Informativa Privacy — inRegolex
Ultimo aggiornamento: 2026-05-08 Versione: 1.0
1. Premessa
Ai sensi degli artt. 13 e 14 del Reg. UE 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy"), ti forniamo le seguenti informazioni sul trattamento dei tuoi dati personali quando utilizzi il servizio inRegolex (di seguito "Servizio").
2. Titolare del trattamento
Il Titolare del trattamento è:
- Denominazione: Inregola LLC
- Forma giuridica: LLC (Limited Liability Company), di diritto statunitense
- Entity ID: 12024587
- Filing No: 26052910066224
- Sede legale: {TBD: indirizzo completo}
- EIN: 42-2415887
- Email per la privacy: privacy@inregolex.com
- Email di contatto legale: legal@inregolex.com
3. Responsabile della protezione dei dati (DPO)
inRegolex non ha designato un Responsabile della protezione dei dati ai sensi dell'art. 37 GDPR. La nomina non è obbligatoria in quanto il Titolare non rientra nelle categorie di cui all'art. 37.1 (autorità pubblica, attività principale che richiede monitoraggio sistematico su larga scala, attività principale di trattamento su larga scala di categorie particolari di dati). La designazione sarà valutata in caso di crescita significativa della base utenti o di estensione del trattamento a categorie particolari di dati.
Per qualsiasi questione relativa alla privacy puoi comunque scrivere a privacy@inregolex.com.
4. Categorie di dati personali trattati
Trattiamo le seguenti categorie di dati personali:
4.1 Dati che ci fornisci direttamente
| Categoria | Esempi |
|---|---|
| Dati di registrazione | Indirizzo email, lingua di notifica preferita |
| Dati di contatto | Numero di telefono (facoltativo, solo per ricevere SMS) |
| Dati delle proprietà gestite | Denominazione, indirizzo, città, provincia, codice CIN, codice struttura Alloggiati Web, comune per la tassa di soggiorno |
| Dati dei proprietari (Owner Portal) | Email, nome del proprietario della struttura per cui sei Property Manager |
| Credenziali Polizia di Stato | Username, password e Web Key del portale Alloggiati Web — cifrate con AES-256-GCM prima di essere persistite. Le credenziali sono decifrate (just-in-time) esclusivamente al momento dell'invio della schedina alla Polizia di Stato, non vengono mai registrate nei log e non rimangono in chiaro in memoria al termine dell'operazione. |
| Dati di pagamento | Gestiti direttamente da Stripe (vedi §7) — non riceviamo né conserviamo i dati di carta |
4.2 Dati Ospite (sei tu il Titolare, noi il Responsabile)
Per gli ospiti delle tue strutture trattiamo, per tuo conto in qualità di Responsabile ex art. 28 GDPR:
- nome, cognome, sesso, data e luogo di nascita;
- cittadinanza, paese di nascita;
- tipo, numero, data di rilascio e scadenza, paese di rilascio del documento di identità;
- date di check-in e check-out;
- ruolo nella prenotazione (singolo, capofamiglia, capogruppo);
- l'eventuale schedina e ricevuta PDF prodotta dal portale Polizia di Stato.
4.3 Dati raccolti automaticamente
| Categoria | Esempi |
|---|---|
| Dati tecnici | Indirizzo IP, User-Agent, identificativi di sessione |
| Log applicativi | Endpoint chiamato, codice di stato, timestamp |
| Dati anti-bot | Token di verifica Cloudflare Turnstile (esclusivamente al login) |
| Dati di errore | Stack trace e contesto di errore inviati a Sentry (con scrubbing PII) |
| Reservazioni iCal | Date e identificatori delle prenotazioni recuperate dai feed Airbnb/Booking |
4.4 Dati relativi al programma referral
- Codice referral generato per il tuo account (pseudonimo);
- Cookie
inregolex_ref(durata 30 giorni) che attribuisce la tua iscrizione al referente; - Notifica al referente dell'avvenuta iscrizione (data, non email).
