Informativa sul trattamento dei dati personali
Documento redatto ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e delle Linee Guida del Garante per la protezione dei dati personali.
Documento
Privacy
Chi siamo, quali dati raccogliamo, perché, per quanto tempo, a chi li comunichiamo, come li proteggiamo e quali diritti puoi esercitare.
Indice
1. Titolare del trattamento e ruoli privacy
La presente informativa si applica all'utilizzo del sito e della piattaforma [Nome Piattaforma] (di seguito, "Piattaforma"), accessibile all'indirizzo [https://www.tuodominio.it]. La Piattaforma è un servizio Software-as-a-Service (SaaS) che fornisce a gestori di pubblici esercizi (es. stabilimenti balneari, lounge bar, beach club) e organizzatori di pacchetti l'infrastruttura tecnologica per consentire ai loro clienti di prenotare e prepagare online consumazioni, servizi, voucher e pacchetti (es. navetta + accesso al locale).
Titolare del trattamento
- Ragione sociale: [Nome Azienda]
- Sede legale: [Via, n., CAP, Comune, Provincia, Italia]
- P.IVA / C.F.: [P.IVA / C.F.]
- Iscrizione CCIAA: [REA n.]
- Email privacy: [privacy@tuodominio.it]
- PEC: [pec@tuodominio.it]
- Telefono: [+39 ...]
Responsabile della Protezione dei Dati (DPO)
[Compilare se nominato; in caso contrario, eliminare il blocco.
La nomina del DPO è obbligatoria solo nei casi previsti dall'art. 37 GDPR — di norma
non obbligatoria per una piattaforma SaaS di queste dimensioni. Se nominato:]
Nome: [Nome DPO]
Email: [dpo@tuodominio.it]
Tre ruoli privacy diversi sulla Piattaforma
- Provider (gestore del locale o organizzatore): per i dati dell'account business (anagrafica azienda, fatturazione, comunicazioni operative) il Titolare del trattamento è la società sopra indicata, gestore della Piattaforma.
-
Cliente finale (Guest): i dati di acquisto/prenotazione (nome,
email, eventuali dati aggiuntivi richiesti dal Provider, contenuto della
consumazione/voucher prenotato, QR di accesso) sono trattati con un modello a
contitolarità o responsabilità separata:
- il Provider è Titolare per finalità di esecuzione del servizio offerto (consumazione, accesso al locale, pacchetto, customer care);
- la Piattaforma è Responsabile del trattamento ex art. 28 GDPR per le sole operazioni tecniche svolte per conto del Provider (memorizzazione, invio email transazionali, generazione QR, dashboard). La Piattaforma non utilizza i dati dei Guest per finalità proprie diverse dalla fornitura del servizio SaaS.
- Account utente Guest sul sito (registrazione, login, navigazione, sicurezza, cookie tecnici): la Piattaforma è Titolare autonomo per questi specifici trattamenti, anche ai sensi della giurisprudenza UE in materia di marketplace digitali (cfr. CGUE C-492/23).
2. Categorie di dati trattati
Trattiamo solo i dati strettamente necessari alle finalità descritte. Non trattiamo di norma categorie particolari (art. 9 GDPR: salute, opinioni politiche, ecc.).
a) Dati identificativi
Nome, cognome, data di nascita (per verifica età minima all'evento), genere (se richiesto dall'organizzatore), eventuale codice fiscale per fatturazione.
b) Dati di contatto
Indirizzo email, numero di telefono cellulare, eventuale indirizzo di residenza/spedizione per consegna prodotti commercial.
c) Credenziali e autenticazione
Username, password (memorizzata in forma hashed con algoritmo bcrypt, mai in chiaro), token di sessione, codici OTP per verifica email/numero, identificativi di account social collegati (Google, Apple).
d) Dati di prenotazione e accesso
Consumazione / voucher / pacchetto selezionato, numero di persone, nominativi aggiuntivi forniti dal Provider, stato della prenotazione, QR code di accesso, timestamp di emissione, validazione e check-in al locale, identificativo del promoter di riferimento (se applicabile).
e) Dati economici e fiscali
Importi, IVA, commissioni di servizio, fee promoter, dati di fatturazione, storico transazioni, riferimenti contabili.
f) Dati di pagamento
I pagamenti sono elaborati da Stripe Payments Europe Ltd. (vedi sez. 5). La Piattaforma non memorizza il numero di carta, CVC o scadenza: tratta solo identificativo transazione, importo, esito, ultime 4 cifre della carta, marchio (Visa, Mastercard…).
g) Dati tecnici e di navigazione
Indirizzo IP, user agent, log di accesso, identificativi tecnici di sessione, cookie tecnici e strettamente necessari, eventi di sicurezza (login falliti, richieste anomale).
h) Dati da terzi (login social)
Se accedi con Google o Apple, riceviamo da loro: identificativo univoco utente, email, nome, eventuale immagine del profilo. Nessun altro dato del tuo account Google/Apple viene letto. Vedi sez. 6.
3. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica | Categorie di dati |
|---|---|---|
| Registrazione account, login, gestione profilo | Esecuzione di contratto (art. 6.1.b GDPR) | a, b, c, g |
| Prenotazione, acquisto, emissione titolo digitale, check-in | Esecuzione di contratto (art. 6.1.b GDPR) | a, b, d, e, f |
| Fatturazione e adempimenti fiscali | Obbligo legale (art. 6.1.c GDPR — DPR 633/72, DPR 600/73) | a, b, e, f |
| Sicurezza, prevenzione frodi, audit log | Legittimo interesse (art. 6.1.f GDPR) | c, g |
| Comunicazioni transazionali (conferma ordine, ticket, modifiche evento) | Esecuzione di contratto (art. 6.1.b GDPR) | b, d |
| Newsletter e comunicazioni promozionali | Consenso libero e revocabile (art. 6.1.a GDPR) | a, b |
| Difesa in giudizio, gestione reclami | Legittimo interesse (art. 6.1.f GDPR) | tutte le categorie pertinenti |
| Cookie analitici e di marketing | Consenso (art. 6.1.a GDPR + art. 122 D.Lgs. 196/2003) | g |
4. Natura del conferimento dei dati
Il conferimento dei dati contrassegnati come obbligatori nei moduli (es. nome, email, numero di telefono) è necessario per registrarti, completare una prenotazione, ricevere il ticket o usufruire del servizio: il mancato conferimento rende impossibile l'erogazione. Il conferimento di dati per finalità di newsletter, marketing o cookie non tecnici è invece sempre facoltativo: il rifiuto non incide sulla fruibilità del servizio.
5. Pagamenti online — Stripe Connect
I pagamenti online sono gestiti da Stripe Payments Europe, Ltd., sede legale in 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlanda, tramite la soluzione Stripe Connect. In questo modello l'incasso del pagamento avviene direttamente sul conto Stripe del Provider venditore (gestore del locale o organizzatore), che è il venditore di diritto della consumazione o del pacchetto. La Piattaforma trattiene esclusivamente la propria commissione di servizio.
Stripe agisce come Titolare autonomo del trattamento per le finalità di pagamento, antifrode, adempimenti finanziari e segnalazioni alle autorità competenti (incluso DAC7 ove applicabile).
La Piattaforma non riceve né memorizza il numero della tua carta, il CVC o la data di scadenza. I dati di carta vengono inseriti direttamente sui server certificati PCI-DSS Livello 1 di Stripe tramite componenti embeddable (Stripe Elements).
Per la prevenzione frodi Stripe può analizzare segnali tecnici (impronta del dispositivo, geolocalizzazione approssimativa via IP, comportamento di pagamento) ai sensi della propria informativa: stripe.com/it/privacy.
Stripe può trasferire dati al di fuori dello SEE (negli Stati Uniti) sulla base delle Standard Contractual Clauses della Commissione Europea, della EU-US Data Privacy Framework e del proprio Data Processing Addendum.
6. Login social — Google e Apple
Sign in with Google
Se scegli "Accedi con Google", riceviamo da Google LLC i seguenti dati tramite OAuth 2.0 / OpenID Connect: identificativo univoco Google (sub), email verificata, nome, immagine del profilo. Non riceviamo né leggiamo nessun altro dato del tuo account Google (Gmail, Drive, contatti, ecc.).
Informativa di Google: policies.google.com/privacy. Puoi revocare l'accesso in qualsiasi momento da myaccount.google.com/permissions.
Sign in with Apple
Se scegli "Accedi con Apple", riceviamo da Apple Inc. l'identificativo univoco Apple, email (eventualmente nella forma anonimizzata "Hide my email") e nome fornito al primo accesso. Non riceviamo nessun altro dato dell'ID Apple.
Informativa di Apple: apple.com/legal/privacy/it. Puoi gestire l'accesso da Impostazioni → ID Apple → Accedi con Apple.
Usiamo i dati ricevuti unicamente per: (i) creare o accedere al tuo account sulla Piattaforma, (ii) collegare automaticamente prenotazioni precedenti effettuate con la stessa email, (iii) personalizzare l'avatar. Non li condividiamo con terzi né li usiamo per profilazione. Puoi sempre scollegare l'account social dalla pagina Impostazioni account del tuo profilo.
7. Destinatari dei dati e fornitori
I tuoi dati non vengono mai venduti, ceduti o diffusi a terzi per finalità commerciali. Possono essere comunicati ai seguenti soggetti, nei limiti strettamente necessari:
| Fornitore | Finalità | Ruolo | Sede |
|---|---|---|---|
| Hetzner Online GmbH | Hosting infrastruttura, storage, backup | Responsabile (DPA) | Germania (UE) |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti, antifrode | Titolare autonomo | Irlanda + USA (SCC) |
| Mailgun Technologies Inc. | Invio email transazionali e newsletter | Responsabile (DPA) | USA (SCC) — opt EU region |
| Amazon Web Services EMEA SARL | Object storage allegati e foto | Responsabile (DPA) | Lussemburgo (UE) |
| Google LLC | Autenticazione OAuth (Sign in with Google) | Titolare autonomo | USA (SCC) |
| Apple Inc. | Autenticazione (Sign in with Apple), Apple Wallet | Titolare autonomo | USA (SCC) |
| Organizzatori / Provider | Gestione evento, controlli accesso, customer care | Titolare per i dati di prenotazione | Italia / UE |
| Promoter autorizzati | Visibilità prenotazioni del proprio link | Persone autorizzate dal Provider | Italia / UE |
| Commercialista, consulente fiscale | Adempimenti contabili | Responsabile (DPA) | Italia |
| Autorità di pubblica sicurezza, Garante | Obblighi di legge, indagini | Destinatari ex lege | Italia |
L'elenco aggiornato dei Responsabili nominati ex art. 28 GDPR è disponibile su richiesta scrivendo a [privacy@tuodominio.it].
8. Trasferimenti extra-UE
Alcuni fornitori (Stripe, Mailgun, Google, Apple) possono trattare i dati negli Stati Uniti d'America. In tali casi il trasferimento avviene esclusivamente sulla base di:
- Decisione di adeguatezza UE-USA Data Privacy Framework (Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 luglio 2023) per i fornitori certificati;
- Standard Contractual Clauses (SCC) 2021/914 della Commissione Europea e misure supplementari (cifratura in transit/at rest, pseudonimizzazione);
- Data Processing Agreement (DPA) sottoscritto con ciascun fornitore.
Puoi ottenere copia delle SCC e dei DPA scrivendo a [privacy@tuodominio.it].
9. Periodi di conservazione
| Categoria di dati | Tempo di conservazione | Riferimento |
|---|---|---|
| Account utente attivo | Per tutta la durata del rapporto + 12 mesi dalla cancellazione | Esecuzione contratto + difesa in giudizio |
| Dati di prenotazione e ordini | 10 anni | Art. 2220 c.c. (scritture contabili) |
| Fatture, dati fiscali e contabili | 10 anni | Art. 2220 c.c., DPR 600/73 |
| Log di accesso e sicurezza | Massimo 12 mesi | Provv. Garante 27/11/2008 — amministratori sistema |
| Dati di check-in (QR validato) | 24 mesi dall'evento | Gestione contestazioni e statistiche |
| Dati per newsletter e marketing | Fino a revoca del consenso o 24 mesi di inattività | Provv. Garante n. 330 del 4/7/2013 |
| Cookie tecnici di sessione | Fine sessione browser | — |
| Cookie di consenso | 6 mesi (poi richiesta nuovo consenso) | Linee Guida Garante 10/06/2021 |
Decorsi i termini, i dati sono cancellati o anonimizzati in modo sicuro e irreversibile.
