Tamarind
Bellavista Voice

Informativa Privacy

Ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

Ultimo aggiornamento: 23 aprile 2026

1. Chi siamo

Il titolare del trattamento dei dati personali è Eleven Hats S.r.l., con sede legale in Italia (di seguito "Eleven Hats", "noi", "Titolare"). Eleven Hats opera il servizio Bellavista Voice, una piattaforma di assistente vocale AI per agenzie immobiliari e società di mediazione creditizia.

Per qualsiasi questione relativa al trattamento dei suoi dati personali, incluse richieste di esercizio dei diritti, può contattarci scrivendo a [email protected].

2. Categorie di interessati

Questa informativa si applica a tre categorie di soggetti:

  • Clienti professionali: titolari e collaboratori di agenzie immobiliari o società di mediazione creditizia che utilizzano la dashboard web come strumento di lavoro.
  • Utenti finali: persone fisiche che entrano in contatto con la piattaforma telefonandoci, venendo chiamati dall'assistente vocale Valentina, o compilando richieste sui portali immobiliari le cui email transitano sul nostro sistema.
  • Visitatori: utenti del sito web non registrati.

3. Categorie di dati trattati

3.1 Dati di registrazione e utilizzo

  • Nome, cognome, email, ruolo aziendale.
  • Identificativi tecnici: user ID, sessione di autenticazione, indirizzo IP, user agent, timestamp di accesso.
  • Dati sulla navigazione: pagine visitate, azioni eseguite nella dashboard (log di audit).

3.2 Dati relativi alle chiamate

  • Numero di telefono del chiamante (E.164).
  • Registrazione audio della telefonata (se l'agenzia ha attivato la funzione).
  • Trascrizione automatica della conversazione, riassunto, esito (appuntamento fissato, non interessato, ecc.).
  • Durata, costo, orario della chiamata.

3.3 Dati provenienti da richieste portali

Quando un utente finale compila una richiesta di contatto su un portale immobiliare (Immobiliare.it, Idealista, Casa.it, Wikicasa), riceviamo dalla casella Gmail dell'agenzia:

  • Nome, cognome, email, telefono, messaggio.
  • Riferimento dell'annuncio di interesse.

3.4 Dati da Google API (OAuth)

Quando un'agenzia collega il proprio account Google al servizio, accediamo agli scope autorizzati esplicitamente dall'agenzia:

  • Gmail (sola lettura): gmail.readonly, gmail.labels, gmail.settings.basic. Leggiamo esclusivamente le email etichettate con la label "Bellavista", creata automaticamente dal nostro sistema e popolata da un filtro Gmail che intercetta solo i messaggi provenienti dai portali immobiliari supportati. Non leggiamo, conserviamo né elaboriamo altre email della casella.
  • Google Calendar (sola lettura): calendar.readonly. Utilizzato per verificare la disponibilità dell'agente al momento di proporre appuntamenti. Non creiamo né modifichiamo eventi.
  • Profilo utente: openid email profile. Per identificare l'account connesso.

L'uso che facciamo dei dati ottenuti dalle Google API è conforme alla Google API Services User Data Policy, incluse le Limited Use requirements. In particolare:

  • Non trasferiamo i dati ottenuti da Google API a terze parti se non strettamente necessario per erogare il servizio richiesto (es. creazione del lead nel database del Titolare).
  • Non utilizziamo i dati per servire pubblicità o per profilazione commerciale.
  • Non permettiamo a persone fisiche (inclusi nostri dipendenti) di leggere i dati Google dell'agenzia, se non quando strettamente necessario per risolvere problemi tecnici con consenso specifico, per obblighi di legge, o per finalità di sicurezza (es. indagare abusi).

L'agenzia può revocare l'autorizzazione in qualsiasi momento dal proprio pannello Google Account Permissions o dalla sezione Integrazioni nella dashboard Bellavista Voice. Alla revoca, cessiamo immediatamente ogni accesso alla sua casella Google.

3.5 Dati di pratica mutuo (solo società di mediazione)

  • Dati anagrafici del richiedente mutuo, reddito, tipo di impiego, anzianità lavorativa.
  • Importo richiesto, LTV, tasso, durata, banca, documenti caricati dal mediatore.

4. Finalità e base giuridica del trattamento

FinalitàBase giuridica (art. 6 GDPR)
Esecuzione del servizio contrattuale (gestione chiamate, lead, appuntamenti, pipeline mutui).Esecuzione del contratto (art. 6.1.b).
Fatturazione, adempimenti fiscali.Obbligo legale (art. 6.1.c).
Registrazione audio delle chiamate (quando attiva).Legittimo interesse alla qualità del servizio + consenso dell'interessato comunicato all'inizio della chiamata (art. 6.1.a/f).
Comunicazioni di marketing sui nostri servizi.Consenso (art. 6.1.a).
Prevenzione frodi, sicurezza della piattaforma, audit log.Legittimo interesse (art. 6.1.f).
Condivisione dati con partner creditizio per consulenza mutuo (flusso referral).Consenso specifico (art. 6.1.a).