5. Finalità del trattamento e basi giuridiche
| Finalità | Categorie di dati | Base giuridica (art. 6 GDPR) |
|---|---|---|
| Erogazione del Servizio (autenticazione, gestione proprietà, dashboard) | Tutti i dati di account e proprietà | art. 6.1.b — esecuzione del contratto |
| Trasmissione automatica delle schedine alla Polizia di Stato | Dati Ospite, credenziali Alloggiati | art. 6.1.c — obbligo di legge (art. 109 TULPS) |
| Conservazione dei dati Ospite per 5 anni | Dati Ospite, ricevute PDF | art. 6.1.c — obbligo di legge (regolamento PS) |
| Calcolo tassa di soggiorno e tracciamento DAC7 | Dati proprietà, dati di soggiorno aggregati | art. 6.1.b — esecuzione del contratto |
| Invio di notifiche transazionali (scadenze, errori, riepiloghi) | Email, telefono, ID utente | art. 6.1.b — esecuzione del contratto |
| Fatturazione e pagamenti | Email, dati Stripe Customer | art. 6.1.b + art. 6.1.c (norme fiscali) |
| Conservazione dati di fatturazione per 10 anni | Dati di fatturazione | art. 6.1.c — obbligo fiscale (art. 2220 c.c.) |
| Sicurezza, anti-abuso, rate limiting, anti-bot | IP, User-Agent, hash bucket | art. 6.1.f — legittimo interesse del Titolare alla protezione del Servizio |
| Diagnostica errori (Sentry) | Stack trace, ID utente pseudonimo | art. 6.1.f — legittimo interesse alla manutenzione |
| Programma referral | Codice referral, cookie attribuzione | art. 6.1.f — legittimo interesse alla crescita |
| Owner Portal — invio inviti e accesso proprietari | Email + nome del proprietario | art. 6.1.f — legittimo interesse del Cliente alla rendicontazione verso il proprietario |
5.1 Bilanciamento legittimi interessi
Per i trattamenti basati sull'art. 6.1.f, il Titolare ha effettuato il bilanciamento di interessi e ritenuto prevalente l'interesse legittimo perseguito sui diritti e le libertà degli interessati, in considerazione della natura limitata dei dati trattati, della finalità di sicurezza/manutenzione/rendicontazione e dell'aspettativa ragionevole degli interessati. Il bilanciamento è disponibile su richiesta scrivendo a privacy@inregolex.com.
5.2 Obbligatorietà del conferimento
- Il conferimento dei dati di registrazione e dei dati di proprietà è necessario per accedere al Servizio: il rifiuto comporta l'impossibilità di erogare il Servizio.
- Il conferimento dei dati Ospite è obbligatorio per legge (art. 109 TULPS): il rifiuto da parte tua di registrarli ti espone alle sanzioni previste dalla normativa.
- Il conferimento del numero di telefono è facoltativo ed è richiesto solo se desideri ricevere notifiche SMS.
6. Periodo di conservazione
| Categoria | Periodo |
|---|---|
| Dati di account (email, telefono, preferenze) | Per tutta la durata del rapporto contrattuale. Alla cancellazione: anonimizzazione immediata dei dati identificativi; copie nei backup automatici sono eliminate entro 30 giorni |
| Dati di proprietà | Per tutta la durata del rapporto contrattuale. Alla cancellazione: anonimizzazione immediata; backup eliminati entro 30 giorni |
| Dati Ospite e ricevute Alloggiati | 5 anni dalla registrazione (regolamento Pubblica Sicurezza) |
| Dati di fatturazione | 10 anni (art. 2220 c.c.) |
| Credenziali Alloggiati Web cifrate | Fino alla disconnessione esplicita o cancellazione account |
| Log applicativi e dati di sicurezza | 90 giorni |
| Eventi di rate-limiting | 90 giorni |
| Dati di errore Sentry | 90 giorni |
Cookie inregolex_ref (referral) |
30 giorni |
Cookie inregolex_cookie_notice (preferenza) |
365 giorni |
Alla cancellazione dell'account, i dati identificativi (email, telefono) vengono anonimizzati immediatamente nella stessa transazione di cancellazione. La residua finestra di 30 giorni si riferisce esclusivamente ai backup automatici del database (mantenuti per finalità di disaster recovery ai sensi dell'art. 32 GDPR), dopo i quali ogni copia dei dati identificativi è eliminata. I dati Ospite e di fatturazione vengono mantenuti in forma pseudonimizzata fino alla scadenza dei rispettivi obblighi di legge, dopodiché sono cancellati.
Il Calendario di conservazione integra la presente sezione con il dettaglio operativo per ciascuna categoria di dati e le relative basi normative.
7. Destinatari dei dati (responsabili esterni e sub-responsabili)
Per erogare il Servizio ci avvaliamo dei seguenti fornitori, tutti nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR. L'elenco completo e versionato — incluse le sedi di trattamento, le tipologie di dati condivise e la procedura di obiezione a nuovi sub-processor — è pubblicato in /legal/sub-processors.
| Fornitore | Servizio | Regione del trattamento | Trasferimenti extra-UE |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione, storage | UE — Frankfurt | No |
| Vercel Inc. | Hosting applicativo | UE primaria, edge globale | SCC per edge non-UE |
| Stripe Payments Europe Ltd. | Pagamenti e fatturazione | UE — Irlanda | SCC per supporto USA |
| Resend Inc. | Invio email transazionali | UE (regione selezionata) | SCC se non in UE |
| Twilio Ireland Ltd. | Invio SMS | UE — Irlanda | SCC per supporto USA |
| Functional Software Inc. (Sentry) | Rilevazione errori | UE — Frankfurt | SCC per fallback USA |
| Cloudflare Inc. | Anti-bot Turnstile (cookie strettamente necessari) | Globale | SCC |
7.1 Destinatari per obbligo di legge
- Polizia di Stato — Servizio Alloggiati Web: destinatario obbligatorio dei dati Ospite ex art. 109 TULPS;
- Agenzia delle Entrate: destinataria dei dati DAC7 — la trasmissione è effettuata direttamente dalle piattaforme (Airbnb, Booking) e inRegolex si limita a riconciliare i dati;
- Comune di riferimento: per la tassa di soggiorno il Cliente paga direttamente al Comune, inRegolex tiene la traccia.
