← Cronologia delle versioni
Versione archiviata v1.0 · 28 aprile 2026 · fase di test chiusi. Vai alla versione attuale →

Informativa sulla Privacy della Piattaforma DAMOSTA

Versione: 1.0 (fase di test chiusa) Data di entrata in vigore: 28 aprile 2026 Ultimo aggiornamento: 28 aprile 2026 Titolare del trattamento: DAMOSTA (la piattaforma si trova in fase di sviluppo privato; i dati completi della persona giuridica del Titolare, il paese di registrazione, il numero di registrazione e l’indirizzo della sede saranno indicati in una versione aggiornata prima della data del lancio pubblico della piattaforma) Contatto per richieste sulla protezione dei dati: [email protected]

Stato del documento. La presente versione è pubblicata per la fase di test chiusa. L’accesso alla Piattaforma è limitato a un elenco di utenti autorizzati. Prima del lancio pubblico saranno finalizzati e verificati: i dati completi del Titolare, la necessità di designare un rappresentante nell’UE e/o un Responsabile della Protezione dei Dati (RPD/DPO), l’elenco definitivo dei responsabili del trattamento, le regioni di trattamento, i contratti di trattamento dei dati (Data Processing Agreements), i meccanismi di trasferimento internazionale dei dati e il modello di pagamento. L’elenco delle decisioni aperte è riportato in docs/legal/launch_checklist.md, parte 3.

Preambolo

La presente Informativa sulla Privacy (di seguito, l’«Informativa») descrive quali dati personali raccogliamo durante il Suo utilizzo della piattaforma DAMOSTA (di seguito, la «Piattaforma»), come li utilizziamo, a chi li trasferiamo e come li proteggiamo.

Aspiriamo alla massima trasparenza. Se qualcosa nell’Informativa non Le è chiaro, scriva all’indirizzo [email protected] e Glielo spiegheremo.

L’Informativa è stata redatta tenendo conto dei requisiti:

  • del Regolamento (UE) 2016/679 (GDPR) — per gli utenti nello Spazio Economico Europeo e per coloro i cui dati sono trattati nel SEE;
  • della Legge dell’Ucraina «Sulla protezione dei dati personali» — per gli utenti in Ucraina;
  • di altre legislazioni applicabili sulla protezione dei dati personali nei paesi in cui la Piattaforma è disponibile.

Utilizzando la Piattaforma, Lei conferma di aver letto l’Informativa e di aver compreso quali dati sono trattati e in che modo.

1. Chi tratta i Suoi dati

Titolare del trattamento (controller): DAMOSTA; i dati completi della persona giuridica saranno indicati dopo la registrazione — vedi docs/legal/launch_checklist.md, parte 3.1.

Il «Titolare del trattamento» è la persona giuridica o la persona fisica come lavoratore autonomo che determina le finalità e i mezzi del trattamento dei dati personali e assume la responsabilità del loro trattamento.

1.1. Rappresentante nell’UE (articolo 27 del GDPR)

Se, sulla base dell’analisi della struttura definitiva di registrazione del Titolare e del targeting della Piattaforma nello Spazio Economico Europeo (SEE), un rappresentante ai sensi dell’articolo 27 del GDPR si rivelerà necessario, i suoi dati di contatto saranno indicati qui prima del momento a partire dal quale la Piattaforma sarà pubblicamente disponibile per gli utenti del SEE.

1.2. Responsabile della Protezione dei Dati (Data Protection Officer, RPD/DPO)

Il Titolare valuterà l’obbligatorietà di designare un RPD/DPO sulla base dei criteri dell’articolo 37 del GDPR (natura dell’attività principale, ampiezza del trattamento, categorie di dati trattati). Se un RPD/DPO sarà designato, i suoi dati di contatto saranno pubblicati nella presente Informativa.

2. Quali dati raccogliamo

2.1. Dati di Telegram

All’avvio della Telegram Mini App, Telegram può trasmetterci i seguenti dati tramite il meccanismo standard initData di Telegram Web App, in funzione delle impostazioni Telegram, della versione del client e dei campi effettivamente disponibili:

  • ID Telegram — l’identificativo numerico del Suo account in Telegram;
  • Nome;
  • Cognome, se indicato in Telegram;
  • Nome utente, se indicato in Telegram;
  • Codice della lingua (language_code) — la lingua impostata nelle impostazioni Telegram;
  • URL della foto del profilo in Telegram, se Telegram la trasmette nei campi disponibili;
  • altri indicatori tecnici del profilo o dell’interazione (ad esempio, l’indicatore Telegram Premium o un indicatore che Lei ha autorizzato il bot a inviarLe messaggi privati), se Telegram li trasmette nell’ambito della Mini App.

Non riceviamo da Telegram il Suo numero di telefono, il Suo email, la Sua password o altri mezzi di autenticazione. Telegram ci trasmette i dati automaticamente al momento dell’avvio della Piattaforma.

2.2. Email e verifica obbligatoria per i Titolari

Per gli Utenti nel ruolo di Titolari di Schede Aziendali trattiamo inoltre:

  • l’indirizzo email indicato dall’Utente al momento della creazione della prima Scheda Aziendale;
  • il fatto e la data della conferma dell’email tramite un codice di verifica inviato dal nostro fornitore transazionale (Resend);
  • il collegamento dell’indirizzo email con l’ID Telegram — ai fini dell’identificazione dell’Utente nelle comunicazioni formali.

L’indirizzo email è utilizzato come canale formale di comunicazione ed è obbligatorio per la creazione di una Scheda Aziendale. Senza indirizzo email confermato, la funzione di creazione di una Scheda Aziendale non è disponibile.

Per gli Utenti nel ruolo di Clienti, l’indirizzo email non è richiesto al momento della semplice consultazione della Piattaforma. L’indirizzo email diventa obbligatorio al momento del compimento di atti formali che richiedono identificazione.

2.3. Dati che Lei ci fornisce

Lei può comunicarci di propria iniziativa:

  • dati sulla Scheda Aziendale: nome, descrizione, categoria, settore di vendita, fotografie, indirizzo, orari di apertura, dati di contatto (compresi telefono, email, link a siti e social network);
  • impostazioni e preferenze (ad esempio, la lingua dell’interfaccia, diversa da quella di Telegram);
  • messaggi che invia al servizio di supporto;
  • altri dati che Lei pubblica volontariamente sulla Piattaforma.

2.4. Dati tecnici

Raccogliamo automaticamente dati tecnici sulla Sua interazione con la Piattaforma:

  • indirizzo IP — ai fini di sicurezza, protezione contro attacchi, limitazione della frequenza di richieste, verifica del rispetto delle restrizioni territoriali (sezione 3.4 dei Termini di utilizzo);
  • tipo di dispositivo, sistema operativo, versione del client Telegram, versione della Piattaforma — per compatibilità e diagnostica;
  • data e ora dell’interazione con la Piattaforma;
  • azioni sulla Piattaforma (transizioni tra schermate, pressioni di pulsanti, errori, prestazioni) — in forma anonimizzata o pseudonimizzata, quando tecnicamente possibile;
  • registri degli errori — messaggi tecnici sugli errori che si verificano durante il funzionamento della Piattaforma.

Precisazione terminologica. Possiamo trattare eventi tecnici e di prodotto dell’utilizzo della Piattaforma, comprese transizioni tra schermate, pressioni di pulsanti, errori, prestazioni e informazioni sulla compatibilità, in forma anonimizzata o pseudonimizzata, quando tecnicamente possibile. Se tali dati possono essere collegati all’Account, all’ID Telegram, all’indirizzo IP, al dispositivo o alla sessione, sono considerati dati personali e sono trattati in conformità alla presente Informativa.

