Data Processing Agreement (DPA) - Vora
Versione: 3.2.0 Data di entrata in vigore: 13 maggio 2026 Ultimo aggiornamento: 26 maggio 2026 Lingua autoritativa: Italiano. Traduzione inglese di cortesia in dpa.en.md. In caso di discrepanza prevale la versione italiana.
Accordo sul trattamento dei dati personali stipulato ai sensi e per gli effetti dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") e degli artt. 28 e 29 del D.Lgs. 30 giugno 2003 n. 196 ("Codice Privacy") come modificato dal D.Lgs. 10 agosto 2018 n. 101, nonché - per i Clienti stabiliti in giurisdizioni terze o che trattano dati di interessati ivi residenti - degli equivalenti istituti regolatori previsti dalle normative locali (UK GDPR + DPA 2018, LGPD brasiliana - accordo di trattamento ex artt. 35-36, CCPA Service Provider Agreement, PIPEDA contratti di trattamento, etc.). L'Annex SCC dpa-annex-sccs.it.md costituisce parte integrante e sostanziale del presente DPA.
TRA
Vora S.r.l. (il "Responsabile" o la "Società"), sede legale [INDIRIZZO SEDE LEGALE], C.F. / P.IVA [P.IVA: ____], REA [REA], rappresentata dal legale rappresentante pro tempore;
E
L'organizzazione-cliente, identificata in fase di registrazione sulla Piattaforma Vora dai dati anagrafici inseriti dal proprio rappresentante autorizzato ("Titolare" o "Cliente");
(congiuntamente: le "Parti").
Premesse
A) La Società fornisce al Cliente la piattaforma SaaS "Vora" disciplinata dalle Condizioni Generali di Servizio versione 3.1.0 (customer-tos.it.md), di cui il presente DPA costituisce parte integrante e sostanziale.
B) Nell'erogazione del Servizio, la Società tratta dati personali per conto del Cliente in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR e degli equivalenti istituti (LGPD operador, CCPA service provider, UK GDPR processor, PIPEDA third-party processor, etc.).
C) Le Parti intendono regolare i reciproci diritti e obblighi in materia di trattamento dei dati personali secondo le previsioni che seguono, conformi a quanto richiesto dall'art. 28 par. 3 GDPR e - per i trasferimenti internazionali - dall'Annex SCC.
1. Definizioni
Si rinvia alle definizioni di cui all'art. 4 GDPR (in particolare: "dato personale", "trattamento", "titolare", "responsabile", "destinatario", "interessato", "violazione di dati personali", "categorie particolari di dati") e alle definizioni del Contratto principale customer-tos.it.md art. 1. Le definizioni equivalenti delle normative locali (UK GDPR, LGPD, CCPA, PIPEDA) si applicano mutatis mutandis ai trattamenti di dati di interessati residenti nelle rispettive giurisdizioni.
Le definizioni del GDPR prevalgono in caso di conflitto interpretativo.
2. Oggetto, Durata, Natura, Finalità del Trattamento
2.1 Oggetto. Il trattamento ha per oggetto i dati personali degli Utenti Finali della Piattaforma (Partecipanti, votanti, autori di idee, vincitori di reward) e dei collaboratori del Cliente che operano sulla Piattaforma, raccolti e gestiti tramite il Servizio Vora, indipendentemente dalla giurisdizione di residenza dell'interessato.
2.2 Durata. Il trattamento ha la durata del Contratto principale, con i tempi di restituzione/cancellazione previsti all'art. 11 del presente DPA.
2.3 Natura. Trattamento svolto con strumenti elettronici automatizzati, comprendente operazioni di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione, raffronto, interconnessione, limitazione, cancellazione e distruzione (art. 4 par. 2 GDPR).
