CertiCredit
Vai alla piattaforma
Versione 1.0Bozza soggetta a revisione legale

Privacy Policy

Informativa sul trattamento dei dati personali ai sensi del Reg. UE 2016/679 (GDPR) — Bozza v1.0, Marzo 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Europe Credit and Management Solution S.R.L. (CertiCredit)

Sede legale: Corso Trieste 195, 81100 Caserta (CE)

C.F. / P.IVA: 04923010617

Email: privacy@certicredit.it

PEC: ecms_srl@legalmail.it

Responsabile della Protezione dei Dati (DPO): Dott. Pietro Petruzzelli (ad interim)
Email DPO: dpo@certicredit.it

CertiCredit opera come agenzia d'affari ex art. 115 TULPS, gestendo una piattaforma digitale per l'intermediazione nella cessione di crediti d'imposta. Il Titolare non acquista crediti in proprio e non detiene fondi delle parti.

2. Categorie di dati personali trattati

2.1. Dati identificativi e di contatto

Nome, cognome, data e luogo di nascita, codice fiscale, indirizzo di residenza o sede legale, numero di telefono, indirizzo email, indirizzo PEC.

2.2. Dati relativi a documenti di identità

Copie di carte di identità, passaporti e altri documenti identificativi, comprensivi dei dati in essi contenuti (numero documento, data di emissione e scadenza, autorità emittente, fotografia).

2.3. Dati aziendali e societari

Ragione sociale, partita IVA, codice fiscale aziendale, forma giuridica, codice ATECO, sede legale, capitale sociale, data di costituzione, numero REA, CCIAA, dati del rappresentante legale, visure camerali.

2.4. Dati finanziari e fiscali

Bilanci di esercizio, fatturato, utile/perdita, patrimonio netto, dati relativi ai crediti d'imposta (tipologia, importo, anno di maturazione, rate, codice tributo), dichiarazioni dei redditi, informazioni sul Cassetto Fiscale dell'Agenzia delle Entrate (accessibili previa delega dell'Interessato), capienza fiscale stimata.

2.5. Dati professionali

Ordine professionale di appartenenza, numero di iscrizione all'albo, certificati di iscrizione, licenze finanziarie ove applicabili.

2.6. Dati relativi alle transazioni

Offerte presentate, importi negoziati, contratti di cessione, commissioni, dati relativi ai pagamenti tramite Conto Deposito notarile.

2.7. Dati di navigazione e tecnici

Indirizzo IP, tipo di browser, sistema operativo, pagine visitate, tempi di permanenza, cookie tecnici e analitici.

2.8. Dati di comunicazione

Contenuto dei messaggi scambiati tramite il sistema di messaggistica interna della Piattaforma.

2.9. Dati ai fini antiriciclaggio (AML)

Risultati degli screening PEP (Persone Politicamente Esposte) e liste sanzioni internazionali, livello di rischio AML assegnato, esiti dell'adeguata verifica della clientela ai sensi del D.Lgs. 231/2007.

3. Finalità e basi giuridiche del trattamento

3.1. Esecuzione del contratto (art. 6, par. 1, lett. b) GDPR)

  • Registrazione e creazione dell'account (per i Clienti, i dati iniziali sono forniti dal Consulente);
  • Verifica KYC e attivazione account;
  • Creazione e gestione delle Pratiche di cessione;
  • Gestione dell'Asta e delle offerte;
  • Predisposizione e firma del contratto di cessione (Firma Elettronica Qualificata — FEQ);
  • Gestione dei pagamenti e dell'escrow tramite Conto Deposito notarile;
  • Comunicazione alla Piattaforma Cessione Crediti dell'Agenzia delle Entrate;
  • Messaggistica interna tra le parti;
  • Fatturazione delle commissioni di intermediazione.

3.2. Adempimento di obblighi di legge (art. 6, par. 1, lett. c) GDPR)

  • Adeguata verifica della clientela (AML/KYC) ai sensi del D.Lgs. 231/2007;
  • Conservazione documentale antiriciclaggio per 10 anni (art. 31 D.Lgs. 231/2007);
  • Segnalazione di operazioni sospette (SOS) all'UIF (art. 35 D.Lgs. 231/2007);
  • Obblighi fiscali e contabili (DPR 633/1972, DPR 600/1973);
  • Adempimenti ex art. 115 TULPS quali agenzia d'affari.

3.3. Legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR)

  • Due Diligence sui crediti d'imposta (prevenzione frodi e tutela dei cessionari);
  • Attribuzione del Rating CertiCredit (informazione qualificata per il Marketplace);
  • Audit log e tracciabilità delle operazioni (sicurezza della Piattaforma);
  • Prevenzione frodi e sicurezza informatica;
  • Miglioramento della Piattaforma tramite dati di navigazione anonimizzati.

