Dott.House Dott.House
Login

Informativa sulla Privacy

Ultimo aggiornamento: 27 maggio 2026

La presente Informativa sulla Privacy è resa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) e descrive le modalità di trattamento dei dati personali degli utenti che utilizzano la piattaforma DottHouse.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:
Tetrabit SRL
Sede legale: Piazza Tre Torri, 2, 20145 Milano (MI)
P. IVA: 14651820962
Codice ATECO: 62.01.00
PEC: tetrabit@pec.it
Email: info@dotthouse.ai

2. Responsabile della Protezione dei Dati (DPO)

Ai sensi dell'art. 37 del GDPR, Tetrabit SRL non è tenuta alla nomina di un Responsabile della Protezione dei Dati.

3. Tipologie di Dati Raccolti

DottHouse raccoglie e tratta le seguenti categorie di dati personali:

3.1 Dati Personali Identificativi

  • Dati dell'utente registrato: nome, cognome, indirizzo email, numero di telefono, città di residenza, immagine del profilo (avatar)
  • Dati degli ospiti: nome completo, paese di provenienza (importati dalle prenotazioni OTA)
  • Dati degli immobili: indirizzo completo (via, numero civico, città, provincia/regione, CAP, paese), coordinate geografiche (latitudine e longitudine)
  • Dati dei fornitori: ragione sociale/nome, codice fiscale, partita IVA (registrati nelle spese)
  • Dati dei proprietari: nome e cognome dei landlord associati agli immobili

3.2 Dati Economici e Finanziari

  • Dati aziendali: nome della società, impostazioni di configurazione
  • Dati economici delle prenotazioni: ricavi da locazione (lordi e netti), costi di pulizia, tasse di soggiorno, commissioni OTA e PMS, compensi del property manager, pagamenti ai proprietari, importi di flat tax
  • Dati delle spese: numero fattura, data, importi lordi e netti, IVA, categoria di spesa
  • Dati di budget: proiezioni di incremento percentuale per immobile e per anno
  • Configurazioni fiscali: percentuali PM, aliquote IVA, regimi fiscali applicati

3.3 Dati Tecnici e di Integrazione

  • Credenziali di integrazione: chiavi API cifrate per l'integrazione con PMS (Property Management System) come Avantio e altri channel manager
  • Credenziali del Cassetto Fiscale: codice fiscale, PIN e password per l'accesso ai servizi telematici dell'Agenzia delle Entrate, memorizzati in forma cifrata e utilizzati esclusivamente per la sincronizzazione automatica delle fatture elettroniche su richiesta dell'utente
  • Documenti fiscali importati: fatture elettroniche (formato XML) scaricate dal Cassetto Fiscale, contenenti dati dei fornitori, importi, date e riferimenti fiscali
  • Dati grezzi da API esterne: risposte complete in formato JSON provenienti da PMS e channel manager, memorizzate per tracciabilità e supporto tecnico
  • Log di sincronizzazione: stato, tempistiche, statistiche ed eventuali messaggi di errore dei processi di sincronizzazione dati
  • File caricati: nome file, percorso di archiviazione (Azure Blob Storage), dimensione file, hash del file
  • Codici identificativi turistici: CIN, BDSR e altri codici registrati sugli immobili

3.4 Dati di Audit e Tracciabilità

  • Timestamp: data e ora di creazione e ultima modifica di ogni record
  • Attribuzione utente: identificativi (UUID) degli utenti che hanno creato o modificato i record
  • Soft delete: flag di cancellazione logica e data di cancellazione (i dati cancellati sono conservati temporaneamente prima della rimozione definitiva)

3.5 Dati di Navigazione

  • Dati tecnici di navigazione: indirizzo IP, tipo di browser, sistema operativo, timestamp di accesso, pagine visitate, durata della sessione (trattati tramite cookie tecnici e di analisi - vedere Cookie Policy)
  • Dati analitici: eventi di utilizzo del prodotto, interazioni con l'interfaccia, funzionalità utilizzate (raccolti tramite PostHog per migliorare l'esperienza utente). Per distinguere gli utenti autenticati, l'identificativo utente Supabase e l'indirizzo email dell'account vengono associati agli eventi analitici.

