Chiunque visiti getpronto.it — LEVATech agisce da Titolare
🏢
Clienti del servizio
Aziende che utilizzano PRONTO — LEVATech agisce da Titolare per i dati del contratto
🔒
Utenti Finali
Terzi raggiunti via WhatsApp — LEVATech agisce da Responsabile su istruzione del Cliente
Nota introduttiva. La presente informativa è redatta ai sensi degli artt. 13 e 14
del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR),
del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, nonché delle Linee Guida del Comitato
Europeo per la Protezione dei Dati (EDPB). PRONTO è un servizio di automazione delle comunicazioni
via WhatsApp Business sviluppato da LEVATech. La natura del servizio comporta un
duplice ruolo giuridico: Titolare diretto per i dati dei visitatori del sito e dei Clienti;
Responsabile del trattamento per i dati degli Utenti Finali trattati su istruzione
dei Clienti.
1 Titolare del trattamento e definizioni
LEVATech — Titolare del trattamento
Sede legale: Via Pompeiana 198, 63900, Fermo - Italia
P.IVA: IT02596030441
Email: privacy@levatech.it
Sito web: levatech.it / getpronto.it
⚠ Nota operativa. Ai sensi dell'art. 13.1.a GDPR, l'informativa deve riportare
l'identità e i dati di contatto completi del Titolare, inclusa la sede legale. I campi
contrassegnati con [da completare] devono essere compilati prima della pubblicazione.
La pubblicazione senza questi dati espone a sanzione da parte del Garante.
Definizioni rilevanti ai fini della presente informativa
LEVATech
La società che sviluppa ed eroga il servizio PRONTO. Titolare del trattamento per i dati raccolti direttamente (visitatori del sito, Clienti).
PRONTO
Servizio software di automazione delle comunicazioni via WhatsApp Business erogato da LEVATech.
Cliente
Qualsiasi persona fisica o giuridica, ente o organizzazione che ha sottoscritto un contratto con LEVATech per l'utilizzo del servizio PRONTO, agendo in qualità di Titolare del trattamento nei confronti dei propri Utenti Finali.
Utente Finale
Qualsiasi persona fisica i cui dati di contatto sono forniti a PRONTO dal Cliente al fine di inviare comunicazioni via WhatsApp (es. pazienti, clienti, utenti del Cliente). LEVATech tratta i dati degli Utenti Finali in qualità di Responsabile del trattamento su esclusiva istruzione del Cliente.
Visitatore
Qualsiasi persona fisica che accede al sito getpronto.it senza essere un Cliente registrato.
DPA (Data Processing Agreement)
Contratto di trattamento dati ai sensi dell'art. 28 GDPR, sottoscritto tra LEVATech (Responsabile) e il Cliente (Titolare) prima dell'attivazione del servizio.
2 Ambito di applicazione
Scenario A — Visitatore del sito getpronto.it
Se visiti il sito getpronto.it senza sottoscrivere il servizio, la presente
informativa si applica integralmente, con particolare riferimento alle sezioni 3.1, 4, 9 e 11.
Scenario B — Cliente di PRONTO
Se sei il titolare o un referente di un'organizzazione che utilizza o valuta il servizio PRONTO,
i tuoi dati personali (dati anagrafici, di contatto e di fatturazione) sono trattati da LEVATech
in qualità di Titolare, sulla base del contratto di servizio. Vedi sezioni 3.2, 4 e 8.
Scenario C — Utente Finale
Se sei un Utente Finale che ha ricevuto comunicazioni via WhatsApp tramite PRONTO, i tuoi dati
sono stati forniti a PRONTO dal Cliente, che è il Titolare del trattamento.
LEVATech agisce come Responsabile del trattamento su istruzione del Cliente.
Per esercitare i tuoi diritti (accesso, cancellazione, opposizione), rivolgiti direttamente
al Cliente che ti ha contattato. Vedi sezione 5.
