extra-UE |
| Stripe Payments Europe Ltd. / Stripe Inc. | Pagamenti abbonamento (utenti paganti) | Irlanda + USA | SCC + EU-US Data Privacy Framework |
| Anthropic PBC | API Claude per generazione sintesi narrative AI, assistente in linguaggio naturale, AI Tender Explorer e Match-Fit. Nei prompt passano dati pubblici di mercato (entità, valori aggregati, codici CPV) e — quando l'utente attiva una funzione AI sul proprio profilo (Match-Fit, AI Tender Explorer) — i parametri aziendali che lui stesso ha dichiarato nel profilo: CPV di interesse, regioni servite, range fatturato, range addetti, categorie SOA, certificazioni, parole chiave sulle esperienze pregresse. Non viene mai trasmesso il contenuto del profilo personale dell'utente (email, nome, password). | USA | SCC + DPA con clausole Schrems-II compliant; opzione "non addestrare i modelli sui dati API" attiva (default commerciale Anthropic) |
| Brevo (Sendinblue SAS) | Invio email transazionali (verifica account, reset
password, notifiche watchlist) via SMTP relay
smtp-relay.brevo.com |
Francia (sede legale Parigi); hosting OVH France + GCP Belgio | SEE — nessun trasferimento extra-UE per i dati core email |
Tutte le risorse front-end (font, icone, librerie JavaScript) sono self-hosted sul nostro server: nessuna richiesta HTTP del browser viene inviata a CDN extra-UE (Google Fonts, unpkg, jsDelivr) durante la navigazione.
5. Diritti dell'interessato
In qualsiasi momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR scrivendo a info@appaltintel.it:
- Accesso ai tuoi dati (art. 15)
- Rettifica (art. 16)
- Cancellazione (art. 17, "diritto all'oblio") — disponibile anche in self-service da /account/cancella
- Limitazione del trattamento (art. 18)
- Portabilità (art. 20)
- Opposizione (art. 21) — particolarmente rilevante per le persone fisiche menzionate nei dataset di pubblico dominio
- Revoca del consenso, dove applicabile (art. 7.3)
Risponderemo entro 30 giorni (estensibili a 90 per richieste complesse, art. 12.3 GDPR). In caso di mancata risposta o insoddisfazione, puoi presentare reclamo al Garante per la protezione dei dati personali.
Vedi anche le pagine dedicate: come esercitare il diritto di opposizione, guida per soggetti terzi citati nei dataset pubblici.
6. Periodi di conservazione
| Tipo di dato | Conservazione |
|---|---|
| Account utente attivo (email, profilo) | Per tutta la durata dell'account, fino a richiesta di cancellazione |
| Account chiuso o cancellato | Soft-delete immediato (account disattivato, dati non accessibili dall'utente) + grace period di 30 giorni durante il quale e' possibile chiedere il ripristino scrivendo a info@appaltintel.it. Al 30esimo giorno hard-delete fisico (cascade su watchlist, preferenze, profili AI, abbonamenti); backup cifrati cancellati nel ciclo di rotazione (max 90 giorni) |
| Dati di fatturazione (utenti paganti) | 10 anni (obbligo civilistico/fiscale italiano) |
| Cookie di sessione | 30 giorni dall'ultima attività |
| Email di assistenza (form contatti) | 2 anni dalla chiusura della richiesta |
| Log applicativi (IP, request line) | 30 giorni |
| Dati pubblici da ANAC/TED/OCP | Per tutto il tempo in cui rimangono pubblici nelle fonti originarie. Aggiornati automaticamente al sync mensile/ giornaliero. Cancellabili su opposizione motivata dell'interessato (art. 21 GDPR) |
7. Trasferimenti extra-SEE
Trasferimenti verso paesi al di fuori dello Spazio Economico Europeo (SEE) avvengono solo verso fornitori (sez. 4) coperti da:
- Decisione di adeguatezza della Commissione UE (es. EU-US Data Privacy Framework, dove applicabile);
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE (Decisione 2021/914);
- Garanzie supplementari conformi alla giurisprudenza Schrems-II (CGUE C-311/18).
8. Sicurezza
Adottiamo misure tecniche e organizzative adeguate al rischio
(art. 32 GDPR): TLS 1.3 con HSTS, password con hashing Argon2,
cookie firmati e HttpOnly, isolamento dei segreti
via variabili d'ambiente con permessi ristretti (chmod 600), backup
cifrati, accessi server tramite chiave SSH (no password).
9. Modifiche all'informativa
Questa informativa può essere aggiornata. La versione corrente è sempre disponibile a /privacy. Modifiche sostanziali (nuovi sub-processor, nuove finalità) saranno notificate via email agli utenti registrati con almeno 30 giorni di anticipo.