3.6 Dati delle Conversazioni con l'Assistente AI

  • Messaggi dell'utente: domande, richieste e istruzioni digitate nell'assistente conversazionale basato su intelligenza artificiale integrato in DottHouse
  • Contesto trasmesso al modello: dati operativi e finanziari necessari a generare le risposte (es. metriche delle proprietà, ricavi, margini, spese, budget) e identificativi tecnici (UUID dell'azienda e dell'utente) inviati al fornitore del modello linguistico (LLM). L'assistente fornisce analisi e sintesi e non adotta decisioni automatizzate con effetti giuridici o significativi sull'utente (vedere art. 22 GDPR, sezione 10).

4. Finalità del Trattamento e Base Giuridica

I dati personali sono trattati per le seguenti finalità e sulla base delle seguenti basi giuridiche:

FinalitàBase GiuridicaNatura del Conferimento
Registrazione e gestione dell'account utente
Creazione e gestione del profilo utente, autenticazione, controllo accessi		Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)Obbligatorio. Il rifiuto rende impossibile l'utilizzo del servizio.
Erogazione del servizio DottHouse
Gestione immobili, prenotazioni, fatturazione, reportistica, sincronizzazione con PMS e channel manager		Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)Obbligatorio. Il rifiuto rende impossibile l'erogazione del servizio.
Integrazione con servizi di terze parti
Sincronizzazione automatica con Avantio, Airbnb, Booking.com e altri PMS/OTA tramite API		Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)Facoltativo. L'utente può scegliere di non attivare le integrazioni, ma alcune funzionalità saranno limitate.
Sincronizzazione con il Cassetto Fiscale
Accesso ai servizi telematici dell'Agenzia delle Entrate per importare le fatture elettroniche dell'utente		Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR) e adempimento di obblighi fiscali (art. 6, par. 1, lett. c, GDPR)Facoltativo. L'integrazione si attiva solo previo conferimento volontario delle credenziali da parte dell'utente.
Assistente conversazionale basato su AI
Analisi dei dati gestionali e finanziari per fornire risposte, sintesi e suggerimenti tramite un modello linguistico (LLM)		Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)Facoltativo. L'utente può scegliere di non utilizzare l'assistente AI.
Gestione delle richieste di contatto e dei lead
Ricezione e instradamento dei dati inviati tramite i moduli di contatto del sito		Misure precontrattuali su richiesta dell'interessato (art. 6, par. 1, lett. b, GDPR) e legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR)Facoltativo. Conferito volontariamente dall'utente al momento della richiesta.
Adempimenti fiscali e contabili
Conservazione dati per obblighi fiscali, gestione fatture, calcolo imposte		Obbligo di legge (art. 6, par. 1, lett. c, GDPR) - D.P.R. 633/1972, D.P.R. 600/1973Obbligatorio per legge. Il rifiuto comporta l'impossibilità di utilizzare il servizio.
Sicurezza e prevenzione frodi
Protezione dell'account, rilevamento accessi non autorizzati, log di audit		Legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR)Obbligatorio. Necessario per garantire la sicurezza del servizio.
Assistenza clienti e supporto tecnico
Risposta a richieste di supporto, risoluzione problemi tecnici, analisi log		Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)Facoltativo. L'utente può scegliere di non richiedere assistenza.
Miglioramento del prodotto e analisi statistiche
Analisi aggregata dell'utilizzo del servizio, ottimizzazione funzionalità, sviluppo di nuove feature (tramite PostHog)		Legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR)Facoltativo. L'utente può opporsi tramite le impostazioni di privacy o contattando info@dotthouse.ai.
Marketing diretto e newsletter
Invio di comunicazioni promozionali, aggiornamenti sul prodotto, offerte commerciali		Consenso esplicito (art. 6, par. 1, lett. a, GDPR) e art. 130 Codice Privacy (D.Lgs. 196/2003)Facoltativo. L'utente può revocare il consenso in qualsiasi momento.
Difesa di un diritto in sede giudiziaria
Conservazione dati necessari per far valere o difendere un diritto in sede giudiziaria		Legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR)Obbligatorio in caso di controversia legale.

5. Natura del Conferimento e Conseguenze del Rifiuto

Il conferimento dei dati necessari per l'esecuzione del contratto (registrazione, gestione immobili, prenotazioni) è obbligatorio. Il rifiuto di fornire tali dati comporta l'impossibilità di utilizzare il servizio DottHouse.

Il conferimento dei dati per finalità di marketing, analisi statistiche e alcune integrazioni è facoltativo. Il rifiuto non preclude l'utilizzo del servizio, ma può limitare l'esperienza utente o l'accesso a determinate funzionalità.

