Documento legale
Informativa sul trattamento dei dati personali
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 101/2018.
Versione: 1.1 · Ultimo aggiornamento: 15 luglio 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite la piattaforma MastroPro Enterprise è:
Viale Panoramica R. Meccadinardo SNC, 85020 Filiano (PZ), Italia
P.IVA 01978450763 · REA PZ-148595
E-mail: support@mastropro.it
Per qualsiasi questione relativa al trattamento dei dati personali o per l'esercizio dei diritti di cui alla sezione 8, scrivere all'indirizzo e-mail indicato.
2. Responsabile della protezione dei dati (DPO)
La designazione di un Responsabile della protezione dei dati (DPO) non è obbligatoria per il Titolare, ai sensi dell'art. 37 GDPR, in quanto il trattamento non rientra nelle fattispecie ivi previste (trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali, oppure monitoraggio sistematico su larga scala degli interessati). Non è pertanto stato nominato alcun DPO.
3. Dati personali raccolti
3.1 Dati forniti direttamente dall'utente
- Dati di registrazione: indirizzo e-mail, nome e cognome.
- Dati del workspace aziendale: ragione sociale o denominazione dell'impresa/studio professionale, Partita IVA (facoltativo), indirizzo sede (facoltativo), ruolo dell'utente all'interno del workspace (amministratore, estimatore).
- Fotografie di cantiere:immagini caricate dall'utente a fini di analisi AI e generazione di rendering. Le fotografie possono contenere dati personali di terzi (es. volti di lavoratori o altri soggetti identificabili). L'utente è responsabile dell'acquisizione del consenso o della sussistenza di altra idonea base giuridica ex artt. 6 e, se applicabile, 9 GDPR con riguardo ai dati personali di terzi contenuti nelle fotografie caricate. Si raccomanda di oscurare i volti riconoscibili prima del caricamento ove tecnicamente possibile.
- Testi e annotazioni: descrizioni dei lavori, note al computo metrico, informazioni sui cantieri.
- Dati di fatturazione: nome o ragione sociale, indirizzo, Partita IVA, per le esigenze di emissione della fattura. I dati della carta di credito sono gestiti esclusivamente da Stripe e non transitano né vengono conservati sui sistemi di MastroPro.
3.2 Dati raccolti automaticamente
- Log tecnici: indirizzo IP, tipo di browser, sistema operativo, URL delle pagine visitate, data e ora delle richieste. Generati automaticamente dai sistemi infrastrutturali di Google Firebase.
- Token di autenticazione: identificatori tecnici di sessione memorizzati nel dispositivo dell'utente tramite localStorage e IndexedDB del browser, necessari per il mantenimento dello stato di autenticazione.
- Dati di utilizzo del servizio: contatore mensile di crediti consumati per le operazioni AI (analisi foto, render, computo preventivo), associato all'account utente.
3.3 Evidenze legali e contrattuali
Per documentare la formazione e l'esecuzione del contratto e il rispetto degli obblighi applicabili, conserviamo l'identificativo utente (UID), l'identificativo del workspace, l'indirizzo e-mail dell'account, il nome dell'impresa o del workspace dichiarato al momento della conferma, il mercato e la lingua/locale applicabili, le versioni e le impronte crittografiche (hash) dei Termini, dell'Informativa privacy e della Politica di uso accettabile (AUP), le conferme rese mediante checkbox circa il potere di rappresentanza e il compimento dei 18 anni, nonché il timestamp generato dal server. Non raccogliamo né conserviamo la data di nascita per questa finalità.
Tali evidenze non sono consultabili dagli altri utenti del workspace. L'accesso è limitato ai sistemi server e al personale autorizzato del Titolare, nella misura strettamente necessaria per le finalità descritte nella presente Informativa.
