Privacy Policy
Informativa sul trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: 16 aprile 2026
1. Titolare del trattamento
Titolare del trattamento è Inverto Società di Consulenza Finanziaria S.r.l. (Società con Socio Unico), con sede legale in Via Caianello 6, 20158 Milano (MI), C.F. e P.IVA 14606690965, REA MI-2795469, PEC invertoscf@pec.it.
Per l'esercizio dei diritti previsti dagli articoli 15-22 del GDPR è possibile scrivere a compliance@invertoapp.com. Il Titolare risponderà entro 30 giorni.
Il Titolare ha valutato, ai sensi dell'art. 37 del GDPR e delle Linee Guida WP243 dell'EDPB, che i trattamenti effettuati nella fase attuale di operatività non rientrano nella definizione di monitoraggio regolare e sistematico su larga scala. La nomina del Data Protection Officer sarà effettuata qualora i presupposti si realizzino in futuro.
2. Dati raccolti
Dati di registrazione: email, PIN (hashato), nome, cognome, data di nascita, residenza.
Dati di profilazione: risposte ai questionari MIFID II e antiriciclaggio, profilo di rischio, punteggio AML.
Dati finanziari: conti bancari, transazioni (entrate, spese, trasferimenti), posizioni di investimento (ISIN, quantità, prezzi), immobili, altri beni, debiti.
Dati di interazione AI: messaggi scambiati con l'assistente AI, documenti PDF caricati nello scanner (cancellati immediatamente dopo l'estrazione).
Dati tecnici: log di accesso, versione dell'app, sistema operativo.
3. Finalità e basi giuridiche
Erogazione del servizio (art. 6.1.b — esecuzione del contratto): registrazione account, monitoraggio patrimonio, calcoli finanziari, piano personalizzato, assistente AI, consulenze.
Adempimento obblighi normativi (art. 6.1.c — obbligo legale): questionari MIFID II (Direttiva 2014/65/UE, Reg. Delegato 2017/565), antiriciclaggio (D.Lgs. 231/2007), obblighi contabili e fiscali.
Miglioramento del servizio (art. 6.1.f — legittimo interesse): analisi tecniche aggregate e anonimizzate, prevenzione frodi.
Comunicazioni promozionali (art. 6.1.a — consenso): solo se espressamente acconsentite. Il consenso può essere revocato in qualsiasi momento tramite le impostazioni dell'app (sezione Notifiche), tramite il link di cancellazione presente in ogni comunicazione promozionale, oppure scrivendo a compliance@invertoapp.com.
4. Destinatari e trasferimenti
Supabase Inc. — database, autenticazione, storage. Data center UE (Francoforte). DPA firmato.
Google LLC — assistente AI conversazionale (Gemini API). Trasferimento verso gli Stati Uniti regolato dall'EU-US Data Privacy Framework (decisione di adeguatezza del 10 luglio 2023). I dati non vengono utilizzati per l'addestramento dei modelli.
Anthropic PBC — scanner PDF portafoglio (Claude API). I documenti vengono sanitizzati localmente prima dell'invio. Trasferimento verso gli Stati Uniti regolato dalle Standard Contractual Clauses (SCCs) ai sensi dell'art. 46.2.c del GDPR, integrate da un Data Processing Agreement con clausola di Zero Data Retention.
Stripe Payments Europe, Ltd. — pagamenti e abbonamenti. DPA automaticamente in vigore ai sensi degli Stripe Services Agreement.
I dati non sono venduti né condivisi con terze parti per finalità commerciali.
5. Conservazione dei dati
- Dati account: durata del rapporto + 10 anni (art. 2220 c.c.)
