Titolare del trattamento
Il titolare del trattamento è Nozze.io, con sede legale in Italia. Per qualsiasi richiesta relativa ai dati personali puoi scriverci a privacy@nozze.io.
Dati che trattiamo
Per la coppia titolare dell'account: email, nome, cognome, password (in forma hash), numero di telefono se fornito, dati del matrimonio (slug, nome della coppia, data, location, contenuti caricati). Per gli invitati che la coppia inserisce: nome, email, numero di telefono, allergie e preferenze alimentari, RSVP. Per i pagamenti non gestiamo direttamente i dati della carta: l'intero flusso avviene su Stripe Checkout e riceviamo solo i metadati della transazione. Per gli inbound WhatsApp riceviamo da Twilio numero del mittente, testo del messaggio ed eventuali allegati.
Finalità e basi giuridiche (art. 6 e art. 9 GDPR)
Esecuzione del contratto (art. 6 c. 1 lett. b GDPR) per fornire il servizio, gestire l'abbonamento, inviare email transazionali e instradare gli inbound WhatsApp. Consenso esplicito (art. 9 c. 2 lett. a GDPR) per le allergie e le esigenze alimentari, che sono categorie particolari di dati: sono raccolte solo se la coppia o l'invitato le fornisce volontariamente. Obblighi di legge (art. 6 c. 1 lett. c GDPR) per la conservazione dei documenti fiscali. Legittimo interesse (art. 6 c. 1 lett. f GDPR) per i log di sicurezza e antifrode strettamente necessari.
Destinatari e responsabili del trattamento
Per fornire il servizio condividiamo dati strettamente necessari con i seguenti responsabili del trattamento, vincolati da contratto ex art. 28 GDPR: Hetzner Online GmbH (Germania) per hosting applicativo, database PostgreSQL e Object Storage delle immagini caricate; Brevo / Sendinblue SAS (Francia) per l'invio delle email transazionali e degli inviti agli ospiti tramite il dominio mail.nozze.io; Twilio Inc. (Stati Uniti, con Standard Contractual Clauses) per ricevere i messaggi WhatsApp inviati al numero del servizio; Stripe Payments Europe Ltd. (Irlanda) e Stripe Inc. (Stati Uniti, con SCC e DPF) per il processamento dei pagamenti, in qualità di Merchant of Record.
Trasferimenti extra-UE
Database, file caricati e backup risiedono in data center europei (Hetzner, Germania). I servizi statunitensi (Stripe Inc., Twilio Inc.) ricevono dati solo per le funzionalità che li richiedono e operano sotto Standard Contractual Clauses approvate dalla Commissione Europea (e, per Stripe, sotto certificazione EU-US Data Privacy Framework).
Periodo di conservazione
I dati dell'account sono conservati per tutta la durata del contratto e cancellati su richiesta o entro 30 giorni dalla cessazione del servizio, salvi gli obblighi fiscali (le fatture emesse da Stripe come MoR sono conservate per 10 anni ai sensi dell'art. 2220 c.c.). I dati degli invitati sono cancellati insieme al matrimonio cui appartengono o quando la coppia li rimuove dalla propria lista. I log di sicurezza sono conservati per un massimo di 12 mesi.
Diritti dell'interessato
Puoi esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Dall'area "Account" puoi esportare i tuoi dati e cancellare il tuo account in self-service. Per ogni altra richiesta scrivi a privacy@nozze.io: rispondiamo entro 30 giorni.
Reclamo all'Autorità di controllo
Hai sempre il diritto di proporre reclamo al Garante per la protezione dei dati personali (https://www.garanteprivacy.it) ai sensi dell'art. 77 GDPR.