Versione: 2.0 — Ultima modifica: 25 aprile 2026
Documento redatto in conformità al Regolamento (UE) 2016/679 (GDPR), alla Direttiva ePrivacy 2002/58/CE come modificata dalla Direttiva 2009/136/CE, al D.Lgs. 196/2003 novellato dal D.Lgs. 101/2018, al Regolamento (UE) 2022/2065 (Digital Services Act), al Regolamento (UE) 2024/1689 (AI Act), ai Provvedimenti del Garante per la Protezione dei Dati Personali, alle Linee guida EDPB e alle pronunce della Corte di Giustizia UE (sentenze C-311/18 “Schrems II” e C-252/21 “Bundeskartellamt”).
La presente Informativa è resa prima della raccolta dei dati ai sensi dell’art. 13 GDPR e successivamente integrata ai sensi dell’art. 14 GDPR ove i dati siano stati raccolti presso terzi.
1. Titolare del trattamento
| Ragione sociale | Domus Tech S.r.l.s. (Società a Responsabilità Limitata Semplificata) |
| Sede legale | Via Bernardo Bonaiuto, 5/7 — 90145 Palermo (PA), Italia |
| P.IVA / Codice Fiscale | IT07084470827 |
| REA | PA-435972 (Camera di Commercio Palermo ed Enna) |
| Albo Imprese Artigiane | PA-117149 |
| Capitale sociale | 1.900,00 € deliberato, sottoscritto e versato |
| ATECO | 43.21.0 — Installazione di impianti elettronici |
| Amministratore Unico | Accardi Giacomo Roberto |
| Telefono | +39 091 8488359 — +39 342 6848324 |
| info@domustechsrls.com | |
| PEC | domustechsrls@pec.domustechsrls.com |
2. Responsabile della Protezione dei Dati (DPO)
Ai sensi dell’art. 37 GDPR il Titolare ha valutato la non sussistenza dei presupposti obbligatori per la nomina del DPO, in quanto:
- non è un’autorità o organismo pubblico (lett. a)
- l’attività principale non consiste in trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala (lett. b)
- l’attività principale non consiste nel trattamento su larga scala di categorie particolari di dati ex art. 9 o di dati relativi a condanne penali ex art. 10 (lett. c)
Per ogni questione in materia di protezione dati è possibile contattare direttamente il Titolare ai recapiti sopra indicati. Il Titolare si riserva la facoltà di nominare un DPO su base volontaria in futuro.
3. Categorie di dati personali trattati
3.1 Dati identificativi e di contatto
- Nome, cognome, ragione sociale, P.IVA, Codice Fiscale
- Indirizzo postale, indirizzo dell’immobile/struttura, indirizzo PEC
- Numero di telefono fisso e mobile, email
- Codice destinatario SDI per fatturazione elettronica
3.2 Dati di navigazione e tecnici
- Indirizzo IP (anonimizzato per analytics ove possibile)
- User Agent, sistema operativo, dispositivo
- Pagine visitate, tempo di permanenza, click
- Referrer e UTM parameters
- Identificatori cookie e local storage
- Log di errore del server
3.3 Dati relativi all’esecuzione del contratto
- Foto, planimetrie, documentazione tecnica dell’immobile (con consenso)
- Specifiche tecniche degli impianti progettati e installati
- Dati di geolocalizzazione del cantiere
- Storico interventi, manutenzioni, garanzie
- Dichiarazioni di Conformità ai sensi del D.M. 37/2008 (10 anni di conservazione obbligatoria)
- Credenziali di accesso ai sistemi domotici (gestite con cifratura, crittografate at-rest, accessibili solo al cliente e ai tecnici autorizzati)
3.4 Dati di pagamento
- IBAN, riferimenti bancari per bonifici
- Dati POS forniti tramite gateway certificati PCI-DSS (non memorizzati dal Titolare)
- Dati per finanziamenti di terze parti (forniti direttamente al partner finanziario)
3.5 Dati relativi a comunicazioni
- Contenuto di email, PEC, WhatsApp Business, chat sito
- Registrazioni di chiamate (solo previo annuncio e consenso)
- Recensioni e feedback pubblicati
3.6 Categorie particolari di dati (art. 9 GDPR)
Il Titolare non tratta abitualmente categorie particolari di dati personali. Eccezionalmente, in caso di interventi presso strutture sanitarie o socio-assistenziali, possono essere trattati in modo incidentale dati attinenti allo stato di salute degli utenti finali, esclusivamente per finalità di erogazione del servizio richiesto, sulla base dell’art. 9.2.b GDPR (esecuzione obblighi in materia di lavoro/sicurezza sociale) o 9.2.f (esercizio o difesa di un diritto in sede giudiziaria), e con misure di sicurezza rafforzate.