2.4 Finalità. Le finalità del trattamento "per conto del Titolare" comprendono:
a) erogazione delle funzionalità della Piattaforma: account utente, sottomissione di idee, votazione, certificazione blockchain del voto, gestione di Idea Challenge, distribuzione di reward;
b) trattamenti accessori alle finalità del Titolare in materia di Iniziative Promozionali, in ogni giurisdizione in cui l'iniziativa è offerta o di cui i partecipanti sono residenti - vedi Allegato B per la sintesi multi-giurisdizione (D.P.R. 430/2001 in Italia; Gambling Act 2005 e CAP Code nel Regno Unito; FTC Act e leggi statali negli USA; Lei 5.768/1971 in Brasile; etc.). Resta inteso che il Cliente è e rimane l'unico promotore / sponsor / organisateur / Veranstalter / organizador ai sensi della legge applicabile nella propria giurisdizione e si fa carico in proprio degli adempimenti regolatori, fiscali e di tutela del consumatore;
c) invio di notifiche transazionali agli Utenti Finali per conto del Titolare (es. conferma voto, comunicazione vincita reward, modifica regole proposta);
d) gestione di backup, recovery e business continuity funzionali all'erogazione del Servizio.
Per chiarezza, l'uso promozionale da parte della Società di handle social, nomi e contenuti sui propri canali ufficiali ai sensi dell'art. 12-bis delle Condizioni Cliente e dell'art. 3.5 delle Condizioni d'Uso per gli Utenti Finali e effettuato dalla Società in qualita di titolare autonomo per finalita proprie e non rientra nelle istruzioni di trattamento ne nel mandato di responsabile previsti dal presente DPA.
3. Categorie di Dati Personali e di Interessati
3.1 Categorie di interessati:
- Utenti Finali / Partecipanti dei contenuti pubblici del Cliente sulla Piattaforma, ovunque residenti;
- collaboratori del Cliente (amministratori dello spazio organizzazione);
- soggetti destinatari delle comunicazioni promozionali del Cliente.
3.2 Categorie di dati personali:
- dati identificativi: nome, cognome (opzionale), email, eventualmente nome utente / handle;
- dati di profilo: lingua, fuso orario, immagine profilo (se caricata), badge, livello XP;
- dati di interazione: voti espressi, idee sottomesse, commenti, partecipazioni, timestamp;
- dati tecnici: indirizzo IP, user-agent, cookie di sessione;
- dati immagine (se caricati): foto allegate alle idee, cifrate at-rest con AES-256-GCM applicativo;
- dati di reward: tipologia, valore, codici di accesso, indirizzo di consegna (solo se necessario per premio fisico).
3.3 Categorie particolari di dati (art. 9 GDPR; sensitive personal information CCPA; dados pessoais sensíveis LGPD; special category data UK GDPR): il trattamento standard non comprende categorie particolari. Qualora il Cliente decida di raccogliere tali dati, deve preventivamente informare la Società e applicare le misure rafforzate previste dagli artt. 9 e 10 GDPR e dall'art. 2-sexies del Codice Privacy, nonché - ove applicabile - dalle norme equivalenti delle altre giurisdizioni (CCPA sensitive personal information limitations; LGPD art. 11). La Società si riserva la facoltà di rifiutare il trattamento ove non siano garantite le misure adeguate.
4. Ruoli e Responsabilità Specifiche
4.1 Cliente come Titolare. Il Cliente, agendo in qualità di Titolare del trattamento ex art. 4 par. 7 GDPR (e qualifiche equivalenti - controlador LGPD, business CCPA, organisation PIPEDA):
a) determina le finalità e le modalità del trattamento all'interno del proprio spazio sulla Piattaforma;
b) garantisce di disporre di una base giuridica idonea (art. 6 GDPR; art. 9 ove pertinente; legitimate business purpose CCPA; basi legali LGPD art. 7-11; etc.) per ogni trattamento di dati;
c) fornisce agli interessati l'informativa privacy ex artt. 13-14 GDPR (e equivalenti - privacy notice CCPA; notice PIPEDA; informação ao titular LGPD art. 9), indicando la Società come Responsabile e linkando il presente DPA;
d) raccoglie e documenta gli eventuali consensi ex art. 7 GDPR (incluso il consenso esplicito per le finalità di marketing o per la condivisione opt-in dell'identità del voter; nonché il prominent disclosure CCPA per sale/share, ove applicabile; il consenso parentale verificabile COPPA per i minori di 13 anni; etc.);
e) risponde alle richieste degli interessati (artt. 15-22 GDPR e diritti equivalenti - CCPA right to know/delete/correct/opt-out, LGPD art. 18, UK GDPR, PIPEDA, etc.) e cura il registro dei trattamenti ex art. 30 GDPR (o equivalente - records of processing UK GDPR; LGPD art. 37).