Se sei un Utente Finale: il soggetto che ti ha inviato il messaggio WhatsApp
è il Titolare del trattamento dei tuoi dati personali — non LEVATech. LEVATech è il fornitore
tecnico che agisce esclusivamente su istruzione di quel soggetto. Per esercitare i tuoi diritti,
contatta direttamente l'organizzazione mittente. LEVATech assisterà il Cliente nell'evasione
della tua richiesta entro i termini di legge.
3 Dati raccolti e modalità di raccolta
3.1 Dati di navigazione del sito getpronto.it
Durante la navigazione i sistemi acquisiscono automaticamente:
Indirizzo IP e geolocalizzazione approssimativa (paese/città)
Tipo di browser, dispositivo e sistema operativo
Pagine visitate, percorso di navigazione, URL e timestamp
Provenienza della visita (referral URL o campagna pubblicitaria)
Risoluzione dello schermo e lingua del browser
3.2 Dati forniti dai Clienti
Modulo di contatto / richiesta di accesso: nome, cognome, email, telefono (facoltativo), nome dell'organizzazione, messaggio
Onboarding del servizio: dati dell'organizzazione (ragione sociale, P.IVA, sede), dati del referente tecnico, credenziali di configurazione del calendario e del numero WhatsApp Business
Fatturazione: dati fiscali e coordinate di pagamento
Supporto tecnico: comunicazioni email, log di errore, screenshot condivisi volontariamente
3.3 Dati degli Utenti Finali trattati come Responsabile
Su istruzione documentata del Cliente (Titolare), PRONTO tratta esclusivamente i seguenti
dati degli Utenti Finali, nella misura strettamente necessaria all'erogazione del servizio:
Numero di telefono WhatsApp dell'Utente Finale
Nome (o nome e cognome) dell'Utente Finale
Data, ora e tipologia dell'evento o appuntamento
Stato della comunicazione (confermato, cancellato, da ripianificare, nessuna risposta)
Testo delle risposte inviate dall'Utente Finale tramite WhatsApp, nei limiti della gestione dell'appuntamento
Categorie particolari di dati (Art. 9 GDPR). PRONTO non raccoglie, non
richiede e non sollecita dati appartenenti alle categorie particolari ai sensi dell'art. 9
GDPR (dati sulla salute, origine razziale o etnica, convinzioni religiose, ecc.).
Qualora un Utente Finale inserisca volontariamente tali dati in un messaggio di testo libero,
il trattamento di tali informazioni è interamente sotto la responsabilità del Cliente
(Titolare), il quale è tenuto ad aver acquisito preventivamente le necessarie basi giuridiche
ai sensi dell'art. 9.2 GDPR. I dati accessori non richiesti contenuti nei messaggi liberi
vengono archiviati in forma cifrata, non sono elaborati da sistemi di analisi automatizzata
e vengono cancellati alla scadenza del periodo di conservazione previsto. LEVATech non si
assume responsabilità per dati di categoria particolare trasmessi dall'Utente Finale al di
fuori delle istruzioni documentate del Cliente.
4 Finalità e basi giuridiche del trattamento
Le seguenti finalità si riferiscono ai trattamenti in cui LEVATech è Titolare.
Interesse legittimo — test di bilanciamento (Art. 6.1.f GDPR).
Per ogni finalità fondata sull'interesse legittimo, LEVATech ha effettuato un test di
bilanciamento (Legitimate Interest Assessment — LIA) documentato nel proprio Registro
delle attività di trattamento ai sensi dell'art. 30 GDPR. L'interessato ha il diritto
di opporsi in qualsiasi momento al trattamento basato su interesse legittimo (Art. 21 GDPR),
scrivendo a privacy@levatech.it.
LEVATech non adotta processi decisionali automatizzati né attività di profilazione che
producano effetti giuridici o significativi per le persone fisiche (Art. 22 GDPR).
Le statistiche aggregate calcolate dal servizio operano esclusivamente a livello
organizzativo del Cliente e non producono effetti su singoli Utenti Finali.