2.5. Dati di pagamento

Se Lei paga le funzionalità a pagamento della Piattaforma, il pagamento è elaborato da fornitori di servizi di pagamento esterni. Il fornitore concreto è indicato nella sezione 4 della presente Informativa dopo la finalizzazione del modello di pagamento (vedi docs/legal/launch_checklist.md, parte 3.5).

Non conserviamo i numeri completi delle carte di pagamento, i codici CVV o altri dati trasmessi durante il processo di pagamento. Dal fornitore di servizi di pagamento possiamo ricevere solo i dati necessari per la registrazione del pagamento, in funzione del modello di pagamento scelto:

  • il fatto e l’importo del pagamento;
  • l’identificativo della transazione;
  • lo stato del pagamento;
  • il piano tariffario e il periodo di pagamento;
  • dati limitati sul mezzo di pagamento, se forniti dal fornitore e necessari per la visualizzazione all’Utente o per la contabilità;
  • dati per la dichiarazione contabile e fiscale.

2.6. Registri di accettazione dei documenti

Quando Lei accetta i Termini di utilizzo, le Regole della Piattaforma o la presente Informativa, la Piattaforma registra:

  • la versione del documento accettato;
  • la data e l’ora dell’accettazione (UTC);
  • il Suo ID Telegram;
  • l’indirizzo IP;
  • l’hash (SHA-256) del testo accettato;
  • l’indicatore se l’accettazione è di test (durante la fase di test chiusa) o se costituisce un’accettazione giuridica reale (dopo il lancio pubblico).

I registri sono conservati per il termine stabilito dalla legislazione, ma non meno di 3 (tre) anni dopo la cessazione dell’Account. I registri costituiscono un’eccezione al diritto alla cancellazione ai sensi dell’articolo 17, paragrafo 3, lettera e) del GDPR — sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

2.7. Indirizzo email e attribuzione referral nella lista d’attesa (waitlist)

Se Lei ha lasciato il Suo email nel modulo «Lista d’attesa» sul sito damosta.com o nel banner del test chiuso nella Mini App, trattiamo le seguenti categorie di dati:

  • indirizzo email, indicato da Lei nel modulo;
  • codice della lingua dell’interfaccia (locale), nella quale Lei ha interagito con il modulo, — per inviare l’email di conferma nella lingua corrispondente;
  • data e ora dell’espressione del consenso a ricevere una notifica sul lancio pubblico — per documentare il consenso ai sensi dell’articolo 7 GDPR;
  • fonte della richiesta (pagina del sito, banner della Mini App, altro punto di ingresso) — per valutare l’efficacia dei canali di comunicazione;
  • codice referral, tramite il quale Lei è arrivato/a al modulo, se applicabile, — per le finalità del programma referral (§ 7.9 delle Condizioni d’uso);
  • codice referral personale, generato dalla Piattaforma esclusivamente dopo la conferma del Suo email tramite una procedura in due fasi (double opt-in) in conformità al § 7.9.2 delle Condizioni d’uso, — per la Sua successiva partecipazione al programma referral.

Separatamente, ai fini della prevenzione di abusi automatizzati del modulo di invio della richiesta (anti-abuse rate-limiting), la Piattaforma mantiene un record tecnico di invio della richiesta contenente un hash dell’indirizzo IP (HMAC-SHA256 con salt non pubblico), indicatori tecnici minimi dell’invio del modulo e una marca temporale. Questo record viene formato indipendentemente dalla richiesta della lista d’attesa, conservato separatamente da essa (vedi § 6) e non viene utilizzato per finalità non collegate alla protezione del modulo da abusi.

Distinzione dall’email del Proprietario dell’Attività. La conferma dell’email nella lista d’attesa non costituisce creazione di un Account, registrazione di un’Attività o conferma dell’email del Proprietario dell’Attività ai sensi del § 4.4 delle Condizioni d’uso. L’email lasciato nella lista d’attesa non viene utilizzato come canale formale di comunicazione con il Proprietario dell’Attività e non crea un collegamento con Telegram ID fino al momento in cui la persona interessata completa autonomamente la registrazione di un’Attività con conferma dello stesso email tramite la procedura descritta nel § 2.2 della presente Policy.

Lei ha il diritto di revocare in qualsiasi momento il consenso alla partecipazione alla lista d’attesa inviando una richiesta a [email protected]. La revoca del consenso comporta la cancellazione del Suo indirizzo email e dei dati della lista d’attesa ad esso collegati entro un termine ragionevole non superiore a 30 (trenta) giorni di calendario, ad eccezione dei record minimi conservati per confermare l’attribuzione referral (§ 7.9 delle Condizioni d’uso), adempiere obblighi legali o difendere diritti in sede legale.

2.8. Cookies e archiviazione locale

La Piattaforma utilizza un insieme limitato di file cookie e meccanismi di archiviazione locale del browser. Non utilizziamo cookies per tracking pubblicitario, profilazione tra siti, trasmissione di dati a reti pubblicitarie o altre finalità che eccedano i compiti funzionali espressamente descritti di seguito.

Composizione attuale dei cookies e delle tecnologie analoghe utilizzate:

Tecnologia Finalità Categoria Durata Condizione di installazione
Cookie dps_ref Conservazione del codice referral tramite il quale l’Utente è arrivato sul sito, per la successiva corretta attribuzione di un bonus al partecipante del programma referral (§ 7.9 delle Condizioni d’uso) Functional / referral attribution 30 (trenta) giorni di calendario dal primo accesso tramite il link referral Installato solo dopo il consenso esplicito dell’Utente richiesto in un banner mostrato esclusivamente durante l’accesso al sito tramite un link con codice referral. In assenza di consenso, il cookie non viene installato e l’attribuzione referral non si applica. Se il cookie è già installato e il suo periodo di validità non è scaduto, un accesso successivo tramite un altro link referral non sovrascrive l’attribuzione esistente. Il consenso dell’Utente opera entro il periodo di validità del cookie installato.
Local Storage dps-site-theme Memorizzazione del tema del sito scelto dall’Utente (chiaro / scuro) Strictly necessary — necessario per applicare le preferenze di visualizzazione dell’Utente Conservato fino alla cancellazione esplicita da parte dell’Utente tramite le impostazioni del browser Installato alla prima modifica del tema da parte dell’Utente. Non richiede un consenso separato, poiché è utilizzato esclusivamente per fornire l’impostazione richiesta dall’Utente nella misura consentita dalla normativa applicabile sui cookies, inclusi i requisiti che attuano l’articolo 5(3) della Direttiva 2002/58/CE.
Local Storage dps-cookie-consent Conservazione della scelta dell’Utente relativa al cookie dps_ref (accettato / rifiutato), affinché il banner di consenso non venga mostrato nuovamente Strictly necessary — necessario per eseguire la scelta espressa dall’Utente in relazione ai cookies Conservato fino alla cancellazione esplicita da parte dell’Utente tramite il link «Gestione cookies» nella parte inferiore del sito o tramite le impostazioni del browser Installato al momento del clic dell’Utente su uno dei pulsanti del banner di consenso. Non richiede un consenso separato, poiché è utilizzato esclusivamente per eseguire la scelta dell’Utente in relazione ai cookies nella misura consentita dalla normativa applicabile sui cookies, inclusi i requisiti che attuano l’articolo 5(3) della Direttiva 2002/58/CE.

