Documento legale

Informativa Privacy

Come Littlerooms tratta i dati personali dei Clienti che usano la piattaforma di customer service AI e chatbot WhatsApp/Telegram. In linea col Regolamento UE 2016/679 (GDPR) e D.Lgs. 196/2003.

Versione: 1.0

In vigore dal: 1 luglio 2026

Ultima revisione: 14 giugno 2026

Nota: questa informativa riguarda i dati raccolti direttamente da Littlerooms sui Clienti (titolari di account dashboard). Per i dati degli utenti finali dei chatbot dei Clienti consulta il Data Processing Agreement (DPA).

Indice

1. Titolare del trattamento
2. Tipologie di dati trattati
3. Base giuridica e finalità
4. Sotto-responsabili
5. Conservazione
6. Diritti dell'interessato
7. Reclamo all'Autorità
8. Misure di sicurezza
9. Trasferimenti extra-UE
10. Modifiche

1. Titolare del trattamento

Il Titolare del Trattamento è Littlerooms S.r.l. (in fase di registrazione formale), con sede legale in Italia.

Email contatto privacy: privacy@littlerooms.it
Email DPO (Data Protection Officer): dpo@littlerooms.it
Email generale: info@littlerooms.it

2. Tipologie di dati trattati

Trattiamo le seguenti categorie di dati personali del Cliente (titolare di account dashboard Littlerooms):

Categoria	Esempi	Finalità
Dati identificativi	Nome, cognome, ragione sociale, P.IVA, C.F., indirizzo	Fatturazione, identificazione contrattuale
Dati di contatto	Email, telefono	Comunicazioni di servizio, supporto
Credenziali	Email, hash password (Argon2id), 2FA TOTP	Autenticazione
Dati di pagamento	Riferimenti transazioni (non i numeri di carta, gestiti dai PSP)	Esecuzione contrattuale
Dati di utilizzo	Log accesso, IP, user agent, audit log dashboard	Sicurezza, troubleshooting, conformità
Dati di fatturazione	Storico fatture, ricevute, abbonamenti	Obblighi fiscali

3. Base giuridica e finalità

Finalità	Base giuridica GDPR
Erogazione del servizio	Art. 6.1(b) — Esecuzione del contratto
Fatturazione e obblighi fiscali	Art. 6.1(c) — Obbligo legale
Sicurezza e prevenzione frodi	Art. 6.1(f) — Legittimo interesse
Comunicazioni di servizio	Art. 6.1(b) — Esecuzione del contratto
Marketing su prodotti analoghi	Art. 6.1(f) — Legittimo interesse (opt-out)
Newsletter e marketing terzi	Art. 6.1(a) — Consenso esplicito

4. Sotto-responsabili del trattamento

Per erogare il servizio ci avvaliamo dei seguenti Responsabili del Trattamento ex art. 28 GDPR. Lista aggiornata in Sub-fornitori.

Hosting infrastruttura: VPS in UE
Pagamenti: Stripe, PayPal, Satispay (PCI-DSS)
Email transazionale: provider terzo (AWS SES, Postmark o equivalente)
Error monitoring opzionale: Sentry (con DSN configurato dal Cliente)
Backup off-site opzionale: provider S3-compatible (Backblaze B2, Hetzner Storage)

5. Conservazione

Dato	Periodo
Account attivo	Durata del contratto + 90 giorni dopo la cessazione (grace)
Fatture e ricevute	10 anni (art. 2220 c.c. e D.P.R. 633/72)
Log di accesso e audit	24 mesi (configurabile via `AUDIT_LOG_RETENTION_DAYS`)
Backup di sistema	Max 30 giorni rolling

Alla cessazione i dati account vengono cancellati o anonimizzati salvo obblighi di legge. I dati richiesti per finalità fiscali restano conservati nei termini di legge.

6. Diritti dell'interessato

Il Cliente può in ogni momento esercitare i seguenti diritti (Artt. 15-22 GDPR):

Accesso (Art. 15) — ottenere copia dei propri dati
Rettifica (Art. 16) — correggere dati inesatti
Cancellazione (Art. 17) — "diritto all'oblio", salvo obblighi di conservazione
Limitazione (Art. 18) — sospendere temporaneamente il trattamento
Portabilità (Art. 20) — ricevere i dati in formato strutturato (JSON)
Opposizione (Art. 21) — opporsi al trattamento per legittimo interesse
Revoca consenso (Art. 7.3) — in qualsiasi momento per trattamenti basati su consenso

Modalità di esercizio:

Dalla dashboard → Impostazioni → Privacy (export e cancellazione self-service)
Via email a privacy@littlerooms.it

Risposta entro 30 giorni (prorogabili a 60 in caso di richieste complesse).

7. Reclamo all'Autorità

In caso di violazione, è possibile reclamare al Garante per la Protezione dei Dati Personali:

Sito: garanteprivacy.it
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Indirizzo: Piazza Venezia 11, 00187 Roma

8. Misure di sicurezza

Sintesi delle misure tecniche e organizzative adottate:

Cifratura at-rest: AES-256-GCM su token bot e chiavi di pagamento per-tenant
Cifratura in-transit: TLS 1.3 obbligatorio su tutti gli endpoint
Autenticazione: hash password Argon2id, supporto 2FA TOTP
Isolamento multi-tenant: tenantId su ogni record + middleware ownership; opzionale Row-Level Security PostgreSQL
Audit log: ogni azione sensibile tracciata con tenantUserId, action, entityType/Id, metadata
Backup: snapshot giornalieri, opzionale off-site cifrato
Pen-test: programmati annualmente

9. Trasferimenti extra-UE

I dati sono ospitati su VPS in Unione Europea. I sotto-responsabili extra-UE (es. Stripe US, PayPal LU/US) operano con Standard Contractual Clauses approvate dalla Commissione UE.

10. Modifiche all'informativa

Eventuali modifiche sostanziali sono comunicate con preavviso di 30 giorni via email e banner in dashboard.

Documento redatto in ottemperanza al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.