Documento legale
Informativa Privacy
Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR"), del D.Lgs. 30 giugno 2003 n. 196 ("Codice Privacy") come modificato dal D.Lgs. 101/2018, dei provvedimenti del Garante per la protezione dei dati personali e delle Linee Guida EDPB applicabili.
Ultimo aggiornamento: 2026-05-04
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
- GLOBALCOM S.R.L.
- Sede legale: Via Benedetto Croce 118, 91028 Partanna (TP), Italia
- P. IVA / C.F.: 02040020816
- Email: privacy@allega.it
- PEC: come indicata nei dati di registro imprese
Allega.it (di seguito anche "Allega", "il Servizio", "noi") è una piattaforma SaaS di raccolta strutturata di documentazione tra professionisti/studi (utente Titolare) e i propri clienti finali (interessati). La piattaforma è erogata via dominio https://app.allega.it e relativi sottodomini.
2. Responsabile della protezione dei dati (DPO)
Il Titolare ha designato un Responsabile della protezione dei dati personali, ai sensi degli artt. 37-39 GDPR. È possibile contattare il DPO per qualsiasi questione relativa al trattamento dei dati o all'esercizio dei diritti riconosciuti dal Regolamento al seguente indirizzo:
- Email DPO: dpo@allega.it
Le richieste indirizzate al DPO sono evase entro il termine di 30 giorni come previsto dall'art. 12 GDPR, prorogabile di ulteriori 60 giorni in caso di richieste particolarmente complesse, con comunicazione motivata all'interessato.
3. Definizioni, ruoli e perimetro applicativo
La piattaforma Allega opera su due piani distinti che richiedono qualificazioni giuridiche differenti ai sensi del GDPR:
3.1 Allega come Titolare autonomo
Allega è Titolare autonomo del trattamento per i dati personali relativi a:
- Account utenti professionali: dati anagrafici, di contatto, di autenticazione e di pagamento dei professionisti/studi che sottoscrivono il servizio.
- Visitatori del sito web: dati di navigazione e cookie tecnici relativi all'esposizione del sito istituzionale e delle pagine pubbliche.
- Adempimenti contabili e fiscali: dati necessari alla fatturazione e agli obblighi di legge.
3.2 Allega come Responsabile del trattamento
Per i dati che il professionista/studio (Titolare) carica o riceve tramite la piattaforma in relazione ai propri clienti (anagrafiche clienti, documenti caricati, allegati, comunicazioni), Allega opera in qualità di Responsabile del trattamento ex art. 28 GDPR. Il rapporto è regolato dal Data Processing Addendum (DPA) reperibile alla pagina /legal/dpa, parte integrante del contratto di servizio.
In tale qualità il Titolare (lo studio) determina finalità e modalità del trattamento dei dati dei propri clienti; Allega tratta tali dati solo su istruzioni documentate del Titolare e non per finalità proprie.
3.3 Sub-responsabili
Allega si avvale di sub-responsabili (cloud, email transazionali, AI opzionale, pagamenti) puntualmente elencati alla sezione 7. Il consenso preventivo del Titolare al ricorso a sub-responsabili è prestato in modo generale al momento della sottoscrizione e Allega informa il Titolare di qualsiasi modifica con preavviso di almeno 30 giorni.
4. Categorie di dati trattati
4.1 Dati di account (utente professionale)
- Identificativi: nome, cognome, indirizzo email, ruolo nello studio.
- Identificativi tecnici: ID utente Clerk, ID studio, hash della password (gestito esclusivamente dal sub-responsabile autenticazione, mai accessibile in chiaro).
- Dati di organizzazione: ragione sociale dello studio, P.IVA opzionale, città, settore di attività, dimensione team.
4.2 Dati di pagamento
- Identificativo cliente Stripe (
customerId), identificativo sottoscrizione, piano attivo, stato fatturazione, ultime 4 cifre della carta o metodo SEPA (mascherato), email di fatturazione, indirizzo fatturazione. - Numeri di carta completi e CVC non transitano mai sui nostri server: sono gestiti esclusivamente da Stripe (PCI-DSS Level 1).
