La presente informativa descrive le modalità con cui Novametris raccoglie e tratta i dati personali degli utenti che visitano il sito novametris.com, compilano il form di richiesta preventivo o caricano allegati (planimetrie, fotografie, file CAD). L'informativa è redatta nel rispetto del principio di trasparenza di cui all'art. 12 GDPR.
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
- Novametris — Marchio del Geom. Edison Ramaj
- Sede legale: Via dei Riccioli 8, 23900 Lecco (LC), Italia
- Partita IVA / Codice Fiscale:
04131890131 - Email: info@novametris.com
- Telefono: +39 366 205 8523
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti di obbligatorietà di cui all'art. 37 GDPR. Per qualsiasi questione relativa al trattamento è possibile scrivere direttamente al Titolare all'indirizzo email indicato sopra.
2. Categorie di dati raccolti
Il Titolare tratta esclusivamente dati personali comuni, forniti volontariamente dall'utente o raccolti automaticamente dal sito. Non vengono raccolte categorie particolari di dati personali (art. 9 GDPR) né dati relativi a condanne penali (art. 10 GDPR).
2.1 Dati forniti dall'utente
- Dati anagrafici e di contatto: nome, cognome, indirizzo email, numero di telefono, ragione sociale (azienda/studio).
- Dati relativi al progetto: tipologia di servizio richiesto, posizione/indirizzo del sito di rilievo, descrizione testuale dei requisiti.
- Allegati: file caricati tramite il form (PDF, JPG, PNG, DWG, ZIP — massimo 25 MB) che possono includere planimetrie, fotografie del cantiere, estratti di mappa o documentazione tecnica.
2.2 Dati raccolti automaticamente
- Dati di navigazione: indirizzo IP, user-agent del browser, timestamp delle richieste, pagine visitate. Tali dati sono trattati per finalità di sicurezza informatica e analisi aggregata, e sono conservati nei log di sistema dei provider di hosting (Firebase Hosting / Google) per i tempi tecnici strettamente necessari.
- Cookie tecnici: il sito utilizza esclusivamente cookie tecnici e di funzionalità (es. memorizzazione del tema chiaro/scuro, preferenze di accessibilità). Vedi sezione Cookie.
3. Finalità e base giuridica del trattamento
| Finalità | Base giuridica (art. 6 GDPR) | Conferimento |
|---|---|---|
| Riscontro a richieste di preventivo e contatto | art. 6.1.b — esecuzione di misure precontrattuali | Necessario |
| Esecuzione del contratto e prestazione del servizio | art. 6.1.b — contratto | Necessario |
| Adempimenti fiscali, contabili e di legge | art. 6.1.c — obbligo di legge | Necessario |
| Sicurezza del sito e prevenzione abusi | art. 6.1.f — legittimo interesse | Automatico |
| Difesa in giudizio | art. 6.1.f — legittimo interesse | Eventuale |
Non vengono effettuati trattamenti per finalità di marketing diretto, profilazione o invio di newsletter senza un esplicito e separato consenso dell'interessato.
4. Form di richiesta preventivo e immagini caricate
Al momento dell'invio della richiesta di preventivo tramite il modulo presente sulla pagina /contatti, vengono raccolti e trattati i dati indicati al punto 2.1. La spunta della casella di consenso costituisce presa visione dell'informativa; il trattamento è fondato sull'art. 6.1.b GDPR (misure precontrattuali su richiesta dell'interessato), pertanto non richiede un consenso autonomo per essere lecito ai fini della fornitura del riscontro.
4.1 Trattamento degli allegati e delle immagini
Le immagini e i file caricati tramite il form (planimetrie, fotografie, file CAD/BIM) sono trattati con particolare attenzione:
- Sono memorizzati su Firebase Storage (Google Ireland Ltd.) in bucket privati, accessibili solo previa autenticazione amministrativa.
