Informativa sulla Privacy

Ai sensi degli artt. 13 e 14 del Reg. UE 2016/679 (GDPR) e del D.Lgs. 196/2003 e s.m.i.

Ultima revisione: 12 maggio 2025 Versione: 1.0 Titolare: MenuEventi – P.IVA 05104860233 Base normativa: GDPR – Reg. UE 2016/679

Indice delle sezioni

  1. Titolare del trattamento
  2. Dati raccolti e modalità
  3. Finalità e basi giuridiche
  4. Destinatari dei dati
  5. Trasferimento fuori UE
  6. Periodo di conservazione
  7. Diritti dell'interessato
  8. Come esercitare i diritti
  9. Profilazione e decisioni automatizzate
  10. Cookie e tecnologie di tracciamento
  11. Sicurezza dei dati
  12. Minori
  13. Modifiche all'Informativa
  14. Reclami all'Autorità

1 — Titolare del trattamento

Il Titolare del trattamento dei dati personali degli Utenti della Piattaforma SagraSpot è:

MenuEventi (marchio con P.IVA 05104860233)
Servizio: SagraSpot – www.sagraspot.it
E-mail: [email protected]

Per tutte le comunicazioni relative al trattamento dei dati personali, l'interessato può scrivere all'indirizzo e-mail sopra indicato con oggetto «Privacy – [tipo di richiesta]».

Il Titolare tratta i dati personali degli Utenti in qualità di Titolare autonomo del trattamento, ai sensi dell'art. 4, n. 7 del GDPR.

Torna su

2 — Categorie di dati raccolti e modalità di raccolta

2.1 Dati forniti direttamente dall'Utente

Al momento della registrazione e durante l'utilizzo della Piattaforma, il Titolare raccoglie le seguenti categorie di dati:

CategoriaDati specificiQuando
Dati identificativiNome, cognomeRegistrazione
Dati di contattoIndirizzo e-mail, numero di telefonoRegistrazione
Dati geografici aggregatiProvincia di residenza (sigla, es. «TO»)Registrazione (facoltativo)
Dati professionaliNome organizzazione, tipo organizzazione (solo per Organizzatori)Registrazione Organizzatore
Dati di autenticazioneHash crittografico della password (non reversibile)Registrazione
Contenuti UGCRecensioni, valutazioni, commenti pubblicatiDurante l'utilizzo
Dati di prenotazioneNominativo, telefono, note per la prenotazione di un eventoPrenotazione evento

2.2 Dati raccolti automaticamente

Durante la navigazione sulla Piattaforma, i sistemi informatici acquisiscono automaticamente alcune informazioni la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet:

  • Dati di navigazione: indirizzo IP, tipo di browser, sistema operativo, pagine visitate, data e ora di accesso, referral URL;
  • Dati di sessione: token di autenticazione (JWT), preferenze di sessione;
  • Dati di utilizzo: funzionalità utilizzate, eventi visualizzati, eventi salvati nei preferiti, ricerche effettuate.

L'indirizzo IP è trattato in forma non associata a dati identificativi dell'Utente, salvo nei casi in cui ciò risulti necessario per prevenire o accertare azioni illecite.

2.3 Dati non raccolti

Il Titolare non raccoglie categorie particolari di dati ai sensi dell'art. 9 GDPR (dati sulla salute, opinioni politiche, credenze religiose, orientamento sessuale, origine etnica, dati genetici o biometrici), né dati relativi a condanne penali o reati ai sensi dell'art. 10 GDPR.