4. Finalità e basi giuridiche del trattamento
| Finalità del trattamento | Base giuridica (art. 6 GDPR) |
|---|---|
| Creazione e gestione dell'account utente e del workspace aziendale | Art. 6(1)(b) — esecuzione di un contratto di cui l'interessato è parte |
| Erogazione del servizio: analisi AI delle fotografie, generazione di rendering, computo metrico, produzione del PDF preventivo | Art. 6(1)(b) — esecuzione del contratto |
| Calcolo e verifica dei limiti mensili di utilizzo del piano in abbonamento | Art. 6(1)(b) — esecuzione del contratto |
| Sicurezza del servizio, prevenzione di accessi non autorizzati e frodi | Art. 6(1)(f) — legittimo interesse del Titolare |
| Comunicazioni di servizio: notifiche tecniche, aggiornamenti contrattuali, comunicazioni relative all'abbonamento | Art. 6(1)(b) — esecuzione del contratto |
| Registrazione e conservazione delle evidenze di accettazione contrattuale e di compliance | Art. 6(1)(b) — formazione ed esecuzione del contratto; Art. 6(1)(f) — legittimo interesse del Titolare a dimostrare la compliance e ad accertare, esercitare o difendere diritti |
| Adempimenti fiscali e contabili connessi alla gestione dei pagamenti | Art. 6(1)(c) — obbligo legale (D.P.R. 633/1972 IVA, D.P.R. 917/1986 TUIR) |
Il conferimento dei dati necessari all'esecuzione del contratto (e-mail, credenziali di accesso) è obbligatorio; senza di essi non è possibile utilizzare il Servizio. Il conferimento dei dati facoltativi (Partita IVA, indirizzo sede) è volontario e la loro mancata indicazione non preclude l'accesso al Servizio.
5. Responsabili del trattamento (sub-processor)
Il Titolare si avvale dei fornitori di servizi terzi di seguito indicati, che in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR trattano dati per conto del Titolare. I termini contrattuali e le garanzie applicabili dipendono dall'account del Titolare presso ciascun fornitore e sono soggetti a verifica periodica. L'uso di un fornitore per dati personali è subordinato alla validità delle condizioni ex art. 28 GDPR e, ove necessario, delle garanzie per i trasferimenti internazionali.
| Fornitore | Servizio | Sede | Stato DPA |
|---|---|---|---|
| Google Ireland Limited / Google LLC | Autenticazione (Firebase Auth), database (Firestore), archiviazione file (Firebase Storage), hosting applicazione (Firebase App Hosting) | Irlanda / USA | ✅ DPA e SCC — firebase.google.com/support/privacy |
| Google LLC (reCAPTCHA / Firebase App Check) | Protezione anti-abuso e anti-bot delle pagine e delle API (App Check con reCAPTCHA v3). Analizza segnali tecnici del dispositivo e del browser per distinguere il traffico umano da quello automatizzato. | USA | ✅ Coperto dai termini Google / SCC — policies.google.com/privacy |
| Anthropic, PBC | Analisi AI delle fotografie tramite API (Claude Vision) e generazione dei prompt di rendering. Gli input/output commerciali non sono usati per addestrare i modelli salvo opt-in esplicito. | USA / altre regioni dichiarate dal fornitore | DPA e SCC incorporati nei termini commerciali Anthropic |
| Replicate, Inc. | Generazione dei rendering AI (FLUX Depth Dev, GPT-Image e Nano Banana Pro). Input, output, file e log delle prediction API sono rimossi dal fornitore, di regola, entro un'ora. | USA | Base contrattuale e garanzie di trasferimento da verificare sull'account del Titolare |
| X.AI LLC (xAI) | Generazione asincrona dei video render tramite API Grok Imagine Video. | USA | DPA incorporato nei termini Enterprise xAI; SCC previste dal DPA |
| Stripe Payments Europe Ltd | Gestione dei pagamenti e degli abbonamenti ricorrenti | Irlanda / paesi dei subfornitori | DPA e garanzie di trasferimento incorporati nello Stripe Services Agreement |
| Plus Five Five, Inc. (Resend) | Invio di e-mail transazionali e dei preventivi PDF | USA | DPA con SCC incorporato nei termini Resend |
| TeamSystem S.p.A. / Fatture in Cloud | Creazione delle bozze di fattura con i dati fiscali del cliente; invio SDI gestito separatamente | Italia / UE | Condizioni privacy e trattamento applicabili al contratto Fatture in Cloud |
| Functional Software, Inc. (Sentry) | Monitoraggio tecnico degli errori e delle prestazioni; non sono intenzionalmente inviati contenuti di cantiere | USA / UE secondo configurazione | DPA e garanzie di trasferimento disponibili nei termini Sentry |
6. Trasferimento dei dati verso paesi terzi
Alcuni fornitori possono trattare dati al di fuori dello SEE, inclusi Stati Uniti e altre regioni dichiarate nei rispettivi elenchi di sub-responsabili. Quando non opera una decisione di adeguatezza, il trasferimento deve fondarsi sulle Clausole Contrattuali Standard (SCC)della Commissione europea o su altra garanzia valida ai sensi dell'art. 46 GDPR, accompagnata dalle verifiche richieste al Titolare.
I servizi Google LLC gestiti su server al di fuori dello Spazio Economico Europeo sono coperti dal framework di trasferimento adottato da Google (SCC — policies.google.com/privacy/frameworks).
Archiviazione fisica dei dati: i dati memorizzati su Firebase Firestore e Storage sono configurati nella regione europe-west8 (Milano, Italia), all'interno dello SEE. Le fotografie e i preventivi e i media persistenti restano archiviati in Italia, fatto salvo il trattamento necessario presso Anthropic, Replicate e xAI durante le operazioni AI richieste dall'utente, e presso gli ulteriori fornitori indicati nella tabella per le rispettive finalità.
7. Periodo di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di account e workspace | Per la durata del contratto e fino alla cancellazione automatica 30 giorni dopo la cessazione, salvo richieste o obblighi prevalenti |
| Fotografie, rendering, video, preventivi e computi | Per la durata del contratto; cancellazione dai sistemi attivi 30 giorni dopo la cessazione del workspace |
| Link pubblico di condivisione video | 30 giorni dalla creazione, salvo revoca o cancellazione anticipata |
| Input/output delle prediction Replicate | Di regola rimossi automaticamente dal fornitore entro un'ora per le prediction create via API |
| Log tecnici e segnalazioni Sentry | Per il periodo configurato presso i fornitori, limitato a quanto necessario per sicurezza e diagnosi |
| Contatori di utilizzo mensile | Per la durata necessaria a calcolo dei limiti, assistenza e contestazioni |
| Evidenze legali e contrattuali di accettazione | Per la durata del contratto e per 10 anni dalla cessazione (art. 2946 c.c.); più a lungo solo se richiesto da un obbligo di legge o necessario per accertare, esercitare o difendere un diritto nell'ambito di una controversia |
| Dati di fatturazione e transazioni | 10 anni dalla data della fattura (art. 2220 c.c.) |
Le durate applicate dai fornitori AI sono disciplinate dai rispettivi termini commerciali, DPA e impostazioni dell'account. Non viene dichiarata una configurazione “zero data retention” se non espressamente attivata e documentata per l'account del Titolare. Per i servizi commerciali Anthropic gli input/output non sono usati per addestramento salvo opt-in esplicito.
8. Diritti dell'interessato
Ai sensi degli artt. 15–22 GDPR, l'utente ha il diritto di:
- Accesso (art. 15): ottenere conferma che sia in corso un trattamento e richiedere copia dei propri dati personali, con indicazione delle finalità e dei destinatari.
- Rettifica (art. 16): ottenere, senza ingiustificato ritardo, la correzione di dati inesatti o l'integrazione di dati incompleti.
- Cancellazione / Diritto all'oblio (art. 17): ottenere l'eliminazione dei propri dati personali, salvo che la conservazione sia necessaria per adempimenti di legge o per la difesa di un diritto in sede giudiziaria.
- Limitazione del trattamento (art. 18): ottenere che il trattamento dei propri dati sia temporaneamente sospeso, ad es. durante una contestazione sull'esattezza dei dati.
- Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare.
- Opposizione (art. 21): opporsi in qualsiasi momento al trattamento fondato sul legittimo interesse del Titolare (sezione 4, ultima riga).
- Revoca del consenso: ove il trattamento sia fondato sul consenso, revocarlo in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca.
- Non essere sottoposto a decisioni automatizzate (art. 22): MastroPro non adotta decisioni che producano effetti giuridici significativi basate esclusivamente su trattamento automatizzato.
Per esercitare i propri diritti, inviare richiesta scritta a support@mastropro.it. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta (prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione al richiedente).
L'interessato ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — garanteprivacy.it).
