Conformità GDPR

Ultimo aggiornamento: 20 maggio 2026

MyCondominio S.r.l. tratta dati personali in conformità al Regolamento UE 2016/679 (GDPR) e alla normativa italiana di adeguamento (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018).

Ruoli

Nel rapporto tra MyCondominio e gli studi clienti:

• Studio cliente: Titolare del trattamento dei dati dei condomini gestiti
• MyCondominio: Responsabile del trattamento ex art. 28 GDPR (per i dati dei condomini gestiti dagli studi)
• MyCondominio: Titolare del trattamento per i dati degli studi clienti

Data Processing Agreement (DPA)

Al momento dell'attivazione del Servizio, ogni studio cliente firma elettronicamente un DPA standard che disciplina il trattamento dei dati dei condomini come Responsabile esterno. Il template del DPA è disponibile su richiesta a dpo@mycondominio.net.

Per il piano Studio (enterprise) è possibile concordare DPA personalizzati con clausole aggiuntive.

Data Protection Officer (DPO)

Il DPO designato è raggiungibile a dpo@mycondominio.net. Tempo di risposta: 5 giorni lavorativi per richieste ordinarie, 24 ore per data breach.

Registro dei trattamenti

MyCondominio mantiene un registro dei trattamenti ex art. 30 GDPR aggiornato. È disponibile per la consultazione delle autorità di controllo su richiesta.

Valutazione d'impatto privacy (DPIA)

È stata effettuata una DPIA ex art. 35 GDPR per il trattamento sistematico di dati personali nel contesto del software condominiale. Risultato: rischio residuo basso. La DPIA viene rivista annualmente e ad ogni modifica significativa del Servizio.

Misure tecniche e organizzative

Sicurezza tecnica

• Crittografia AES-256 dei dati a riposo (database, backup, allegati)
• TLS 1.3 per tutte le connessioni in transito
• HSTS con preload
• Backup geo-ridondante (Milano + Irlanda)
• Disaster recovery con RPO 1h, RTO 4h
• Penetration testing annuale da terza parte indipendente
• Bug bounty program tramite HackerOne (per ricercatori di sicurezza)
• WAF (Web Application Firewall) con rate limiting e bot detection
• Logging e SIEM con conservazione 12 mesi

Sicurezza organizzativa

• Two-factor authentication obbligatorio per il team MyCondominio
• Accesso ai dati clienti solo con justification e logging
• Formazione GDPR annuale per tutto il personale
• Background check al momento dell'assunzione
• Clausole di riservatezza nei contratti di lavoro
• Policy "least privilege" sull'accesso ai sistemi
• Revisione semestrale dei permessi di accesso

Trasferimenti extra-UE

Tutti i dati sono ospitati in Italia (AWS Milano). Nessun trasferimento sistematico extra-UE. Eventuali trasferimenti puntuali (es. supporto Anthropic per AI features) sono protetti da Standard Contractual Clauses (SCC) approvate dalla Commissione UE e da misure supplementari (cifratura, minimizzazione).

Sub-responsabili

Elenco aggiornato dei sub-responsabili (fornitori IT) coinvolti nel trattamento:

• Amazon Web Services Italy S.r.l. (hosting cloud, AWS Milano)
• Stripe Payments Europe Ltd. (gateway di pagamento, Irlanda)
• Anthropic, PBC (modelli AI, USA — solo per features AI opt-in, con SCC)
• Plausible Analytics (analytics anonimo, Estonia/UE)
• Sendgrid by Twilio (invio email transazionali, Irlanda/UE)
• Aruba PEC S.p.A. (servizio PEC, Italia)

L'elenco viene aggiornato in caso di modifiche. I clienti vengono notificati con almeno 30 giorni di anticipo.

Gestione data breach

In caso di violazione dei dati personali:

• Notifica al Garante entro 72 ore (ex art. 33 GDPR)
• Notifica agli interessati senza ingiustificato ritardo (ex art. 34 GDPR)
• Documentazione completa dell'incidente
• Analisi root cause e remediation
• Post-mortem pubblico sul blog (per breach significativi)

Diritti degli interessati

I diritti GDPR (accesso, rettifica, cancellazione, portabilità, opposizione, limitazione) sono esercitabili da:

• Condomini e inquilini: tramite il proprio amministratore o direttamente a privacy@mycondominio.net
• Studi clienti: dal pannello "Impostazioni > Privacy" con esportazione automatica
• Visitatori del sito: a privacy@mycondominio.net

Tempo di risposta: 30 giorni dalla richiesta (estendibile a 60 giorni per richieste complesse, con motivazione).

Reclami

In caso di trattamento illecito o non conforme, è possibile presentare reclamo al Garante per la protezione dei dati personali:

• Web: www.gpdp.it
• PEC: protocollo@pec.gpdp.it
• Email: garante@gpdp.it

Certificazioni

• ISO/IEC 27001: certificazione in corso (audit previsto Q4 2026)
• SOC 2 Type II: roadmap 2027
• Per audit AICA o richieste documentali specifiche: dpo@mycondominio.net