FlexCAF

Informativa Privacy

Resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: 2026

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che interagiscono con la piattaforma FlexCAF (di seguito, la "Piattaforma"), accessibile all'indirizzo flexcaf.it, e che usufruiscono dei servizi tramite essa erogati (i "Servizi").

1. Titolare del trattamento

Titolare del trattamento è AKDIGITAL S.r.l.s., P.IVA / C.F. IT0277853020, gestore della Piattaforma FlexCAF (di seguito, il "Titolare").

Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile scrivere a: privacy@flexcaf.it.

2. Categorie di dati trattati

Il Titolare tratta le seguenti categorie di dati personali:

  • Dati anagrafici e di contatto: nome, cognome, data e luogo di nascita, residenza, codice fiscale, email, numero di telefono.
  • Dati di account: credenziali di accesso, preferenze, log di autenticazione.
  • Dati fiscali, reddituali e documentali: documenti d'identità, CU, modelli redditi, ricevute, contratti, attestazioni ISEE, atti di successione e ogni altro documento necessario all'erogazione del Servizio richiesto.
  • Dati di pagamento: i dati delle carte di credito/debito non sono mai conservati dal Titolare; il trattamento avviene direttamente da parte del provider di pagamento (es. Stripe) in conformità agli standard PCI-DSS. Il Titolare conserva esclusivamente l'esito e l'identificativo della transazione.
  • Dati di navigazione: indirizzo IP, tipo di browser e dispositivo, log di accesso, pagine visitate, timestamp.
  • Comunicazioni: messaggi e allegati scambiati con il servizio di supporto e con gli Operatori incaricati della pratica.
  • Categorie particolari di dati (art. 9 GDPR): in casi limitati — ad esempio attestazioni ISEE relative a persone con disabilità o detrazioni sanitarie nel 730 — possono essere trattati dati relativi allo stato di salute. Il trattamento avviene esclusivamente sulla base di esplicito consenso o per assolvere obblighi fiscali del Cliente.

3. Finalità e basi giuridiche del trattamento

FinalitàBase giuridica
Esecuzione del Servizio richiesto e gestione del rapporto contrattualeArt. 6(1)(b) GDPR — esecuzione del contratto
Adempimenti fiscali, contabili e antiriciclaggioArt. 6(1)(c) GDPR — obbligo di legge
Trattamento di categorie particolari (es. dati sanitari nel 730)Art. 9(2)(a) GDPR — consenso esplicito
Sicurezza della Piattaforma, prevenzione frodi, log tecniciArt. 6(1)(f) GDPR — legittimo interesse
Risposta a richieste di contatto e assistenzaArt. 6(1)(b) GDPR — misure precontrattuali
Invio di comunicazioni commerciali e newsletterArt. 6(1)(a) GDPR — consenso (revocabile in qualunque momento)
Analisi statistiche aggregate e miglioramento del servizioArt. 6(1)(f) GDPR — legittimo interesse
Difesa in giudizio e accertamento di dirittiArt. 6(1)(f) GDPR — legittimo interesse

4. Modalità del trattamento

I dati sono trattati con strumenti elettronici, mediante misure tecniche e organizzative idonee a garantirne la sicurezza, la riservatezza, l'integrità e la disponibilità, in conformità al principio di accountability (art. 5 GDPR). Tra le misure adottate: cifratura in transito (TLS), controlli di accesso basati su ruoli, registrazione degli accessi, backup periodici, segregazione degli ambienti.

5. Destinatari e categorie di destinatari

I dati personali possono essere comunicati a:

  • Operatori e CAF convenzionati incaricati della lavorazione della Pratica, in qualità di responsabili o autonomi titolari ove agiscano in proprio ai sensi della normativa CAF;
  • Partner / consulenti esterni che operano per conto del Titolare nella gestione di pratiche, in qualità di responsabili del trattamento;
  • Provider tecnologici (hosting, infrastruttura cloud, email transazionali, antifrode, backend e database) — designati come responsabili ex art. 28 GDPR;
  • Provider di pagamento (es. Stripe) per la gestione delle transazioni;
  • Enti pubblici destinatari della pratica (Agenzia delle Entrate, INPS, Comuni, ecc.);
  • Autorità giudiziarie, di pubblica sicurezza e di vigilanza, ove richiesto per legge;
  • Consulenti professionali del Titolare (commercialisti, legali) per la difesa di diritti o adempimenti.

I dati personali non sono oggetto di diffusione.

6. Trasferimento dei dati extra-UE

Alcuni fornitori tecnologici possono trattare i dati al di fuori dello Spazio Economico Europeo. In tali ipotesi, il Titolare garantisce che il trasferimento avvenga in presenza di idonee garanzie ai sensi del Capo V GDPR, quali decisioni di adeguatezza della Commissione Europea, Clausole Contrattuali Standard (SCC) o altre misure supplementari.

7. Periodo di conservazione

  • Dati di account: per tutta la durata del rapporto e per 12 mesi dalla chiusura dell'account.
  • Pratiche e documentazione fiscale: 10 anni dalla chiusura della pratica, ai sensi dell'art. 2220 c.c. e della normativa fiscale.
  • Dati di pagamento e contabili: 10 anni per obblighi civilistici e fiscali.
  • Log tecnici di sicurezza: di norma 12 mesi, salvo esigenze investigative.
  • Dati per finalità di marketing: fino a revoca del consenso e comunque non oltre 24 mesi dall'ultimo contatto utile.
  • Richieste di contatto: 24 mesi dall'ultimo scambio.

8. Diritti dell'interessato

L'utente può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR:

  • diritto di accesso ai propri dati personali;
  • diritto di rettifica dei dati inesatti o incompleti;
  • diritto alla cancellazione ("diritto all'oblio"), nei limiti previsti dalla legge;
  • diritto di limitazione del trattamento;
  • diritto alla portabilità dei dati;
  • diritto di opposizione al trattamento basato su legittimo interesse o per finalità di marketing;
  • diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
  • diritto di non essere sottoposto a decisioni automatizzate, incluso il profiling, che producano effetti giuridici.

I diritti possono essere esercitati scrivendo a privacy@flexcaf.it. Il Titolare risponderà entro 30 giorni, salvo proroga motivata.

9. Reclamo all'Autorità di controllo

Fatto salvo ogni altro rimedio amministrativo o giurisdizionale, l'interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it) qualora ritenga che il trattamento violi il GDPR.

10. Conferimento dei dati

Il conferimento dei dati richiesti per l'erogazione dei Servizi è necessario: il rifiuto comporta l'impossibilità di eseguire la prestazione. Il conferimento per finalità di marketing è invece facoltativo e non incide sulla fruizione dei Servizi.

11. Decisioni automatizzate e profilazione

Il Titolare non effettua processi decisionali interamente automatizzati che producano effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR. Sistemi automatici possono essere utilizzati per finalità anti-frode e di sicurezza, con supervisione umana.

12. Modifiche all'informativa

Il Titolare si riserva di aggiornare la presente informativa per riflettere modifiche normative, organizzative o tecniche. La versione vigente è sempre pubblicata su questa pagina con indicazione della data di ultimo aggiornamento.