4.2 La Società come Responsabile. La Società, agendo in qualità di Responsabile ex art. 4 par. 8 e art. 28 GDPR (e qualifiche equivalenti - operador LGPD, service provider CCPA, processor UK GDPR e PIPEDA):
a) tratta i dati esclusivamente per conto del Cliente e secondo le istruzioni documentate dal Cliente, ivi comprese le istruzioni inerenti i trasferimenti extra-UE (cfr. art. 8 del presente DPA e Annex SCC);
b) garantisce la riservatezza dei dati, anche dopo la cessazione del rapporto;
c) adotta le misure di sicurezza di cui all'art. 6 del presente DPA;
d) assiste il Cliente nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR (DPIA, notifica breach, consultazione preventiva) e degli equivalenti (UK GDPR DPIA; CCPA risk assessment per sensitive personal information; LGPD RIPD - relatório di impatto);
e) collabora con il Cliente per la gestione delle richieste degli interessati (cfr. art. 5);
f) mette a disposizione del Cliente la documentazione necessaria a dimostrare la conformità del trattamento (artt. 28 par. 3 lett. h GDPR e 9 del presente DPA).
4.3 Caso di Co-Titolarità - Condivisione Identità Voter. Quando lo Space Owner del Cliente attiva la funzionalità di condivisione opt-in dell'identità del votante (Vote.share_identity_with_org), la Società e il Cliente agiscono come Co-Titolari ai sensi:
- dell'art. 26 GDPR per gli interessati UE/SEE;
- delle norme equivalenti di co-titolarità per interessati UK (UK GDPR art. 26), brasiliani (LGPD - co-controladores), californiani (rapporto business-to-business sotto CCPA con sharing opt-in), canadesi (PIPEDA joint accountability) e altre giurisdizioni applicabili,
limitatamente al trattamento "raccolta del consenso esplicito + trasmissione dei dati identificativi al promotore". La ripartizione delle responsabilità è la seguente:
- La Società: gestisce l'interfaccia di raccolta del consenso, registra il consenso nel modello
ConsentRecord, espone gli endpoint di accesso al promotore (/proposals/<id>/voters/); - Cliente: definisce la finalità per cui i dati condivisi saranno trattati una volta ricevuti, fornisce all'interessato le informazioni complementari ex art. 13 GDPR (e equivalenti) sul proprio trattamento successivo;
- entrambe le Parti rispondono in solido verso l'interessato per la sola fase di raccolta del consenso e trasmissione.
L'essenza dell'accordo di co-titolarità è messa a disposizione dell'interessato nell'informativa pubblicata in privacy-policy.it.md § 2.3.
5. Assistenza al Titolare nelle Richieste degli Interessati
5.1 La Società assiste il Cliente, mediante misure tecniche e organizzative adeguate, nell'adempimento dell'obbligo di rispondere alle richieste degli interessati di cui agli artt. 15-22 GDPR e diritti equivalenti.
5.2 Le richieste pervenute direttamente alla Società ma riferite a trattamenti del Cliente sono inoltrate al Cliente entro cinque (5) giorni lavorativi, con comunicazione di cortesia all'interessato sul soggetto competente. La Società non risponde nel merito.