L’Utente può modificare in qualsiasi momento la propria scelta relativa al cookie dps_ref tramite il link «Gestione cookies», collocato nella parte inferiore di qualsiasi pagina del sito. L’apertura del pannello corrispondente non ricarica la pagina e non installa nuovi cookies prima di un’azione esplicita dell’Utente. La disattivazione del cookie dps_ref non incide sulla possibilità di utilizzare la Piattaforma e di inviare una richiesta alla lista d’attesa, ma comporta la perdita dell’attribuzione referral — l’invito referral tramite il quale l’Utente è arrivato sul sito non sarà conteggiato nel programma referral.

In caso di aggiunta di nuovi cookies o altre tecnologie analoghe, la presente sezione sarà integrata con l’indicazione di finalità, categoria, durata e condizione di installazione.

2.9. Analisi web

La Piattaforma utilizza il servizio self-hosted di analisi web Umami, distribuito sulla nostra infrastruttura propria nell’Unione europea. Abbiamo scelto una soluzione self-hosted con un set minimo di funzionalità, poiché consente di comprendere il quadro aggregato dell’utilizzo della Piattaforma senza formare profili individuali, senza utilizzare cookies e senza trasmettere dati a fornitori esterni di analisi, reti pubblicitarie o data brokers (intermediari di dati).

Cosa raccogliamo. L’analisi raccoglie esclusivamente informazioni tecniche aggregate sul fatto della visita alla Piattaforma e sull’interazione con le pagine:

  • tipo di evento (alla data di efficacia di questa versione — si veda l’elenco delle categorie di seguito);
  • Paese (a livello di Paese, senza coordinate precise né geolocalizzazione);
  • tipo di dispositivo (desktop / tablet / mobile);
  • browser e sistema operativo;
  • referrer (la pagina precedente dalla quale il visitatore è arrivato);
  • tag UTM, se presenti nell’URL.

L’indirizzo IP può essere tecnicamente trattato durante la richiesta esclusivamente per determinare il Paese a livello di Paese e non viene conservato nel database di analisi come parte dell’evento.

Elenco delle categorie di eventi alla data di efficacia di questa versione:

Categoria Cosa significa
Visualizzazione della pagina il fatto dell’apertura di una pagina (URL senza parametri query che possono contenere dati personali)
Visualizzazione del modulo waitlist è stata aperta la pagina con il modulo per aderire alla lista d’attesa
Invio del modulo waitlist risultato tecnico: tentativo di invio, successo, errore di validazione (senza divulgare il codice esatto dell’errore), errore di consegna
Conferma email apertura della landing page di conferma, clic sul pulsante di conferma, visualizzazione della pagina di conferma riuscita
Modifica della lingua dell’interfaccia l’utente ha modificato la locale
Modifica del tema grafico l’utente ha cambiato tema chiaro/scuro
Clic sui CTA principali clic sui principali pulsanti di invito all’azione
Clic sui link di navigazione clic sui link nel footer o nell’header del sito
Visualizzazione del piano tariffario il blocco di uno specifico piano tariffario è entrato nell’area visibile dello schermo
Apertura di una domanda nelle FAQ l’utente ha espanso una domanda specifica nell’elenco delle domande frequenti

Nessun evento contiene il nome dell’utente, l’indirizzo email, telegram_id, il numero di telefono, il codice referral, lo stato del pagamento, il contenuto dei campi del modulo, il testo esatto dei messaggi di errore che potrebbero contenere dati personali o qualsiasi altro identificatore di una persona specifica. Questo è un invariante dell’architettura di analisi, fissato nella nostra documentazione tecnica interna.

I nuovi eventi non possono contenere dati personali o identificatori di una persona specifica. Una modifica sostanziale della composizione dell’analisi viene riflessa in una versione aggiornata di questa sezione.

Cosa NON raccogliamo. L’analisi non riceve né conserva:

  • indirizzi email degli utenti;
  • Telegram ID, telegram username, nomi dal profilo Telegram;
  • numeri di telefono;
  • indirizzi IP come parte dell’evento (l’IP può essere trattato «al volo» esclusivamente per determinare il Paese);
  • contenuto dei campi dei moduli;
  • contenuto dei messaggi personali;
  • dati di pagamento;
  • dati biometrici, dati relativi alla salute e altre categorie particolari;
  • identificatori personali (account ID, business ID, referral code);
  • geolocalizzazione precisa (città, coordinate).

Non utilizziamo l’analisi per profilazione pubblicitaria, tracciamento tra siti, costruzione di profili degli utenti, adozione di decisioni automatizzate che producano effetti giuridici o effetti analogamente significativi, né per trasmettere dati a reti pubblicitarie.

Gli eventi relativi all’accettazione o al rifiuto dei cookies non vengono trasmessi all’analisi web; la scelta dell’utente viene conservata localmente nel browser (si veda § 2.8).

Base giuridica del trattamento. La base giuridica del trattamento dei dati di analisi web è il legittimo interesse dell’operatore (Art. 6(1)(f) GDPR) — l’interesse a comprendere il pubblico aggregato della Piattaforma ai fini del suo sviluppo e del miglioramento del servizio. Riteniamo che, in tali condizioni, il legittimo interesse dell’Operatore non sia prevalso dai diritti e dalle libertà degli interessati: il volume dei dati è minimizzato, i cookies non sono utilizzati, i profili individuali non sono creati e i dati non sono trasmessi a fornitori esterni di analisi o a reti pubblicitarie.

Cookies e altre tecnologie di memorizzazione delle informazioni sul dispositivo. Poiché l’analisi web non utilizza cookies, local storage o altri meccanismi di conservazione o lettura di informazioni dal dispositivo dell’utente per finalità analitiche, non viene richiesto un consenso separato ai sensi dell’articolo 5(3) della Direttiva 2002/58/EC per tale analisi.

Periodo di conservazione. I dati di analisi web sono conservati per 180 (centottanta) giorni di calendario dal momento della loro raccolta. Dopo tale periodo, i relativi record vengono automaticamente eliminati dal database di analisi. Tale periodo è stato scelto come minimo sufficiente per comprendere le tendenze stagionali di utilizzo della Piattaforma, minimizzando al contempo i rischi di conservazione.

Trasferimento dei dati. L’analisi è distribuita sulla nostra infrastruttura propria all’interno dell’Unione europea. I dati di analisi web non sono trasmessi a fornitori esterni di analisi, reti pubblicitarie o data brokers, non sono venduti e non sono utilizzati per pubblicità comportamentale. Il trattamento può essere effettuato dai nostri fornitori di infrastruttura esclusivamente nei limiti descritti nel § 4 del presente documento.

Rispetto di Do Not Track. Rispettiamo l’header standard del browser Do Not Track (DNT). Se il Suo browser invia l’header DNT: 1, lo script di analisi web non viene inizializzato sulle pagine della Piattaforma e non viene raccolto alcun dato relativo alla Sua interazione.

Disponibilità territoriale del servizio. Alcune funzioni interattive della Piattaforma possono essere tecnicamente non disponibili da territori che non appartengono ai mercati serviti dalla Piattaforma, in conformità alle Condizioni d’uso e alle Regole della piattaforma. Tali restrizioni possono essere applicate a livello CDN/WAF. Possono essere generati security logs minimi CDN/WAF (timestamp, indirizzo IP, Paese, decisione firewall) per finalità di protezione dell’infrastruttura. Si tratta di un perimetro separato dall’analisi web; tali logs non sono utilizzati per profilazione pubblicitaria o analisi web.