3.7 Dati di minori
Il sito non è rivolto a minori di 14 anni e non li sollecita consapevolmente. Ai sensi dell’art. 8 GDPR e dell’art. 2-quinquies D.Lgs. 196/2003, in Italia l’età minima per il consenso al trattamento dei dati nell’ambito dei servizi della società dell’informazione è di 14 anni. Per minori è richiesto il consenso del titolare della responsabilità genitoriale.
4. Finalità, basi giuridiche e periodi di conservazione
| # | Finalità | Base giuridica (art. 6 GDPR) | Periodo di conservazione |
|---|---|---|---|
| 4.1 | Risposta a richieste di informazioni, preventivi, sopralluoghi | art. 6.1.b — misure precontrattuali | 24 mesi se non si conclude il contratto |
| 4.2 | Esecuzione del contratto di fornitura/installazione | art. 6.1.b — esecuzione contratto | 10 anni dalla cessazione (art. 2220 c.c.) |
| 4.3 | Fatturazione elettronica e adempimenti fiscali | art. 6.1.c — obbligo legale | 10 anni (DPR 600/73) |
| 4.4 | Dichiarazione di Conformità D.M. 37/2008 e tenuta libretto impianto | art. 6.1.c — obbligo legale | 10 anni o fino dismissione impianto |
| 4.5 | Garanzia legale e assistenza post-vendita | art. 6.1.b — esecuzione contratto | 24 mesi (consumatore) o termini contrattuali |
| 4.6 | Marketing diretto su prodotti/servizi simili a clienti esistenti | art. 6.1.f — legittimo interesse (soft spam — art. 130.4 D.Lgs. 196/2003) | Fino a opposizione (art. 21) |
| 4.7 | Newsletter, comunicazioni commerciali a non clienti | art. 6.1.a — consenso espresso | Fino a revoca consenso |
| 4.8 | Profilazione per personalizzazione offerte | art. 6.1.a — consenso espresso | Fino a revoca consenso |
| 4.9 | Cookie analitici e di marketing | art. 6.1.a — consenso (Provv. Garante 10/06/2021) | Vedi Cookie Policy |
| 4.10 | Difesa in giudizio e tutela dei diritti | art. 6.1.f — legittimo interesse | Fino a estinzione del diritto + termini di prescrizione (10 anni) |
| 4.11 | Sicurezza informatica e prevenzione frodi | art. 6.1.f — legittimo interesse | 12 mesi log di sistema |
| 4.12 | Anti-spam form (Google reCAPTCHA) | art. 6.1.f — legittimo interesse | Sessione + 6 mesi log |
| 4.13 | Adempimenti societari e tenuta libri sociali | art. 6.1.c — obbligo legale | Termini di legge (artt. 2421 e ss. c.c.) |
4.14 Test di bilanciamento (Legitimate Interest Assessment — LIA)
Per i trattamenti basati sul legittimo interesse, il Titolare ha effettuato il test di bilanciamento previsto dall’art. 6.1.f GDPR, valutando che:
- l’interesse perseguito (commerciale, sicurezza, difesa giudiziaria) è legittimo e attuale
- il trattamento è necessario al raggiungimento dell’interesse
- l’interesse del Titolare non è sopravanzato dai diritti e libertà fondamentali dell’interessato, anche tenuto conto delle ragionevoli aspettative
La documentazione LIA è disponibile su richiesta dell’interessato o dell’Autorità di controllo.
