# Informativa Privacy (Bozza) — ViaggioSolo Club

**Ultimo aggiornamento:** 25/08/2025  
**Versione:** 0.9 (bozza per verifica interna)

Questa informativa è redatta ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), del D.Lgs. 196/2003 e s.m.i., nonché delle norme settoriali applicabili. La versione definitiva verrà pubblicata dopo il collaudo finale del progetto.

---

## 1. Titolare del trattamento
**Associazione Culturale ViaggioSolo Club**  
Sede legale: Via Pola 10, 28100 Novara (NO) – Italia  
E-mail: **info@club.viaggiosolo.it**  
Il Titolare applica i principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5 GDPR) e il principio di “accountability”.

## 2. Categorie di dati trattati
- **Dati di account**: nome/cognome (se forniti), e-mail, ruolo (Viandante, Pioniere, Saggio, Redazione, Moderatore, Admin), ID utente/claims provenienti dall’IdP quando attivo.  
- **Credenziali**: password non leggibili (hash) ove presenti; in produzione l’accesso avverrà tramite **Identity Provider (IdP)** esterno (senza memorizzare la password nel sito).  
- **Dati newsletter**: e-mail e attributi opzionali (FIRSTNAME, LASTNAME, CONTACT_TIMEZONE, OPT_IN) gestiti tramite **Brevo** con **double opt-in**.  
- **Contenuti pubblicati** (Pionieri/Saggi): testi, immagini e dati che l’utente decide volontariamente di rendere pubblici.  
- **Log tecnici di navigazione**: IP, user-agent, timestamp, eventi applicativi (necessari al funzionamento e alla sicurezza).  
- **Dati associativi** (socio dell’Associazione): dati anagrafici/contabili richiesti dalla normativa di settore.

> Non raccogliamo intenzionalmente categorie particolari di dati (art. 9 GDPR). Eventuali dati “manifestamente resi pubblici” dall’utente nei contenuti sono trattati ai sensi dell’art. 9.2.e).

## 3. Finalità e basi giuridiche
| Finalità | Base giuridica | Note |
|---|---|---|
| Registrazione/gestione account e accesso ad aree riservate | **Art. 6.1.b GDPR** (contratto) | Include ruoli e permessi. |
| Iscrizione all’Associazione, adempimenti amministrativi/contabili | **Art. 6.1.b/c GDPR** (contratto/obbligo legale) | Libro Soci, ricevute, conservazione dieci anni. |
| Pubblicazione contenuti utenti (Pionieri/Saggi) | **Art. 6.1.a GDPR** (consenso) + **9.2.e** (dati resi pubblici) | Revocabile, con eventuale rimozione/anonimizzazione. |
| Newsletter/marketing | **Art. 6.1.a GDPR** (consenso, DOI Brevo) | Revocabile in qualsiasi momento. |
| Comunicazioni operative di servizio | **Art. 6.1.f GDPR** (interesse legittimo) | Solo informazioni essenziali sul servizio. |
| Sicurezza, prevenzione abusi, difesa in giudizio | **Art. 6.1.f GDPR** | Log tecnici minimi, conservati a termine. |

## 4. Modalità del trattamento e sicurezza (art. 32)
- **Crittografia in transito** (HTTPS/TLS) e **cookie di sessione httpOnly, SameSite=Lax**.  
- Database **MySQL** (Italia/UE) tramite **Prisma ORM**; **backup** periodici.  
- **Least privilege** e controllo accessi; audit tecnico e hardening dell’ambiente Plesk/Node.  
- **Data Breach**: procedure interne di gestione e notifica ex artt. 33–34 GDPR.

## 5. Destinatari / Responsabili del trattamento (art. 28)
Esempi (contratti art. 28 in essere o in stipula):
- **Hosting/Servizi infrastrutturali**: provider del server Plesk in UE (es. Aruba S.p.A. o equivalente indicato nel contratto).  
- **Brevo (Sendinblue)** – gestione newsletter/DOI; trattamento email e attributi newsletter (UE).  
- **MapTiler / HERE** – rendering mappe e calcolo percorsi dal client; ricevono **indirizzo IP** e metadati necessari all’erogazione del servizio.  
- Eventuali ulteriori fornitori (antispam/antifrode, consulenti) saranno indicati nella versione finale.

## 6. Trasferimenti extra-UE (Capo V GDPR)
Si privilegiano fornitori **con data center in UE**. Ove un trasferimento verso Paesi terzi sia necessario, verrà basato su decisioni di adeguatezza, **SCC** della Commissione Europea e, quando opportuno, misure supplementari (es. cifratura end-to-end). I servizi di mappe possono comportare instradamenti su infrastrutture globali: i dati sono limitati a quelli tecnici necessari al servizio.

## 7. Tempi di conservazione
| Dati | Durata |
|---|---|
| Account inattivi (Viandanti) | 24 mesi dall’ultimo accesso |
| Account Pionieri/Saggi | 24 mesi dall’ultimo accesso (o 10 anni se associati) |
| Contenuti pubblicati | Fino a richiesta di rimozione (o limite tecnico/legale) |
| Log tecnici (IP/accessi) | 6 mesi |
| Dati amministrativi/contabili | 10 anni |
| Dati newsletter | Fino a revoca del consenso/disiscrizione |

## 8. Diritti dell’interessato
Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso (artt. 15–22 GDPR).  
Richieste a: **info@club.viaggiosolo.it**.  
Reclamo: **Garante per la protezione dei dati personali** (www.garanteprivacy.it) o autorità del proprio Stato UE.

## 9. Minori
Il sito non è destinato a minori di **16 anni**. Se rilevassimo dati di minori, li cancelleremo tempestivamente.

## 10. Cookie e tecnologie simili
Usiamo solo cookie **tecnici/necessari** e il cookie di **sessione httpOnly**. Non è attivo alcun tracciamento analitico o di profilazione. La **Cookie Policy** dedicata sarà pubblicata a parte qualora si introducano cookie non tecnici.

## 11. Provenienza dei dati
I dati sono conferiti direttamente dall’utente durante la registrazione, l’uso del sito o l’iscrizione alla newsletter; per i contenuti pubblicati, l’utente è responsabile dei dati che decide di rendere pubblici.

## 12. Decisioni automatizzate
Nessuna decisione basata unicamente su trattamenti automatizzati che producano effetti giuridici sull’utente (art. 22 GDPR).

## 13. Modifiche
Questa è una **bozza**. La versione definitiva, firmata dal Titolare e completa di tutti i riferimenti contrattuali dei Responsabili esterni, sostituirà integralmente la presente.

---
**Titolare**: Associazione Culturale ViaggioSolo Club — info@club.viaggiosolo.it