I Suoi diritti in relazione ai dati di analisi web. Poiché l’analisi web non conserva identificatori individuali, l’esercizio del diritto di accesso a specifici record che La riguardano personalmente è tecnicamente impossibile — nel sistema non vi è alcun collegamento tra il record di un evento e una persona specifica. Allo stesso tempo, Lei ha il diritto di:

  • opporsi al trattamento basato sul legittimo interesse (articolo 21 GDPR) — in tal caso, raccomandiamo di attivare l’header Do Not Track nelle impostazioni del Suo browser, il che escluderà automaticamente la Sua interazione dal tracciamento;
  • ottenere ulteriori chiarimenti sul trattamento contattando il nostro servizio di supporto all’indirizzo: [email protected];
  • presentare un reclamo all’autorità competente per la protezione dei dati personali nella Sua giurisdizione.

Modifiche alla composizione degli eventi. Una modifica sostanziale della composizione dell’analisi web, l’aggiunta di nuove categorie di eventi o una modifica dell’architettura del servizio di analisi viene riflessa in una versione aggiornata di questa sezione. L’elenco delle categorie indicato sopra è valido alla data di efficacia di questa versione del documento.

2.10. Dati che NON raccogliamo

Non raccogliamo:

  • la Sua localizzazione esatta tramite GPS (salvo che Lei abbia indicato manualmente l’indirizzo di una Scheda Aziendale);
  • dati sulle Sue altre attività al di fuori della Piattaforma;
  • i Suoi contatti in Telegram, la Sua corrispondenza in Telegram, altri dati al di là di ciò che Telegram ci trasmette nell’ambito della Telegram Mini App;
  • dati biometrici;
  • dati sulla salute;
  • dati sull’origine razziale ed etnica, sulle opinioni politiche, sulle convinzioni religiose o filosofiche, sull’appartenenza sindacale, dati genetici, sull’orientamento sessuale (ad eccezione dei casi in cui Lei pubblichi tali dati volontariamente nell’ambito di una Scheda Aziendale — ma non lo raccomandiamo).

3. Per cosa trattiamo i dati (finalità e basi giuridiche)

In conformità all’articolo 6 del GDPR, ogni trattamento dei dati personali deve avere una base giuridica. Di seguito indichiamo per ciascuna finalità del trattamento la corrispondente base giuridica.

3.1. Fornitura delle funzionalità della Piattaforma

Cosa trattiamo: ID Telegram, nome, nome utente, foto, lingua, email del Titolare, Contenuto della Scheda Aziendale, dati tecnici.

Per cosa: creare il Suo Account, consentirLe di creare e gestire Schede Aziendali, mostrare la Sua Scheda Aziendale ad altri Utenti, garantire un canale formale di comunicazione con i Titolari tramite l’email.

Base giuridica (GDPR): articolo 6, paragrafo 1, lettera b) — esecuzione di un contratto (Termini di utilizzo).

3.2. Sicurezza e protezione contro abusi

Cosa trattiamo: indirizzo IP, registri delle azioni, dati tecnici, dati su attività sospette, metadati di connessioni per la verifica delle restrizioni territoriali (sezione 3.4 dei Termini di utilizzo).

Per cosa: rilevare e far cessare frodi, attacchi informatici, violazioni delle Regole, proteggere la Piattaforma e gli altri Utenti; controllare il rispetto della legislazione sulle sanzioni e del divieto territoriale relativo alla Federazione Russa e alla Bielorussia.

Base giuridica: articolo 6, paragrafo 1, lettera f) — il nostro legittimo interesse a garantire la sicurezza della Piattaforma e a proteggere gli Utenti; articolo 6, paragrafo 1, lettera c) — adempimento di un obbligo legale relativo al rispetto dei regimi di sanzioni.

3.3. Supporto agli utenti

Cosa trattiamo: il contenuto delle Sue richieste, i Suoi dati di contatto.

Per cosa: rispondere alle Sue domande e gestire reclami.

Base giuridica: articolo 6, paragrafo 1, lettera b) — esecuzione di un contratto e misure precontrattuali.

3.4. Miglioramento della Piattaforma

Cosa trattiamo: dati pseudonimizzati sulle azioni sulla Piattaforma, dati tecnici, registri degli errori.

Per cosa: migliorare la funzionalità, correggere errori, misurare le prestazioni.

Base giuridica: articolo 6, paragrafo 1, lettera f) — legittimo interesse allo sviluppo e al mantenimento del funzionamento della Piattaforma.

3.5. Monitoraggio degli errori e delle prestazioni

Possiamo utilizzare servizi di monitoraggio degli errori, della stabilità e delle prestazioni per rilevare malfunzionamenti, diagnosticare problemi, proteggere la sicurezza e migliorare il funzionamento della Piattaforma. Tali servizi possono ricevere dati tecnici, registri degli errori, dati sul dispositivo, versioni del client, ora dell’evento e un contesto limitato dell’azione durante la quale si è verificato l’errore. Il servizio di monitoraggio concreto è indicato nella sezione 4 della presente Informativa.

I servizi di monitoraggio sono coinvolti come responsabili del trattamento ai sensi dell’articolo 28 del GDPR. Prima del lancio pubblico, il Titolare verificherà e formalizzerà i corrispondenti contratti di trattamento dei dati (Data Processing Agreements), le regioni di trattamento e le garanzie per i trasferimenti internazionali, ove applicabili. Non utilizziamo questi dati per la profilazione pubblicitaria e non li trasferiamo a broker di dati.

3.6. Obblighi legali

Cosa trattiamo: dati la cui conservazione è obbligatoria ai sensi della legislazione applicabile (dichiarazione contabile e fiscale, registri di accettazione dei Termini, dati sui pagamenti).

Per cosa: rispettare i requisiti obbligatori della legge.

Base giuridica: articolo 6, paragrafo 1, lettera c) — adempimento di un obbligo legale.

3.7. Tutela dei diritti e pretese giuridiche

Cosa trattiamo: dati relativi a controversie, richieste, azioni in giudizio.

Per cosa: accertare, esercitare o difendere i nostri diritti legittimi; gestire reclami; rispondere a richieste delle autorità pubbliche.

Base giuridica: articolo 6, paragrafo 1, lettera f) — legittimo interesse.

3.8. Comunicazioni di servizio e marketing

Comunicazioni di servizio. Possiamo inviarLe comunicazioni necessarie per il funzionamento della Piattaforma: modifiche dei Termini, dell’Informativa o delle Regole, comunicazioni di sicurezza, ripristino dell’accesso, misure di reazione, pagamenti e altre comunicazioni giuridicamente o tecnicamente rilevanti.

Base giuridica: articolo 6, paragrafo 1, lettera b) del GDPR — esecuzione di un contratto; articolo 6, paragrafo 1, lettera c) del GDPR — adempimento di un obbligo legale; articolo 6, paragrafo 1, lettera f) del GDPR — legittimo interesse al mantenimento della sicurezza e del corretto funzionamento della Piattaforma.

Comunicazioni di marketing. Possiamo inviarLe informazioni su nuove funzionalità, aggiornamenti o offerte della Piattaforma esclusivamente nella misura consentita dalla legislazione applicabile e con la possibilità di opporsi a tali comunicazioni.