5 Ruolo di Responsabile del trattamento — DPA
Per i dati degli Utenti Finali, LEVATech assume il ruolo di Responsabile del
trattamento (Art. 28 GDPR) su istruzione del Cliente, che rimane
Titolare del trattamento e mantiene pieno controllo e responsabilità
sui dati dei propri Utenti Finali.
Data Processing Agreement (DPA). Prima dell'attivazione del servizio,
ogni Cliente firma un contratto di trattamento dati (DPA) conforme all'art. 28 GDPR.
Il DPA disciplina: istruzioni documentate del Titolare, misure di sicurezza tecniche e
organizzative, procedure di gestione delle violazioni, diritti di audit, elenco dei
sub-responsabili autorizzati, condizioni di cancellazione e restituzione dei dati alla
cessazione del servizio.
In qualità di Responsabile, LEVATech si impegna a:
Trattare i dati degli Utenti Finali esclusivamente su istruzione scritta e documentata del Cliente (Titolare), salvo obblighi di legge
Non coinvolgere sub-responsabili non preventivamente autorizzati per iscritto dal Cliente
Garantire che il personale autorizzato al trattamento abbia assunto obblighi di riservatezza per iscritto
Adottare le misure di sicurezza richieste dall'art. 32 GDPR (vedi sezione 12)
Assistere il Cliente nell'adempimento degli obblighi relativi ai diritti degli Utenti Finali (artt. 15–22 GDPR) entro i termini previsti dalla legge
Assistere il Cliente negli adempimenti relativi alla sicurezza, alle valutazioni d'impatto (DPIA) e alle consultazioni preventive, ove applicabili
Cancellare o restituire, a scelta del Cliente, tutti i dati degli Utenti Finali alla cessazione del servizio, entro 30 giorni, e fornire conferma scritta dell'avvenuta cancellazione sicura
Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare la conformità all'art. 28 GDPR e consentire audit ragionevoli
Notificare al Cliente, senza ingiustificato ritardo e comunque entro 24 ore, qualsiasi violazione dei dati che possa riguardare dati degli Utenti Finali
6 Sub-responsabili e destinatari dei dati
Per l'erogazione del servizio, LEVATech si avvale dei seguenti sub-responsabili
(Art. 28.4 GDPR). Tutti i sub-responsabili sono vincolati da specifici contratti di
trattamento che garantiscono obblighi di protezione equivalenti a quelli del presente accordo.
Sub-responsabile
Ruolo / Servizio
Dati coinvolti
Paese
Garanzie GDPR
Meta Platforms Ireland Ltd
WhatsApp Business API — invio e ricezione messaggi
Numero di telefono, testo dei messaggi, timestamp
Irlanda (UE)
Stabilimento UE; DPA Meta; policy WhatsApp Business
Bunny.net d.o.o.
CDN, hosting sito getpronto.it
Dati di navigazione
Slovenia (UE)
Infrastruttura EU-only; DPA Bunny.net
Hetzner Online GmbH
Hosting applicativo
Dati applicativi, log di sistema
Germany (UE)
Infrastruttura EU-only; DPA hetzner.com
Stripe Technology Europe Ltd. stripe.com/it
Processore di pagamenti
Nome, email, dati di fatturazione, importi transazioni, dati carta (tokenizzati PCI DSS L1)
Irlanda (UE) + USA
DPA incluso nel SSA. Certificazione EU-U.S. Data Privacy Framework. SCC allegate per trasferimenti USA.
Provider email transazionale (specificato nel DPA)
Invio di notifiche email ai Clienti
Email del referente Cliente
UE o SCCs
DPA firmato; SCCs ove applicabili
Stripe e la sicurezza dei pagamenti
LEVATech non memorizza mai i dati completi della carta di credito o degli strumenti di pagamento.
Tutti i dati sensibili di pagamento vengono raccolti e gestiti direttamente da Stripe attraverso
Stripe Elements (form sicuro integrato), in conformità allo standard PCI DSS Level 1 —
il massimo livello di certificazione per la sicurezza dei pagamenti. LEVATech riceve da Stripe
esclusivamente un token identificativo della transazione.