- Cronologia transazioni e fatture per gli obblighi di conservazione fiscale (10 anni ex art. 2220 c.c.).
4.3 Dati di anagrafica clienti finali (caricati dal Titolare)
- Nome, cognome o ragione sociale, email, telefono, codice fiscale, partita IVA, tag operativi, note interne dello studio, canale di comunicazione preferito (email/WhatsApp).
- Tali dati sono inseriti dallo studio, anche tramite import CSV. Lo studio è Titolare di tale trattamento; Allega è Responsabile.
4.4 Documenti caricati dai clienti finali
- Allegati di qualsiasi formato e contenuto secondo la natura della pratica: documenti di identità, visure, F24, dichiarazioni dei redditi, contratti, referti, foto, ecc.
- Categorie particolari (art. 9 GDPR): i documenti possono contenere dati relativi alla salute (es. studi medici), dati biometrici (documenti di identità), o altre categorie particolari a seconda della professione del Titolare. Il Titolare è tenuto a verificare di disporre della base giuridica idonea (consenso esplicito o altra deroga ex art. 9 par. 2 GDPR) e a fornire l'informativa adeguata ai propri clienti.
- Dati relativi a condanne penali (art. 10 GDPR): stessa regola. Allega non assume alcun ruolo nella verifica della liceità del trattamento di tali categorie da parte del Titolare.
- Metadati tecnici associati al file: nome originale, MIME type, dimensione, hash SHA-256, esito antivirus (clean / infected / pending), data caricamento, EXIF (per le immagini) ove presente.
4.5 Dati di interazione e telemetria
- Log applicativi: indirizzo IP, user-agent, timestamp, endpoint richiesto, esito, identificativo richiesta. Conservati 90 giorni.
- Audit log immutabile: tracciamento operazioni significative (login, modifica, invio sollecito, esportazione, eliminazione). Conservato secondo policy retention dello studio (default 24 mesi, configurabile fino a 120).
- Notifiche inviate (email + link WhatsApp click-to-chat): destinatario, canale, esito, identificativo provider, eventuale errore. Conservate 12 mesi.
4.6 Dati di navigazione e cookie
Cfr. Cookie Policy per dettaglio puntuale. La piattaforma utilizza esclusivamente cookie tecnici e di analisi anonimizzata (PostHog), senza profilazione.
4.7 Comunicazioni con il supporto
- Email scambiate con il team di assistenza, ticket aperti, contenuto delle richieste. Conservati 24 mesi dalla chiusura del ticket per finalità di audit e qualità del servizio.
5. Finalità e basi giuridiche del trattamento
Ogni trattamento è ricondotto a una base giuridica puntuale ai sensi dell'art. 6 GDPR (e art. 9 ove applicabile). Di seguito la matrice finalità/base giuridica.