Base giuridica: articolo 6, paragrafo 1, lettera a) del GDPR — consenso, se necessario; o articolo 6, paragrafo 1, lettera f) del GDPR — legittimo interesse a informare gli utenti esistenti su funzionalità correlate della Piattaforma, se tale informazione è consentita dalla legge.

Lei ha il diritto in qualsiasi momento di opporsi alle comunicazioni di marketing (vedi sezione 7). L’opposizione al marketing non incide sulla ricezione di comunicazioni di servizio, di sicurezza o giuridicamente rilevanti.

3.9. Per cosa NON utilizziamo i Suoi dati

  • non vendiamo i Suoi dati personali a terzi;
  • non utilizziamo i Suoi dati per pubblicità mirata al di fuori della Piattaforma;
  • non trasferiamo i Suoi dati a broker di dati, reti pubblicitarie o servizi di profilazione;
  • non La profiliamo per l’adozione di decisioni automatizzate aventi effetti giuridici (vedi sezione 9).

3.10. Informazione sul lancio pubblico della Piattaforma (lista d’attesa)

Cosa trattiamo: indirizzo email, locale, data del consenso, fonte della richiesta, codice referral, codice referral personale, nonché il fatto e la data di conferma dell’email tramite una procedura in due fasi.

Separatamente, nell’ambito del record anti-abuse, — hash dell’indirizzo IP e indicatori tecnici minimi dell’invio del modulo.

Perché:

(a) inviare all’Utente una notifica una tantum sul lancio pubblico di DAMOSTA all’indirizzo email indicato;

(b) fornire all’Utente un codice referral personale per la partecipazione al programma referral in conformità al § 7.9 delle Condizioni d’uso, se l’Utente ha confermato l’email tramite una procedura in due fasi;

(c) contabilizzare correttamente l’attribuzione referral se l’Utente è arrivato alla lista d’attesa tramite il link referral di un’altra persona e ha dato il consenso all’installazione del cookie dps_ref;

(d) proteggere il modulo di invio della richiesta da abusi automatizzati, inclusi invii massivi di richieste e attacchi alla deliverability del canale email, applicando la minimizzazione dei dati e un periodo limitato di conservazione degli indicatori tecnici.

Base giuridica:

articolo 6(1)(a) GDPR — consenso esplicito dell’Utente, espresso mediante un’azione attiva (inserimento dell’indirizzo email e pressione del pulsante corrispondente in un modulo con una finalità chiaramente indicata), in relazione al trattamento dell’indirizzo email, locale, fatto del consenso, fonte della richiesta e attribuzione referral;

articolo 6(1)(f) GDPR — legittimo interesse della Piattaforma a garantire la sicurezza del modulo di invio della richiesta, prevenire abusi automatizzati massivi e proteggere la deliverability del canale email, in relazione all’hash dell’indirizzo IP e ai metadati tecnici dell’invio della richiesta. Le misure applicate — pseudonimizzazione dell’indirizzo IP mediante HMAC-SHA256 con salt non pubblico, conservazione separata dalla richiesta della lista d’attesa, periodo limitato di conservazione, assenza di utilizzo per finalità non collegate ad anti-abuse rate-limiting — garantiscono la proporzionalità del trattamento rispetto alla finalità dichiarata e l’equilibrio tra gli interessi della Piattaforma e i diritti dell’interessato.

L’Utente ha il diritto di revocare in qualsiasi momento il consenso alla partecipazione alla lista d’attesa secondo la procedura descritta nel § 2.7 della presente Policy, senza necessità di motivazione e senza conseguenze sfavorevoli per la possibilità di utilizzare la Piattaforma in futuro.

4. A chi trasferiamo i dati

4.1. Responsabili del trattamento che agiscono per nostro conto

Ricorriamo a fornitori di servizi terzi (responsabili del trattamento ai sensi del GDPR) che trattano i dati esclusivamente secondo le nostre istruzioni e nel nostro interesse.

Per la fase di test chiusa è indicata di seguito l’architettura tecnica attuale e le categorie attese di responsabili del trattamento. Prima del lancio pubblico, il Titolare verificherà e formalizzerà i dati definitivi dei responsabili del trattamento, le regioni di trattamento, l’esistenza di contratti di trattamento, di clausole contrattuali tipo o di altre garanzie necessarie per i trasferimenti internazionali.

Composizione attuale dei responsabili del trattamento (alla data dell’ultimo aggiornamento dell’Informativa):

Categoria Fornitore Paese di giurisdizione / ubicazione dei server Contratto di trattamento / garanzie
DNS, proxy, instradamento delle email in entrata, hosting della pagina web pubblica Cloudflare, Inc. Stati Uniti (sede); rete globale, centri UE disponibili Soggetto a verifica e formalizzazione prima del lancio pubblico
Hosting del backend e delle banche dati DigitalOcean, LLC Stati Uniti (sede); server a Francoforte (FRA1, Germania) Soggetto a verifica e formalizzazione prima del lancio pubblico
Email transazionale e invio SMTP a nome del dominio Resend (Resend, Inc.) Stati Uniti (sede); regione di trattamento eu-west-1 (Irlanda) Soggetto a verifica e formalizzazione prima del lancio pubblico
Monitoraggio degli errori e delle prestazioni Sentry (Functional Software, Inc., d/b/a Sentry) Stati Uniti (sede); regione sentry.io/eu (Irlanda/Germania) Soggetto a verifica e formalizzazione prima del lancio pubblico
Operazioni di pagamento (sui piani a pagamento) Sarà indicato dopo la finalizzazione del modello di pagamento — vedi docs/legal/launch_checklist.md, parte 3.5 TBD TBD
Consulenti legali, contabili e revisori Secondo necessità Secondo la giurisdizione del consulente Accordi di riservatezza

Prima del lancio pubblico, saranno conclusi con tutti i responsabili del trattamento permanenti contratti di trattamento dei dati personali (Data Processing Agreement, DPA) che li obbligano a rispettare gli standard del GDPR.

4.2. Telegram

Telegram Messenger Inc. raccoglie autonomamente determinati dati sulla Sua interazione con il bot e con la Mini App in conformità alla propria informativa sulla privacy. Telegram non è il nostro responsabile del trattamento — Telegram è un titolare autonomo del trattamento dei dati che tratta. Se desidera sapere cosa raccoglie Telegram, consulti l’Informativa sulla Privacy di Telegram.

4.3. Divulgazione su richiesta legale

Divulghiamo dati personali:

  • su richiesta obbligatoria di un’autorità pubblica competente (tribunale, procura, polizia, autorità fiscali e altre) — nella misura espressamente prevista dalla legge applicabile;
  • per la tutela della vita e della salute delle persone in situazioni di emergenza;
  • per la prevenzione e la repressione di reati;
  • per la difesa dei nostri diritti legittimi in procedimenti giudiziari, amministrativi e altri;
  • per il rispetto della legislazione sulle sanzioni, della legislazione di lotta al riciclaggio e al finanziamento del terrorismo.

In tali casi, ci sforziamo di divulgare il volume minimo necessario di dati e, quando consentito dalla legge, notifichiamo l’Utente interessato.

4.4. Trasferimento in caso di riorganizzazione

In caso di fusione, acquisizione, vendita dell’attività, riorganizzazione o procedura concorsuale, possiamo trasferire i dati personali al nuovo proprietario o successore legale. In tal caso avviseremo gli Utenti in anticipo e il nuovo proprietario sarà tenuto a garantire un livello di protezione non inferiore a quello stabilito dalla presente Informativa.