Aggiornamento sub-responsabili. L'elenco aggiornato è sempre disponibile
su richiesta scritta a privacy@levatech.it.
I Clienti vengono notificati per iscritto con almeno 14 giorni di anticipo
in caso di aggiunta o sostituzione di un sub-responsabile, con diritto scritto di opposizione.
In assenza di opposizione entro il termine indicato nella notifica, la modifica si intende
approvata.
7 Trasferimento dei dati fuori dall'UE/SEE
L'infrastruttura di PRONTO è progettata per mantenere i dati all'interno dell'Unione Europea.
Tuttavia, alcuni sub-responsabili possono comportare trasferimenti verso paesi terzi:
Meta Platforms Ireland Ltd (WhatsApp Business API): il trattamento primario
avviene nell'UE (sede irlandese). Alcuni accessi da parte di Meta Inc. (USA) possono verificarsi
per finalità di sicurezza e conformità. Tali trasferimenti sono regolati dal
Data Privacy Framework UE–USA (decisione di adeguatezza della Commissione
Europea, luglio 2023) e dalle Clausole Contrattuali Standard 2021 (SCCs).
L'utilizzo di Stripe comporta un trasferimento parziale di dati verso gli Stati Uniti,
in quanto Stripe Inc. ha sede legale in California. Tale trasferimento è regolato da:
Certificazione di Stripe al EU-U.S. Data Privacy Framework (adeguatezza riconosciuta dalla Commissione Europea con decisione del 10 luglio 2023).
Clausole Contrattuali Standard (SCC) allegate al DPA di Stripe, versione 2021 approvata dalla Commissione Europea
Altri fornitori: qualora comportino trasferimenti extra-UE/SEE, vengono
adottate le garanzie previste dall'art. 46 GDPR (SCCs o BCRs), documentate nel DPA specifico.
L'interessato può richiedere copia delle garanzie adottate scrivendo a
privacy@levatech.it.
8 Periodo di conservazione
Categoria di dati
Periodo
Motivazione
Log di navigazione del sito
30 giorni
Sicurezza e diagnostica; cancellazione automatica
Richieste di contatto senza seguito contrattuale
24 mesi dalla ricezione
Interesse legittimo nella gestione della relazione commerciale
Dati del Cliente (contratto attivo)
Durata del contratto + 10 anni
Obblighi fiscali e contabili (D.P.R. 633/72, art. 2220 c.c.)
Dati degli Utenti Finali (messaggi WhatsApp, stato comunicazione)
90 giorni dall'evento o dalla cessazione del contratto, salvo diversa istruzione scritta del Cliente nel DPA
Principio di minimizzazione (Art. 5.1.e GDPR); cancellazione sicura a scadenza
Log di sistema (invii messaggi, errori, chiamate API)
90 giorni
Diagnostica e sicurezza del servizio
Dati per marketing (consenso)
Fino alla revoca del consenso
Consenso; cancellazione entro 30 giorni dalla revoca
Fatture e documenti fiscali
10 anni dalla data di emissione
Obbligo legale (normativa fiscale italiana)
Cessazione del contratto. Alla cessazione del rapporto contrattuale con
un Cliente, LEVATech cancella in modo sicuro e irreversibile tutti i dati degli Utenti
Finali di quel Cliente entro 30 giorni, salvo diversa istruzione scritta
del Cliente. Il Cliente riceve conferma scritta dell'avvenuta cancellazione, con indicazione
delle modalità tecniche utilizzate.
9 Cookie e tecnologie di tracciamento
Il sito getpronto.it utilizza cookie nelle seguenti categorie:
Cookie analitici e di terze parti (consenso preventivo richiesto)
Qualora vengano attivati strumenti di analisi di terze parti (es. Google Analytics, Meta Pixel
o equivalenti), l'utente verrà informato tramite apposito banner di consenso conforme alle
Linee Guida del Garante del 10 giugno 2021 e alla Cookie Law (D.Lgs. 69/2012 mod. D.Lgs. 70/2012).
