PraticaTorna alla home

Informativa sulla privacy

Last updated Maggio 2026

Indietro

Sintesi

  • Pratica è una ditta individuale britannica e agisce in qualità di titolare del trattamento per i dati personali trattati nell'erogazione del servizio.
  • I dati personali sono raccolti esclusivamente per erogare il servizio acquistato, adempiere a obblighi di legge e tutelare interessi legittimi (prevenzione frodi, conservazione documentale).
  • Le pratiche di cittadinanza e passaporto possono contenere categorie particolari di dati (nazionalità, rapporti di parentela, luogo di nascita). Il trattamento avviene sulla base del consenso esplicito e per la difesa di diritti in sede legale (UK GDPR Art. 9.2.a e 9.2.f).
  • Pratica non vende né cede dati personali. Nessun cookie pubblicitario, nessun pixel di tracciamento, nessuna profilazione a fini di marketing.
  • I diritti dell'interessato — accesso, rettifica, cancellazione, limitazione, portabilità, opposizione — sono esercitati entro un mese dalla richiesta verificata.

1. Identità del titolare del trattamento

Pratica è un servizio amministrativo indipendente, prestato come ditta individuale ai sensi del diritto inglese. Ai fini del UK GDPR e del Data Protection Act 2018, Pratica agisce in qualità di titolare del trattamento. Il contatto del titolare per qualsiasi questione relativa ai dati personali è info@pratica.uk.

2. Definizioni

  • Dato personale — qualsiasi informazione relativa a una persona fisica identificata o identificabile.
  • Titolare del trattamento — il soggetto che determina finalità e mezzi del trattamento. Nella presente informativa: Pratica.
  • Responsabile del trattamento — il terzo che tratta i dati per conto del titolare (ad esempio Stripe per i pagamenti).
  • Categorie particolari di dati — dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici o biometrici, dati relativi alla salute o alla vita sessuale. Le pratiche di cittadinanza italiana possono incidentalmente rivelare la nazionalità di origine e i rapporti di parentela.
  • Interessato — la persona fisica a cui i dati personali si riferiscono.

3. Da dove provengono i dati personali

  • Direttamente dal cliente — moduli di intake, email, caricamenti sul portale, comunicazioni.
  • Dai responsabili del trattamento — Stripe restituisce metadati di pagamento; Supabase conserva token di autenticazione; Resend restituisce lo stato di consegna delle email.
  • Automaticamente — dati tecnici raccolti dal sito (indirizzo IP, fingerprint del browser, log delle pagine viste, tracce di errore).
  • Da registri pubblici — in casi limitati, Pratica recupera certificati di stato civile da comuni italiani o autorità britanniche (GRO, FCDO) per conto del cliente, utilizzando nome e data di nascita del cliente.

4. Categorie di dati personali trattati

  • Dati di contatto — nome completo, email, numero di telefono, indirizzo postale.
  • Credenziali d'accesso — password hashed, token di autenticazione, identificativi di sessione.
  • Dati di servizio — consolato di giurisdizione, preferenza di appuntamento, percorso di cittadinanza, note di idoneità.
  • Certificati di stato civile — atti di nascita, matrimonio, morte, naturalizzazione del richiedente e degli ascendenti, forniti dal cliente.
  • Dati di pagamento — trattati da Stripe. Pratica conserva solo brand della carta, ultime quattro cifre, identificativo della transazione e marche temporali, senza il numero completo della carta.
  • Comunicazioni — email scambiate con Pratica, messaggi sul portale, allegati.
  • Registri di consenso — indirizzo IP, user-agent e marca temporale di ciascuna casella di accettazione spuntata al checkout.
  • Dati tecnici — indirizzo IP, tipo di browser, referrer, pagine visitate, tracce di errore del server.

5. Categorie particolari di dati

Le pratiche di cittadinanza italiana possono incidentalmente contenere informazioni qualificate come categorie particolari ai sensi dell'Art. 9 del UK GDPR — in particolare dati che rivelano nazionalità di origine, rapporti di parentela e (più raramente) confessione religiosa attraverso atti di battesimo. Tali dati sono trattati nella misura strettamente necessaria alla procedura di riconoscimento e condivisi unicamente con il consolato, il comune o l'autorità britannica pertinente, su istruzione del cliente.

Le basi giuridiche del trattamento delle categorie particolari sono l'Art. 9.2.a UK GDPR (consenso esplicito prestato al checkout, spuntando la casella di accettazione prima del pagamento) e l'Art. 9.2.f UK GDPR (il trattamento è necessario per accertare, esercitare o difendere un diritto in sede legale).