5. Modalità del trattamento e misure di sicurezza
Ai sensi dell’art. 32 GDPR, il Titolare adotta misure tecniche e organizzative adeguate al rischio:
5.1 Misure tecniche
- Crittografia dei dati in transito (TLS 1.3, HTTPS, HSTS)
- Crittografia at-rest dei backup e di credenziali sensibili (AES-256)
- Pseudonimizzazione e anonimizzazione ove possibile
- Backup automatici giornalieri con retention 30 giorni e backup offsite
- Firewall di rete e Web Application Firewall
- Aggiornamenti di sicurezza tempestivi (patch management)
- Sistemi di rilevamento intrusioni (IDS/IPS)
- Antivirus/EDR su tutti gli endpoint
- Segmentazione di rete e VLAN dedicate
- VPN per accessi remoti
5.2 Misure organizzative
- Designazione formale degli autorizzati al trattamento (art. 29 GDPR)
- Formazione periodica del personale
- Politiche interne (Information Security Policy, Data Retention Policy, Incident Response Plan)
- Audit periodici interni ed esterni
- Registro dei trattamenti (art. 30 GDPR) tenuto e aggiornato
- Controllo accessi su base “need-to-know”
- Autenticazione a due fattori (2FA) sui sistemi critici
- Gestione password con password manager aziendale
- Procedura di onboarding e offboarding personale
- Clausole di riservatezza nei contratti con dipendenti e fornitori
5.3 Privacy by Design e Privacy by Default (art. 25 GDPR)
Il Titolare ha integrato la protezione dei dati fin dalla progettazione e per impostazione predefinita:
- Minimizzazione: solo i dati necessari sono raccolti
- Default privacy-friendly: opzioni di tracciamento disattivate fino al consenso
- Limitazione delle finalità: i dati raccolti per una finalità non sono riutilizzati per altre incompatibili
- Trasparenza: la presente informativa è resa disponibile in modo chiaro e accessibile
6. Conferimento dei dati e conseguenze del rifiuto
Il conferimento dei dati è facoltativo. Tuttavia:
- Il rifiuto di conferire i dati identificativi e di contatto comporta l’impossibilità di rispondere alle richieste e di gestire la fase precontrattuale.
- Il rifiuto di conferire i dati fiscali comporta l’impossibilità di emettere fattura e quindi di concludere il contratto.
- Il rifiuto di conferire i dati tecnici dell’immobile comporta l’impossibilità di progettare ed eseguire l’intervento.
- Il rifiuto del consenso ai cookie analitici/marketing non pregiudica la fruibilità del sito nelle sue funzioni essenziali.
- Il rifiuto del consenso al marketing non incide sulla qualità del servizio fornito.
7. Destinatari dei dati
I dati personali possono essere comunicati alle seguenti categorie di destinatari, ciascuno con la propria qualifica giuridica:
7.1 Soggetti interni autorizzati (art. 29 GDPR)
- Dipendenti, collaboratori e tecnici, formalmente designati come autorizzati al trattamento
- Amministratore Unico e legale rappresentante
7.2 Responsabili esterni del trattamento (art. 28 GDPR — con DPA in essere)
- Hosting provider: Hostinger International Ltd. (server in UE)
- Email professionale e PEC: provider PEC certificato AgID
- Gestionale fatturazione: TeamSystem S.p.A. / Fatture in Cloud
- CRM e marketing: ove utilizzati, vincolati da DPA art. 28
- Iubenda S.r.l. (Milano) per generazione policy
- CookieYes Ltd. per gestione consenso cookie
- Cloudflare Inc. per CDN e WAF (con SCC e DPF)
- Google Ireland Ltd. per Analytics, reCAPTCHA, Maps, Workspace (con SCC e DPF)
- Meta Platforms Ireland Ltd. per pixel Facebook/Instagram, ove attivato
- Microsoft Ireland Operations Ltd. per Microsoft 365, ove utilizzato
- Studio commercialista per adempimenti fiscali
- Consulente del lavoro per gestione dipendenti
- Studio legale incaricato in caso di contenzioso
- Aziende di trasporto e logistica per consegna materiali
- Fornitori di prodotti ove necessario per esecuzione contratto (es. spedizione diretta)
7.3 Soggetti che operano in qualità di autonomi titolari
- Banche e istituti di pagamento
- Compagnie assicurative
- Forze dell’Ordine, Autorità Giudiziaria, Garante Privacy (su richiesta motivata)
- Agenzia delle Entrate (fatturazione elettronica via SDI — SOGEI)
- Camera di Commercio (Registro Imprese, Albo Artigiani)
- INPS, INAIL ove applicabile
- Enti pubblici certificatori per pratiche edilizie
L’elenco aggiornato dei responsabili esterni del trattamento è disponibile su richiesta dell’interessato.
7.4 Diffusione
I dati personali non sono oggetto di diffusione a soggetti indeterminati e non sono ceduti a terzi per finalità di marketing.
8. Trasferimento dei dati extra-UE
Alcuni fornitori (Google LLC, Meta Platforms Inc., Microsoft Corporation, Cloudflare Inc.) hanno sede o effettuano trattamenti negli Stati Uniti d’America. In tal caso il trasferimento avviene sulla base di:
- Decisione di adeguatezza UE-USA Data Privacy Framework (Decisione UE 2023/1795 del 10/07/2023) per i fornitori certificati — verificabili sul registro dataprivacyframework.gov
- Standard Contractual Clauses approvate dalla Commissione Europea (Decisione UE 2021/914 del 04/06/2021) come garanzia adeguata ex art. 46 GDPR
- Misure supplementari tecniche e organizzative ai sensi delle Raccomandazioni EDPB 01/2020 (sentenza Schrems II), inclusi cifratura, pseudonimizzazione, controllo accessi
- Transfer Impact Assessment (TIA) documentato per ogni flusso, con valutazione della normativa del paese terzo (incluso FISA 702 e EO 12333)
Copia delle SCC e dei TIA è disponibile a richiesta scritta dell’interessato.