5.3 La Società mette a disposizione del Cliente, attraverso strumenti self-service nella console di amministrazione o tramite supporto via email a privacy@voiceofthenewera.com, le funzionalità per:
a) estrarre i dati di un interessato in formato JSON / CSV (art. 20 GDPR - portabilità; data portability LGPD art. 18 V; right to data portability UK GDPR; CCPA right to know);
b) cancellare i dati di un interessato dal proprio spazio (art. 17 GDPR; CCPA right to delete; LGPD art. 18 VI; equivalente PIPEDA), restando inteso quanto specificato in art. 6 sulle scritture blockchain;
c) limitare o bloccare il trattamento di un interessato (art. 18 GDPR; opt-out of automated decision-making CCPA; LGPD art. 18);
d) rettificare dati inesatti (art. 16 GDPR; CCPA right to correct; LGPD art. 18 III).
5.4 Per richieste complesse non gestibili via self-service, la Società fornisce assistenza ragionevole entro dieci (10) giorni lavorativi, fermo restando il termine massimo applicabile a carico del Titolare (30 giorni GDPR; 45 giorni CCPA; 15 giorni LGPD; senza ingiustificato ritardo in altre giurisdizioni).
6. Misure di Sicurezza (TOMs ex art. 32 GDPR ed equivalenti)
6.1 Misure tecniche.
a) Cifratura at-rest:
- AES-256 a livello AWS (KMS-managed) per volumi Aurora e oggetti S3;
- AES-256-GCM applicativo per immagini utente in PostgreSQL BYTEA (chiave master IMAGE_ENCRYPTION_MASTER_KEY in AWS SSM Parameter Store SecureString);
- AES-256-GCM applicativo per dati di voto sensibili (chiave master VOTE_ENCRYPTION_MASTER_KEY in SSM).
b) Cifratura in-transit: TLS 1.2 minimo, TLS 1.3 ove supportato; HSTS abilitato; cipher suites ECDHE-AES-GCM / ChaCha20-Poly1305.
c) Controllo accessi: IAM AWS least-privilege; MFA obbligatoria per personale amministrativo la Società; segregazione di rete (Aurora in subnet privata senza route Internet); secrets in SSM con KMS encryption.
d) Audit log: log strutturato JSON (structlog); CloudWatch Logs con retention 90 giorni; accessi a dati personali tracciati a livello applicativo; CloudTrail audit per operazioni di infrastruttura.
e) Backup: - Aurora snapshot automatici giornalieri, retention 7 giorni; - snapshot manuali pre-deploy retention 30 giorni; - volumi EC2 daemon: snapshot tramite Data Lifecycle Manager (DLM), retention 7 giorni; - restore testato almeno semestralmente.
f) Resilienza: architettura serverless multi-AZ (App Runner, Lambda, Aurora con failover automatico); rate limiting (120 req/min anonimo); protezione applicativa contro abusi (validazione input, parametrizzazione query, ORM).
g) Sicurezza del codice: review obbligatoria; dependency scanning (pip-audit, npm audit); test E2E Playwright; ambiente di sviluppo segregato dai dati di produzione.
6.2 Misure organizzative.
a) NDA contrattuale per tutti i collaboratori che accedono a dati di produzione;
b) Accesso "need-to-know": i dati di produzione sono accessibili solo al personale indispensabile, su autorizzazione esplicita e registrata;
c) Formazione: training periodico su privacy + sicurezza per il personale tecnico;
d) Pseudonimizzazione: i dataset di sviluppo / test sono prodotti da export anonimizzati / sintetici, mai da copie integrali della produzione;
e) Procedure documentate: incident response, business continuity, gestione richieste interessati, gestione segnalazioni DSA / UK OSA / NetzDG / Marco Civil.
6.3 Revisione delle misure. La Società rivede le misure di sicurezza con cadenza almeno annuale e in occasione di modifiche significative dell'architettura. Il Cliente può richiedere informazioni aggiornate via privacy@voiceofthenewera.com.
7. Sub-Responsabili (Sub-Processors)
7.1 Il Cliente autorizza in via generale la Società ad avvalersi di sub-responsabili per il trattamento, ai sensi dell'art. 28 par. 2 GDPR e degli equivalenti.