La Polizia di Stato e l'Agenzia delle Entrate operano come Titolari autonomi del trattamento ai sensi delle rispettive normative di settore (TULPS e D.Lgs. 32/2023 di recepimento della Direttiva DAC7); non sono Responsabili del trattamento ex art. 28 GDPR. La trasmissione dei dati a tali soggetti è una comunicazione obbligatoria per legge e non richiede pertanto un atto di nomina ex art. 28.
7.2 Trasferimenti internazionali (art. 44+ GDPR)
Quando un sub-responsabile si trova al di fuori dello Spazio Economico Europeo, il trasferimento è coperto dalle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 e dalle valutazioni di impatto sul trasferimento (Transfer Impact Assessment) condotte ai sensi della sentenza Schrems II.
8. Diritti dell'interessato (artt. 15-22 GDPR)
In qualità di interessato, hai diritto in qualsiasi momento di:
- Accesso (art. 15) — ricevere conferma del trattamento e una copia dei dati personali;
- Rettifica (art. 16) — chiedere la correzione di dati inesatti o incompleti;
- Cancellazione "diritto all'oblio" (art. 17) — chiedere la cancellazione dei dati, fatti salvi gli obblighi legali di conservazione;
- Limitazione del trattamento (art. 18) — chiedere la sospensione del trattamento in casi specifici;
- Portabilità (art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON);
- Opposizione (art. 21) — opporti ai trattamenti basati sul legittimo interesse;
- Revoca del consenso — quando il trattamento si basa sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità dei trattamenti precedenti;
- Reclamo al Garante (art. 77) — proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it).
8.1 Modalità di esercizio
- Cancellazione account: disponibile in autonomia da Impostazioni → Elimina account.
- Esportazione dati (accesso + portabilità): disponibile in autonomia da Impostazioni → Esporta i miei dati. Il sistema produce un archivio JSON + PDF con tutti i tuoi dati.
- Altri diritti: scrivi a privacy@inregolex.com indicando: (a) il diritto che intendi esercitare, (b) un identificativo che ci consenta di verificare la tua identità (tipicamente l'email associata all'account). Risponderemo entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 giorni per richieste particolarmente complesse, ai sensi dell'art. 12.3 GDPR.
8.2 Reclamo all'Autorità Garante
Hai diritto di proporre reclamo a:
Garante per la protezione dei dati personali Piazza Venezia, 11 — 00187 Roma Tel.: (+39) 06.69677.1 PEC: protocollo@pec.gpdp.it Web: https://www.garanteprivacy.it
9. Decisioni automatizzate (art. 22 GDPR)
inRegolex non effettua decisioni esclusivamente automatizzate che producano effetti giuridici o significativi nei tuoi confronti ai sensi dell'art. 22 GDPR. Le automazioni del Servizio (invio schedine, calcolo tassa, alert) eseguono regole deterministiche su tuoi dati e per tuo conto, e non comportano profilazione.
10. Sicurezza dei dati (art. 32 GDPR)
Adottiamo misure tecniche e organizzative adeguate al rischio, tra cui:
- Cifratura at-rest delle credenziali Alloggiati Web (AES-256-GCM con IV casuale e authTag — chiave gestita fuori dal database). Le credenziali in chiaro non esistono mai in forma persistente: vengono decifrate just-in-time esclusivamente per la durata della singola chiamata SOAP al portale Polizia di Stato e non sono mai loggate, cachate o esposte all'esterno della funzione che le utilizza;
- Cifratura in transito TLS 1.2+ obbligatoria su tutte le comunicazioni;
- Controllo accessi multi-tenant tramite Row Level Security su Postgres + ulteriore filtro applicativo;
- Header di sicurezza Content-Security-Policy, HSTS, X-Frame-Options DENY, Referrer-Policy strict;
- Anti-bot Turnstile sul login;
- Rate limiting sulle azioni sensibili;
- Webhook firmati HMAC-SHA256 in uscita;
- Audit logging delle operazioni critiche;
- Backup giornalieri automatici tramite Supabase, ripristino testato.
Per il dettaglio tecnico delle misure di sicurezza, vedi docs/security-audit-2026-05-03.md (interno).
11. Violazioni dei dati (art. 33-34 GDPR)
In caso di violazione dei dati personali (data breach) che presenti un rischio per i diritti e le libertà degli interessati, inRegolex provvederà a:
- notificare al Garante entro 72 ore dalla scoperta;
- comunicare la violazione agli interessati, senza ingiustificato ritardo, qualora il rischio sia elevato.
12. Cookie e tracciatori
Per l'uso dei cookie da parte del Servizio si rimanda alla Cookie Policy, che costituisce parte integrante della presente Informativa.
13. Modifiche all'informativa
Eventuali modifiche sostanziali alla presente Informativa ti saranno comunicate via email. Le modifiche puramente formali sono pubblicate su questa pagina con aggiornamento della data in calce.
Versione: 1.0 Effective date: 2026-05-08 Contatti privacy: privacy@inregolex.com