6. Modalità di Trattamento

Il trattamento dei dati personali è effettuato mediante:

  • Strumenti elettronici e telematici: i dati sono archiviati su server sicuri localizzati nell'Unione Europea (Azure EU region, Supabase EU region)
  • Cifratura: le credenziali di integrazione e i dati sensibili sono cifrati sia in transito (HTTPS/TLS 1.3) che a riposo (AES-256)
  • Controllo degli accessi (RBAC): accesso ai dati limitato tramite ruoli utente (owner, admin, member) e politiche di autorizzazione granulari
  • Backup e disaster recovery: backup giornalieri automatici con conservazione geograficamente ridondante
  • Log di audit: tracciamento di tutte le operazioni sui dati (creazione, modifica, cancellazione) con timestamp e attribuzione utente
  • Misure organizzative: policy di sicurezza interna, formazione del personale, controlli periodici

I dati sono trattati esclusivamente da personale autorizzato e formato, tenuto al segreto professionale. Non viene effettuato alcun trattamento automatizzato con effetti giuridici (es. profilazione, decisioni automatizzate ai sensi dell'art. 22 GDPR).

7. Periodo di Conservazione

I dati personali sono conservati per i seguenti periodi, in relazione alle finalità per cui sono stati raccolti:

Categoria di DatiPeriodo di Conservazione
Dati dell'account utente attivoPer tutta la durata del rapporto contrattuale (fino alla cancellazione dell'account)
Dati dell'account cancellato30 giorni dalla richiesta di cancellazione (soft delete), poi cancellazione definitiva. Fanno eccezione i dati soggetti a obbligo di legge (vedere righe successive).
Dati fiscali e contabili (fatture, spese, prenotazioni con valenza fiscale)10 anni dalla data di registrazione, come previsto dalle normative fiscali italiane (art. 2220 c.c., D.P.R. 600/1973)
Log di sistema e audit trail12 mesi dall'evento registrato, salvo necessità di conservazione per finalità di sicurezza o contestazioni legali
Dati per marketing diretto (newsletter, email promozionali)Fino alla revoca del consenso da parte dell'utente o per un massimo di 24 mesi dall'ultimo consenso attivo
Dati di navigazione e analisi (PostHog, Application Insights)Dati aggregati e anonimizzati conservati indefinitamente. Dati personali identificabili per 12 mesi, poi cancellati o anonimizzati.
Backup30 giorni (backup giornalieri), 12 mesi (snapshot periodici). I backup sono cifrati e protetti con le stesse misure di sicurezza dei dati in produzione.
File caricati (documenti, immagini)Per tutta la durata del rapporto contrattuale, salvo richiesta di cancellazione anticipata da parte dell'utente

Al termine dei periodi indicati, i dati sono cancellati definitivamente o resi anonimi in modo irreversibile, salvo obblighi di legge che ne impongano una conservazione più lunga.

8. Destinatari dei Dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

8.1 Responsabili del Trattamento (Data Processors)

Il Titolare si avvale di fornitori di servizi terzi che trattano dati personali per suo conto in qualità di Responsabili del Trattamento, vincolati da apposite clausole contrattuali conformi all'art. 28 GDPR:

  • Supabase (Supabase Inc.) - Servizio di autenticazione, database PostgreSQL, storage file. Server localizzati nell'Unione Europea (regione EU).
    Privacy Policy: https://supabase.com/privacy
  • Microsoft Azure (Microsoft Corporation) - Hosting dell'applicazione, storage di file (Azure Blob Storage), monitoraggio applicativo (Application Insights). Server localizzati nell'Unione Europea (regione West Europe).
    Privacy Policy: https://privacy.microsoft.com/it-it/privacystatement
  • PostHog (PostHog Inc.) - Piattaforma di product analytics per analizzare l'utilizzo del servizio e migliorare l'esperienza utente. I dati sono inviati tramite reverse proxy di prima parte (e.dotthouse.ai) e trattati su server localizzati nell'Unione Europea (istanza PostHog EU). Per gli utenti autenticati, l'identificativo utente e l'indirizzo email vengono condivisi con PostHog come identificatori per distinguere le sessioni. PostHog agisce in qualità di Responsabile del trattamento sulla base di un Data Processing Agreement (DPA) conforme all'art. 28 GDPR.
    Privacy Policy: https://posthog.com/privacy
  • Avantio - Property Management System (PMS) per la gestione immobiliare. I dati vengono sincronizzati tramite API solo se l'utente attiva l'integrazione. Avantio tratta i dati in qualità di Titolare autonomo per l'erogazione del proprio servizio.
    Privacy Policy: https://www.avantio.com/privacy-policy
  • Airbnb, Booking.com e altre OTA - Online Travel Agencies (canali di prenotazione). I dati delle prenotazioni (nome ospite, date, importi) sono importati tramite PMS solo se l'utente attiva l'integrazione. Le OTA trattano i dati in qualità di Titolari autonomi per l'erogazione dei propri servizi.
    Airbnb Privacy Policy: https://www.airbnb.it/help/article/2855
    Booking.com Privacy Policy: https://www.booking.com/content/privacy.it.html
  • Groq, Inc. - Fornitore del modello linguistico (LLM) che alimenta l'assistente conversazionale. I dati gestionali e finanziari necessari a generare le risposte vengono trasmessi alle API di Groq. I server di Groq sono localizzati negli Stati Uniti (vedere sezione 9 per le garanzie sul trasferimento extra-UE). Groq agisce in qualità di Responsabile del trattamento sulla base di un Data Processing Agreement (DPA) conforme all'art. 28 GDPR.
    Privacy Policy: https://groq.com/privacy-policy/
  • Resend (Resend, Inc.) - Servizio di invio di email transazionali (inviti, notifiche e comunicazioni di servizio). Tratta l'indirizzo email e il nome del destinatario. Resend agisce in qualità di Responsabile del trattamento sulla base di un DPA conforme all'art. 28 GDPR (vedere sezione 9 per il trasferimento extra-UE).
    Privacy Policy: https://resend.com/legal/privacy-policy
  • n8n (infrastruttura di prima parte) - Piattaforma di automazione dei flussi ospitata su infrastruttura propria del Titolare (Microsoft Azure, regione UE) e raggiungibile tramite n8n.dotthouse.ai. Instrada i dati dei moduli di contatto e le notifiche tecniche interne. I dati restano nell'Unione Europea.
  • Commissione Europea - servizio VIES - Verifica della partita IVA e recupero della ragione sociale in fase di registrazione di aziende e fornitori. Viene trasmessa unicamente la partita IVA. Servizio dell'Unione Europea.
    Informativa: https://ec.europa.eu/taxation_customs/vies/
  • OpenStreetMap / Nominatim (OpenStreetMap Foundation) - Servizio di geocodifica inversa per convertire le coordinate degli immobili in indirizzi leggibili. Vengono trasmesse unicamente le coordinate geografiche, senza dati identificativi dell'utente.
    Privacy Policy: https://wiki.osmfoundation.org/wiki/Privacy_Policy

8.2 Altri Destinatari

  • Autorità pubbliche e organi di vigilanza: in caso di richieste legittime da parte di autorità giudiziarie, forze dell'ordine, Garante per la Protezione dei Dati Personali, Agenzia delle Entrate
  • Agenzia delle Entrate (Cassetto Fiscale): in caso di attivazione dell'integrazione, DottHouse accede per conto dell'utente ai servizi telematici dell'Agenzia delle Entrate per importare le fatture elettroniche. L'Agenzia delle Entrate tratta i dati in qualità di autonomo Titolare e gestore del servizio pubblico.
  • Consulenti e professionisti: commercialisti, avvocati, consulenti IT, vincolati da obblighi di riservatezza

I dati personali non sono ceduti, venduti o condivisi con terze parti per finalità di marketing diretto senza il consenso esplicito dell'utente.

9. Trasferimento dei Dati Extra-UE

Alcuni dei fornitori di servizi utilizzati da DottHouse possono trasferire dati personali al di fuori dello Spazio Economico Europeo (SEE), esclusivamente nei seguenti casi:

  • PostHog (Unione Europea): i dati analitici sono trattati sull'istanza EU di PostHog (server nell'Unione Europea) e instradati tramite reverse proxy di prima parte (e.dotthouse.ai). Non avviene alcun trasferimento extra-UE per i dati analitici.
  • Microsoft Azure: Azure può utilizzare servizi di supporto globalizzati, ma i dati primari sono archiviati nell'UE (West Europe region). Microsoft aderisce al EU-U.S. Data Privacy Framework e fornisce garanzie contrattuali conformi al GDPR.
  • Groq, Inc. (Stati Uniti): i dati gestionali e finanziari trasmessi all'assistente AI sono trattati su server localizzati negli Stati Uniti. Il trasferimento è regolato da Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR, integrate da misure di sicurezza supplementari.
  • Resend, Inc. (Stati Uniti): l'invio delle email transazionali può comportare il trattamento dei dati di contatto (indirizzo email, nome) negli Stati Uniti. Il trasferimento è regolato da Clausole Contrattuali Standard ai sensi dell'art. 46 GDPR.

L'utente può ottenere maggiori informazioni sulle garanzie adeguate per il trasferimento extra-UE contattando info@dotthouse.ai.

10. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'utente ha i seguenti diritti in relazione ai propri dati personali:

  • Diritto di accesso (art. 15): ottenere conferma dell'esistenza di dati personali che lo riguardano e riceverne copia, insieme a informazioni sulle modalità di trattamento
  • Diritto di rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
  • Diritto alla cancellazione (art. 17 - "diritto all'oblio"): ottenere la cancellazione dei dati personali, salvo obblighi di legge che ne impongano la conservazione (es. dati fiscali per 10 anni)
  • Diritto di limitazione del trattamento (art. 18): ottenere la limitazione del trattamento in caso di contestazione sull'esattezza dei dati, illiceità del trattamento, o necessità di conservazione per difesa legale
  • Diritto alla portabilità dei dati (art. 20): ricevere i dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare senza impedimenti
  • Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento basato su legittimo interesse (es. marketing diretto, analisi statistiche). Il Titolare cesserà il trattamento salvo motivi legittimi cogenti.
  • Diritto di revoca del consenso (art. 7, par. 3): revocare in qualsiasi momento il consenso prestato per il marketing diretto o altre finalità facoltative, senza pregiudicare la liceità del trattamento effettuato prima della revoca
  • Diritto di non essere sottoposto a decisioni automatizzate (art. 22): DottHouse non effettua attualmente decisioni automatizzate con effetti giuridici o significativi (es. profilazione), ma l'utente ha comunque il diritto di non essere sottoposto a tali trattamenti senza intervento umano

11. Modalità di Esercizio dei Diritti

Per esercitare i diritti sopra elencati, l'utente può inviare una richiesta:

  • Via email: info@dotthouse.ai
  • Via PEC: tetrabit@pec.it
  • Via posta ordinaria: Tetrabit SRL, Piazza Tre Torri, 2, 20145 Milano (MI)
  • Tramite interfaccia utente: per alcuni diritti (es. modifica dati account, cancellazione account) è possibile utilizzare direttamente le funzionalità disponibili nella piattaforma DottHouse (sezione Impostazioni)

Il Titolare risponderà alla richiesta entro 30 giorni dalla ricezione, salvo proroga di ulteriori 60 giorni in caso di particolare complessità della richiesta (con comunicazione motivata entro 30 giorni).

Per garantire la sicurezza, il Titolare potrebbe richiedere informazioni aggiuntive per verificare l'identità del richiedente prima di procedere all'evasione della richiesta.

12. Diritto di Reclamo al Garante Privacy

L'utente ha il diritto di proporre reclamo all'Autorità di controllo competente, qualora ritenga che il trattamento dei propri dati personali violi il GDPR.

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Tel: +39 06 696771
Fax: +39 06 69677785
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Sito web: https://www.garanteprivacy.it

13. Modifiche all'Informativa sulla Privacy

La presente Informativa può essere aggiornata periodicamente per riflettere modifiche normative, organizzative o tecnologiche. La data di ultimo aggiornamento è indicata in cima alla pagina.

In caso di modifiche sostanziali, il Titolare informerà gli utenti tramite notifica via email o avviso prominente sulla piattaforma, prima che le modifiche diventino effettive.

L'utente è invitato a consultare regolarmente questa pagina per rimanere informato sulle modalità di trattamento dei propri dati personali.

14. Cookie Policy

Per informazioni dettagliate sull'utilizzo dei cookie e di altre tecnologie di tracciamento (localStorage, sessionStorage, analytics), consultare la Cookie Policy.

15. Contatti

Per qualsiasi domanda, richiesta di chiarimenti o esercizio dei diritti relativi alla presente Informativa sulla Privacy, è possibile contattare il Titolare del trattamento:

  • Email: info@dotthouse.ai
  • PEC: tetrabit@pec.it
  • Indirizzo postale: Tetrabit SRL, Piazza Tre Torri, 2, 20145 Milano (MI)

Data ultima modifica: 27 maggio 2026