Informativa sul trattamento dei dati personali
ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy")
Ultimo aggiornamento: 15 marzo 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Fabio Vezzoli
Sede legale: Contrada delle Bassiche 9e, 25122 Brescia (BS)
P.IVA / C.F.: 04370730980
Email: privacy@findolo.it
PEC: vezzoli.f@legalmail.it
(di seguito, il "Titolare")
Per qualsiasi domanda relativa al trattamento dei Suoi dati personali, può scrivere a: privacy@findolo.it
2. Cos'è Findolo
Findolo è un servizio di assistenza automatizzata, accessibile tramite WhatsApp e widget web, che aiuta le piccole e medie imprese lombarde a individuare bandi, agevolazioni e finanziamenti compatibili con il proprio profilo aziendale. Il sistema ricerca bandi su tre livelli territoriali: nazionali, regionali (Lombardia) e provinciali (specifici della provincia in cui ha sede l'azienda). Il servizio offre inoltre la possibilità di essere messi in contatto con agenzie partner specializzate in finanza agevolata.
3. Dati personali raccolti
3.1 Dati forniti direttamente dall'utente
Durante la registrazione e l'utilizzo del servizio via WhatsApp, raccogliamo:
| Categoria | Dati specifici | Obbligatorio |
|---|---|---|
| Dati identificativi | Nome e cognome | Sì |
| Dati di contatto | Numero di telefono WhatsApp, indirizzo email, PEC (dato pubblico da registro imprese) | Sì |
| Dati aziendali | Ragione sociale, Partita IVA, codice ATECO primario, numero dipendenti, fatturato annuo, forma giuridica, provincia della sede, anno di costituzione. Parte di questi dati (ragione sociale, ATECO, PEC, forma giuridica) possono essere auto-compilati dal registro imprese a partire dalla P.IVA fornita, tramite il servizio OpenAPI.com | Sì |
| Dati di pagamento | In caso di sottoscrizione del piano Premium, l'indirizzo email fornito in fase di pagamento. I dati della carta di credito sono raccolti e gestiti esclusivamente da Stripe e non transitano mai sui server di Findolo | Solo per Premium |
3.2 Dati generati automaticamente
| Categoria | Dati specifici |
|---|---|
| Conversazioni | Testo dei messaggi scambiati con il chatbot via WhatsApp |
| Dati di utilizzo | Data e ora dei messaggi, numero di messaggi inviati, interazioni con i bandi proposti, sessioni di conversazione |
| Dati tecnici del widget web | Indirizzo IP, tipo di browser, sistema operativo, pagine visitate (raccolti tramite log del server web) |
3.3 Dati non raccolti
Non raccogliamo dati relativi a:
- Stato di salute, origine etnica, opinioni politiche, convinzioni religiose o altri dati particolari (Art. 9 GDPR)
- Precedenti penali o reati (Art. 10 GDPR)
- Dati biometrici o genetici
- Dati di minori di 16 anni (il servizio è riservato a titolari e rappresentanti legali di impresa)
4. Finalità e basi giuridiche del trattamento
4.1 Erogazione del servizio — Matching bandi
| Finalità | Analizzare il profilo aziendale dell'utente e presentare automaticamente i bandi e le agevolazioni compatibili, ricercati su tre livelli territoriali: nazionali, regionali (Lombardia) e provinciali (specifici della provincia della sede aziendale) |
| Base giuridica | Art. 6(1)(f) GDPR — Legittimo interesse del Titolare a fornire un servizio di matching tra profili aziendali e agevolazioni pubbliche. L'utente, in quanto titolare di P.IVA che contatta volontariamente il servizio, ha una ragionevole aspettativa che i propri dati aziendali (pubblicamente disponibili nel Registro Imprese) vengano utilizzati per questa finalità. Il trattamento è proporzionato e non pregiudica i diritti dell'interessato, che può opporsi in qualsiasi momento (Art. 21 GDPR) |