Torna su

3 — Finalità del trattamento e basi giuridiche

FinalitàDati utilizzatiBase giuridica (GDPR)
Registrazione e gestione Account
Creazione, autenticazione, manutenzione e cancellazione dell'Account		 Nome, cognome, e-mail, password hash Art. 6(1)(b) – esecuzione del contratto
Erogazione del servizio
Ricerca eventi, prenotazioni, preordini, gestione preferiti, pubblicazione eventi		 Tutti i dati di profilo, dati di navigazione Art. 6(1)(b) – esecuzione del contratto
Comunicazioni di servizio
Conferme di registrazione, prenotazione, variazioni di evento, notifiche tecniche		 E-mail, telefono Art. 6(1)(b) – esecuzione del contratto
Adempimenti legali e contabili
Conservazione dei dati per obblighi normativi (es. antiriciclaggio, fatturazione)		 Dati identificativi e transazionali Art. 6(1)(c) – obbligo legale
Sicurezza della Piattaforma
Prevenzione frodi, accessi non autorizzati, abusi del servizio		 IP, log di accesso, dati di sessione Art. 6(1)(f) – legittimo interesse del Titolare
Statistiche e miglioramento del servizio
Analisi aggregate anonimizzate sull'utilizzo della Piattaforma		 Dati di navigazione e utilizzo (aggregati e anonimizzati) Art. 6(1)(f) – legittimo interesse del Titolare
Newsletter ed e-mail informative
Aggiornamenti su eventi, sagre e novità nella zona dell'Utente		 E-mail, provincia Art. 6(1)(a) – consenso (revocabile)
Marketing e profilazione
Comunicazioni commerciali personalizzate, offerte di partner selezionati		 E-mail, dati di profilo, cronologia di utilizzo Art. 6(1)(a) – consenso (revocabile)
Contatto con gli Organizzatori
Verifica account, assistenza, comunicazioni legate alla gestione degli eventi		 Nome, e-mail, telefono, nome organizzazione Art. 6(1)(b) – esecuzione del contratto / Art. 6(1)(f) – legittimo interesse
  Dove la base giuridica è il consenso (art. 6(1)(a) GDPR), l'Utente ha il diritto di revocare tale consenso in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca. La revoca può essere effettuata dalla sezione «Profilo» → «Impostazioni Privacy» o inviando una comunicazione scritta al Titolare.
Torna su

4 — Destinatari dei dati

I dati personali degli Utenti possono essere comunicati, nei limiti strettamente necessari per le finalità indicate, alle seguenti categorie di destinatari:

4.1 Responsabili del trattamento (art. 28 GDPR)

Il Titolare si avvale di fornitori terzi che trattano dati per conto del Titolare stesso, in qualità di Responsabili del trattamento debitamente nominati. Tali soggetti includono:

  • Provider di servizi di hosting e infrastruttura cloud (server web, database, CDN);
  • Provider di servizi e-mail transazionali (per l'invio di e-mail di conferma, notifiche);
  • Provider di servizi di analisi web (statistiche anonimizzate di utilizzo);
  • Provider di servizi di mappa e geocodifica (per la funzionalità mappa degli eventi).

L'elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta scritta al Titolare.

4.2 Titolari autonomi

I dati possono essere comunicati, ove strettamente necessario, a:

  • Autorità giudiziarie e di polizia, su ordine dell'autorità o quando necessario per la tutela dei diritti del Titolare;
  • Professionisti e consulenti (avvocati, commercialisti, revisori) vincolati da obbligo di riservatezza professionale;
  • Acquirente del ramo d'azienda, in caso di cessione o fusione societaria, previa informazione degli interessati.

4.3 Dati mai comunicati a terzi a fini commerciali

  Il Titolare non vende, non cede e non affitta i dati personali degli Utenti a terze parti a fini commerciali. I dati degli Organizzatori (nome, e-mail, telefono, organizzazione) sono utilizzati esclusivamente dal Titolare per gestire il rapporto con l'Organizzatore stesso.
Torna su

5 — Trasferimento dei dati fuori dall'UE/SEE

5.1. Il Titolare privilegia l'utilizzo di fornitori con infrastrutture localizzate nel territorio dell'Unione Europea o dello Spazio Economico Europeo.

5.2. Qualora risulti necessario trasferire dati personali verso paesi terzi non appartenenti all'UE/SEE, il Titolare si assicura che tale trasferimento avvenga nel rispetto degli artt. 44-49 del GDPR, mediante:

  • decisioni di adeguatezza della Commissione Europea (es. paesi ritenuti adeguati);
  • Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea;
  • certificazioni o codici di condotta approvati.

5.3. Su richiesta scritta, il Titolare fornisce informazioni specifiche sui trasferimenti internazionali eventualmente effettuati e sulle garanzie adottate.

Torna su

6 — Periodo di conservazione dei dati

Il Titolare conserva i dati personali per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto dei principi di minimizzazione e limitazione della conservazione di cui all'art. 5(1)(e) GDPR, e comunque non oltre i termini di seguito indicati:

Categoria di datiPeriodo di conservazioneMotivazione
Dati di Account (nome, cognome, e-mail)Per tutta la durata dell'Account + 24 mesi dall'ultima attivitàGestione Account / prescrizione ordinaria
Dati di contatto (telefono, provincia)Per tutta la durata dell'Account + 12 mesiComunicazioni di servizio
Dati degli OrganizzatoriPer tutta la durata dell'Account + 10 anniObblighi di legge (civilistici / fiscali)
Dati di prenotazione3 anni dalla prenotazionePrescrizione delle obbligazioni contrattuali
Log di accesso e dati IP12 mesiSicurezza / prevenzione abusi
Recensioni pubblicatePer tutta la durata dell'Account; 24 mesi dopo la cancellazioneInteresse legittimo / tutela legale
Dati per newsletter/marketing (se consenso revocato)Cancellazione immediata dalla lista attiva; 24 mesi in lista soppressa per prova del consensoDocumentazione consenso GDPR
Data e prova del consenso (log consenso)3 anni dalla revoca del consensoObbligo di accountability GDPR art. 7(1)

Allo scadere dei termini di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile.