4.5. Non trasferiamo a chiunque

Non trasferiamo i Suoi dati:

  • agli inserzionisti;
  • ai broker di dati;
  • ad altre piattaforme per scopi commerciali;
  • ad altri Utenti, ad eccezione dei casi in cui gli Utenti stessi pubblicano volontariamente dati nell’ambito di una Scheda Aziendale.

5. Dove conserviamo i dati

5.1. Conservazione principale

I server sui quali sono ospitati i dati degli Utenti si trovano in Germania (Francoforte, data center DigitalOcean FRA1). Nella scelta dell’ubicazione di conservazione diamo priorità alle giurisdizioni con una protezione solida dei dati personali e conforme agli standard dell’UE.

Inoltre, alcune categorie di dati possono transitare attraverso la seguente infrastruttura:

  • Cloudflare (rete globale di proxy e DNS con possibilità di instradamento tramite centri UE);
  • Resend (regione eu-west-1, Irlanda) — per le email transazionali;
  • Sentry (regione UE, Irlanda / Germania) — per i registri degli errori.

5.2. Trasferimento internazionale

Se, nel corso del funzionamento della Piattaforma, i dati sono trasferiti in un paese al di fuori della Sua giurisdizione (ad esempio, per gli utenti del SEE — al di fuori del SEE tramite partner di infrastruttura con presenza globale), garantiamo le opportune garanzie:

  • trasferimento verso paesi riconosciuti dall’UE come paesi che garantiscono un livello di protezione adeguato (decisione di adeguatezza);
  • clausole contrattuali tipo (Standard Contractual Clauses, SCC) approvate dalla Commissione europea;
  • altri meccanismi previsti dal capo V del GDPR.

Se un fornitore ha la propria sede o il proprio gruppo di società al di fuori del SEE, in determinati casi l’accesso ai dati o la loro manutenzione tecnica possono essere effettuati dall’esterno del SEE, anche se la regione principale di conservazione è stata scelta nell’UE. In tali casi applichiamo le corrispondenti garanzie previste dal capo V del GDPR, comprese le SCC e misure tecniche e organizzative supplementari, se necessarie.

L’elenco dei trasferimenti internazionali attuali e delle garanzie applicabili è disponibile su richiesta a [email protected].

6. Per quanto tempo conserviamo i dati

I termini indicati di seguito sono i termini di base di conservazione per la fase di test chiusa e possono essere precisati prima del lancio pubblico in funzione della giurisdizione scelta del Titolare, del modello di pagamento e dei requisiti fiscali e contabili. Se la legge richiede un termine di conservazione più lungo o se i dati sono necessari per una controversia, un’indagine o la difesa di diritti, li conserviamo per il termine necessario.

Categoria di dati Termine di conservazione
Dati di base dell’Account (ID Telegram, nome, lingua) Finché l’Account è attivo; dopo la cancellazione — fino a 30 giorni nella banca principale, fino a 90 giorni nelle copie di backup
Email del Titolare e collegamento con l’ID Telegram Finché l’Account è attivo; dopo la cancellazione — fino a 30 giorni (fatte salve eccezioni, se l’email compare nei registri di accettazione dei documenti)
Contenuto della Scheda Aziendale Finché la Scheda Aziendale è attiva; dopo la cancellazione — fino a 30 giorni (in seguito — anonimizzazione o cancellazione)
Registri delle azioni e log tecnici Fino a 12 mesi (a fini di sicurezza e diagnostica)
Registri di accettazione dei Termini, Regole e Informativa Almeno 3 anni dopo la cessazione dell’Account (per la difesa in eventuali controversie)
Dati sui pagamenti e dichiarazione finanziaria Nei termini previsti dalla legislazione fiscale e contabile applicabile (di norma, 3-7 anni)
Corrispondenza con il supporto Fino a 2 anni dal momento della chiusura della richiesta
Dati relativi a indagini su incidenti o a una controversia attiva Fino al termine dei procedimenti corrispondenti e alla scadenza dei termini di impugnazione

Allo scadere dei termini, i dati sono cancellati o anonimizzati (resi in una forma che non consente di identificarli con una persona specifica).

6.1. Dati della lista d’attesa (waitlist) e record tecnici collegati

Richieste non confermate (email indicato dall’Utente, ma conferma tramite il link nell’email non completata): conservate per 24 (ventiquattro) ore dal momento dell’invio, dopodiché vengono cancellate automaticamente. Il token tecnico di conferma viene conservato in forma di hash e cancellato insieme alla richiesta.

Richieste confermate per quanto riguarda l’indirizzo email: conservate fino alla data del lancio pubblico della Piattaforma e per 30 (trenta) giorni di calendario dopo l’invio una tantum della notifica di lancio. Trascorso tale termine, l’indirizzo email e i dati identificativi collegati della lista d’attesa vengono cancellati. Se al momento della cancellazione la persona interessata ha completato autonomamente la registrazione di un’Attività con conferma dello stesso indirizzo email secondo la procedura descritta nel § 2.2 della presente Policy e nel § 4.4 delle Condizioni d’uso, l’indirizzo email viene trattato nell’ambito del ciclo di vita dell’Account del Proprietario dell’Attività. Gli altri dati della lista d’attesa vengono cancellati in conformità alla presente sezione.

Record minimi di attribuzione referral: il codice referral personale dell’Utente, le informazioni sugli utenti da lui invitati e le informazioni sull’attribuzione referral tramite la quale l’Utente stesso è arrivato alla lista d’attesa sono conservati separatamente per la durata dei corrispondenti bonus referral e per il periodo necessario a verificare la correttezza della loro attribuzione, in conformità ai termini stabiliti dal § 7.9 delle Condizioni d’uso, in particolare dal § 7.9.9, — ma non oltre 12 (dodici) mesi di calendario dal momento della conferma dell’email dell’Utente, salvo che dall’applicazione dei bonus a un abbonamento attivo derivi diversamente.

Record anti-abuse di invio della richiesta (hash dell’indirizzo IP e indicatori tecnici minimi): conservato separatamente dalla richiesta della lista d’attesa per 30 (trenta) giorni di calendario dal momento dell’invio, dopodiché viene cancellato automaticamente. Il sistema non conserva l’indirizzo IP originario come parte della richiesta waitlist o del record anti-abuse; l’hash è utilizzato esclusivamente per confrontare richieste ripetute entro il periodo di conservazione indicato ai fini del rate-limiting.

Cookie dps_ref sul dispositivo del visitatore: 30 (trenta) giorni di calendario dal momento dell’installazione. Local Storage dps-cookie-consent e dps-site-theme: fino alla cancellazione esplicita da parte dell’Utente tramite il link «Gestione cookies» o le impostazioni del browser.

Richieste di revoca del consenso: trattate entro non più di 30 (trenta) giorni di calendario dal ricevimento, tenendo conto delle eccezioni indicate sopra relative ai record minimi di attribuzione referral, se al momento della revoca tali record sono necessari per confermare bonus già attribuiti o da attribuire a favore di terzi — partecipanti al programma referral.

6.2. Ciclo di vita dell’abbonamento ed eliminazione dei dati

I periodi di conservazione e la procedura di eliminazione dei dati personali del proprietario, del contenuto della registrazione aziendale e dei dati dei clienti a esso collegati in caso di fine del periodo di prova senza pagamento dell’abbonamento a pagamento, annullamento dell’abbonamento a pagamento o mancato rinnovo dello stesso sono descritti al § 7.4 dei Termini di utilizzo, in particolare nelle disposizioni relative alla modalità congelata, alla modalità archivio, al periodo di conservazione di 90 giorni, all’eliminazione dei dati, alle eccezioni per registrazioni giuridicamente necessarie e alle azioni sensibili disponibili solo al proprietario dell’azienda.