3.4. Consenso dell'Interessato (art. 6, par. 1, lett. a) GDPR)

  • Comunicazioni promozionali e newsletter;
  • Cookie di profilazione e marketing;
  • Comunicazione dei dati a partner commerciali.

Il consenso per queste finalità è facoltativo e revocabile in qualsiasi momento senza pregiudizio per l'utilizzo della Piattaforma.

4. Modalità del trattamento

4.1. Il trattamento dei dati personali è effettuato mediante strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e in modo da garantire la sicurezza e la riservatezza dei dati.

4.2.CertiCredit adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

  • Cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256);
  • Controllo degli accessi basato su ruoli (RBAC);
  • Autenticazione a due fattori per gli operatori interni;
  • Audit log immutabile di tutte le operazioni;
  • Backup periodici con test di ripristino;
  • Procedure di gestione degli incidenti di sicurezza (Data Breach);
  • Formazione periodica del personale autorizzato.

4.3. I dati sono trattati esclusivamente da personale autorizzato e istruito, vincolato alla riservatezza.

4.4.CertiCredit utilizza sistemi di intelligenza artificiale per l'analisi automatica dei documenti caricati (OCR, estrazione dati, verifica coerenza). Il trattamento automatizzato non produce effetti giuridici né decisioni automatizzate che incidano significativamente sull'Interessato senza intervento umano; ogni esito dell'analisi AI è sottoposto a revisione umana prima di produrre effetti.

5. Categorie di destinatari

5.1. Destinatari interni

Dipendenti e collaboratori di CertiCredit autorizzati al trattamento (Supervisori, Amministratori, Responsabile AML), nominati ai sensi dell'art. 29 GDPR.

5.2. Responsabili del trattamento (ex art. 28 GDPR)

ResponsabileFinalitàSede
Supabase Inc. (infrastruttura cloud AWS eu-central-1)Hosting database, autenticazione, storageDati in UE (Francoforte)
Vercel Inc.Hosting applicazione webDati in UE
Namirial S.p.A. (firma digitale)Firma elettronica qualificata (FEQ)Italia
OpenAPI S.r.l. (visure e trust services)Recupero visure camerali, verifica CF/P.IVA, screening PEPItalia
Resend Inc. (email transazionali)Invio notifiche email transazionaliUE/USA
Anthropic (API Claude)Analisi AI documenti (OCR, estrazione dati)USA

5.3. Destinatari autonomi

  • Notai Convenzionati — stipula atti di cessione e gestione Conto Deposito;
  • Consulenti associati alla Pratica — gestione pratiche e firma responsabilità professionale;
  • Clienti cessionari — dati del cedente comunicati post-accordo per la conclusione dell'operazione;
  • Agenzia delle Entrate — comunicazione obbligatoria cessione credito d'imposta;
  • UIF — Unità di Informazione Finanziaria — segnalazione operazioni sospette;
  • Autorità giudiziaria e amministrativa — su richiesta o provvedimento.

5.4. Trasferimento dati extra-UE

Alcuni Responsabili del trattamento potrebbero trattare dati in paesi terzi rispetto all'UE/SEE. In tali casi, CertiCredit garantisce che il trasferimento avvenga sulla base di:

  • Decisione di adeguatezza della Commissione Europea (art. 45 GDPR);
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (art. 46 GDPR);
  • Data Privacy Framework UE-USA (ove applicabile).

In particolare:

  • Supabase: i dati del database sono ospitati su AWS eu-central-1 (Francoforte, Germania). I dati non lasciano l'UE per lo storage primario. L'accesso del personale Supabase potrebbe avvenire dagli USA — coperto dal Data Privacy Framework e da SCC.
  • Anthropic (API Claude): l'analisi AI dei documenti comporta l'invio temporaneo di dati ai server di Anthropic. CertiCredit utilizza l'API con opzione Zero Data Retention (ZDR) ove disponibile, garantendo che i dati non vengano utilizzati per l'addestramento dei modelli.

6. Tempi di conservazione

I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto dei seguenti criteri:

Categoria di datiConservazioneMotivazione
Dati dell'adeguata verifica AML (KYC)10 anni dalla cessazione del rapportoArt. 31, c. 2-bis D.Lgs. 231/2007
Documentazione delle Pratiche10 anni dalla chiusuraObbligo AML + conservazione civilistica
Dati contabili e fiscali10 anniArt. 2220 c.c., DPR 600/1973
Audit log10 anniObbligo AML e sicurezza piattaforma
Dati di navigazione e cookie tecnici12 mesi dal rilevamentoLegittimo interesse
Cookie di profilazione12 mesi dal consensoConsenso (rinnovabile)
Dati per comunicazioni promozionaliFino alla revoca del consensoConsenso
Account non verificati / inattivi12 mesi dalla registrazione senza KYCLegittimo interesse

Alla scadenza dei termini di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile.