7.2 L'elenco aggiornato dei sub-responsabili attualmente designati è riportato in privacy-policy.it.md § 6 e nell'Annex SCC. Sintesi:
| Sub-responsabile | Trattamento | Sede legale | Localizzazione tecnica |
|---|---|---|---|
| Amazon Web Services EMEA SARL / AWS Inc. | Compute, database, storage, secrets | Lussemburgo / USA | EU-West-1 (Irlanda) primaria + accesso operativo USA |
| Resend Inc. | Recapito email transazionali | USA (Delaware) | USA (verifica EU-region al publish) |
| Google Ireland Ltd. + Google LLC | Google OAuth 2.0 | Irlanda + USA | UE + USA |
| Anthropic PBC (se AI attivo) | Modelli AI per sintesi | USA | USA |
7.3 La Società garantisce che ciascun sub-responsabile sia vincolato da obblighi contrattuali sostanzialmente equivalenti a quelli previsti dal presente DPA, in conformità all'art. 28 par. 4 GDPR e - per i sub-responsabili extra-UE - agli SCC dell'Annex SCC dpa-annex-sccs.it.md.
7.4 In caso di aggiunta o sostituzione di un sub-responsabile, la Società comunica al Cliente la modifica con preavviso di almeno 30 giorni via email all'indirizzo amministrativo registrato. Il Cliente può opporsi motivatamente entro 15 giorni dalla comunicazione, presentando giustificazioni di tutela dei dati. In caso di opposizione fondata e non superabile con misure tecniche supplementari, il Cliente può recedere senza penali dal Contratto.
7.5 La Società resta responsabile in via diretta nei confronti del Cliente per l'attività dei sub-responsabili, ai sensi dell'art. 28 par. 4 GDPR.
8. Trasferimenti Internazionali di Dati Personali
8.1 La Società tratta i dati personali del Cliente all'interno dell'Area Economica Europea in via prioritaria.
8.2 I trasferimenti extra-UE/SEE sono disciplinati dall'Annex SCC dpa-annex-sccs.it.md, che incorpora per riferimento:
a) le Standard Contractual Clauses della Commissione Europea (Decisione di Esecuzione UE 2021/914 del 4 giugno 2021), Modulo 3 (processor-to-processor);
b) il UK International Data Transfer Addendum (IDTA) B1.0 (21 marzo 2022) per i trasferimenti UK → terzo paese;
c) le SCC adattate svizzere ex dichiarazione FDPIC del 27 agosto 2021 per i trasferimenti CH;
d) le clausole contrattuali specifiche LGPD ex art. 33 Lei 13.709/2018 per i trasferimenti dal Brasile;
e) la dichiarazione di non-vendita / non-condivisione CCPA per i dati di interessati californiani.
8.3 Per ciascun sub-responsabile extra-UE, la Società implementa una valutazione di impatto sul trasferimento (Transfer Impact Assessment) conforme alla sentenza C-311/18 della Corte di Giustizia ("Schrems II") e a misure supplementari tecniche e organizzative.
8.4 La documentazione TIA è messa a disposizione del Cliente su richiesta.
9. Diritto di Audit (art. 28 par. 3 lett. h GDPR)
9.1 Il Cliente ha diritto di verificare la conformità della Società al presente DPA mediante:
a) questionari di self-assessment che la Società si impegna a compilare entro 30 giorni dalla richiesta scritta;
b) report di certificazione (es. ISO 27001, SOC 2) della Società o dei suoi sub-responsabili principali (AWS), ove disponibili;
c) audit on-site o remoto, su preavviso di almeno 30 giorni, con frequenza non superiore a una volta l'anno (salvo casi di violazione documentata) e in orario lavorativo, con riservatezza dei risultati ex NDA da firmare prima dell'audit.
9.2 I costi ragionevoli dell'audit sono a carico del Cliente, salvo che l'audit accerti una violazione documentata del DPA da parte della Società, nel qual caso restano a carico della Società.
