Informativa sulla privacy

1. Titolare del trattamento

Responsabile del trattamento dei dati su mietkuendigung.ch è:

Ulteriori informazioni sul gestore sono disponibili nelle Note legali (Impressum).

2. Quali dati trattiamo

2.1 Inserimenti nell'assistente

Quando utilizzi l'assistente di disdetta raccogliamo i dati che inserisci:

• Nome e indirizzo (inquilino e locatore)
• Cantone e situazione abitativa
• Dettagli del contratto di locazione (data, tipo, termine)
• Situazione di disdetta (standard, anticipata, coabitazione ecc.)

Questi dati vengono memorizzati nel nostro database presso Supabase (AWS Londra, UK) per fornirti la lettera generata e — per Premium — la dashboard.

2.2 Indirizzo e-mail

Utilizziamo il tuo indirizzo e-mail per:

• Autenticazione (magic link o password)
• Promemoria delle scadenze via e-mail (solo con il tuo consenso esplicito)

2.3 Dati di pagamento

I dati di pagamento (carta di credito, bancari, TWINT) vengono trattati e memorizzati esclusivamente dal nostro fornitore di pagamento Stripe. Non abbiamo alcun accesso ai tuoi dati di pagamento. Da Stripe riceviamo soltanto: indirizzo e-mail, numero d'ordine e variante del prodotto (Basic/Premium).

2.4 Dati tecnici

Durante la visita al sito vengono registrati automaticamente dati tecnici (indirizzo IP, tipo di browser, orario di accesso). Sono utilizzati per il funzionamento tecnico, la sicurezza e la diagnostica degli errori (vedi sezione 3 — responsabili del trattamento).

2.5 Cookie

Non utilizziamo cookie di tracciamento né cookie di terze parti. Vengono impostati soltanto i cookie tecnicamente necessari (sessione di autenticazione). Per l'analisi del prodotto utilizziamo PostHog in una configurazione senza cookie.

Poiché non vengono impostati cookie di tracciamento, non è necessario alcun banner sui cookie (LTC art. 45c).

3. Responsabili del trattamento e fornitori

Ci avvaliamo di responsabili del trattamento selezionati con cura. Con tutti i fornitori statunitensi sono in essere contratti di trattamento (DPA) o clausole contrattuali standard (CCT).

3.1 Supabase (database + autenticazione)

Fornitore:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Regione di hosting:

AWS eu-west-2 — Londra, Regno Unito (UK)

Finalità:

Memorizzazione di account utente, dati di disdetta, contenuti della dashboard; servizi di autenticazione

Base giuridica:

Esecuzione del contratto (nLPD art. 31 cpv. 2 lett. a) e interesse legittimo alla sicurezza dei dati

Durata di conservazione:

12 mesi dall'ultimo accesso, poi cancellazione automatica

Importante: dopo la Brexit il Regno Unito non è più Stato membro dell'UE. Dispone tuttavia di una propria normativa sulla protezione dei dati (UK Data Protection Act 2018 + UK-GDPR) ed è stato riconosciuto sia dall'IFPDT svizzero sia dalla Commissione europea come Paese con livello di protezione adeguato. I tuoi dati principali non vengono trasferiti negli Stati Uniti.

DPA: supabase.com/legal/dpa

3.2 Stripe (pagamenti)

Fornitore:

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Ruolo:

Fornitore di servizi di pagamento (responsabile del trattamento per i dati di pagamento). Il venditore giuridico e la vostra controparte contrattuale rimane l'operatore (Joel Waeber).

Regione di hosting:

UE (Dublino, Irlanda) tramite Stripe Payments Europe Ltd. Capogruppo a San Francisco, USA.

Finalità:

Checkout, pagamento, rimborsi, prevenzione delle frodi

Cosa riceviamo da Stripe:

Indirizzo e-mail, numero d'ordine, variante del prodotto (Basic/Premium), timestamp dell'ordine. Non vediamo mai i dati della carta.

Si applicano: clausole contrattuali standard UE/CH (CCT) e — se certificato — il Data Privacy Framework UE-US e Svizzera-US (DPF). Stripe è certificato PCI-DSS Level 1.

Privacy policy di Stripe: stripe.com/privacy

3.3 Vercel (hosting web)

Fornitore:

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA

Regione di hosting:

Società statunitense con edge network globale. Gli asset statici sono serviti da PoP geograficamente vicini (UE inclusa). Le funzioni serverless possono essere eseguite in regioni US o UE a seconda della configurazione.

Finalità:

Distribuzione dell'applicazione web e hosting delle funzioni serverless (Next.js)

Base giuridica:

Interesse legittimo all'esercizio e alle prestazioni (nLPD art. 31 cpv. 2 lett. c)

Vercel è una società statunitense. Per i trasferimenti si applicano: clausole contrattuali standard UE/CH (CCT) e — se certificato — il Data Privacy Framework UE-US e Svizzera-US (DPF). Vercel non tratta dati applicativi — questi sono memorizzati esclusivamente presso Supabase (Londra, UK). Vercel vede solo metadati della richiesta (IP, user-agent, URL).