5. Destinatari e responsabili esterni del trattamento

Per erogare il servizio ci avvaliamo di fornitori terzi selezionati come responsabili del trattamento (art. 28 GDPR). I dati sono trattati esclusivamente per le finalità sopra indicate:

  • Retell AI Inc. (USA): piattaforma voice AI che gestisce la telefonata, la trascrizione e la registrazione.
  • Twilio Inc. (USA): provider telefonico (SIP trunking).
  • OpenAI / Anthropic / Perplexity (via OpenRouter): modelli linguistici per classificazione email e info zona.
  • Resend (USA): invio email transazionali (magic link login, notifiche).
  • Stripe (USA): gestione pagamenti.
  • Google LLC (USA): accesso Gmail e Calendar delle agenzie che lo autorizzano via OAuth.
  • Railway Corporation (USA): hosting dell'infrastruttura backend e database.
  • Sentry (USA): monitoraggio errori applicativi.
  • Mediatori creditizi partner: esclusivamente quando il cliente conferisce consenso esplicito al flusso referral.

I dati non sono venduti, ceduti né utilizzati per finalità pubblicitarie o di profilazione comportamentale.

6. Trasferimenti di dati extra-UE

Alcuni dei fornitori sopra indicati hanno sede negli Stati Uniti o altri paesi extra-UE. Il trasferimento avviene sulla base di:

  • EU-US Data Privacy Framework per i fornitori certificati (decisione di adeguatezza della Commissione UE del 10 luglio 2023).
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE per gli altri.

7. Periodo di conservazione

  • Dati di account e dashboard: per tutta la durata del contratto e fino a 24 mesi successivi.
  • Registrazioni audio delle chiamate: 12 mesi dalla chiamata, salvo obblighi di legge più lunghi.
  • Trascrizioni e metadata chiamate: 36 mesi.
  • Lead e dati commerciali: finché il lead è attivo nella pipeline del cliente professionale + 24 mesi.
  • Dati fiscali: 10 anni (obbligo civilistico).
  • Log di sicurezza e audit: 12 mesi.
  • Refresh token Google OAuth: fino a revoca esplicita dell'agenzia.

8. Diritti dell'interessato

In qualità di interessato Le sono riconosciuti i seguenti diritti, esercitabili inviando richiesta a [email protected]:

  • Accesso (art. 15 GDPR): ottenere conferma dell'esistenza dei dati e riceverne copia.
  • Rettifica (art. 16): correggere dati inesatti o incompleti.
  • Cancellazione (art. 17, "diritto all'oblio"): ottenere la rimozione dei dati quando non più necessari o in caso di revoca del consenso.
  • Limitazione (art. 18): chiedere la sospensione del trattamento in attesa di verifica.
  • Portabilità (art. 20): ricevere i suoi dati in formato strutturato e leggibile automaticamente.
  • Opposizione (art. 21): opporsi a trattamenti basati sul legittimo interesse o per finalità di marketing.
  • Revoca del consenso: in ogni momento, per i trattamenti che si basano sul consenso (non pregiudica la liceità del trattamento anteriore).

Ha inoltre diritto a proporre reclamo al Garante per la Protezione dei Dati Personali (art. 77 GDPR).

9. Sicurezza

Adottiamo misure tecniche e organizzative adeguate, tra cui:

  • Crittografia TLS per tutte le comunicazioni in transito.
  • Database con cifratura a riposo; password hash con algoritmi a resistenza crittografica (bcrypt).
  • Controllo accessi basato sui ruoli (admin, master, slave) con principio del minimo privilegio.
  • Log di audit delle operazioni sensibili.
  • Backup periodici e procedura di disaster recovery.
  • Revisioni periodiche del codice e dipendenze terze.

10. Cookie e tecnologie simili

La dashboard utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento (sessione autenticazione NextAuth). Non utilizziamo cookie di profilazione né di analytics di terze parti.

11. Processi decisionali automatizzati

L'assistente vocale Valentina utilizza modelli di intelligenza artificiale per classificare le chiamate e suggerire esiti. La qualificazione finale del lead resta sempre soggetta alla decisione umana dell'agente immobiliare o del mediatore. Non adottiamo processi decisionali interamente automatizzati che producano effetti giuridici significativi sugli interessati ai sensi dell'art. 22 GDPR.

12. Modifiche alla presente informativa

La presente informativa può essere aggiornata periodicamente. In caso di modifiche sostanziali, informeremo gli utenti registrati via email e pubblicheremo la nuova versione almeno 30 giorni prima dell'entrata in vigore. La data di ultimo aggiornamento è sempre indicata in cima a questa pagina.

13. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati:
Email: [email protected]
PEC: (da configurare)
Sede: Eleven Hats S.r.l., Italia