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del Servizio (account, autenticazione, accesso al gestionale, upload e download documenti) | Esecuzione del contratto e di misure precontrattuali (art. 6.1.b GDPR) | Per la durata del contratto + 30 gg di grace period |
| Gestione fatturazione e pagamenti tramite Stripe | Esecuzione del contratto (art. 6.1.b) e obbligo di legge (art. 6.1.c) | 10 anni (art. 2220 c.c.) |
| Adempimenti fiscali, contabili, antiriciclaggio, comunicazioni all'Agenzia delle Entrate | Obbligo di legge (art. 6.1.c) | 10 anni o termine legale specifico |
| Sicurezza informatica: rilevamento abusi, prevenzione frodi, protezione contro accessi non autorizzati | Legittimo interesse del Titolare (art. 6.1.f) — bilanciato e documentato | 90 giorni (log) / 24 mesi (audit) |
| Invio comunicazioni di servizio (modifiche al contratto, avvisi di manutenzione, fine prova) | Esecuzione del contratto (art. 6.1.b) | Durata contratto |
| Newsletter e comunicazioni commerciali su nuove funzionalità, aggiornamenti di prodotto | Consenso (art. 6.1.a) revocabile in ogni momento | Fino a revoca o 24 mesi di inattività |
| Soft spam su servizi analoghi a clienti esistenti (art. 130 c.4 Codice Privacy) | Legittimo interesse (art. 6.1.f) con opt-out facilitato | Durata contratto + 12 mesi |
| Analisi prodotto e telemetria aggregata (PostHog) per migliorare l'esperienza utente | Legittimo interesse (art. 6.1.f) con dati pseudonimizzati e IP anonimizzato | 13 mesi rolling |
| Classificazione AI dei documenti (Anthropic Claude) — opzionale, disattivabile da Impostazioni | Esecuzione del contratto (se attivata) con misure di pseudonimizzazione del contenuto | Nessuna conservazione lato AI provider (zero-retention) |
| Risposta a richieste delle Autorità (giudiziaria, polizia, Garante Privacy) | Obbligo di legge (art. 6.1.c) | Per la durata della richiesta |
| Difesa in giudizio dei diritti del Titolare e accertamento, esercizio o difesa di diritti | Legittimo interesse (art. 6.1.f) e obbligo di legge | Termini di prescrizione applicabili (di norma 10 anni) |
| Ricerche di mercato e survey volontarie | Consenso (art. 6.1.a) | 12 mesi dalla raccolta |
Per il trattamento basato sul consenso l'interessato può revocarlo in ogni momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca, scrivendo a privacy@allega.it.
Per il trattamento basato sul legittimo interesse l'interessato ha diritto di opporsi al trattamento ai sensi dell'art. 21 GDPR. La valutazione di bilanciamento (LIA — Legitimate Interest Assessment) è documentata e disponibile su richiesta motivata del DPO o dell'Autorità.
6. Tempi di conservazione
I dati sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, in conformità ai principi di limitazione della conservazione e minimizzazione (art. 5 GDPR). I termini specifici sono indicati nella tabella di sezione 5. In aggiunta:
- Backup cifrati: i backup giornalieri del database sono conservati per 30 giorni e poi distrutti automaticamente. I file storage hanno backup cross-region settimanale conservato 30 giorni.
- Cancellazione account: alla cessazione del contratto i dati di account e dei clienti finali sono cancellati entro 30 giorni dalla richiesta o dall'esercizio del diritto all'oblio. Restano i soli dati necessari agli obblighi di legge (fatturazione: 10 anni; contenzioso pendente: fino a risoluzione).
- Retention configurabile per studio: il Titolare può impostare in Impostazioni → Sicurezza una retention personalizzata (1..120 mesi) applicata automaticamente ai documenti delle pratiche chiuse.
- Audit log: conservato secondo retention dello studio, minimo 6 mesi per esigenze di sicurezza e accountability.