| Dati utilizzati | Codice ATECO, provincia, forma giuridica, fascia dipendenti, fascia fatturato, anno di costituzione |
| Accettazione del servizio | L'utente accetta le condizioni d'uso e la presente informativa privacy utilizzando il servizio. Il primo messaggio del chatbot contiene i link all'informativa privacy e alle condizioni d'uso. La data di primo utilizzo viene registrata nel sistema |
| Profilazione | Sì — il sistema confronta automaticamente i dati aziendali (inclusa la provincia della sede) con i requisiti dei bandi per calcolare una percentuale di compatibilità stimata. Il matching tiene conto dell'ambito territoriale del bando: i bandi nazionali e regionali sono visibili a tutti gli utenti lombardi, mentre i bandi provinciali sono visibili solo agli utenti della provincia interessata. Non vengono prese decisioni automatizzate con effetti giuridici: l'utente è libero di valutare autonomamente ogni bando proposto |
4.2 Assistenza conversazionale
| Finalità | Rispondere alle domande dell'utente su bandi, requisiti, scadenze e procedure tramite chatbot alimentato da intelligenza artificiale |
| Base giuridica | Art. 6(1)(b) GDPR — Esecuzione del servizio |
| Dati inviati al modello AI | Solo primo nome, codice ATECO, provincia, fascia dipendenti (Micro/Piccola/Media/Grande), fascia fatturato (A–D), anno di costituzione e forma giuridica. Non vengono inviati al modello AI: Partita IVA, numero di telefono, indirizzo email, ragione sociale, fatturato esatto |
4.3 Registrazione e validazione dati
| Finalità | Guidare l'utente nella registrazione e verificare la correttezza dei dati inseriti. La P.IVA fornita viene utilizzata per recuperare automaticamente i dati aziendali pubblici dal registro imprese (tramite OpenAPI.com), riducendo gli errori di inserimento e velocizzando la registrazione |
| Base giuridica | Art. 6(1)(b) GDPR — Esecuzione di misure precontrattuali |
| Dati verificati tramite registro imprese | Ragione sociale, codice ATECO, PEC, forma giuridica, indirizzo sede. Si tratta esclusivamente di dati pubblici camerali, non di dati personali sensibili |
4.4 Notifiche nuovi bandi
| Finalità | Inviare proattivamente via WhatsApp segnalazioni di nuovi bandi compatibili con il profilo aziendale, filtrati per ambito territoriale (nazionali, regionali e provinciali della sede dell'azienda) |
| Base giuridica | Art. 6(1)(a) GDPR — Consenso dell'interessato. L'utente può sospendere le notifiche in qualsiasi momento scrivendo /pausa e riattivarle con /riprendi |
4.5 Collegamento con agenzie partner (lead referral)
| Finalità | Su richiesta esplicita dell'utente, trasmettere i dati di contatto e il bando di interesse a un'agenzia partner specializzata in finanza agevolata, affinché l'agenzia possa proporre un servizio di consulenza |
| Base giuridica | Art. 6(1)(a) GDPR — Consenso esplicito e separato dell'interessato (Art. 7 GDPR) |
| Meccanismo di consenso | Quando l'utente scrive "CONTATTAMI", il sistema chiede un consenso esplicito e separato prima di condividere i dati: il chatbot informa l'utente che nome, telefono e profilo aziendale verranno trasmessi all'agenzia, e chiede conferma (SÌ/NO). Solo dopo conferma affermativa i dati vengono condivisi. Data, ora e metodo del consenso vengono registrati nel sistema |
| Dati condivisi | Nome, telefono, email, ragione sociale, P.IVA, settore ATECO, provincia, bando di interesse |
| Destinatari | Agenzie partner selezionate dal Titolare. L'elenco aggiornato è disponibile su richiesta scrivendo a privacy@findolo.it |