DPA: vercel.com/legal/dpa

3.5 PostHog (analisi prodotto)

Fornitore:

PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA

Regione di hosting:

Regione UE (eu.i.posthog.com) — data center a Francoforte / Dublino. Nessun trasferimento negli Stati Uniti.

Finalità:

Misurare i percorsi di conversione, individuare i punti di attrito, migliorare la navigazione

Base giuridica:

Interesse legittimo al miglioramento del prodotto (nLPD art. 31 cpv. 2 lett. c)

Durata di conservazione:

Secondo le impostazioni predefinite di PostHog; lavoriamo con dati di funnel aggregati senza riferimento personale diretto

La nostra configurazione minimizza i dati personali il più possibile:

• Senza cookie: nessun identificatore persistente del dispositivo (persistence: 'memory')
• L'indirizzo IP non viene memorizzato (ip: false)
• Nessun autocapture — vengono trasmessi solo eventi esplicitamente definiti (ad es. calculator_completed, paywall_viewed)
• Nessun nome reale, nessun indirizzo e-mail nei dati degli eventi — solo metadati come cantone, livello di prodotto o situazione di disdetta
• L'impostazione del browser 'Do Not Track' viene rispettata (respect_dnt: true)
• Session Replay (registrazione delle interazioni a schermo) è disattivato. Qualora in futuro dovessimo abilitarlo, questa informativa verrà aggiornata in anticipo.

Diritto di opposizione: attiva 'Do Not Track' (DNT) nel tuo browser — la nostra integrazione riconosce l'impostazione e sopprime la raccolta di eventi.

DPA: posthog.com/dpa

4. Trasferimenti transfrontalieri

I dati personali vengono trasferiti a fornitori nei seguenti Paesi (nLPD art. 16–17). Per trasparenza indichiamo dove si trova ogni componente:

La protezione dei dati è inoltre garantita da:

• Clausole contrattuali standard UE/CH (CCT) con tutti i fornitori statunitensi
• Data Privacy Framework UE-US e Svizzera-US (DPF) per i fornitori certificati
• Contratti di trattamento (DPA) con tutti i responsabili del trattamento
• Minimizzazione a livello applicativo (senza cookie, niente memorizzazione dell'IP in PostHog, niente autocapture, niente nomi negli eventi)
• Misure tecniche e organizzative dei fornitori (cifratura, controllo degli accessi, audit)

Rischio residuo: Vercel (società statunitense) e le capogruppo statunitensi dei servizi ospitati nell'UE (Stripe e PostHog) sono soggetti al diritto US (ad es. CLOUD Act). Un accesso teorico delle autorità statunitensi a dati memorizzati nell'UE non può essere totalmente escluso in tutti i casi. Questo rischio residuo è mitigato dalle misure contrattuali e tecniche sopra descritte.

5. Finalità del trattamento

Trattiamo i tuoi dati esclusivamente per le seguenti finalità:

• Erogazione del servizio: Calcolo delle scadenze, generazione delle lettere di disdetta, messa a disposizione della dashboard
• Autenticazione: Login e controllo degli accessi (solo utenti Premium)
• Promemoria delle scadenze: Notifiche via e-mail per date importanti (solo con consenso esplicito)
• Esercizio tecnico: Sicurezza, correzione di bug, disponibilità

Non utilizziamo i tuoi dati per marketing, pubblicità o profilazione.

6. Durata di conservazione

Conserviamo i tuoi dati solo per il tempo necessario all'erogazione del servizio (nLPD art. 6, principio di minimizzazione):

• Dati dell'assistente e dashboard: 12 mesi dall'ultimo accesso. Cancellazione automatica in seguito.
• Indirizzo e-mail: Fino alla cancellazione dell'account o su richiesta.
• Log tecnici e dati di errore: Massimo 30 giorni.

7. I tuoi diritti (nLPD art. 25–29)

Hai i seguenti diritti sui tuoi dati personali:

• Diritto di accesso (art. 25): Puoi richiedere in qualsiasi momento informazioni sui dati che conserviamo.
• Rettifica (art. 6 cpv. 5): Puoi richiedere la correzione di dati inesatti.
• Cancellazione (art. 6 cpv. 4): Puoi richiedere la cancellazione dei tuoi dati, salvo obblighi legali di conservazione.
• Portabilità (art. 28): Puoi richiedere una copia dei tuoi dati in un formato elettronico comune.

Le richieste vanno indirizzate a: info@mietkuendigung.ch

Di norma rispondiamo entro 30 giorni.

8. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati (nLPD art. 8):

• Trasmissione cifrata (HTTPS/TLS)
• Controllo degli accessi a livello di database (Supabase Row Level Security)
• Chiavi separate per accessi pubblici e amministrativi
• Verifiche e aggiornamenti di sicurezza regolari

9. Modifiche della presente informativa

Ci riserviamo il diritto di modificare questa informativa in qualsiasi momento. La versione attuale è sempre disponibile su questa pagina. In caso di modifiche sostanziali, informiamo gli utenti registrati via e-mail.

10. Contatti e reclami

Per domande sulla protezione dei dati o per esercitare i tuoi diritti contattaci all'indirizzo: info@mietkuendigung.ch

Hai inoltre il diritto di presentare un reclamo all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT):