⚠️ Atryo è in fase beta sperimentale. Servizio fornito "as-is" senza garanzie.Scopri di più →
Indietro

Accordo sul Trattamento dei Dati Personali

Ultimo aggiornamento: 1 aprile 2026

1. Premesse e definizioni

Il presente Accordo sul Trattamento dei Dati Personali ("DPA") è stipulato tra:

  • Titolare del trattamento ("Titolare"): il soggetto che si registra sulla piattaforma Atryo in qualità di proprietario immobiliare o property manager ("PM"), che determina le finalità e i mezzi del trattamento dei dati personali degli inquilini e di altri soggetti interessati;
  • Responsabile del trattamento ("Responsabile"): il soggetto che gestisce la piattaforma Atryo, accessibile all'indirizzo https://atryo.ai, che tratta i dati personali per conto del Titolare nell'ambito della fornitura del servizio.
Il presente DPA è parte integrante dei Termini e Condizioni del servizio Atryo e si applica a tutti i trattamenti di dati personali effettuati dal Responsabile per conto del Titolare tramite la piattaforma.

Il presente DPA è redatto ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 ("GDPR").

2. Oggetto del trattamento

Il Responsabile tratta dati personali per conto del Titolare esclusivamente ai fini della fornitura dei servizi della piattaforma Atryo, che includono:

  • Gestione anagrafica degli inquilini
  • Gestione dei contratti di locazione
  • Gestione delle richieste di manutenzione
  • Comunicazioni con gli inquilini
  • Elaborazione e tracciamento dei pagamenti dei canoni
  • Generazione di report e statistiche operative
  • Funzionalità di diagnostica assistita da intelligenza artificiale (ove attivate)

3. Categorie di dati personali trattati

Il Responsabile tratta le seguenti categorie di dati personali per conto del Titolare:

Dati degli inquilini (tenants):

  • Dati identificativi: nome, cognome, data di nascita, nazionalità
  • Dati di contatto: indirizzo email, numero di telefono
  • Dati fiscali: codice fiscale
  • Documenti di identità: tipo e numero del documento
  • Dati relativi all'alloggio: stanza assegnata, date di check-in/check-out, importo del canone

Dati dei proprietari/locatori (landlords):
  • Dati identificativi: nome, cognome, data di nascita, residenza
  • Dati di contatto: email, telefono
  • Dati fiscali e bancari: codice fiscale, IBAN

Dati delle proprietà:
  • Indirizzo dell'immobile
  • Codici di accesso (WiFi, allarme, keybox) ove inseriti dal Titolare

4. Categorie di interessati

Gli interessati i cui dati personali sono trattati includono:

  • Inquilini e potenziali inquilini del Titolare
  • Proprietari di immobili gestiti dal Titolare
  • Collaboratori e referenti del Titolare

5. Durata del trattamento

Il trattamento ha inizio con la registrazione del Titolare sulla piattaforma e prosegue per tutta la durata dell'utilizzo del servizio. Al termine del rapporto contrattuale, i dati personali saranno conservati per un periodo massimo di 30 giorni dalla cancellazione dell'account, come indicato nella Privacy Policy, salvo obblighi di legge che ne richiedano una conservazione più lunga.

6. Obblighi del Responsabile

Il Responsabile si impegna a:

a) Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, incluse quelle relative al trasferimento di dati verso paesi terzi, salvo che il diritto dell'Unione o degli Stati membri cui è soggetto il Responsabile gli imponga di procedere diversamente;

b) Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) Adottare tutte le misure tecniche e organizzative richieste ai sensi dell'Art. 32 del GDPR (dettagliate alla Sezione 8);

d) Rispettare le condizioni per ricorrere a sub-responsabili del trattamento di cui alla Sezione 9;

e) Assistere il Titolare, tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per soddisfare l'obbligo del Titolare di dare seguito alle richieste degli interessati relative all'esercizio dei loro diritti;

f) Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli Artt. 32-36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;

g) Su scelta del Titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;

h) Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente articolo e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.

7. Obblighi del Titolare

Il Titolare si impegna a:

a) Garantire che i dati personali inseriti nella piattaforma siano stati raccolti in conformità al GDPR e che esista una base giuridica valida per il trattamento;

b) Fornire al Responsabile istruzioni documentate relative al trattamento dei dati personali;

c) Informare gli interessati (inquilini, proprietari) del trattamento dei loro dati tramite la piattaforma Atryo, fornendo loro un'informativa privacy conforme agli Artt. 13 e 14 del GDPR;

d) Verificare che il trattamento effettuato tramite la piattaforma sia conforme alla normativa applicabile.

8. Misure di sicurezza

Il Responsabile adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:

Misure tecniche:

  • Cifratura delle comunicazioni tramite protocollo HTTPS/TLS su tutte le connessioni
  • Cifratura delle password con algoritmo bcrypt (cost factor 10)
  • Cifratura delle credenziali di integrazione con algoritmo AES-256-GCM
  • Autenticazione basata su cookie separati per ruolo (owner, PM, tenant, admin)
  • Query parametrizzate per la prevenzione di SQL injection
  • Rate limiting sugli endpoint critici
  • Monitoraggio errori tramite Sentry con tracking client, server e edge

Misure organizzative:
  • Accesso ai sistemi di produzione limitato al personale strettamente necessario
  • Separazione logica dei dati per organizzazione (multi-tenancy con isolamento tramite org_id)
  • Politica di conservazione dei dati documentata nella Privacy Policy
  • Procedura di gestione delle violazioni dei dati (Sezione 10)

Infrastruttura e sub-responsabili:
  • Hosting applicativo: Vercel Inc. (edge network globale, data center EU disponibili)
  • Database: Turso (LibSQL, infrastruttura edge)
  • Storage oggetti: Cloudflare R2 (data center EU)
  • Email transazionale: Resend
  • Pagamenti: Stripe (certificato PCI DSS Level 1)
  • AI diagnostica: Google (Gemini API), Anthropic (Claude API) — solo per funzionalità opzionali attivate dal Titolare

9. Sub-responsabili del trattamento

Il Titolare autorizza il Responsabile a ricorrere ai sub-responsabili elencati nella Sezione 8, necessari per la fornitura del servizio.

Il Responsabile informerà il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi a tali modifiche. L'informazione verrà fornita tramite comunicazione email o avviso sulla piattaforma con un preavviso di almeno 30 giorni.

In caso di opposizione del Titolare, il Responsabile si adopererà per proporre una soluzione alternativa. Qualora non sia possibile raggiungere un accordo, il Titolare potrà recedere dal servizio.

Il Responsabile garantisce che ogni sub-responsabile sia vincolato da obblighi di protezione dei dati sostanzialmente equivalenti a quelli previsti dal presente DPA.

10. Notifica delle violazioni dei dati

In caso di violazione dei dati personali (data breach), il Responsabile:

a) Notificherà il Titolare senza ingiustificato ritardo e, ove possibile, entro 48 ore dal momento in cui ne è venuto a conoscenza;

b) Fornirà al Titolare informazioni sufficienti per consentirgli di adempiere agli obblighi di notifica al Garante Privacy (entro 72 ore) e di comunicazione agli interessati, ove necessario;

c) Collaborerà con il Titolare per mitigare gli effetti della violazione e per prevenire ulteriori violazioni;

d) Documenterà la violazione, compresi i fatti, gli effetti e le misure correttive adottate.

11. Trasferimenti internazionali

I dati personali trattati tramite la piattaforma possono essere trasferiti al di fuori dello Spazio Economico Europeo esclusivamente verso paesi o organizzazioni che garantiscono un livello di protezione adeguato ai sensi del GDPR, inclusi trasferimenti basati su:

  • Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework)
  • Clausole contrattuali standard approvate dalla Commissione Europea
I sub-responsabili elencati nella Sezione 8 che operano negli Stati Uniti sono coperti dal EU-US Data Privacy Framework o da clausole contrattuali standard.

12. Diritti di audit

Il Titolare ha il diritto di verificare la conformità del Responsabile agli obblighi previsti dal presente DPA. Le verifiche:

a) Saranno condotte con un preavviso ragionevole di almeno 30 giorni;
b) Saranno eseguite durante il normale orario lavorativo;
c) Non interferiranno in modo irragionevole con le attività del Responsabile;
d) Saranno a carico del Titolare, salvo che l'audit riveli una non conformità materiale.

Il Responsabile potrà soddisfare tale obbligo anche fornendo certificazioni, report di audit di terze parti o documentazione equivalente.

13. Responsabilità

La responsabilità del Responsabile per danni derivanti dal trattamento è limitata a quanto previsto nei Termini e Condizioni del servizio e, in ogni caso, è limitata a danni diretti e documentati, con esclusione di danni indiretti, consequenziali o perdite di profitto.

14. Modifiche

Il Responsabile si riserva il diritto di aggiornare il presente DPA per adeguarlo a modifiche normative o a variazioni del servizio. Le modifiche sostanziali saranno comunicate al Titolare con un preavviso di almeno 30 giorni. L'uso continuato della piattaforma dopo la data di efficacia delle modifiche costituisce accettazione delle stesse.

15. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana e dal GDPR. Per qualsiasi controversia derivante dal presente DPA è competente il Foro di Padova.

16. Contatti

Per qualsiasi richiesta relativa al presente DPA o al trattamento dei dati personali, il Titolare può contattare il Responsabile all'indirizzo: privacy@atryo.ai

Termini·Privacy·Cookie·DPA