| Diritto di rifiuto | L'utente può rifiutare la condivisione rispondendo NO. In tal caso nessun dato viene trasmesso all'agenzia e l'utente può continuare a utilizzare il servizio informativo di Findolo |
4.6 Miglioramento del servizio
| Finalità | Analisi automatica giornaliera della qualità delle conversazioni per identificare criticità, migliorare le risposte del chatbot e l'esperienza utente |
| Base giuridica | Art. 6(1)(f) GDPR — Legittimo interesse del Titolare al miglioramento del servizio. Le conversazioni vengono de-identificate prima dell'analisi: numeri di telefono, P.IVA, email e codici fiscali eventualmente presenti nel testo vengono sostituiti con segnaposto anonimi |
4.7 Adempimenti legali
| Finalità | Gestione delle richieste di esercizio dei diritti degli interessati, tenuta del registro dei trattamenti, gestione di eventuali data breach |
| Base giuridica | Art. 6(1)(c) GDPR — Adempimento di un obbligo legale |
4.8 Gestione abbonamento Premium
| Finalità | Gestire la sottoscrizione, il rinnovo, la modifica e la disdetta dell'abbonamento Premium, inclusa la fatturazione e il supporto ai pagamenti |
| Base giuridica | Art. 6(1)(b) GDPR — Esecuzione di un contratto |
| Dati trattati | Numero di telefono WhatsApp (per associare il pagamento all'account), indirizzo email (fornito in fase di checkout). I dati della carta di credito non sono mai trattati da Findolo: sono raccolti e gestiti esclusivamente da Stripe Inc., certificata PCI-DSS Level 1 |
| Conservazione | Lo storico pagamenti (data, importo, stato, piano) è conservato per il periodo previsto dalla normativa fiscale italiana (10 anni). L'associazione tra telefono e cliente Stripe è conservata fino alla cancellazione dell'account |
5. Modalità di trattamento e misure di sicurezza
I dati personali sono trattati con strumenti elettronici e automatizzati, con le seguenti misure di sicurezza:
- Crittografia in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS con certificati SSL/TLS gestiti da Cloudflare
- Isolamento dei sistemi: il database (PostgreSQL) e il motore di ricerca semantica (Qdrant) sono accessibili esclusivamente dalla rete interna del server e non sono esposti a Internet
- Controllo degli accessi: accesso al server tramite chiave SSH; accesso alla dashboard amministrativa limitato alla rete interna con autenticazione; API protette da chiavi di accesso
- Minimizzazione dei dati: il modello di intelligenza artificiale riceve solo dati anonimizzati e aggregati (fasce invece di valori esatti), nel rispetto del principio di minimizzazione (Art. 5(1)(c) GDPR)
- Utenze applicative limitate: l'applicazione accede al database con un utente dedicato dotato dei soli permessi necessari (lettura, scrittura e modifica sulle tabelle del servizio)
- Retention automatica: procedure automatiche settimanali eliminano i dati non più necessari secondo le tempistiche indicate alla Sezione 6
6. Tempi di conservazione
| Dato | Periodo di conservazione | Motivazione |
|---|---|---|
| Profilo utente (dati anagrafici e aziendali) | Fino alla cancellazione dell'account da parte dell'utente o alla revoca del consenso | Necessario per l'erogazione del servizio |
| Conversazioni WhatsApp | 90 giorni dalla creazione, poi cancellazione automatica | Sufficiente per il contesto conversazionale e il supporto utente |
| Analisi conversazionali (testo originale) | 30 giorni, poi il testo viene rimosso; i dati aggregati (classificazione, punteggi, raccomandazioni) sono conservati senza limite | Bilanciamento tra miglioramento del servizio e minimizzazione |
| Messaggi non recapitati | 90 giorni, poi cancellazione automatica | Tempo tecnico per diagnosi e risoluzione errori |