- Sono utilizzati esclusivamente per la valutazione tecnica del progetto, la formulazione del preventivo e l'eventuale esecuzione del servizio. Non sono pubblicati, ceduti, riutilizzati per portfolio o materiale promozionale senza esplicito consenso scritto del cliente.
- Se le immagini contengono persone identificabili (volti, targhe, dati visibili) si applicano le tutele rafforzate del GDPR; l'utente che carica tali immagini garantisce di aver acquisito le necessarie autorizzazioni dagli interessati ritratti o di operare su base giuridica adeguata.
- Su richiesta, gli allegati possono essere cancellati in qualsiasi momento prima della finalizzazione del contratto, senza pregiudizio per i diritti dell'utente.
Minimizzazione del dato: ti chiediamo di non caricare informazioni eccedenti rispetto allo scopo (es. documenti d'identità, dati sanitari, dati di terzi non strettamente necessari). Il principio di minimizzazione (art. 5.1.c GDPR) è una nostra responsabilità ma anche una buona pratica condivisa.
5. Tempi di conservazione
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono raccolti, secondo i seguenti criteri:
- Richieste di preventivo non perfezionate in contratto: fino a 24 mesi dall'ultimo contatto, per consentire eventuali riprese del dialogo commerciale e ai fini di tutela del Titolare.
- Allegati e immagini di richieste non perfezionate: fino a 12 mesi, salvo richiesta di cancellazione anticipata.
- Dati di clienti (contratto eseguito): per la durata del rapporto contrattuale e per 10 anni dalla conclusione, ai sensi degli artt. 2220 c.c. (scritture contabili) e della normativa fiscale.
- Dati di monitoraggio strutturale: per la durata del contratto e i 10 anni successivi, in coerenza con il DM 17/01/2018 (Norme Tecniche per le Costruzioni).
- Log di sistema e dati di navigazione: fino a 12 mesi, in conformità ai provvedimenti del Garante Privacy.
- Comunicazioni email transazionali (Brevo): i log di consegna sono conservati nei termini previsti dal fornitore, di norma 6 mesi.
Decorsi tali termini, i dati sono cancellati o anonimizzati in modo irreversibile, salvo necessità di conservazione per accertamento o difesa di un diritto in sede giudiziaria.
6. Destinatari e responsabili del trattamento
I dati possono essere comunicati alle seguenti categorie di soggetti, esclusivamente per le finalità sopra indicate:
- Personale autorizzato del Titolare, debitamente istruito ai sensi dell'art. 29 GDPR.
- Consulenti professionali (commercialista, consulente del lavoro, legale) per adempimenti contabili e fiscali.
- Fornitori tecnologici nominati Responsabili del trattamento ex art. 28 GDPR mediante apposito atto contrattuale.
- Autorità giudiziarie e di pubblica sicurezza, in caso di obblighi di legge o richiesta legittima.
6.1 Fornitori tecnologici (Responsabili esterni)
| Fornitore | Servizio | Sede / Data location |
|---|---|---|
| Google Ireland Ltd. (Firebase) | Hosting, database (Firestore), storage allegati, autenticazione admin | UE (region europe-west) con possibili trasferimenti USA |
| Sendinblue SAS (Brevo) | Invio email transazionali (conferma preventivo, notifica admin) | Francia (UE) |
| Studio Faraj | Manutenzione tecnica del sito web | Italia (UE) |
L'elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta scritta al Titolare. I dati non sono diffusi e non sono comunicati a terzi per finalità di marketing.
7. Trasferimenti di dati extra-UE
Alcuni servizi tecnologici utilizzati possono comportare il trasferimento di dati personali al di fuori dello Spazio Economico Europeo, in particolare verso gli Stati Uniti d'America (per quanto riguarda alcune componenti dei servizi Google/Firebase).