Gli identificatori di protezione formati sulla base dell’identificativo Telegram e dell’indirizzo email possono essere conservati per il periodo necessario a impedire abusi del periodo di prova e a proteggere gli interessi legittimi dell’Operatore. L’indirizzo email non è conservato in forma leggibile, ma è trattato come hash crittografico. Tale conservazione si basa sul legittimo interesse dell’Operatore ai sensi dell’Art. 6(1)(f) GDPR, e l’hashing dell’indirizzo email costituisce una misura di pseudonimizzazione ai sensi dell’Art. 4(5) GDPR.

7. I Suoi diritti

In conformità al GDPR (articoli da 12 a 22) e alle norme analoghe della legislazione applicabile, in merito ai Suoi dati personali Lei ha i seguenti diritti:

7.1. Diritto di accesso (articolo 15 del GDPR)

Lei ha il diritto di ottenere da noi la conferma che siano o non siano in corso trattamenti di dati che La riguardano e, in tal caso, una copia dei dati trattati e informazioni sulle finalità, le categorie, i destinatari, i termini di conservazione, le fonti e l’esistenza di una decisione automatizzata.

7.2. Diritto di rettifica (articolo 16 del GDPR)

Lei ha il diritto di richiedere la rettifica dei dati inesatti o incompleti. La maggior parte dei dati può essere rettificata da Lei stesso tramite l’interfaccia della Piattaforma.

7.3. Diritto alla cancellazione («diritto all’oblio», articolo 17 del GDPR)

Lei ha il diritto di richiedere la cancellazione dei Suoi dati quando:

  • i dati non sono più necessari per le finalità per le quali sono stati raccolti;
  • Lei revoca il consenso su cui si basa il trattamento e non sussiste altra base;
  • Lei si oppone al trattamento e non vi sono motivi legittimi prevalenti;
  • i dati sono stati trattati illecitamente;
  • i dati devono essere cancellati per adempiere a un obbligo legale.

Il diritto alla cancellazione non si applica quando la conservazione è necessaria per:

  • l’adempimento di un obbligo legale (ad esempio, dichiarazione fiscale);
  • l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (compresi i registri di accettazione dei documenti — sezione 2.6);
  • l’interesse pubblico nell’ambito della salute pubblica;
  • finalità archivistiche, di ricerca scientifica o storica o statistiche con le opportune garanzie;
  • la libertà di espressione e di informazione.

7.4. Diritto di limitazione del trattamento (articolo 18 del GDPR)

Lei ha il diritto di richiedere la limitazione del trattamento nei casi in cui contesta l’esattezza dei dati, ritiene il trattamento illecito, o quando il trattamento non è più necessario per noi ma è necessario per Lei per la difesa di diritti.

7.5. Diritto alla portabilità dei dati (articolo 20 del GDPR)

Lei ha il diritto di ricevere i Suoi dati in un formato strutturato, di uso comune, leggibile da dispositivo automatico (ad esempio, JSON o CSV) e di trasmetterli a un altro titolare del trattamento.

7.6. Diritto di opposizione (articolo 21 del GDPR)

Lei ha il diritto di opporsi al trattamento basato sui nostri legittimi interessi (vedi sezione 3). Cesseremo il trattamento, salvo che dimostriamo l’esistenza di motivi legittimi cogenti o che il trattamento sia necessario per la difesa di un diritto in sede giudiziaria.

In merito al marketing diretto, Lei ha il diritto di opporsi senza alcuna giustificazione, e cesseremo il trattamento per tali finalità immediatamente.

7.7. Diritto di revocare il consenso (articolo 7 del GDPR)

Se il trattamento si basa sul Suo consenso, Lei ha il diritto di revocarlo in qualsiasi momento. La revoca del consenso non incide sulla liceità del trattamento effettuato prima della revoca.

7.8. Diritto di non essere soggetto a una decisione automatizzata (articolo 22 del GDPR)

Lei ha il diritto di non essere soggetto a una decisione basata unicamente sul trattamento automatizzato, qualora tali decisioni producano effetti giuridici nei Suoi confronti o La interessino in modo analogamente significativo. Vedi sezione 9.

7.9. Diritto di proporre reclamo a un’autorità di controllo (articolo 77 del GDPR)

Lei ha il diritto di proporre reclamo a un’autorità di controllo della protezione dei dati, in primo luogo all’autorità del paese della Sua residenza abituale, del Suo luogo di lavoro o del luogo della presunta violazione.

Elenco delle autorità di controllo del SEE: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

In Ucraina — il Commissario della Verkhovna Rada dell’Ucraina per i diritti umani: https://www.ombudsman.gov.ua.

7.10. Come esercitare i Suoi diritti

Per esercitare uno qualsiasi dei diritti elencati, invii una richiesta:

  • tramite l’interfaccia della Piattaforma (per funzioni specifiche — cancellazione dell’Account, esportazione dei dati);
  • all’indirizzo [email protected].

Rispondiamo alle richieste entro 30 (trenta) giorni di calendario. Nei casi complessi, tale termine può essere prorogato di ulteriori 60 giorni, comunicandoLe i motivi della proroga.

L’esercizio dei diritti è gratuito, ad eccezione dei casi di richieste manifestamente infondate o eccessive (ad esempio, ripetitive), nei quali abbiamo il diritto di richiedere un compenso ragionevole o di rifiutare il trattamento con motivazione.

Per confermare la Sua identità prima del trattamento della richiesta, possiamo richiedere dati supplementari. Se la richiesta è inviata da un indirizzo email verificato collegato all’Account, ciò può essere considerato come uno dei fattori di conferma dell’identità, ma possiamo richiedere una verifica supplementare se la richiesta riguarda la cancellazione, l’esportazione o la modifica di dati critici o se vi è un rischio di accesso non autorizzato.

8. Cookie e tecnologie analoghe

8.1. Cosa utilizziamo

La Piattaforma funziona principalmente come Telegram Mini App, motivo per cui i «cookie» tradizionali sono utilizzati in modo limitato. Utilizziamo le seguenti tecnologie di archiviazione di dati sul Suo dispositivo:

  • localStorage e sessionStorage nella Telegram Mini App — per la conservazione delle impostazioni di lingua, dell’indicatore di accettazione dei Termini e della cache dell’interfaccia;
  • identificatori tecnici di sessione — esclusivamente per l’autorizzazione, senza tracciamento pubblicitario tra diversi servizi.

Non utilizziamo cookie per tracciarLa in altre applicazioni e siti web e non trasferiamo cookie a terzi per finalità pubblicitarie.

8.2. Gestione

Lei può cancellare la memoria locale tramite le impostazioni del browser o di Telegram. La cancellazione comporterà la necessità di scegliere nuovamente la lingua e di accettare nuovamente i Termini al successivo avvio.

9. Decisioni automatizzate e profilazione

9.1. Cosa facciamo

Applichiamo trattamento automatizzato per:

  • il funzionamento tecnico della Piattaforma (ad esempio, la visualizzazione delle Schede Aziendali in funzione della categoria e della lingua scelte);
  • il rilevamento di abusi (ad esempio, indici di manipolazione, spam, frode);
  • la limitazione della frequenza di richieste (rate limiting) per la protezione contro attacchi;
  • la verifica del rispetto delle restrizioni territoriali (sezione 3.4 dei Termini di utilizzo).