7. Destinatari dei dati e sub-responsabili
I dati possono essere comunicati ai seguenti soggetti, in qualità di Responsabili del trattamento ex art. 28 GDPR (per Allega) o sub-responsabili (per i dati trattati in qualità di Responsabile del Titolare):
| Sub-responsabile | Finalità | Sede | Garanzie |
|---|---|---|---|
| Clerk Inc. | Autenticazione utenti, MFA, gestione organizzazioni | UE (eu.clerk.com) | SCC + DPA + ISO 27001 + SOC 2 Type II |
| Neon Inc. | Database PostgreSQL gestito | Frankfurt (eu-central-1) | SCC + DPA + cifratura at-rest e in-transit |
| Cloudflare Inc. | Storage R2 file allegati, CDN, WAF, DDoS | UE (region pinning) | SCC + DPA + ISO 27001/27701 |
| Resend Inc. | Email transazionali (notifiche, sollecito) | UE (eu-west-1) | SCC + DPA + retention 30 gg |
| Stripe Payments Europe Ltd. | Pagamenti, fatturazione | Irlanda | SCC + DPA + PCI-DSS Level 1 |
| Anthropic PBC | Classificazione AI documenti (opzionale) | USA — zero-retention API tier | SCC + DPA + opt-out training |
| Inngest Inc. | Job asincroni (sollecito, scan, export ZIP) | UE | SCC + DPA |
| Upstash Inc. | Cache Redis per rate limiting | UE (eu-west-1) | SCC + DPA |
| PostHog Inc. | Product analytics aggregata, IP anonimizzato | UE (eu.posthog.com) | SCC + DPA + opt-out cookie banner |
| Sentry / Functional Software Inc. | Error monitoring, scrubbing PII | UE (de.sentry.io) | SCC + DPA + scrub server-side |
| Vercel Inc. / Hetzner Online GmbH | Hosting applicativo (CDN edge / VPS) | UE (Francoforte / Falkenstein) | SCC + DPA + ISO 27001 |
La lista aggiornata dei sub-responsabili è disponibile nel DPA e modificata con preavviso di 30 giorni. Il Titolare può opporsi a un cambio di sub-responsabile esercitando il diritto di recesso senza penali.
I dati possono inoltre essere comunicati a:
- consulenti professionali del Titolare (legali, fiscalisti, revisori) vincolati al segreto professionale;
- Autorità giudiziarie, di pubblica sicurezza, Garante Privacy, Agenzia delle Entrate, su richiesta legittima;
- soggetti coinvolti in operazioni straordinarie (fusione, cessione di ramo d'azienda, due diligence) previa idonea informativa e con clausole di riservatezza.
I dati non sono mai venduti, ceduti a fini commerciali o comunicati a terze parti per finalità di marketing diretto di terzi.
8. Trasferimenti extra-SEE
Allega tratta i dati prevalentemente all'interno dello Spazio Economico Europeo (SEE). Ove sub-responsabili statunitensi siano coinvolti (Clerk, Stripe, Anthropic, Twilio, Sentry per fallback), il trasferimento avviene in conformità al Capo V del GDPR sulla base di:
- Decisione di adeguatezza UE-USA Data Privacy Framework (Decisione di esecuzione (UE) 2023/1795 della Commissione, 10 luglio 2023) per i sub-responsabili certificati DPF;
- Clausole Contrattuali Tipo (SCC) approvate dalla Decisione di esecuzione (UE) 2021/914, modulo 2 (Titolare-Responsabile) o modulo 3 (Responsabile-Responsabile);
- Misure supplementari ex Schrems II: cifratura end-to-end at-rest, tokenizzazione, pseudonimizzazione, contractual auditing rights, transparency reports.
La Transfer Impact Assessment (TIA) per ogni trasferimento extra-SEE è documentata e disponibile su richiesta motivata del DPO o dell'Autorità di controllo.
9. Diritti dell'interessato
In qualità di interessato hai diritto di esercitare in qualsiasi momento i seguenti diritti previsti dagli articoli 15-22 GDPR:
- Diritto di accesso (art. 15): ottenere conferma del trattamento e accedere ai dati personali e alle informazioni sulle finalità, categorie, destinatari, conservazione, ecc.
- Diritto di rettifica (art. 16): richiedere la rettifica dei dati inesatti e l'integrazione di quelli incompleti.
- Diritto alla cancellazione / oblio (art. 17): richiedere la cancellazione dei dati nei casi previsti, salvi gli obblighi di conservazione.
- Diritto di limitazione (art. 18): richiedere la limitazione del trattamento in caso di contestazione, illiceità, opposizione o necessità per difesa in giudizio.
- Diritto alla portabilità (art. 20): ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON/CSV) i dati forniti, e trasmetterli ad altro Titolare. Allega fornisce uno strumento di export self-service in Impostazioni → Sicurezza → Esporta i miei dati.
- Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento basato su legittimo interesse o per finalità di marketing diretto (in quest'ultimo caso il diritto è incondizionato).
- Diritto di non essere sottoposti a decisioni automatizzate (art. 22): cfr. sezione 11.
- Diritto di revoca del consenso (art. 7.3): revoca in qualsiasi momento dei consensi prestati, senza pregiudizio per la liceità del trattamento antecedente.
9.1 Modalità di esercizio
Le richieste vanno indirizzate via email a privacy@allega.it (o al DPO dpo@allega.it) allegando documento di identità per la verifica. Per gli utenti registrati è disponibile uno strumento self-service in Impostazioni → Sicurezza che gestisce export e cancellazione tramite gli endpoint dedicati /api/gdpr/export e /api/gdpr/delete.
9.2 Tempistiche
Le richieste sono evase entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 giorni per richieste complesse, con comunicazione motivata. La risposta è gratuita; in caso di richieste manifestamente infondate o eccessive (in particolare per il loro carattere ripetitivo) può essere addebitato un contributo spese ragionevole o rifiutata la richiesta motivatamente (art. 12.5).
9.3 Richieste relative a dati dei clienti finali (interessati indiretti)
Quando l'interessato è cliente finale di uno studio (non utente registrato di Allega) e ci contatta direttamente, la sua richiesta è inoltrata al Titolare (lo studio) competente, che è tenuto a darne riscontro entro i termini di legge. Allega supporterà il Titolare nell'evasione tecnica della richiesta.
10. Minori
Il Servizio è destinato a professionisti maggiorenni. Non raccogliamo intenzionalmente dati personali di minori di 16 anni come utenti diretti. Se un documento caricato da un cliente finale contiene dati di minori (es. anagrafica familiare, certificati scolastici, referti medici pediatrici), il Titolare (lo studio) è tenuto a verificare di disporre della base giuridica idonea (consenso dell'esercente la responsabilità genitoriale per minori sotto i 16 anni, ex art. 8 GDPR e art. 2-quinquies del Codice Privacy che fissa la soglia a 14 anni per i servizi della società dell'informazione).
11. Decisioni automatizzate e profilazione
Allega non adotta decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o significativi sull'interessato ai sensi dell'art. 22 GDPR.
La funzione di classificazione AI (Anthropic Claude) suggerisce una categoria documentale (es. F24, visura camerale) per velocizzare il lavoro dello studio, ma:
- è disattivabile per l'intero studio in Impostazioni;
- non determina automaticamente l'approvazione/rifiuto di un documento — la decisione finale è umana (lo studio approva o respinge);
- i contenuti inviati al modello sono limitati al testo OCR strettamente necessario e non includono identificativi personali del cliente finale.
La funzione di health score dei clienti (verde/giallo/rosso) è basata su regole deterministiche (giorni di silenzio, completamento checklist) ed è solo un indicatore visivo per il Titolare; non produce alcun effetto giuridico verso il cliente finale.
12. Misure di sicurezza
Ai sensi dell'art. 32 GDPR adottiamo misure tecniche e organizzative appropriate al rischio, tra cui:
12.1 Misure tecniche
- Crittografia in transito: TLS 1.2+ obbligatorio per tutto il traffico, HSTS abilitato, certificati Let's Encrypt rinnovati automaticamente.
- Crittografia at-rest: AES-256 per database (Neon) e file storage (Cloudflare R2), chiavi gestite dal provider con rotazione automatica.
- Hashing password: bcrypt/argon2 (gestito da Clerk), nessuna password in chiaro lato Allega.
- Hashing API keys: SHA-256 server-side; il valore in chiaro non è recuperabile.
- MFA opzionale: autenticazione multi-fattore TOTP attivabile per tutti gli utenti, obbligatoria per gli account con ruolo owner/admin se configurato dallo studio.
- Antivirus: scansione asincrona di tutti i file caricati; quarantena automatica per esiti positivi; download bloccato sui file infetti.
- Rate limiting: protezione contro brute force, abuso API e DoS applicativo.