| Account cancellati (soft delete) | 90 giorni dalla cancellazione, poi eliminazione definitiva | Prevenzione re-registrazioni fraudolente |
| Log GDPR (audit trail) | Conservazione illimitata, solo dati aggregati (settore, provincia, forma giuridica — nessun dato identificativo) | Obbligo di accountability (Art. 5(2) GDPR) |
| Storico pagamenti (abbonamento Premium) | 10 anni dalla data del pagamento | Obblighi di conservazione documentazione fiscale (Art. 2220 c.c.) |
| Dati di navigazione widget web | Secondo la policy del server web (log standard) | Sicurezza e diagnostica |
7. Comunicazione e trasferimento dei dati
7.1 Destinatari dei dati
I dati personali possono essere comunicati a:
| Destinatario | Ruolo | Dati comunicati | Finalità |
|---|---|---|---|
| Agenzie partner | Autonomi titolari del trattamento | Nome, telefono, email, ragione sociale, P.IVA, settore, provincia, bando di interesse | Consulenza in finanza agevolata — solo su richiesta esplicita dell'utente |
| Personale autorizzato del Titolare | Incaricati del trattamento | Tutti i dati necessari alle rispettive funzioni | Amministrazione del servizio, supporto tecnico |
7.2 Responsabili del trattamento (sub-processor)
Il Titolare si avvale dei seguenti fornitori in qualità di Responsabili del trattamento ai sensi dell'Art. 28 GDPR:
| Fornitore | Sede | Servizio | Dati trattati | Garanzie extra-UE |
|---|---|---|---|---|
| Stripe Inc. | USA/Irlanda | Elaborazione pagamenti abbonamento Premium | Email, dati carta di credito (gestiti esclusivamente da Stripe, certificata PCI-DSS Level 1) | SCCs. Certificazione EU-US DPF. Dati UE processati in Irlanda |
| Twilio Inc. | USA | Messaggistica WhatsApp Business API | Numero di telefono, contenuto dei messaggi | SCCs — Decisione UE 2021/914 |
| OpenAI LP | USA | Elaborazione linguaggio naturale | Profilo anonimizzato, conversazioni de-identificate | SCCs. DPA firmato. Dati API non usati per training |
| Cloudflare Inc. | USA/UE | DNS, SSL/TLS, protezione DDoS | Metadati di traffico (IP, URL) | SCCs |
| OpenAPI S.r.l. | Italia | Verifica dati aziendali da P.IVA | P.IVA trasmessa; dati camerali restituiti | Dati in Italia/UE |
| Serverplan S.r.l. | Italia | Hosting VPS | Tutti i dati (il server ospita l'infrastruttura) | Data center in Italia/UE |
7.3 Trasferimento di dati verso Paesi terzi
Alcuni dei fornitori sopra indicati (Twilio, OpenAI, Cloudflare) hanno sede negli Stati Uniti. Il trasferimento dei dati verso gli USA avviene sulla base di:
- Standard Contractual Clauses (SCCs) adottate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914, integrate ove necessario da misure supplementari tecniche e organizzative
- EU-US Data Privacy Framework, ove il fornitore sia certificato
L'utente può richiedere copia delle clausole contrattuali tipo scrivendo a privacy@findolo.it.
8. Cookie e tracciamento — Widget Web
Il widget chat presente sul sito web di Findolo utilizza:
| Tipo | Descrizione | Finalità | Durata | Base giuridica |
|---|---|---|---|---|
| Cookie tecnico | Identificativo sessione chat | Mantenere la sessione attiva | Sessione | Art. 6(1)(b) — esente da consenso ex Art. 122 Codice Privacy |
| Log del server | Indirizzo IP, user-agent, timestamp | Sicurezza, diagnostica | Retention server web | Art. 6(1)(f) — Legittimo interesse |
Il widget non utilizza:
- Cookie di profilazione o pubblicitari
- Pixel di tracciamento (Facebook Pixel, Google Analytics, ecc.)
- Fingerprinting del dispositivo
- Tracciamento cross-site
Non è pertanto necessario un cookie banner per il widget chat.