9. Decisioni automatizzate, profilazione e intelligenza artificiale
9.1 Decisioni automatizzate
Il Titolare non utilizza processi decisionali interamente automatizzati ai sensi dell’art. 22 GDPR che producano effetti giuridici sull’interessato o lo riguardino in modo analogo significativo. Ogni decisione contrattuale (preventivo, accettazione cliente, esecuzione) è presa con intervento umano.
9.2 Profilazione
Eventuale profilazione è limitata a:
- Analisi statistica aggregata e anonima del traffico web
- Segmentazione email marketing per categoria di interesse (solo previo consenso)
L’interessato può in qualsiasi momento opporsi alla profilazione ai sensi dell’art. 21.2 GDPR.
9.3 Intelligenza Artificiale (AI Act — Reg. UE 2024/1689)
Il sito utilizza un chatbot AI per assistenza clienti. Tale sistema:
- È classificato come sistema AI a rischio limitato ai sensi dell’art. 50 AI Act
- L’utente è informato di interagire con un’AI prima dell’inizio della conversazione
- Non prende decisioni vincolanti per il cliente
- Non utilizza dati biometrici o categorie particolari ex art. 9 GDPR
- I dati conversazionali sono trattati ai sensi della presente informativa
10. Diritti dell’interessato (artt. 15-22 e 77 GDPR)
| Diritto | Riferimento | Descrizione |
|---|---|---|
| Informazione | artt. 13-14 | Ricevere informazioni complete sul trattamento (presente documento) |
| Accesso | art. 15 | Ottenere conferma dell’esistenza del trattamento, copia dei dati e informazioni su finalità, destinatari, durata |
| Rettifica | art. 16 | Correzione di dati inesatti o integrazione di dati incompleti |
| Cancellazione | art. 17 | “Diritto all’oblio”, salvo gli obblighi di legge che impongono la conservazione |
| Limitazione | art. 18 | Sospensione del trattamento (es. in caso di contestazione dell’esattezza) |
| Notifica | art. 19 | Comunicazione delle rettifiche/cancellazioni ai destinatari |
| Portabilità | art. 20 | Ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV, JSON) |
| Opposizione | art. 21 | Opporsi al trattamento basato su legittimo interesse (incluso marketing diretto) |
| Decisioni automatizzate | art. 22 | Non essere sottoposto a decisioni esclusivamente automatizzate |
| Revoca consenso | art. 7.3 | Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento pregresso |
| Reclamo | art. 77 | Presentare reclamo al Garante Privacy o ricorso giurisdizionale (artt. 78-79) |
10.1 Modalità di esercizio
I diritti possono essere esercitati gratuitamente, senza formalità particolari, scrivendo a:
- Email: info@domustechsrls.com
- PEC: domustechsrls@pec.domustechsrls.com
- Posta raccomandata: Domus Tech S.r.l.s. — Via Bernardo Bonaiuto, 5/7 — 90145 Palermo (PA)
La richiesta deve contenere:
- Identificazione dell’interessato (con copia di un documento di identità valido per la verifica)
- Specificazione del diritto esercitato
- Recapito per la risposta
10.2 Tempi di risposta
Il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di richieste complesse, con preavviso. La risposta sarà gratuita; in caso di richieste manifestamente infondate o eccessive, il Titolare potrà addebitare un contributo ragionevole o rifiutare di adempiere (art. 12.5 GDPR).
10.3 Reclamo all’Autorità di controllo
Senza pregiudizio di altri rimedi, l’interessato può presentare reclamo:
- Garante per la Protezione dei Dati Personali — Piazza Venezia 11, 00187 Roma — www.gpdp.it — protocollo@gpdp.it
- Autorità di controllo dello Stato membro UE in cui risiede o lavora abitualmente
11. Cookie e tecnologie di tracciamento
Il sito utilizza cookie e tecnologie simili. Per dettagli completi su tipologie, finalità, durata, soggetti terzi e gestione del consenso, consultare la Cookie Policy completa.
Il consenso può essere modificato in qualsiasi momento tramite il banner di gestione cookie sempre disponibile (icona in basso a sinistra del sito).