- WAF e DDoS: filtraggio richieste a livello di edge tramite Cloudflare.
- Content Security Policy stretta, X-Frame-Options DENY, Referrer-Policy strict-origin, Permissions-Policy restrittiva.
- Audit log completo: ogni operazione significativa è tracciata con attore, timestamp, IP, user-agent.
- Backup geo-ridondati: snapshot giornalieri cifrati, ritenzione 30 giorni, restore drill periodici.
- Aggiornamenti di sicurezza: dipendenze monitorate via Dependabot, CVE critiche patchate entro 72h.
12.2 Misure organizzative
- Accesso interno minimizzato: i dati dei Titolari non sono accessibili al personale Allega salvo esplicita autorizzazione del Titolare per supporto, su base log-and-monitor.
- Formazione periodica del personale sui temi della protezione dei dati personali e della sicurezza informatica.
- Registro delle attività di trattamento (art. 30 GDPR) tenuto e aggiornato.
- DPIA (art. 35) condotta per le funzionalità ad alto rischio.
- NDA con tutti i dipendenti, collaboratori e fornitori che possono venire in contatto con dati personali.
- Incident response plan documentato con escalation, contenimento, analisi forense e notifica.
13. Notifica delle violazioni di dati personali (data breach)
In caso di violazione di dati personali (data breach) ai sensi dell'art. 4.12 GDPR:
- notifichiamo l'evento al Garante Privacy entro 72 ore dalla conoscenza, ai sensi dell'art. 33 GDPR, salvo che la violazione sia improbabile presenti un rischio per i diritti e le libertà degli interessati;
- quando agiamo come Responsabile per conto del Titolare (studio), notifichiamo al Titolare senza ingiustificato ritardo ex art. 33.2 GDPR — di norma entro 24 ore — fornendo le informazioni necessarie per consentire al Titolare di adempiere ai propri obblighi di notifica;
- comunichiamo l'evento agli interessati (art. 34 GDPR) qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà personali, salvi i casi di esenzione.
Manteniamo un registro interno delle violazioni a norma dell'art. 33.5 GDPR.
14. Fonte dei dati e dati di terzi
I dati di account sono raccolti direttamente dall'utente al momento della registrazione, dell'onboarding e nel corso dell'uso del Servizio. I dati dei clienti finali sono raccolti dal Titolare (studio) presso i propri clienti (con la base giuridica e l'informativa di sua competenza) e caricati nella piattaforma. I dati dei pagamenti sono raccolti tramite Stripe.
Per quanto riguarda i dati di clienti finali non utenti del Servizio (interessati indiretti), Allega fornisce gli strumenti tecnici affinché il Titolare possa fornire loro l'informativa idonea (template informativa cliente integrato nelle email di richiesta).
15. Reclamo all'Autorità di controllo
Fatto salvo qualsiasi altro ricorso amministrativo o giurisdizionale, l'interessato ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali, ai sensi dell'art. 77 GDPR:
- Garante per la protezione dei dati personali
- Piazza Venezia n. 11, 00187 Roma
- Tel: +39 06 696771
- PEC: protocollo@pec.gpdp.it
- Web: www.garanteprivacy.it
L'interessato ha inoltre diritto a un ricorso giurisdizionale effettivo nei confronti del Titolare ai sensi dell'art. 79 GDPR, anche per ottenere il risarcimento del danno (art. 82 GDPR).
16. Modifiche all'informativa
La presente informativa può essere aggiornata in qualsiasi momento per riflettere modifiche normative, organizzative, tecniche o di servizio. La data dell'ultimo aggiornamento è indicata in testa al documento. Le modifiche sostanziali sono comunicate via email agli utenti registrati e tramite avviso nella dashboard con almeno 30 giorni di preavviso, salvo modifiche che riducano i diritti dell'interessato che richiedano consenso esplicito.
Versioni storiche dell'informativa sono disponibili su richiesta scritta a privacy@allega.it.