9.2. Cosa non facciamo

Non adottiamo decisioni automatizzate che producano effetti giuridici nei Suoi confronti o che La interessino in modo analogamente significativo basate esclusivamente sul trattamento automatizzato.

Le decisioni sull’applicazione di misure di reazione con conseguenze significative (blocco permanente dell’Account, cancellazione di una Scheda Aziendale) sono adottate con intervento umano o sono soggette a revisione con intervento umano su Sua richiesta. Se Lei ritiene che nei Suoi confronti sia stata adottata una decisione basata esclusivamente sul trattamento automatizzato e desidera la sua revisione, scriva all’indirizzo [email protected].

10. Sicurezza dei dati

Applichiamo misure tecniche e organizzative che corrispondono ragionevolmente ai rischi del trattamento:

  • cifratura dei dati trasmessi (HTTPS/TLS);
  • cifratura dei dati a riposo nella parte tecnicamente accessibile al fornitore di infrastruttura;
  • restrizione dell’accesso dei dipendenti e degli appaltatori secondo il principio del privilegio minimo;
  • registri di accesso ai dati sensibili;
  • copie di backup con verifica periodica dell’integrità;
  • aggiornamento delle dipendenze e audit delle vulnerabilità;
  • autenticazione a due fattori per gli account amministrativi;
  • monitoraggio degli errori e degli incidenti tramite un servizio specializzato con priorità di utilizzo della regione UE, se tale regione è disponibile e configurata;
  • formazione dei dipendenti sulle regole di trattamento dei dati personali (man mano che il team cresce).

10.1. Notifica di violazioni della sicurezza dei dati personali (Data Breach)

In caso di violazione della sicurezza dei dati personali che possa comportare un rischio per i diritti e le libertà degli Utenti:

  • notifichiamo all’autorità di controllo competente entro 72 ore dal momento della rilevazione (articolo 33 del GDPR);
  • se la violazione comporta un rischio elevato, notifichiamo direttamente agli Utenti interessati senza ingiustificato ritardo al loro indirizzo email verificato (articolo 34 del GDPR);
  • indaghiamo sulle cause e adottiamo misure per prevenirne il ripetersi.

11. Bambini

La Piattaforma non è destinata alle persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente dati su bambini. Se veniamo a conoscenza che dati di una persona di età inferiore ai 18 anni sono stati raccolti tramite l’utilizzo della Piattaforma, cancelliamo tali dati al più presto, ad eccezione dei dati che è necessario conservare temporaneamente per ragioni di sicurezza, di prevenzione di abusi o di adempimento di un obbligo legale.

Se Lei è un genitore o un rappresentante legale e ritiene che il Suo figlio abbia avuto accesso alla Piattaforma e ci abbia comunicato dati, scriva all’indirizzo [email protected] e cancelleremo i dati.

12. Modifiche dell’Informativa

Abbiamo il diritto di apportare modifiche all’Informativa. Sulle modifiche sostanziali informiamo i Titolari di Schede Aziendali al loro indirizzo email verificato almeno 14 giorni di calendario prima della loro entrata in vigore. Inoltre, le modifiche sono pubblicate sulla Piattaforma. La data dell’ultimo aggiornamento è indicata all’inizio del documento.

Cronologia delle versioni. La versione attuale dell’Informativa è pubblicata sulla pagina https://damosta.com/privacy. Tutte le versioni precedenti sono conservate e accessibili tramite link permanenti nell’archivio delle versioni sulla pagina https://damosta.com/privacy/history. Su richiesta, Le sono fornite le versioni precedenti dell’Informativa.

13. Precisazioni giurisdizionali

13.1. Per gli utenti nell’Unione europea

Legislazione applicabile sulla protezione dei dati: GDPR (Regolamento (UE) 2016/679) e leggi nazionali degli Stati membri del SEE. Autorità di controllo: indicata nella sezione 7.9.

13.2. Per gli utenti in Ucraina

Legislazione applicabile: Legge dell’Ucraina «Sulla protezione dei dati personali». Autorità di controllo: il Commissario della Verkhovna Rada dell’Ucraina per i diritti umani.

13.3. Per gli utenti nel Regno Unito

Legislazione applicabile: UK GDPR e Data Protection Act 2018. Autorità di controllo: Information Commissioner’s Office (ICO).

13.4. Per gli utenti in altri paesi

La legislazione applicabile sulla protezione dei dati del paese della Sua residenza, nella misura in cui le sue norme imperative trovino applicazione.

14. Lingue

L’Informativa è pubblicata in più lingue. La versione in ucraino è la versione giuridica di riferimento. Le traduzioni sono fornite per la comodità degli Utenti e non prevalgono sulla versione di riferimento. Se la legislazione imperativa applicabile del paese di residenza di un Utente-consumatore richiede la fornitura del documento nella lingua ufficiale di tale paese o concede al consumatore tutela indipendentemente dalla lingua scelta, tali requisiti restano in vigore nella parte obbligatoria.

15. Contatti

Per richieste sul trattamento dei dati personali: [email protected] Esercizio dei diritti dell’interessato: [email protected] Notifiche di incidenti di sicurezza: [email protected] Rappresentante nell’UE (se applicabile, articolo 27 del GDPR): sarà indicato dopo la valutazione della necessità — vedi parte 1.1 RPD/DPO (se applicabile): sarà indicato dopo la valutazione della necessità — vedi parte 1.2

Dati legali del Titolare: saranno indicati dopo la registrazione della persona giuridica — vedi docs/legal/launch_checklist.md, parte 3.1.

Appendice A: Riepilogo breve (TL;DR)

Se non ha tempo di leggere tutto — l’essenziale:

  1. Riceviamo da Telegram solo dati di base che Telegram trasmette tramite la Mini App: ID, nome, nome utente, lingua, nonché foto del profilo o altri indicatori tecnici, se Telegram trasmette tali campi.
  2. Per i Titolari di Schede Aziendali è inoltre necessario un indirizzo email verificato — è il canale formale di comunicazione ed è obbligatorio per la creazione di una Scheda Aziendale.
  3. Conserviamo ciò che Lei stesso pubblica nell’ambito di una Scheda Aziendale (testi, fotografie, contatti).
  4. Non vendiamo i Suoi dati.
  5. Non Le mostriamo pubblicità di terzi.
  6. Non trasferiamo dati a reti pubblicitarie.
  7. Conserviamo i dati su server in Germania (Francoforte, DigitalOcean).
  8. Utilizziamo fornitori di servizi (Cloudflare, DigitalOcean, Resend, Sentry). Prima del lancio pubblico, l’elenco definitivo dei fornitori, le regioni di trattamento e i contratti di trattamento dei dati saranno verificati e formalizzati.
  9. Lei ha il diritto di consultare i Suoi dati, rettificarli, cancellarli e ottenerli in un file. Scriva all’indirizzo [email protected] ed esamineremo la Sua richiesta in conformità alla presente Informativa.
  10. Se qualcosa non va, scriva all’indirizzo [email protected] o proponga reclamo all’autorità di controllo del paese della Sua residenza.
  11. Se Lei ha meno di 18 anni, la Piattaforma non è per Lei, non la utilizzi.

Fine del documento «Informativa sulla Privacy della Piattaforma DAMOSTA», versione 1.0 (fase di test chiusa).

Tutte le decisioni aperte da chiudere prima del lancio pubblico sono elencate in docs/legal/launch_checklist.md, parte 3.