9. Processo decisionale automatizzato e profilazione
Ai sensi dell'Art. 22 GDPR, La informiamo che il servizio Findolo effettua profilazione automatizzata con le seguenti caratteristiche:
| Tipo di profilazione | Confronto automatico tra dati aziendali dell'utente e requisiti dei bandi per calcolare una percentuale di compatibilità stimata |
| Dati utilizzati | Codice ATECO, provincia, forma giuridica, fascia dipendenti, fascia fatturato, anno di costituzione |
| Effetti | La profilazione non produce effetti giuridici né incide in modo analogo significativamente sull'interessato. Il punteggio di compatibilità è puramente indicativo e non costituisce una valutazione di merito creditizio né una pre-approvazione per alcun bando |
| Intervento umano | L'utente è libero di ignorare i risultati del matching. In caso di richiesta di consulenza ("CONTATTAMI"), l'agenzia partner effettua una valutazione indipendente |
| Diritto di opposizione | L'utente può opporsi alla profilazione in qualsiasi momento scrivendo a privacy@findolo.it. In tal caso il servizio di matching automatico non sarà più disponibile |
10. Diritti dell'interessato
Ai sensi degli Artt. 15–22 GDPR e degli Artt. 2-ter e seguenti del Codice Privacy, Lei ha il diritto di:
| Diritto | Come esercitarlo |
|---|---|
| Accesso (Art. 15) — Ottenere conferma del trattamento e copia dei Suoi dati | Scrivere "i miei dati" al chatbot WhatsApp, oppure email a privacy@findolo.it |
| Rettifica (Art. 16) — Correggere dati inesatti o incompleti | Email a modifiche@findolo.it con indicazione dei dati da correggere |
| Cancellazione (Art. 17) — Ottenere la cancellazione dei Suoi dati | Scrivere /cancella al chatbot WhatsApp (procedura guidata con conferma), oppure email a privacy@findolo.it |
| Limitazione (Art. 18) — Limitare il trattamento in determinati casi | Email a privacy@findolo.it |
| Portabilità (Art. 20) — Ricevere i Suoi dati in formato strutturato (JSON/CSV) | Email a privacy@findolo.it — risposta entro 30 giorni |
| Opposizione (Art. 21) — Opporsi al trattamento basato su legittimo interesse | Email a privacy@findolo.it |
| Revoca del consenso (Art. 7) — Revocare il consenso in qualsiasi momento | Scrivere /cancella al chatbot, oppure email a privacy@findolo.it |
| Reclamo (Art. 77) — Proporre reclamo all'Autorità di controllo | Garante per la protezione dei dati personali — www.garanteprivacy.it |
Tempi di risposta: il Titolare risponde alle richieste entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in caso di complessità, con comunicazione motivata).
Modalità: le richieste possono essere inviate a privacy@findolo.it o tramite PEC a vezzoli.f@legalmail.it. Per la verifica dell'identità, potrebbe essere richiesto l'invio di un documento di riconoscimento.
10.1 Cancellazione dell'account — Cosa succede
Quando l'utente richiede la cancellazione, il sistema:
- Elimina il profilo dalla banca dati principale
- Elimina tutte le conversazioni associate
- Elimina i vettori di ricerca personalizzati
- Elimina preferenze, limiti messaggi, interazioni con bandi e notifiche
- Conserva per 90 giorni un record anonimo nella lista account cancellati (per prevenire re-registrazioni fraudolente), poi lo elimina definitivamente
- Registra un log di audit contenente esclusivamente dati aggregati (settore, provincia, forma giuridica) — nessun dato identificativo
11. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente informativa per adeguarla a modifiche normative, nuove funzionalità del servizio o variazioni nei fornitori. In caso di modifiche sostanziali, l'utente sarà informato tramite messaggio WhatsApp.
La versione aggiornata è sempre disponibile all'indirizzo: www.findolo.it/privacy.html
12. Contatti
Per qualsiasi domanda o richiesta relativa alla protezione dei dati personali:
| Email privacy | privacy@findolo.it |
| Email modifiche dati | modifiche@findolo.it |
| PEC | vezzoli.f@legalmail.it |
Scrivere /cancella per cancellazione account, "i miei dati" per informazioni sui dati trattati |
13. Normativa di riferimento
- Regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR)
- D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), come modificato dal D.Lgs. 10 agosto 2018, n. 101
- Provvedimenti del Garante per la protezione dei dati personali applicabili
- Linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) in materia di profilazione e processo decisionale automatizzato (WP251rev.01)
La presente informativa è stata redatta sulla base dell'architettura tecnica del servizio Findolo documentata nel Documento Tecnico sulla Protezione dei Dati (versione 1.5, 15/03/2026).