9.3 La Società pubblica annualmente un report di trasparenza sulla privacy e sicurezza disponibile via richiesta a privacy@voiceofthenewera.com.
10. Notifica di Violazioni (Data Breach)
10.1 La Società notifica al Cliente, senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza, ogni violazione di dati personali ai sensi dell'art. 33 par. 2 GDPR (e equivalenti - UK GDPR; LGPD; Notifiable Data Breaches scheme australiano; CCPA breach notification; etc.) avente ad oggetto dati trattati per conto del Cliente.
10.2 La notifica contiene almeno:
a) descrizione della natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni interessate;
b) nome e contatti del punto di riferimento la Società per ulteriori informazioni;
c) descrizione delle probabili conseguenze;
d) misure adottate o proposte per porre rimedio e per attenuare gli effetti.
10.3 La Società collabora con il Cliente nell'adempimento della notifica all'autorità di controllo competente (art. 33 par. 1 GDPR - entro 72 ore per UE/UK; tempo razoável per ANPD brasiliana; etc.) e nell'eventuale comunicazione agli interessati (art. 34 GDPR e equivalenti), fornendo le informazioni tecniche necessarie.
10.4 La procedura interna di incident response della Società è documentata in docs/06-compliance/concorso-a-premi-playbook.md e nelle politiche di incident response interne.
11. Restituzione e Cancellazione al Termine del Contratto
11.1 Alla cessazione del Contratto per qualunque causa, la Società, a scelta del Cliente espressa entro 30 giorni dalla cessazione, provvede a:
a) restituire al Cliente tutti i dati personali trattati per suo conto in formato strutturato (export JSON / CSV / SQL dump cifrato);
b) cancellare tutti i dati personali trattati per suo conto dai sistemi di produzione e di backup, ferma la conservazione su backup ciclici limitatamente a 30 giorni dalla data di cessazione, fino a sovrascrittura automatica.
11.2 La cancellazione non si applica ai dati on-chain (hash di voto certificati su blockchain), in ragione dell'intrinseca immutabilità del registro distribuito. La Società cancella, comunque, ogni dato off-chain che consenta di collegare l'hash on-chain a un interessato identificato o identificabile, coerentemente con le linee guida del Garante italiano, EDPB e prassi internazionale.
11.3 La cancellazione non si applica ai dati che la Società è tenuta a conservare per obbligo di legge (art. 17 par. 3 lett. b GDPR - fatturazione, contabilità, antifrode, sicurezza), in qualunque giurisdizione applicabile.
11.4 La Società rilascia al Cliente, su richiesta, dichiarazione di avvenuta cancellazione ex art. 28 par. 3 lett. g GDPR.
12. Responsabilità e Limitazione
12.1 La responsabilità di ciascuna Parte per inadempimento del presente DPA è regolata dal Contratto principale customer-tos.it.md, in particolare dagli artt. 6 (Limitazione di Responsabilità) e 7 (Indennizzo).
12.2 In ogni caso, la responsabilità diretta della Società verso gli interessati e verso le autorità di controllo per fatti propri della Società (es. violazione degli obblighi del Responsabile) non è limitata: si applicano integralmente l'art. 82 GDPR, l'art. 152 D.Lgs. 196/2003 e le norme equivalenti delle giurisdizioni applicabili.
13. Disposizioni Finali
13.1 In caso di conflitto tra il presente DPA e il Contratto principale, le previsioni del DPA prevalgono limitatamente alla materia del trattamento dei dati personali.
13.2 Foro competente / Arbitrato: si rinvia all'art. 13 del Contratto principale customer-tos.it.md (Foro esclusivo di Milano per Clienti UE/SEE/UK/CH; arbitrato CAM Milano per Clienti extra-UE/SEE/UK/CH; legge italiana applicabile).
13.3 Il presente DPA, con il relativo Annex SCC, si intende automaticamente accettato dal Cliente al momento dell'accettazione delle Condizioni Generali di Servizio 3.1.0.