Tali trasferimenti avvengono nel rispetto delle garanzie previste dagli artt. 44-49 GDPR, in particolare:
- adesione del fornitore al Data Privacy Framework UE-USA (decisione di adeguatezza della Commissione Europea del 10 luglio 2023, ove applicabile);
- sottoscrizione delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con decisione 2021/914;
- adozione di misure supplementari tecniche e organizzative (cifratura in transito e a riposo, controlli di accesso).
Una copia delle garanzie applicate può essere richiesta al Titolare.
8. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o alterazione, tra cui:
- cifratura TLS 1.2+ per tutte le comunicazioni tra browser e server;
- cifratura a riposo dei file su Firebase Storage;
- regole di sicurezza Firestore/Storage che limitano la lettura ai soli utenti autenticati con privilegi amministrativi;
- autenticazione email + password con requisiti di robustezza per gli account amministrativi;
- backup periodici e segregazione degli ambienti;
- aggiornamenti regolari delle dipendenze software e patch di sicurezza;
- formazione del personale autorizzato.
In caso di violazione dei dati personali (data breach), il Titolare provvederà alla notifica al Garante Privacy entro 72 ore ai sensi dell'art. 33 GDPR e, se sussiste un rischio elevato per i diritti e le libertà degli interessati, alla comunicazione agli stessi ai sensi dell'art. 34 GDPR.
9. Diritti dell'interessato
L'utente, in qualità di interessato, può esercitare in qualsiasi momento i diritti riconosciuti dagli articoli 15-22 GDPR:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei dati personali.
- Rettifica (art. 16): correggere dati inesatti o incompleti.
- Cancellazione / "diritto all'oblio" (art. 17): chiedere la cancellazione dei dati nei casi previsti.
- Limitazione (art. 18): chiedere la sospensione temporanea del trattamento.
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile (JSON, CSV).
- Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse.
- Revoca del consenso (art. 7.3): laddove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
- Reclamo all'Autorità di controllo: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma — protocollo@gpdp.it — PEC protocollo@pec.gpdp.it.
Per esercitare i propri diritti è sufficiente inviare una richiesta all'indirizzo info@novametris.com indicando nell'oggetto "Privacy — esercizio diritti GDPR". Il Titolare risponderà entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 giorni in caso di particolare complessità (con preventiva comunicazione all'interessato). L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive.
11. Trattamento dei dati di minori
I servizi offerti da Novametris sono rivolti a un pubblico professionale (studi tecnici, imprese, enti pubblici, privati maggiorenni). Il sito non è destinato a minori di età inferiore ai 18 anni e il Titolare non raccoglie consapevolmente dati di minori. Qualora un genitore o tutore rilevasse che un minore ha fornito dati personali tramite il sito, è invitato a contattare il Titolare per la pronta cancellazione.
12. Decisioni automatizzate e profilazione
Il Titolare non effettua processi decisionali automatizzati, inclusa la profilazione, ai sensi dell'art. 22 GDPR. Tutte le valutazioni di preventivo e tutte le risposte alle richieste sono elaborate da personale qualificato.
13. Modifiche all'informativa
La presente informativa può essere aggiornata in qualsiasi momento per riflettere modifiche normative, organizzative o tecnologiche. La versione vigente è sempre disponibile a questa pagina, con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, ne sarà data evidenza tramite avviso sul sito o, ove possibile, comunicazione diretta agli interessati.
14. Contatti per questioni privacy
Per qualsiasi domanda, richiesta di chiarimento o esercizio dei diritti, è possibile contattare il Titolare:
- Email: info@novametris.com (oggetto: "Privacy")
- Posta ordinaria: Novametris — Via dei Riccioli 8, 23900 Lecco (LC), Italia
- Telefono: +39 366 205 8523 (Lun–Ven 9:00–18:00)
Documento redatto in conformità al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, ai Provvedimenti e alle Linee guida del Garante per la Protezione dei Dati Personali e alle linee guida dello European Data Protection Board (EDPB).