7. Diritti dell'interessato

Ai sensi degli artt. 15–22 del GDPR, l'Interessato ha i seguenti diritti:

7.1. Diritto di accesso (art. 15)

L'Interessato ha diritto di ottenere conferma che sia o meno in corso un trattamento dei propri dati e, in caso affermativo, di ottenerne copia e informazioni relative alle finalità, categorie, destinatari e periodo di conservazione.

7.2. Diritto di rettifica (art. 16)

L'Interessato ha diritto di ottenere la rettifica dei dati inesatti o l'integrazione dei dati incompleti che lo riguardano.

7.3. Diritto alla cancellazione (art. 17)

L'Interessato ha diritto di ottenere la cancellazione dei propri dati. Tuttavia, gli obblighi di conservazione antiriciclaggio per 10 anni impediscono la cancellazione dei dati AML fino alla scadenza del termine di legge.

7.4. Diritto di limitazione (art. 18)

L'Interessato ha diritto di ottenere la limitazione del trattamento nei casi previsti dalla normativa (dati contestati, trattamento illecito, dati non più necessari ma richiesti per tutela legale).

7.5. Diritto alla portabilità (art. 20)

L'Interessato ha diritto di ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON/CSV), e di trasmetterli a un altro titolare, ove tecnicamente fattibile.

7.6. Diritto di opposizione (art. 21)

L'Interessato ha diritto di opporsi al trattamento basato sul legittimo interesse, per motivi connessi alla propria situazione particolare.

7.7. Diritto di non essere sottoposto a decisioni automatizzate (art. 22)

L'Interessato ha diritto di non essere sottoposto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici significativi. Come indicato all'art. 4.4, l'analisi AI è sempre sottoposta a revisione umana.

7.8. Come esercitare i diritti

I diritti possono essere esercitati:

  • Direttamente dalla Piattaforma, nella sezione "Il mio profilo" → "Privacy e dati personali";
  • Inviando una richiesta a privacy@certicredit.it;
  • Inviando una richiesta al DPO all'indirizzo dpo@certicredit.it.

CertiCredit fornisce riscontro entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di complessità.

7.9. Diritto di reclamo

L'Interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali ( www.garanteprivacy.it).

9. Misure di sicurezza

CertiCredit adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR:

Misure tecniche

  • Cifratura TLS 1.3 per tutti i dati in transito;
  • Cifratura AES-256 per i dati a riposo (database e storage);
  • Row Level Security (RLS) a livello di database per il controllo granulare degli accessi;
  • Autenticazione basata su token con sessioni sicure;
  • Protezione contro attacchi CSRF, XSS, SQL injection;
  • Rate limiting sulle API;
  • Audit log immutabile (append-only) di tutte le operazioni;
  • Backup giornalieri con conservazione georidondante.

Misure organizzative

  • Formazione periodica del personale sul trattamento dei dati personali;
  • Policy di accesso basata sul principio del minimo privilegio;
  • Procedure di gestione degli incidenti di sicurezza con notifica al Garante entro 72 ore;
  • Registro dei trattamenti aggiornato;
  • Valutazione d'impatto (DPIA) per i trattamenti ad alto rischio;
  • Accordi di riservatezza con tutto il personale e i collaboratori.

10. Data Breach

In caso di violazione dei dati personali (Data Breach), CertiCredit:

  1. Notifica al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, ove la violazione presenti un rischio per i diritti e le libertà delle persone fisiche;
  2. Comunica all'Interessato senza ingiustificato ritardo ove la violazione presenti un rischio elevato;
  3. Documenta la violazione nel registro interno dei Data Breach;
  4. Adotta le misure correttive necessarie per mitigare gli effetti e prevenire il ripetersi dell'evento.

11. Modifiche all'Informativa

CertiCredit si riserva il diritto di aggiornare la presente Informativa. In caso di modifiche sostanziali, gli Utenti registrati saranno informati tramite email e notifica sulla Piattaforma con almeno 30 giorni di preavviso. La data dell'ultimo aggiornamento è riportata in calce al documento.

Ultimo aggiornamento: Aprile 2026 — Europe Credit and Management Solution S.R.L. (CertiCredit) — Informativa Privacy GDPR — Bozza v1.0