Il consenso sarà raccolto prima di qualsiasi attivazione. La presente sezione sarà aggiornata
contestualmente all'attivazione di tali strumenti.
L'utente può gestire o revocare il consenso ai cookie in qualsiasi momento tramite le
impostazioni del proprio browser o tramite il pannello preferenze cookie del sito,
senza pregiudizio per la liceità del trattamento precedente alla revoca.
10 WhatsApp Business API — implicazioni privacy
PRONTO utilizza esclusivamente l'API ufficiale WhatsApp Business di Meta
Platforms Ireland Ltd. Di seguito le implicazioni privacy specifiche di questa tecnologia.
Consenso dell'Utente Finale al canale WhatsApp
Ai sensi delle policy di WhatsApp Business e del GDPR, il Cliente (Titolare)
è responsabile di aver ottenuto il consenso esplicito dell'Utente Finale a ricevere messaggi
tramite WhatsApp prima che PRONTO invii qualsiasi comunicazione. Il Cliente deve documentare
tale consenso e conservarlo per la durata del trattamento. LEVATech fornisce ai Clienti,
in fase di onboarding, un modello di informativa e modulo di consenso da integrare nei
propri processi di raccolta dati.
Cifratura end-to-end
I messaggi WhatsApp sono protetti da cifratura end-to-end (E2E) tra dispositivi.
Meta e LEVATech non hanno accesso al contenuto dei messaggi durante la trasmissione.
I messaggi vengono decifrati esclusivamente sui dispositivi dell'Utente Finale e sul numero
WhatsApp Business configurato dal Cliente.
Opt-out e gestione delle preferenze
PRONTO implementa un sistema di gestione dell'opt-out via keyword detection: l'Utente Finale
può inviare in qualsiasi momento le parole chiave STOP, ANNULLA
o CANCELLA per interrompere la ricezione di messaggi automatici. L'opt-out
viene registrato dal sistema entro 5 minuti e rispettato immediatamente per tutti i messaggi
successivi. L'Utente Finale può contattare il Cliente per la cancellazione definitiva
dei propri dati dal sistema.
Metadati
Indipendentemente dalla cifratura E2E dei contenuti, WhatsApp raccoglie metadati (timestamp,
numero mittente/destinatario, frequenza delle comunicazioni). Tali metadati sono trattati
da Meta secondo la propria
Privacy Policy e sono regolati dal DPA con Meta Platforms Ireland Ltd.
I metadati dei messaggi WhatsApp Business sono soggetti a norme diverse rispetto ai messaggi
personali e possono essere acceduti da Meta per finalità di sicurezza, supporto tecnico
e conformità normativa.
Nota per i Clienti. In qualità di Titolari del trattamento, siete
responsabili di informare i vostri Utenti Finali sull'utilizzo di PRONTO e di WhatsApp
Business per le comunicazioni. Siete tenuti a integrare tale informazione nella vostra
informativa privacy e a raccogliere il consenso appropriato prima dell'uso del servizio.
LEVATech fornisce un modello di clausola integrativa da inserire nella vostra policy.
Richiedetela a privacy@levatech.it.