Torna su

7 — Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, l'Utente ha il diritto di esercitare, in qualsiasi momento, i seguenti diritti nei confronti del Titolare:

Diritto di accesso (art. 15)

Ottenere conferma che siano trattati dati che La riguardano e, in caso affermativo, accedere ad una copia di tali dati e alle informazioni sul trattamento.

Diritto di rettifica (art. 16)

Ottenere la rettifica dei dati inesatti che La riguardano o l'integrazione dei dati incompleti.

Diritto alla cancellazione (art. 17)

Ottenere la cancellazione («diritto all'oblio») dei Suoi dati personali, nei casi previsti dalla normativa.

Diritto di limitazione (art. 18)

Ottenere la limitazione del trattamento in determinati casi (es. contestazione dell'esattezza dei dati, opposizione al trattamento).

Diritto di opposizione (art. 21)

Opporsi al trattamento dei Suoi dati personali fondato sul legittimo interesse del Titolare, inclusa la profilazione, salvo che il Titolare dimostri motivi legittimi prevalenti.

Diritto alla portabilità (art. 20)

Ricevere i dati personali forniti al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro Titolare.

Diritto di revoca del consenso (art. 7(3))

Revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Diritto di reclamo (art. 77)

Proporre reclamo all'Autorità di controllo competente (in Italia: il Garante per la protezione dei dati personali).

  Il diritto alla cancellazione non è assoluto. Potrebbe essere limitato da obblighi di conservazione previsti dalla legge (es. dati fiscali e contabili da conservare per 10 anni ai sensi del D.P.R. 600/1973) o da esigenze di tutela legale del Titolare (art. 17(3) GDPR).
Torna su

8 — Come esercitare i diritti

8.1. I diritti di cui alla Sezione 7 possono essere esercitati:

  • Tramite il profilo personale: alcune funzionalità (modifica dati, revoca consenso newsletter) sono direttamente accessibili dalla sezione «Profilo» → «Impostazioni Privacy»;
  • Tramite e-mail: inviando una richiesta scritta all'indirizzo [email protected] con oggetto «Esercizio diritti GDPR – [tipo di diritto]» e allegando copia di un documento di identità valido.

8.2. Il Titolare risponde alle richieste entro trenta (30) giorni dalla ricezione, come previsto dall'art. 12(3) GDPR. In caso di richieste particolarmente complesse o numerose, tale termine può essere prorogato di ulteriori sessanta (60) giorni, previa comunicazione motivata all'interessato.

8.3. Il riscontro alle richieste è gratuito. Tuttavia, nel caso di richieste manifestamente infondate o eccessive (es. richieste ripetitive), il Titolare si riserva di addebitare un contributo spese ragionevole o di rifiutare di soddisfare la richiesta, ai sensi dell'art. 12(5) GDPR.

Torna su

9 — Profilazione e decisioni automatizzate

9.1. Il Titolare può effettuare attività di profilazione dei dati degli Utenti che hanno prestato il relativo consenso, al fine di:

  • personalizzare i suggerimenti di eventi in base alla provincia di residenza, alle categorie preferite e alla cronologia di visualizzazione;
  • inviare comunicazioni di marketing personalizzate.

9.2. Tali attività di profilazione sono effettuate esclusivamente in presenza del consenso esplicito dell'Utente (art. 22 GDPR) e possono essere revocate in qualsiasi momento dalla sezione «Profilo» → «Impostazioni Privacy».

9.3. Il Titolare non adotta decisioni basate esclusivamente su trattamenti automatizzati, inclusa la profilazione, che producano effetti giuridici sull'Utente o che incidano significativamente sulla sua persona in modo analogo.

Torna su

10 — Cookie e tecnologie di tracciamento

10.1. La Piattaforma utilizza cookie e tecnologie di tracciamento analoghe per il suo corretto funzionamento e per l'analisi delle modalità di utilizzo.

10.2. I cookie utilizzati si distinguono in:

  • Cookie tecnici e funzionali (necessari): indispensabili per il funzionamento della Piattaforma (autenticazione, sessione, preferenze di lingua). Non richiedono consenso.
  • Cookie analitici (anonimizzati): utilizzati per raccogliere informazioni aggregate e anonime sull'utilizzo della Piattaforma. Richiedono consenso se non completamente anonimizzati.
  • Cookie di marketing/profilazione: utilizzati per mostrare pubblicità personalizzata e misurare l'efficacia delle campagne. Richiedono consenso esplicito.

