Titolare del trattamento
Il titolare del trattamento è Biagio Distefano, libero professionista con sede in Austria, che opera il servizio Nozze.io. Per qualsiasi richiesta relativa ai dati personali puoi scriverci a [email protected].
Dati che trattiamo
Per la coppia titolare dell'account: email, nome, cognome, password (in forma hash), numero di telefono se fornito, dati del matrimonio (slug, nome della coppia, data, location, contenuti caricati). Per gli invitati che la coppia inserisce: nome, email, numero di telefono, allergie e preferenze alimentari, RSVP. Per i pagamenti non gestiamo direttamente i dati della carta: l'intero flusso avviene su Stripe Checkout e riceviamo solo i metadati della transazione. Per gli inbound WhatsApp riceviamo da Twilio numero del mittente, testo del messaggio ed eventuali allegati.
Finalità e basi giuridiche (art. 6 e art. 9 GDPR)
Esecuzione del contratto (art. 6 c. 1 lett. b GDPR) per fornire il servizio, gestire l'abbonamento, inviare email transazionali e instradare gli inbound WhatsApp. Consenso esplicito (art. 9 c. 2 lett. a GDPR) per le allergie e le esigenze alimentari, che sono categorie particolari di dati: sono raccolte solo se la coppia o l'invitato le fornisce volontariamente. Obblighi di legge (art. 6 c. 1 lett. c GDPR) per la conservazione dei documenti fiscali. Legittimo interesse (art. 6 c. 1 lett. f GDPR) per i log di sicurezza e antifrode strettamente necessari.
Destinatari e responsabili del trattamento
Per fornire il servizio condividiamo i dati strettamente necessari con i seguenti responsabili del trattamento, vincolati da contratto ex art. 28 GDPR: Hetzner Online GmbH (Germania) per l'hosting del servizio e l'archiviazione dei dati e dei file caricati; Brevo SAS (Francia) per l'invio delle email transazionali e degli inviti agli ospiti tramite il dominio mail.nozze.io; Fastmail Pty Ltd (Australia, con Standard Contractual Clauses) per la gestione delle caselle di posta del servizio (es. support@, privacy@) tramite cui rispondiamo alle tue richieste; Twilio Inc. (Stati Uniti, con Standard Contractual Clauses) per ricevere i messaggi WhatsApp inviati al numero del servizio; Stripe Payments Europe Ltd. (Irlanda) e Stripe Inc. (Stati Uniti, con SCC e DPF) per il processamento dei pagamenti, in qualità di Merchant of Record.
Trasferimenti extra-UE
I tuoi dati e i file caricati risiedono in data center europei (Hetzner, Germania). I servizi extra-UE (Stripe Inc. e Twilio Inc. negli Stati Uniti, Fastmail Pty Ltd in Australia) ricevono dati solo per le funzionalità che li richiedono e operano sotto Standard Contractual Clauses approvate dalla Commissione Europea (e, per Stripe, sotto certificazione EU-US Data Privacy Framework).
Periodo di conservazione
I dati dell'account sono conservati per tutta la durata del contratto e cancellati su richiesta o entro 30 giorni dalla cessazione del servizio, salvi gli obblighi fiscali (le fatture emesse da Stripe come MoR sono conservate per 10 anni ai sensi dell'art. 2220 c.c.). I dati degli invitati sono cancellati insieme al matrimonio cui appartengono o quando la coppia li rimuove dalla propria lista. I log di sicurezza sono conservati per un massimo di 12 mesi.
Diritti dell'interessato
Puoi esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Dall'area "Account" puoi esportare i tuoi dati e cancellare il tuo account in self-service. Per ogni altra richiesta scrivi a [email protected]: rispondiamo entro 30 giorni.
Reclamo all'Autorità di controllo
Ai sensi dell'art. 77 GDPR puoi proporre reclamo all'autorità di controllo dello Stato membro in cui risiedi, lavori o nel quale ritieni sia avvenuta la violazione. In Italia: Garante per la protezione dei dati personali (https://www.garanteprivacy.it). In Austria, paese di stabilimento del titolare, l'autorità competente è la Datenschutzbehörde (https://www.dsb.gv.at).