Allegato A - Sintesi delle Categorie di Dati per Finalità
(Rinvio alla tabella di cui all'art. 3 e § 4 dell'informativa privacy-policy.it.md.)
Allegato B - Iniziative Promozionali per Giurisdizione (sostituisce l'allegato B v3.0 italiano-only)
Quando il Cliente lancia, tramite la Piattaforma, una Iniziativa Promozionale (sotto qualunque qualificazione in qualunque giurisdizione), i dati personali dei Partecipanti raccolti e trattati per conto del Cliente sono trattati per le seguenti finalità accessorie, in funzione della giurisdizione di residenza dei Partecipanti e/o del territorio in cui l'iniziativa è offerta:
| Giurisdizione del Cliente / Partecipanti | Normativa di settore | Finalità accessoria del trattamento |
|---|---|---|
| Italia | D.P.R. 26 ottobre 2001 n. 430 (concorsi e operazioni a premi) | Registrazione partecipazione; estrazione/selezione vincitori; comunicazione transazionale; generazione verbale notarile/CCIAA ex art. 9; conservazione evidenze ex artt. 9 e 11 |
| UE / SEE (oltre Italia) | Direttiva 2005/29/CE; Direttiva 2011/83/UE; ePrivacy; norme nazionali | Registrazione partecipazione; comunicazione vincite; rispetto requisiti di trasparenza |
| Regno Unito | Gambling Act 2005 Sched. 2; CAP Code Sec. 8; CPUT 2008; UK GDPR | Registrazione free draw / prize competition; bonding dove richiesto; conservazione evidenze |
| Stati Uniti - federale | FTC Act; CAN-SPAM; TCPA; COPPA; 26 U.S.C. Form 1099-MISC | Conservazione evidenze Endorsement Guides; gestione no-purchase necessary entries; emissione 1099-MISC per premi ≥ USD 600 a cura del Cliente |
| Stati Uniti - statale | NY GBL § 369-e; FL Stat. Ch. 849.094; RI Gen. Laws § 11-50; CA B&P § 17539; AZ § 13-3311; TN § 47-18-120; etc. | Registrazione presso autorità statali competenti; bonding statale; conservazione evidenze per State Attorneys General |
| Germania | UWG §§ 3, 5, 5a, 7; BDSG; TTDSG | Trasparenza promozionale; rispetto Direktmarketing |
| Francia | Code de la consommation L121-1 / L121-36 ss.; CNIL | Registrazione jeu-concours; informativa CNIL |
| Spagna | Ley 13/2011; LOPDGDD; RDL 1/2007 | Conformità promozioni e tutela consumatore |
| Brasile | Lei 5.768/1971 + Decreto 70.951/1972 (SECAP/CAIXA); CDC; LGPD | Autorizzazione SECAP; conservazione evidenze; rispetto LGPD per partecipanti brasiliani |
| Canada | Competition Act s. 74.06; Criminal Code s. 206; PIPEDA; Quebec RACJ | Skill question matematica per no-purchase entries; conservazione evidenze; rispetto PIPEDA |
| Australia | NSW Community Gaming Act 2018; VIC VCGLR; Australian Consumer Law; Privacy Act 1988 | Registrazione statale; conservazione evidenze; rispetto APP |
| Altre giurisdizioni | Catch-all (Svizzera, Giappone, India, Singapore, EAU, Sudafrica, etc.) | Conformità alla normativa locale applicabile |
In tutti i casi sopra elencati, il promotore / sponsor / organisateur / Veranstalter / organizador ai sensi della legge applicabile è e rimane il Cliente. La Società agisce esclusivamente in qualità di Responsabile del trattamento e fornitore tecnico della Piattaforma.
Vora S.r.l. - [INDIRIZZO SEDE LEGALE] - P.IVA: [P.IVA: ____] - privacy@voiceofthenewera.com
Documento sorgente in markdown: docs/legal/dpa.it.md (v3.1.0 - 2026-05-13).