10.3. Al primo accesso alla Piattaforma viene presentato un banner informativo sui cookie che consente di accettare o rifiutare le categorie non necessarie. Le scelte dell'Utente sono memorizzate e possono essere modificate in qualsiasi momento accedendo alle impostazioni cookie della Piattaforma.

10.4. Per informazioni dettagliate sui singoli cookie utilizzati, la loro durata e i fornitori terzi coinvolti, si rimanda alla Cookie Policy completa disponibile alla pagina sagraspot.it/cookie-policy.

Torna su

11 — Sicurezza dei dati

11.1. Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, divulgazione, alterazione, distruzione o perdita accidentale, ai sensi dell'art. 32 GDPR. Tali misure includono, a titolo esemplificativo e non esaustivo:

  • cifratura delle password mediante algoritmo bcrypt con salt (fattore di costo ≥ 12);
  • trasmissione dei dati tramite protocollo HTTPS con certificato TLS aggiornato;
  • accesso ai sistemi backend limitato al personale autorizzato, con autenticazione a più fattori;
  • backup periodici dei dati con conservazione in luogo sicuro;
  • monitoraggio dei log di accesso per il rilevamento di anomalie e tentativi di intrusione;
  • token JWT con scadenza per la gestione delle sessioni autenticate.

11.2. In caso di violazione dei dati personali (data breach) che possa comportare un rischio per i diritti e le libertà degli interessati, il Titolare notifica l'evento all'Autorità di controllo competente entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR, e informa gli interessati interessati senza ingiustificato ritardo qualora il rischio sia elevato (art. 34 GDPR).

11.3. Nonostante le misure adottate, nessun sistema di sicurezza informatica è impenetrabile. Il Titolare non può garantire l'assoluta sicurezza dei dati trasmessi via internet. L'Utente è invitato a mantenere segrete le proprie credenziali di accesso e a segnalare tempestivamente qualsiasi utilizzo non autorizzato del proprio Account.

Torna su

12 — Minori

12.1. La Piattaforma non è destinata a soggetti di età inferiore ai sedici (16) anni. Il Titolare non raccoglie consapevolmente dati personali di minori di sedici anni senza il consenso del titolare della responsabilità genitoriale, ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003.

12.2. Qualora il Titolare venisse a conoscenza di aver raccolto dati di un minore di sedici anni senza il necessario consenso parentale, provvederà alla cancellazione immediata di tali dati.

12.3. I genitori o i tutori che ritengano che un minore abbia fornito dati personali alla Piattaforma senza il loro consenso sono invitati a contattare il Titolare all'indirizzo [email protected].

Torna su

13 — Modifiche all'Informativa sulla Privacy

13.1. Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, in particolare per adeguarsi a novità normative o a variazioni delle modalità di trattamento.

13.2. Le modifiche sostanziali saranno comunicate agli Utenti Registrati tramite notifica via e-mail con un preavviso di almeno quindici (15) giorni e tramite avviso in evidenza sulla Piattaforma.

13.3. Si invita l'Utente a consultare periodicamente la presente Informativa. La data dell'ultima revisione è sempre indicata in cima alla pagina. L'utilizzo continuato della Piattaforma dopo la data di entrata in vigore delle modifiche costituisce accettazione dell'Informativa aggiornata.

Torna su

14 — Diritto di reclamo all'Autorità di controllo

14.1. Fatto salvo ogni altro ricorso giurisdizionale o stragiudiziale, l'Utente ha il diritto di proporre reclamo all'Autorità di controllo competente, ai sensi dell'art. 77 GDPR, qualora ritenga che il trattamento dei propri dati personali violi il Regolamento.

14.2. In Italia l'Autorità di controllo è il Garante per la protezione dei dati personali:

Garante per la protezione dei dati personali
Piazza Venezia, 11 – 00187 Roma
Centralino: +39 06 69677 1
Fax: +39 06 69677 785
E-mail: [email protected]
PEC: [email protected]
Sito web: www.garanteprivacy.it

14.3. Ai sensi dell'art. 79 GDPR, l'interessato ha altresì il diritto di proporre un ricorso giurisdizionale efficace qualora ritenga che i propri diritti siano stati violati, presso il Tribunale del luogo in cui risiede abitualmente.

Contatto Privacy: Per qualsiasi questione relativa al trattamento dei Suoi dati personali, La invitiamo a scrivere a [email protected]. Faremo del nostro meglio per risponderLe nel minor tempo possibile e comunque entro i termini di legge.