9. Cookie e tecnologie di tracciamento
MastroPro Enterprise utilizza esclusivamente tecnologie di archiviazione locale e cookie tecnici strettamente necessari al funzionamento del Servizio. Non vengono utilizzati cookie di profilazione, cookie di analytics di terze parti o pixel di tracciamento marketing.
| Tecnologia | Finalità | Durata | Fornitore |
|---|---|---|---|
| IndexedDB / localStorage | Conservazione del token di autenticazione Firebase per il mantenimento della sessione utente. Tecnico/funzionale, strettamente necessario. | Persistente (fino al logout) | Google Firebase |
| Cookie tecnici CDN/hosting | Instradamento delle richieste HTTP verso il server più vicino (load balancing). Tecnico/infrastrutturale. | Sessione | Google Cloud / Firebase App Hosting |
| Cookie _GRECAPTCHA | Analisi anti-bot di Google reCAPTCHA per la protezione da abusi e accessi automatizzati (App Check). Tecnico/di sicurezza, strettamente necessario. | 6 mesi | Google LLC |
Il Servizio integra inoltre Google reCAPTCHA v3(in combinazione con Firebase App Check) su tutte le pagine, a fini di sicurezza e prevenzione di abusi, accessi automatizzati e frodi. reCAPTCHA raccoglie informazioni hardware e software del dispositivo e del browser (tra cui l'indirizzo IP) e le trasmette a Google LLC per l'analisi. Il trattamento si fonda sul legittimo interesse del Titolare alla protezione del Servizio (art. 6(1)(f) GDPR) ed è strettamente necessario alla sua erogazione in sicurezza. L'uso di reCAPTCHA è soggetto alla Privacy Policy e ai Termini di servizio di Google.
In conformità con il Provvedimento del Garante per la protezione dei dati personali del 10 giugno 2021 in materia di cookie e altri strumenti di tracciamento, non è richiesto il preventivo consenso dell'utente per il posizionamento delle suddette tecnologie, in quanto strettamente necessarie all'erogazione del Servizio esplicitamente richiesto dall'utente. Il sito non è pertanto dotato di banner di consenso ai cookie.
10. MastroPro come responsabile del trattamento (art. 28 GDPR)
Nell'ambito dell'erogazione del Servizio, il Titolare opera anche nella qualità di responsabile del trattamentoai sensi dell'art. 28 GDPR, trattando dati personali di terzi (es. lavoratori ritratti nelle fotografie di cantiere) per conto dei propri clienti (titolari del trattamento).
In tale veste, il Titolare:
- tratta i dati esclusivamente per le finalità istruite dal cliente (analisi AI, generazione render, preventivazione) e non per finalità proprie;
- non cede tali dati a sub-responsabili ulteriori rispetto a quelli indicati nella sezione 5;
- adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (cifratura TLS, controllo degli accessi, autenticazione JWT);
- assiste il cliente nell'espletamento delle richieste di esercizio dei diritti degli interessati;
- elimina o restituisce i dati al termine del rapporto contrattuale secondo i termini di cui alla sezione 7;
- mette a disposizione del cliente le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR.
I Termini di Servizio di MastroPro Enterprise costituiscono l'accordo sul trattamento dei dati ex art. 28 par. 3 GDPR. Il cliente è tenuto a caricare sulla piattaforma esclusivamente fotografie per le quali abbia acquisito il consenso degli interessati o possa vantare altra idonea base giuridica.
Il trattamento di immagini che consentono l'identificazione univoca di una persona fisica (dati biometrici ex art. 9 GDPR) richiede una base giuridica rafforzata. MastroPro processa le fotografie esclusivamente per l'analisi strutturale e architettonica degli ambienti, non per scopi identificativi. Si raccomanda vivamente di oscurare i volti riconoscibili prima del caricamento.
11. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui: cifratura dei dati in transito tramite TLS 1.2/1.3; accesso ai dati Firestore e Storage limitato tramite regole di sicurezza per-utente; autenticazione server-side tramite verifica del token JWT Firebase; accesso ai segreti applicativi (chiavi API) tramite Firebase Secret Manager (mai in codice sorgente).
12. Minori
Il Servizio è destinato esclusivamente a professionisti e imprese. Non è consentita la registrazione a persone di età inferiore ai 18 anni. MastroPro non raccoglie consapevolmente dati personali di minori.
13. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente informativa in qualsiasi momento, in caso di modifiche normative, tecnologiche o operative. Le modifiche sostanziali saranno comunicate tramite avviso all'interno dell'applicazione o per e-mail con un preavviso di almeno 15 giorni prima dell'entrata in vigore. La versione aggiornata sarà sempre disponibile su mastropro.it/privacy con indicazione della data di revisione.
14. Contatti
Per qualsiasi questione relativa al trattamento dei dati personali o per esercitare i diritti di cui alla sezione 8:
- E-mail: support@mastropro.it
- Oggetto: "Esercizio diritti GDPR — [cognome]"