6. Finalità e basi giuridiche (UK GDPR Art. 6)

  • Esecuzione di un contratto (Art. 6.1.b) — erogazione del servizio acquistato, elaborazione dei pagamenti, gestione del portale.
  • Legittimo interesse (Art. 6.1.f) — conservazione documentale, prevenzione delle frodi, tutela dei diritti di Pratica in caso di controversia, miglioramento del servizio.
  • Obbligo di legge (Art. 6.1.c) — conservazione fiscale HMRC, controlli antiriciclaggio ove applicabili, risposta a richieste legittime delle autorità.
  • Consenso (Art. 6.1.a) — trattamento di categorie particolari; eventuale futura pubblicazione di una schermata oscurata della prenotazione su una pagina pubblica di riscontro, qualora Pratica decida di pubblicare tale pagina (cfr. Accordo di Servizio); comunicazioni di marketing (Pratica al momento non ne invia).

7. Responsabili del trattamento

Pratica si avvale dei seguenti responsabili esterni ai sensi dell'Art. 28 UK GDPR, ciascuno vincolato da obblighi di riservatezza, sicurezza e notifica delle violazioni.

  • Stripe Payments UK Ltd — elaborazione dei pagamenti. Conforme PCI-DSS. Dati trattati nel Regno Unito, in Irlanda e negli Stati Uniti, sulla base di Clausole Contrattuali Standard e della normativa britannica sull'adeguatezza.
  • Supabase Inc. — hosting del database e dell'autenticazione. Regione UE (Francoforte). Coperta dalle decisioni di adeguatezza britanniche ed europee.
  • Resend (Plumb Inc.) — infrastruttura per l'invio di email transazionali. Dati trattati negli Stati Uniti sulla base di Clausole Contrattuali Standard (UK IDTA / EU SCC).
  • Vercel Inc. — hosting del sito e delle funzioni serverless. Dati trattati nell'Unione Europea e negli Stati Uniti sulla base di Clausole Contrattuali Standard e della normativa britannica sull'adeguatezza.
  • Cloudflare Inc. — DNS, caching periferico e protezione DDoS. Routing globale sulla base di Clausole Contrattuali Standard.

Pratica non vende, cede né condivide in altro modo i dati personali con terze parti per finalità di marketing o profilazione di queste ultime. Prima di affidarsi a un nuovo responsabile del trattamento, la presente pagina viene aggiornata.

8. Trasferimenti internazionali

Alcuni dei responsabili sopra indicati operano, o dispongono di infrastrutture, al di fuori del Regno Unito. Ogni trasferimento internazionale è effettuato con adeguate garanzie: decisioni di adeguatezza adottate dal Segretario di Stato britannico (per i trasferimenti UE/SEE); UK International Data Transfer Agreement (IDTA) o UK Addendum alle SCC UE (per trasferimenti verso paesi terzi, inclusi gli Stati Uniti); e, ove pertinente, misure tecniche e organizzative supplementari (crittografia at-rest e in-transit, controlli d'accesso, log di audit). Copia delle garanzie in essere per un determinato trasferimento può essere richiesta a info@pratica.uk.

9. Periodi di conservazione

  • Fascicoli di pratica attivi — per la durata dell'incarico più 12 mesi successivi.
  • Atti di stato civile forniti dal cliente — restituiti, cancellati o anonimizzati su richiesta del cliente alla chiusura della pratica, fatti salvi gli obblighi di conservazione di cui sotto.
  • Documentazione dei pagamenti — 6 anni dalla fine dell'anno fiscale di riferimento (obbligo HMRC).
  • Corrispondenza email — 3 anni dall'ultimo contatto.
  • Registri di consenso (marche temporali, IP, user-agent al checkout) — 6 anni dalla data della transazione, a fini probatori in caso di controversia o chargeback.
  • Log di accesso ed errore del server — 90 giorni.
  • Backup — 35 giorni in rotazione.

Decorso il periodo di conservazione applicabile, i dati personali vengono cancellati o anonimizzati in modo sicuro. La cancellazione può essere richiesta in qualsiasi momento, fatti salvi gli obblighi di conservazione imposti dalla legge.

10. Misure di sicurezza

Pratica adotta misure organizzative e tecniche adeguate al rischio del trattamento:

  • crittografia TLS 1.2+ in transito su tutti gli endpoint client-facing; crittografia AES-256 at-rest a livello database e storage;
  • policy di row-level security nel database, che limitano l'accesso per identità utente al livello dei dati;
  • password conservate come hash con salt (bcrypt o equivalente); nessuna conservazione reversibile dei segreti di autenticazione;
  • autenticazione a più fattori su tutti gli account amministrativi;
  • accesso ai dati personali limitato a quanto strettamente necessario per l'incarico;
  • backup giornalieri cifrati con retention rotativa di 35 giorni e procedure di ripristino testate;
  • monitoraggio delle vulnerabilità e aggiornamenti periodici delle dipendenze.