12. Notifica di violazioni dei dati personali (Data Breach)
In caso di violazione che comporti un rischio per i diritti e le libertà degli interessati, il Titolare:
- Notificherà il breach al Garante Privacy entro 72 ore dalla scoperta (art. 33 GDPR)
- Comunicherà agli interessati l’avvenuta violazione, ove sussista un alto rischio (art. 34 GDPR)
- Documenterà ogni breach nel registro interno (art. 33.5 GDPR)
- Adotterà immediatamente le misure di contenimento e mitigazione
- Aggiornerà le politiche di sicurezza in seguito al breach
13. Videosorveglianza presso uffici/cantieri
Ove il Titolare utilizzi sistemi di videosorveglianza presso i propri locali o cantieri, il trattamento è effettuato in conformità al Provvedimento del Garante Privacy 8 aprile 2010 e al Provvedimento generale 17 aprile 2008. La videosorveglianza:
- È segnalata da apposita cartellonistica
- Persegue le finalità di sicurezza, tutela del patrimonio, prevenzione di atti illeciti
- Conserva le immagini per non oltre 7 giorni, salvo richiesta dell’Autorità Giudiziaria
- Non riprende aree non pertinenti (es. spazi privati, suolo pubblico oltre il necessario)
- È soggetta a DPIA ai sensi dell’art. 35 GDPR ove previsto
14. Modifiche all’informativa
Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, ad esempio per adeguarla a modifiche normative o nuovi servizi. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultima modifica e, in caso di modifiche sostanziali, saranno comunicate agli interessati con strumenti idonei (email, banner sul sito). L’interessato è invitato a consultare periodicamente questa pagina.
15. Foro competente e legge applicabile
La presente Informativa è regolata dalla legge italiana e, per quanto compatibile, dal diritto dell’Unione Europea. Per le controversie:
- Per i consumatori: foro del consumatore (art. 66-bis Cod. Consumo)
- Per i professionisti: Foro di Palermo in via esclusiva
- In materia privacy: competenza del Garante Privacy in sede amministrativa, fatta salva la giurisdizione ordinaria ai sensi degli artt. 78-79 GDPR e dell’art. 152 D.Lgs. 196/2003
16. Glossario
- Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4.1 GDPR)
- Trattamento: qualsiasi operazione effettuata su dati personali (art. 4.2 GDPR)
- Titolare: chi determina finalità e mezzi del trattamento (art. 4.7 GDPR)
- Responsabile: chi tratta dati per conto del Titolare (art. 4.8 GDPR)
- Autorizzato: persona fisica autorizzata dal Titolare al trattamento (art. 29 GDPR e art. 2-quaterdecies D.Lgs. 196/2003)
- Interessato: persona fisica cui si riferiscono i dati
- Consenso: manifestazione di volontà libera, specifica, informata e inequivocabile (art. 4.11 GDPR)
- SCC: Standard Contractual Clauses, garanzie per trasferimenti extra-UE
- DPA: Data Processing Agreement, contratto art. 28 GDPR
- DPIA: Data Protection Impact Assessment, valutazione d’impatto art. 35 GDPR
- LIA: Legitimate Interest Assessment, test di bilanciamento
- TIA: Transfer Impact Assessment, valutazione trasferimenti extra-UE
17. Riferimenti normativi
- Regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR)
- D.Lgs. 30 giugno 2003, n. 196, novellato dal D.Lgs. 10 agosto 2018, n. 101 (Codice Privacy)
- Direttiva 2002/58/CE (ePrivacy) e Direttiva 2009/136/CE
- Regolamento (UE) 2022/2065 (Digital Services Act)
- Regolamento (UE) 2024/1689 (AI Act)
- Regolamento (UE) 2023/1543 (e-Evidence)
- Decisione di esecuzione (UE) 2021/914 (Standard Contractual Clauses)
- Decisione di esecuzione (UE) 2023/1795 (UE-USA Data Privacy Framework)
- Provvedimento Garante 10 giugno 2021 n. 231 (Linee guida cookie)
- Provvedimento Garante 8 aprile 2010 n. 90 (Videosorveglianza)
- Linee guida EDPB 04/2019 (consenso) e 05/2020 (consenso aggiornate)
- Sentenza CGUE C-311/18 del 16/07/2020 (Schrems II)
- Statuto dei Lavoratori (L. 300/1970), art. 4 (controlli a distanza)
- Codice del Consumo (D.Lgs. 206/2005)
Documento redatto e mantenuto in conformità ai più elevati standard di protezione dati. Per qualsiasi chiarimento o esercizio dei diritti, contattare il Titolare.