- Questionari MIFID II: durata del rapporto + 10 anni (Reg. 2017/565)
- Questionari antiriciclaggio: 10 anni dalla cessazione (art. 31 D.Lgs. 231/2007)
- Transazioni e posizioni: durata del rapporto + 10 anni
- Immobili, altri beni, debiti: durata del rapporto + 5 anni
- Chat con assistente AI: 12 mesi dall'ultima interazione
- Documenti PDF scanner: cancellati immediatamente
- Log di accesso: 24 mesi
- Ticket di supporto: 24 mesi dalla chiusura
Dopo la cancellazione dell'account i dati vengono eliminati entro 30 giorni, salvo gli obblighi di conservazione imposti dalla legge.
6. Decisioni automatizzate e profilazione
Il profilo di rischio MIFID (1–5) e il punteggio antiriciclaggio sono calcolati automaticamente.
Piano Basic: il piano finanziario e i controlli di adeguatezza sono generati in modalità interamente automatica.
Piani Pro e Wealth: il piano è elaborato con supporto algoritmico e revisionato dal consulente titolare.
L'utente ha in ogni caso il diritto di ottenere l'intervento umano, esprimere la propria opinione e contestare qualsiasi decisione (art. 22 GDPR) scrivendo a compliance@invertoapp.com.
7. Intelligenza artificiale
Ai sensi dell'art. 50 del Regolamento UE 2024/1689 (AI Act), il servizio integra sistemi di intelligenza artificiale classificati come “rischio limitato”: un assistente conversazionale (Google Gemini) e uno scanner documenti PDF (Anthropic Claude). L'utente è informato nell'interfaccia che sta interagendo con un sistema AI.
I dati degli utenti non vengono utilizzati per l'addestramento dei modelli AI.
8. Diritti dell'interessato
- Accesso ai propri dati (art. 15)
- Rettifica di dati inesatti (art. 16)
- Cancellazione (art. 17), nei limiti degli obblighi di conservazione
- Limitazione del trattamento (art. 18)
- Portabilità dei dati in formato strutturato (art. 20)
- Opposizione al trattamento (art. 21)
- Revoca del consenso in qualsiasi momento
- Non essere sottoposto a decisioni automatizzate senza intervento umano (art. 22)
Per esercitare questi diritti scrivere a compliance@invertoapp.com.
L'utente ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali se ritiene che il trattamento dei propri dati violi il GDPR.
9. Sicurezza
Tutti i dati sono cifrati in transito (TLS). Il PIN è hashato (SHA-256) prima di lasciare il dispositivo. L'accesso ai dati è protetto da Row Level Security di PostgreSQL.
In caso di violazione dei dati il Titolare notificherà l'Autorità Garante entro 72 ore (art. 33 GDPR) e, ove il rischio sia elevato, ne informerà direttamente gli utenti coinvolti.
10. Cookie e tracciamento
L'app Inverto non utilizza cookie di profilazione né tecnologie di tracciamento pubblicitario. I dati tecnici raccolti (log di accesso, versione dell'app, sistema operativo) sono utilizzati esclusivamente per le finalità di cui alla sezione 3 e non vengono condivisi con piattaforme pubblicitarie.
Il sito web invertoapp.com può utilizzare cookie tecnici strettamente necessari al funzionamento; tali cookie non richiedono consenso ai sensi dell'art. 122 del Codice Privacy (D.Lgs. 196/2003).
11. Minori
Il servizio è destinato esclusivamente a persone fisiche che abbiano compiuto il 18° anno di età. Il Titolare non raccoglie consapevolmente dati personali di minori di 18 anni.
Qualora il Titolare venga a conoscenza di aver raccolto dati di un minore, provvederà alla cancellazione tempestiva degli stessi. Se un genitore o tutore ritiene che un minore abbia fornito dati personali, è invitato a contattare compliance@invertoapp.com.
12. Cessione aziendale
In caso di fusione, acquisizione, cessione d'azienda o di ramo d'azienda, i dati personali degli utenti potranno essere trasferiti al soggetto subentrante, il quale sarà tenuto a trattarli in conformità alla presente informativa. Gli utenti saranno informati preventivamente di tale trasferimento tramite comunicazione in-app o via email.