11. Violazioni dei dati personali

Qualora una violazione dei dati personali possa comportare un rischio per i diritti e le libertà delle persone fisiche, Pratica notifica l'Information Commissioner's Office (ICO) entro 72 ore dal momento in cui ne viene a conoscenza, ai sensi dell'Art. 33 UK GDPR. Qualora la violazione possa comportare un rischio elevato, gli interessati sono informati direttamente e senza ingiustificato ritardo, ai sensi dell'Art. 34.

12. Diritti dell'interessato (UK GDPR Artt. 15–22)

Il cliente e ogni altro interessato identificato ha diritto di:

  • accedere ai dati personali detenuti da Pratica (Art. 15);
  • rettificare dati inesatti o incompleti (Art. 16);
  • richiedere la cancellazione («diritto all'oblio»), fatti salvi gli obblighi di conservazione (Art. 17);
  • limitare il trattamento in determinate circostanze (Art. 18);
  • ricevere i dati personali in formato strutturato e leggibile da dispositivo automatico, e trasmetterli a un altro titolare (Art. 20);
  • opporsi al trattamento per motivi connessi alla propria situazione particolare (Art. 21);
  • revocare il consenso in qualsiasi momento, ove il consenso sia la base giuridica;
  • non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato (Art. 22) — vedi Sezione 14.

13. Come esercitare i diritti (richieste di accesso ai dati)

Per esercitare uno qualsiasi dei diritti elencati nella Sezione 12, inviare un'email a info@pratica.uk con oggetto «Richiesta dati». Pratica può richiedere una prova di identità (di norma una copia di un documento d'identità con foto) prima di divulgare i dati personali, al fine di prevenire accessi non autorizzati.

Pratica risponde a ciascuna richiesta entro un mese dalla ricezione, ai sensi dell'Art. 12(3) UK GDPR. Per richieste complesse o numerose il termine può essere esteso di ulteriori due mesi, con notifica dell'estensione entro il termine iniziale. Nessun corrispettivo è dovuto per la prima richiesta; un ragionevole contributo amministrativo può essere applicato a richieste manifestamente infondate, eccessive o ripetute, ai sensi dell'Art. 12(5).

14. Processi decisionali automatizzati e profilazione

Pratica non adotta decisioni nei confronti dei clienti basate unicamente su trattamento automatizzato, compresa la profilazione, che producano effetti giuridici o incidano in modo analogamente significativo sull'interessato (UK GDPR Art. 22). Ogni decisione di servizio — idoneità, accettazione dei documenti, programmazione degli appuntamenti — comporta una valutazione umana.

15. Nessuna vendita dei dati; nessuna pubblicità mirata

Pratica non vende, cede in licenza né altrimenti condivide i dati personali con terzi a fronte di corrispettivo monetario o di altro valore. Pratica non effettua pubblicità comportamentale cross-site e non utilizza cookie pubblicitari, pixel di tracciamento o identificativi di profilazione a fini di marketing.

16. Comunicazioni di marketing

Pratica al momento non invia comunicazioni di marketing. Qualora ciò mutasse, le email di marketing saranno inviate solo previo consenso esplicito, registrato separatamente dal consenso al servizio, e con un meccanismo di disiscrizione presente in ogni messaggio.

17. Cookie e analytics

Il sito pratica.uk utilizza solo cookie essenziali necessari alla gestione della sessione, all'autenticazione e alla sicurezza (protezione CSRF). Statistiche d'uso aggregate e non identificative sono raccolte tramite Vercel Analytics (che non utilizza cookie di tracciamento cross-site). Pratica non utilizza Google Analytics, Facebook Pixel o tecnologie equivalenti di pubblicità o profilazione.

18. Minori

I servizi di Pratica sono rivolti a persone maggiorenni (almeno 18 anni). I dati personali di minori sono trattati unicamente se forniti da un genitore o tutore nell'ambito di una pratica di cittadinanza familiare, e nella misura strettamente necessaria alla pratica stessa. Pratica non raccoglie consapevolmente dati personali da minori in modo diretto.

19. Modifiche

La presente informativa può essere aggiornata periodicamente per riflettere modifiche al servizio, alla normativa applicabile o ai rapporti con i responsabili del trattamento. Le modifiche sostanziali saranno indicate dall'aggiornamento della data in testa alla pagina. L'uso continuato del servizio dopo una modifica sostanziale costituisce presa d'atto della modifica.

20. Reclami

L'interessato che ritenga che Pratica non abbia trattato i propri dati personali in conformità al UK GDPR ha diritto di proporre reclamo all'Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, o tramite il sito ICO all'indirizzo ico.org.uk. Pratica apprezza l'opportunità di affrontare ogni preoccupazione direttamente prima della presentazione di un reclamo formale: si prega di scrivere a info@pratica.uk.

21. Contatti

Per qualsiasi questione relativa ai dati personali, incluso l'esercizio dei diritti di cui alle Sezioni 12 e 13, il contatto diretto è info@pratica.uk.