Privacy Policy

Ultimo aggiornamento: 13 aprile 2026

1. Definizioni

  • Piattaforma: il sito internet https://www.brokero.it/, inclusi tutti i relativi sottodomini.
  • Cliente: il cliente dell'Intermediario, il soggetto fisico o giuridico dei quali l'Intermediario raccoglie e gestisce i dati e le informazioni utili all'intermediazione assicurativa.
  • Intermediario: l'intermediario assicurativo che utilizza per la propria attività professionale la piattaforma brokero.it.
  • Documentazione: i documenti precontrattuali, le informative e i mandati destinati ai Clienti che l'Intermediario produce tramite brokero.it.

2. Trattamento dei dati personali dell'Intermediario

2.1 Qualificazione dei Ruoli ai sensi del Regolamento UE 2016/679

In relazione al rapporto contrattuale instaurato tra la Piattaforma e l'Intermediario, le Parti riconoscono la seguente ripartizione dei ruoli con riferimento al trattamento dei dati personali dell'Intermediario (o del suo legale rappresentante, nel caso di soggetto giuridico):

  • Titolare del Trattamento: la Piattaforma, in quanto soggetto che determina le finalità e i mezzi del trattamento dei dati personali dell'Intermediario raccolti in occasione della registrazione e dell'utilizzo del servizio.
  • Interessato: l'Intermediario (o il suo legale rappresentante/titolare effettivo, se persona giuridica), in quanto soggetto cui si riferiscono i dati personali trattati.

2.2 Dati trattati

La Piattaforma tratta, in qualità di Titolare, le seguenti categorie di dati personali dell'Intermediario:

  • dati anagrafici e di contatto;
  • dati di identificazione della propria attività professionale;
  • dati di accesso e autenticazione (credenziali, sessioni, log di accesso);
  • dati di fatturazione e pagamento (coordinate di fatturazione, storico degli abbonamenti; i dati completi della carta di pagamento sono trattati esclusivamente da Stripe);
  • dati di utilizzo della Piattaforma (log di attività, volumi di documentazione prodotta, configurazioni dell'account).

2.3 Finalità e basi giuridiche

La Piattaforma tratta i dati personali dell'Intermediario per le seguenti finalità:

  • Esecuzione del contratto (art. 6, par. 1, lett. b GDPR): registrazione e gestione dell'account, erogazione del servizio, gestione dell'abbonamento e delle relative comunicazioni operative (sospensioni, rinnovi, scadenze).
  • Adempimento di obblighi legali (art. 6, par. 1, lett. c GDPR): fatturazione, conservazione dei documenti contabili e fiscali nei termini di legge, adempimenti antiriciclaggio ove applicabili.
  • Legittimo interesse della Piattaforma (art. 6, par. 1, lett. f GDPR): sicurezza informatica, prevenzione delle frodi, monitoraggio dell'integrità del servizio, tutela in sede giudiziale o stragiudiziale.
  • Consenso dell'Interessato (art. 6, par. 1, lett. a GDPR): invio di comunicazioni promozionali, newsletter e aggiornamenti commerciali, previo consenso espresso e revocabile in qualsiasi momento.

2.4 Sub-responsabili del trattamento autorizzati

Per l'erogazione del servizio, la Piattaforma si avvale dei seguenti sub-responsabili del trattamento, con i quali ha stipulato o si impegna a stipulare appositi accordi ai sensi dell'art. 28 GDPR:

  • Fractalgarden S.r.l. — gestione tecnica del processo di firma elettronica;
  • Clerk, Inc. — gestione dell'autenticazione, delle sessioni e dell'identità digitale dell'Intermediario;
  • Stripe, Inc. — gestione dei pagamenti, dei dati di fatturazione e dello storico degli abbonamenti;
  • Convex Dev, Inc. — database cloud, gestione logica dei dati e infrastruttura di backend;
  • Amazon Web Services, Inc. — infrastruttura server e archiviazione fisica dei dati.

Alcuni dei sub-responsabili sopra indicati hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso tali soggetti avviene in conformità al Regolamento UE 2016/679 (GDPR), sulla base della Decisione di Adeguatezza della Commissione Europea del 10 luglio 2023 relativa al Data Privacy Framework EU-USA (DPF), al quale tutti i suddetti sub-responsabili hanno formalmente aderito e risultano iscritti nel relativo registro pubblico tenuto dal Dipartimento del Commercio degli Stati Uniti (www.dataprivacyframework.gov).

La Piattaforma si impegna a verificare periodicamente il mantenimento della certificazione DPF da parte di ciascun sub-responsabile e, in caso di decadenza o revoca della stessa, ad adottare tempestivamente misure di trasferimento alternative conformi al Capo V del GDPR, dandone comunicazione all'Intermediario.

La Piattaforma si riserva la facoltà di aggiungere o sostituire i sub-responsabili elencati, previa comunicazione all'Intermediario con un preavviso minimo di 30 giorni, salvo che ragioni di urgenza tecnica o di sicurezza non impongano tempi più brevi, nel qual caso la comunicazione avverrà contestualmente alla modifica.

2.5 Periodo di conservazione dei dati

I dati personali dell'Intermediario sono conservati per tutta la durata del rapporto contrattuale e, successivamente alla cessazione dello stesso, per i seguenti periodi:

  • dati di fatturazione e contabili: 10 anni dalla data dell'ultima registrazione contabile, ai sensi della normativa fiscale vigente;
  • dati di accesso e log di autenticazione: 12 mesi dalla cessazione del contratto;
  • dati anagrafici e di contatto: 24 mesi dalla cessazione del contratto, per la tutela di eventuali diritti in sede giudiziale o stragiudiziale;
  • dati trattati sulla base del consenso (comunicazioni promozionali): fino alla revoca del consenso da parte dell'Intermediario.

Decorsi i suddetti termini, i dati saranno cancellati o anonimizzati in modo irreversibile.

2.6 Diritti dell'Intermediario in qualità di Interessato

L'Intermediario, in qualità di Interessato, ha il diritto di:

  • Accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei dati personali che lo riguardano;
  • Rettifica (art. 16 GDPR): ottenere la correzione di dati inesatti o incompleti;
  • Cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati, nei limiti previsti dalla legge e fatti salvi gli obblighi di conservazione di cui al punto 2.5;
  • Limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento nei casi previsti dalla normativa;
  • Portabilità (art. 20 GDPR): ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico, e trasmetterli a un altro titolare, per i trattamenti basati sul contratto o sul consenso;
  • Opposizione (art. 21 GDPR): opporsi al trattamento basato sul legittimo interesse della Piattaforma, salvo l'esistenza di motivi legittimi prevalenti;
  • Revoca del consenso: revocare in qualsiasi momento il consenso prestato per le finalità promozionali, senza pregiudizio per la liceità del trattamento effettuato prima della revoca;
  • Reclamo: proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Le richieste relative all'esercizio dei diritti sopra elencati possono essere inviate alla Piattaforma all'indirizzo e-mail supporto@brokero.it o tramite l'apposita sezione dell'account. La Piattaforma si impegna a riscontrare le richieste entro 30 giorni dal ricevimento, salvo proroga nei casi previsti dall'art. 12 GDPR.

3. Trattamento dei dati personali del Cliente

3.1 Qualificazione dei Ruoli ai sensi del Regolamento UE 2016/679

In relazione all'utilizzo della Piattaforma e del database cloud fornito, le Parti riconoscono e accettano la seguente ripartizione dei ruoli:

  • Titolare del Trattamento: l'Intermediario, in quanto soggetto che determina le finalità e i mezzi del trattamento dei dati personali dei propri clienti (gli Interessati).
  • Responsabile del Trattamento: la Piattaforma, in quanto fornitore della soluzione software, che tratta i dati personali esclusivamente per conto e su istruzione dell'Intermediario.
  • Sub-Responsabile del Trattamento: i fornitori delle infrastrutture o dei servizi di cui si avvale la Piattaforma per il proprio funzionamento.

3.2 Responsabilità dell'Intermediario (Titolare del trattamento)

L'Intermediario, nella sua qualità di Titolare, si assume l'obbligo esclusivo di:

  • Informativa agli Interessati: fornire ai propri clienti (titolari dei dati personali) un'idonea informativa ai sensi degli artt. 13 e 14 del GDPR. Tale comunicazione dovrà esplicitare chiaramente che i dati saranno trattati tramite la Piattaforma e archiviati presso l'infrastruttura cloud Convex, specificando i ruoli dei soggetti coinvolti come sopra definiti.
  • Base Giuridica: garantire la sussistenza di un'idonea base giuridica (consenso, obbligo contrattuale o legittimo interesse) per l'inserimento dei dati nella Piattaforma.
  • Diritti degli Interessati: gestire le richieste dei clienti relative all'esercizio dei diritti (accesso, cancellazione, portabilità), fermo restando il supporto tecnico fornito dalla Piattaforma.

3.3 Responsabilità della Piattaforma (Responsabile)

La Piattaforma si impegna a gestire i dati in conformità alle istruzioni dell'Intermediario, garantendo tramite l'infrastruttura:

  • la segregazione logica dei dati tra i diversi intermediari (multi-tenancy);
  • l'adozione di misure di sicurezza tecniche e organizzative adeguate a proteggere i dati da accessi non autorizzati o distruzione accidentale;
  • il monitoraggio costante dell'operato dei Sub-Responsabili.

3.4 Clausola di Manleva

L'Intermediario si impegna a manlevare e tenere indenne la Piattaforma da qualsiasi sanzione, danno o pretesa avanzata dagli interessati o dalle autorità di Controllo derivante dalla mancata o inidonea comunicazione dei ruoli privacy al cliente finale, o da qualsiasi altra violazione degli obblighi gravanti sul Titolare del Trattamento.

3.5 Autorizzazione generale al trattamento dei dati

Ai sensi dell'art. 28, comma 2 del GDPR, l'Intermediario (Titolare del trattamento dei dati personali dei Clienti) concede alla Piattaforma (Responsabile del trattamento dei dati personali dei Clienti) l'autorizzazione generale a ricorrere a altri responsabili del trattamento per l'erogazione dei servizi oggetto del contratto.

Il Titolare prende atto e autorizza sin d'ora l'utilizzo dei seguenti sub-responsabili già operativi per la fornitura del servizio:

  • Fractalgarden S.r.l. — gestione tecnica del processo di firma elettronica;
  • Clerk, Inc. — gestione dell'autenticazione, delle sessioni e dell'identità digitale dell'Intermediario;
  • Convex Dev, Inc. — database cloud, gestione logica dei dati e infrastruttura di backend;
  • Amazon Web Services, Inc. — infrastruttura server e archiviazione fisica dei dati.

Alcuni dei sub-responsabili sopra indicati hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso tali soggetti avviene in conformità al Regolamento UE 2016/679 (GDPR), sulla base della Decisione di Adeguatezza della Commissione Europea del 10 luglio 2023 relativa al Data Privacy Framework EU-USA (DPF), al quale tutti i suddetti sub-responsabili hanno formalmente aderito e risultano iscritti nel relativo registro pubblico tenuto dal Dipartimento del Commercio degli Stati Uniti (www.dataprivacyframework.gov).

La Piattaforma si impegna a verificare periodicamente il mantenimento della certificazione DPF da parte di ciascun sub-responsabile e, in caso di decadenza o revoca della stessa, ad adottare tempestivamente misure di trasferimento alternative conformi al Capo V del GDPR, dandone comunicazione all'Intermediario.

In forza di tale autorizzazione generale, il Responsabile può aggiungere o sostituire unilateralmente uno dei suddetti sub-responsabili, previa comunicazione all'Intermediario.

3.6 Responsabilità della Filiera

La Piattaforma (Responsabile) risponde dinanzi all'Intermediario (Titolare) dell'inadempimento dei propri Sub-responsabili, così come l'Intermediario è tenuto a fare dinanzi al Cliente (Interessato) per l'operato dei Responsabili.

Questo sito utilizza i cookie

Utilizziamo cookie tecnici necessari al funzionamento e, con il tuo consenso, cookie analitici e di marketing. Cookie Policy