10. Misure di sicurezza
Adottiamo misure tecniche e organizzative adeguate ex art. 32 GDPR, in particolare:
11. Violazione dei dati personali (data breach)
In caso di violazione che possa comportare un rischio per i tuoi diritti e le tue libertà, notificheremo l'incidente al Garante per la protezione dei dati personali entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR. Qualora la violazione comporti un rischio elevato, ti informeremo direttamente e senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR, con indicazione delle misure adottate per limitare le conseguenze e dei consigli per proteggerti (es. cambio password).
12. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR, in qualsiasi momento puoi esercitare i seguenti diritti:
Come esercitare i diritti
Invia richiesta scritta a [privacy@tuodominio.it] o PEC [pec@tuodominio.it], allegando copia di un documento di identità (per verificare la tua identità). Risponderemo entro 30 giorni, prorogabili di altri 60 in casi complessi (con preavviso). Il servizio è gratuito, salvo richieste manifestamente infondate o ripetute.
13. Diritto di reclamo al Garante
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo al Garante per la protezione dei dati personali:
Garante per la protezione dei dati personali
Piazza Venezia, 11 — 00187 Roma
Tel.: (+39) 06.696771 — Fax: (+39) 06.69677.3785
Email: protocollo@gpdp.it
Sito: www.garanteprivacy.it
Modulo reclamo: servizi.gpdp.it/diritti/s/reclamo
Resta in ogni caso impregiudicato il diritto di adire l'autorità giudiziaria.
14. Cookie e strumenti di tracciamento
Per la disciplina completa di cookie e tecnologie analoghe consulta la Cookie Policy dedicata, che riporta l'elenco analitico, finalità, terze parti, durata e modalità di gestione del consenso.
In sintesi: utilizziamo solo cookie tecnici e strettamente necessari senza consenso (sessione, login, carrello, sicurezza CSRF). Eventuali cookie analitici, di marketing o di terze parti vengono installati esclusivamente dopo aver acquisito il tuo consenso tramite il banner, conformemente alle Linee Guida del Garante del 10 giugno 2021. Puoi modificare le tue scelte in qualsiasi momento dal link "Gestisci preferenze cookie" in fondo alla pagina.
15. Decisioni automatizzate e profilazione
La Piattaforma non effettua decisioni unicamente automatizzate ai sensi dell'art. 22 GDPR che producano effetti giuridici sull'interessato o incidano in modo significativo sulla sua persona. I controlli antifrode su pagamenti, eseguiti da Stripe, possono comportare il blocco automatico di transazioni sospette: in tali casi puoi sempre contattarci per richiedere intervento umano e contestare la decisione.
16. Minori
I servizi della Piattaforma sono rivolti a soggetti che abbiano compiuto i 14 anni, ai sensi dell'art. 2-quinquies del D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018), che fissa in Italia l'età minima per il consenso al trattamento dei dati personali nei servizi della società dell'informazione.
Per soggetti di età inferiore a 14 anni il trattamento è lecito solo se il consenso è prestato o autorizzato dal soggetto che esercita la responsabilità genitoriale. L'eventuale partecipazione a eventi con limiti di età specifici (es. discoteche, eventi 18+) resta soggetta alle regole dell'organizzatore e alla normativa di settore.
17. Modifiche all'informativa
La presente informativa può essere aggiornata in caso di modifiche normative, tecniche o organizzative. La data di ultima revisione è indicata in cima al documento. In caso di modifiche sostanziali ti informeremo via email o tramite avviso sulla Piattaforma, e ti chiederemo nuovamente il consenso ove richiesto dalla legge.
18. Contatti privacy
Email privacy
[privacy@tuodominio.it]
PEC
[pec@tuodominio.it]
Sede legale
[Via, n. — CAP, Comune (PV) — Italia]