11 Diritti dell'interessato
Per Visitatori e Clienti (LEVATech come Titolare)
Ai sensi degli artt. 15–22 GDPR, hai il diritto di:
Accesso (Art. 15): ottenere conferma che sia in corso un trattamento dei tuoi dati personali e, in tal caso, accedere ai dati e a tutte le informazioni relative al trattamento
Rettifica (Art. 16): ottenere la correzione di dati personali inesatti o l'integrazione di dati incompleti
Cancellazione / diritto all'oblio (Art. 17): ottenere la cancellazione dei tuoi dati nei casi previsti (revoca del consenso, dati non più necessari, opposizione al trattamento)
Limitazione del trattamento (Art. 18): ottenere la restrizione del trattamento in attesa di verifica di inesattezze, di opposizione o di tutela legale
Portabilità dei dati (Art. 20): ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare
Opposizione (Art. 21): opporti in qualsiasi momento al trattamento fondato su interesse legittimo o per finalità di marketing diretto; LEVATech cessa il trattamento salvo sussistano motivi legittimi cogenti
Revoca del consenso (Art. 7.3): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente alla revoca
Non essere soggetto a decisioni automatizzate (Art. 22): LEVATech non adotta processi decisionali automatizzati che producano effetti significativi sugli interessati
Come esercitare i diritti
Invia una richiesta scritta a privacy@levatech.it
indicando: nome e cognome, recapito, copia di un documento di identità in corso di validità
(per consentire la verifica dell'identità del richiedente) e descrizione specifica del diritto
che intendi esercitare. LEVATech risponde senza ingiustificato ritardo e comunque entro
30 giorni dalla ricezione. In caso di richieste complesse o numerose, il
termine è prorogabile di ulteriori 60 giorni, con comunicazione motivata
entro il primo mese.
Il servizio di risposta è gratuito. Qualora le richieste siano manifestamente infondate,
eccessive o ripetitive, LEVATech si riserva di addebitare un contributo spese ragionevole
ai sensi dell'art. 12.5 GDPR o di rifiutare di darvi seguito, con motivazione scritta.
Per gli Utenti Finali (LEVATech come Responsabile)
Il Titolare del trattamento dei tuoi dati è il Cliente che ti ha contattato
tramite PRONTO. Per esercitare i diritti di cui agli artt. 15–22 GDPR, contatta direttamente
quel soggetto. LEVATech, in qualità di Responsabile, assisterà il Cliente nell'evasione della
tua richiesta entro i termini di legge.
12 Sicurezza dei dati
LEVATech adotta misure tecniche e organizzative adeguate al rischio ai sensi dell'art. 32 GDPR:
Cifratura in transito: HTTPS/TLS 1.3 su tutti i canali; cifratura E2E nativa per i messaggi WhatsApp
Cifratura a riposo: database cifrati (AES-256 o equivalente); backup cifrati e ridondanti
Principio del minimo privilegio: ogni componente accede esclusivamente ai dati strettamente necessari alla propria funzione
Autenticazione multi-fattore (MFA): obbligatoria per tutti gli accessi ai sistemi di produzione
Infrastruttura EU-only: tutti i server di produzione sono ubicati nell'Unione Europea
Audit log immutabili: registrazione degli accessi ai dati e delle operazioni critiche con integrità garantita
Penetration testing: eseguito almeno annualmente da terze parti indipendenti
Procedura di gestione degli incidenti: piano documentato con notifica al Cliente entro 24 ore e al Garante entro 72 ore (Art. 33 GDPR); notifica agli interessati in caso di rischio elevato (Art. 34 GDPR)
Obblighi di riservatezza: tutto il personale autorizzato al trattamento è vincolato per iscritto da obblighi di riservatezza
13 Aggiornamenti alla presente informativa
La presente informativa può essere aggiornata in caso di modifiche normative, tecniche
o operative. La data di entrata in vigore e quella dell'ultimo aggiornamento sono sempre
indicate nell'intestazione del documento. Le versioni precedenti sono disponibili su
richiesta a privacy@levatech.it.
I Clienti (Titolari) vengono notificati per email di qualsiasi modifica sostanziale con
almeno 14 giorni di anticipo rispetto all'entrata in vigore. Per i
trattamenti basati sul consenso, modifiche sostanziali richiedono la raccolta di un nuovo
consenso informato. I Visitatori del sito possono verificare la versione aggiornata
su questa pagina.
14 Contatti e reclami
LEVATech — Referente Privacy per il servizio PRONTO
Email: privacy@levatech.it
Per violazioni di dati e richieste urgenti: risposta entro 24 ore
Per richieste standard: risposta entro 30 giorni
Hai il diritto di proporre reclamo all'Autorità di controllo competente (Art. 77 GDPR)
senza pregiudizio per qualsiasi altro ricorso amministrativo o giurisdizionale.
In Italia, l'Autorità di controllo è: