Informativa sul Trattamento dei Dati Personali - Vora
Versione: 3.2.1 Data di entrata in vigore: 13 maggio 2026 Ultimo aggiornamento: 26 maggio 2026 Lingua autoritativa: Italiano. Traduzione inglese di cortesia in privacy-policy.en.md. In caso di discrepanza prevale la versione italiana.
Informativa resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 30 giugno 2003 n. 196 ("Codice Privacy") come modificato dal D.Lgs. 10 agosto 2018 n. 101, nonché - per gli interessati residenti in giurisdizioni terze - delle normative equivalenti (UK GDPR + DPA 2018, Swiss FADP, Brazilian LGPD, California CCPA/CPRA, Canadian PIPEDA, Australian Privacy Act 1988, etc.).
Premessa - La Società è italiana, la Piattaforma è globale
Vora S.r.l. è società di diritto italiano con sede legale in Italia. La Piattaforma Vora è tuttavia tecnicamente accessibile a livello globale e tratta dati personali di interessati residenti in numerose giurisdizioni. La presente informativa adotta una postura italiana prevalente (lingua italiana autoritativa, art. 13-14 GDPR come schema di base) ma riconosce e applica i diritti aggiuntivi previsti dalle normative applicabili nel Paese di residenza abituale di ciascun interessato. Vedi §§ 7, 8 che seguono.
Postura sui dati residenti per regione (sintesi):
| Regione interessato | Hosting primario | Trasferimenti extra-regione | Meccanismo di trasferimento |
|---|---|---|---|
| UE / SEE | AWS eu-west-1 (Irlanda) | Accesso operativo USA limitato a Resend (email), Google OAuth, edge CDN | SCC UE 2021/914 Modulo 3 + DPF dove applicabile |
| Regno Unito | AWS eu-west-1 (Irlanda) | Idem UE | UK IDTA B1.0 + SCC UE |
| Svizzera | AWS eu-west-1 (Irlanda) | Idem UE | SCC UE adattate per FADP |
| USA (California e altri stati) | AWS eu-west-1 (Irlanda) | Trasferimento UE→USA con SCC | SCC + nessuna "vendita/condivisione" CCPA |
| Brasile | AWS eu-west-1 (Irlanda) | Trasferimento extra-BR | LGPD art. 33 clausole specifiche |
| Altre giurisdizioni | AWS eu-west-1 (Irlanda) | Caso per caso | Meccanismo locale + SCC UE come baseline |
1. Identità del Titolare e Contatti
Vora S.r.l.
Sede legale: [INDIRIZZO SEDE LEGALE]
C.F. / P.IVA: [P.IVA: _]
REA: [REA]
Email privacy: privacy@voiceofthenewera.com
PEC: [PEC: _]
La Società non ha designato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, non rientrando nelle ipotesi obbligatorie. Resta ferma la nomina volontaria su richiesta motivata.
Rappresentanti UE / UK / Brasile. In assenza di obbligo formale di designare rappresentanti ai sensi degli artt. 27 GDPR / UK GDPR / LGPD (sussistenza valutata caso per caso), la Società come società stabilita in UE designa sé stessa come referente; per le richieste di interessati UK, brasiliani o di altre giurisdizioni terze il punto di contatto è privacy@voiceofthenewera.com.
2. Ruoli - La Società come Titolare, Responsabile, o Co-Titolare
La Piattaforma Vora opera su una struttura a doppio ruolo, sia ai sensi del GDPR sia delle normative equivalenti (UK GDPR, LGPD - controlador/operador, CCPA - business/service provider, PIPEDA - organisation/third-party-processor, etc.):
2.1 La Società è Titolare autonomo (art. 4 par. 7 GDPR; controlador LGPD; business CCPA; organisation PIPEDA) dei seguenti trattamenti:
a) dati dell'account dei rappresentanti delle organizzazioni-clienti (nome, cognome, email, password hashed) per finalità di registrazione, autenticazione, gestione del rapporto contrattuale;
b) dati di fatturazione delle organizzazioni-clienti (denominazione, P.IVA, indirizzo, dati di pagamento token-izzati) per finalità di esecuzione del contratto e adempimento di obblighi fiscali;
c) log di sicurezza e audit tecnico (indirizzi IP, timestamp di login, user-agent, eventi di sistema) per finalità di sicurezza informatica, prevenzione frodi, indagini su abuso del servizio;
d) dati di account degli utenti finali (email, password hashed, opzionalmente nome) per finalità di autenticazione personale e gestione delle preferenze, indipendentemente dall'iniziativa specifica cui partecipano.
2.2 La Società è Responsabile del trattamento (art. 4 par. 8 e art. 28 GDPR; operador LGPD; service provider CCPA; processor UK GDPR; processor PIPEDA) dei dati che le organizzazioni-clienti raccolgono, trattano e custodiscono nei propri spazi sulla Piattaforma in qualità di Titolari:
a) i contenuti delle idee sottomesse, i voti espressi, i commenti degli utenti finali nello spazio del cliente;
b) le anagrafiche dei partecipanti raccolte dall'organizzazione-cliente per finalità inerenti la propria iniziativa (es. mailing list, profilazione finalizzata alla consegna del premio);
c) i dati di reward e premio attribuiti dall'organizzazione-cliente ai partecipanti.
Il trattamento "per conto" è regolato dal DPA (Data Processing Agreement) firmato con ciascuna organizzazione-cliente: dpa.it.md, con annesso SCC dpa-annex-sccs.it.md per i trasferimenti internazionali.
2.3 La Società e l'Organizzazione-Cliente possono essere Co-Titolari (art. 26 GDPR; co-controllers nelle giurisdizioni equivalenti) in casi limitati, ad esempio: quando lo Space Owner aziona la funzionalità di condivisione opt-in dell'identità del voter (campo Vote.share_identity_with_org). In tale ipotesi, l'utente ha prestato consenso esplicito a rivelare la propria identità al promotore; la registrazione di tale consenso e la gestione del flusso "condividi → revoca" sono operate congiuntamente dalla Società e dal promotore. La ripartizione delle responsabilità è descritta in dpa.it.md § 4.
3. Tipologie di Dati Trattati
| Categoria | Esempi | Origine | Finalità |
|---|---|---|---|
| Dati di account | email, password (hashed con bcrypt/argon2), nome opzionale | Inseriti dall'utente o forniti via Google OAuth | Autenticazione, gestione account |
| Dati di profilo | preferenze di lingua, immagine profilo (opt-in), badge XP | Inseriti dall'utente | Personalizzazione |
| Dati di interazione | voti espressi, idee sottomesse, commenti, partecipazioni a challenge | Generati dall'uso | Erogazione del servizio, audit blockchain |
| Dati tecnici | indirizzo IP, user-agent, cookie di sessione, log di sistema | Generati automaticamente dalla navigazione | Sicurezza, prevenzione frodi, conformità |
| Dati di fatturazione (solo Cliente B2B) | denominazione, P.IVA, indirizzo, token di pagamento | Inseriti dal Cliente | Adempimenti fiscali e contabili |
| Dati immagine (opt-in) | foto allegate alle idee, avatar utente | Caricati dall'utente | Erogazione del servizio. Cifrate at-rest in PostgreSQL BYTEA con AES-256-GCM applicativo prima della scrittura. |
| Dati di voto certificato blockchain | hash crittografico keccak256, timestamp, identificativo proposta | Generati al voto | Audit log immutabile e verificabilità. Nessun dato personale diretto è scritto on-chain. Vedi § 5.3. |
| Dati condivisione identità (opt-in) | nome, email del votante condivisi col promotore al momento del voto | Su esplicito consenso art. 7 GDPR / art. 8 LGPD / equivalenti | Tracciabilità voto-votante per il promotore |
| Dati social e promozionali (opt-in) | handle o URL di account social, nome del profilo pubblico, titolo e immagini dell'idea presentata valorizzati sui canali della Società | Forniti dall'utente (Impostazioni dello spazio per i Clienti; profilo per i partecipanti) | Promozione della Piattaforma, degli spazi e delle Idea Challenge sui canali social ufficiali della Società. Base giuridica: consenso (partecipanti) ovvero contratto/legittimo interesse (rappresentanti del Cliente). Cfr. Sezione 4. |
La Società non tratta categorie particolari di dati ex art. 9 GDPR (dati sanitari, biometrici, di orientamento, ecc.) - né sensitive personal information CCPA, né dados pessoais sensíveis LGPD - nell'ambito dell'erogazione standard del Servizio. Qualora un'organizzazione-cliente decidesse di raccogliere tali dati attraverso il proprio spazio, ne assume integralmente la responsabilità di Titolare.
4. Finalità e Basi Giuridiche
| Finalità | Base giuridica GDPR (art. 6) | Base equivalente in altre giurisdizioni | Conservazione |
|---|---|---|---|
| Esecuzione del contratto di Servizio (account, gestione spazio, voto) | art. 6(1)(b) - esecuzione di un contratto | LGPD art. 7-V (esecuzione contratto); CCPA - business purpose | Durata del contratto + 10 anni per obblighi fiscali (art. 2220 c.c.) |
| Adempimento di obblighi fiscali, contabili, antiriciclaggio | art. 6(1)(c) - obbligo di legge | LGPD art. 7-II; CCPA - legal obligation | 10 anni |
| Sicurezza informatica, prevenzione abusi, audit | art. 6(1)(f) - legittimo interesse | LGPD art. 7-IX; CCPA - business purpose sicurezza | 12 mesi (log generici); 24 mesi (eventi di sicurezza) |
| Marketing diretto su prodotti analoghi (B2B) | art. 6(1)(f) - legittimo interesse ex Cons. 47 GDPR | LGPD art. 7-IX; CCPA - diritto di opt-out applicabile | Fino a opposizione (opt-out) |
| Newsletter, comunicazioni promozionali (B2C) | art. 6(1)(a) - consenso | LGPD art. 7-I; CCPA - consent dove richiesto | Fino a revoca |
| Audit log blockchain del voto | art. 6(1)(b) e (f) | LGPD art. 7-V e 7-IX | Indefinita (on-chain hash) - vd. § 5 |
| Condivisione identità voter con promotore (opt-in) | art. 6(1)(a) - consenso esplicito | LGPD art. 7-I + art. 8; CCPA opt-in consent per sharing (ove qualificato) | Fino a revoca; record di consenso archiviato 10 anni |
| Uso promozionale di handle social e contenuti presentati sui canali social della Società | Art. 6, par. 1, lett. a) consenso (partecipanti); art. 6, par. 1, lett. b)/f) contratto o legittimo interesse (account delle organizzazioni Clienti). L'uso dell'immagine anche ai sensi degli artt. 96-97 L. 633/1941 e dell'art. 10 c.c. | LGPD art. 7-I (consenso) / art. 7-IX; CCPA consenso ove richiesto | Fino a revoca del consenso o rimozione dei link; i post gia pubblicati su terzi restano soggetti alla relativa piattaforma |
4-bis. Uso promozionale dei profili social e dei contenuti presentati
Qualora l'utente fornisca link social (nelle Impostazioni dello spazio, per le organizzazioni Clienti, ovvero nel proprio profilo di partecipante) e, per i partecipanti, presti la specifica autorizzazione (opt-in) descritta all'art. 3.5 delle Condizioni d'Uso per gli Utenti Finali, la Società e l'organizzazione che gestisce la relativa Idea Challenge o spazio (il "Promotore") possono menzionare, taggare, collegare e valorizzare l'handle, il nome, il titolo e le immagini dell'idea presentata sui canali social ufficiali della Società e del Promotore, al fine di promuovere la Piattaforma e il relativo spazio o Idea Challenge. Per i partecipanti tale trattamento si fonda sul consenso e puo essere revocato in qualsiasi momento rimuovendo i propri link o scrivendo a privacy@voiceofthenewera.com; la revoca opera solo per il futuro. Quando la Società pubblica tali contenuti su piattaforme di terzi (a titolo esemplificativo Instagram, TikTok, X/Twitter, YouTube, Facebook), tali piattaforme agiscono come titolari autonomi dei dati che ricevono ai sensi delle rispettive informative.
5. Trattamenti Specifici - Blockchain e Immutabilità
5.1 La Società certifica ogni voto su rete blockchain pubblica (Base L2 per Starter/Growth/Pro; Ethereum Mainnet per piani Enterprise).
5.2 Sul registro distribuito viene scritto esclusivamente un digest crittografico (keccak256) insieme al timestamp e all'identificativo della proposta; nessun dato personale diretto dell'utente è scritto on-chain.
5.3 Qualifica dell'hash on-chain come dato non personale. Coerentemente con la prassi del Garante per la protezione dei dati personali (in particolare FAQ del 2019 sull'integrazione blockchain-GDPR), con le linee guida dello European Data Protection Board (EDPB) e con il working paper di vari regolatori nazionali (CNIL nota 2018 sulla blockchain), la Società qualifica l'hash crittografico irreversibile keccak256 scritto on-chain come dato non personale ai sensi dell'art. 4(1) GDPR, in ragione dell'impossibilità tecnica di re-identificazione senza accesso ai dati off-chain di collegamento.
5.4 Esercizio del diritto all'oblio (art. 17 GDPR e equivalenti). La registrazione on-chain è per sua natura immutabile: non è tecnicamente possibile cancellarla né modificarla. La Società esercita il diritto all'oblio rendendo inaccessibili e cancellando i dati off-chain di collegamento (l'identificativo utente e i metadati di voto custoditi nel database PostgreSQL); l'hash on-chain, privo di identificatori diretti, perde di rappresentatività rispetto a una persona identificabile. Tale approccio è coerente con le linee guida del Garante, dell'EDPB e con le best practice internazionali in materia di interazione GDPR-blockchain. (N.B.: parere esterno di privacy boutique italiana richiesto sulla conferma di tale qualificazione prima del rilascio pubblico v3.1 - cfr. fase 9 del piano di rollout.)
5.5 Cifratura at-rest delle immagini. Le immagini caricate dagli utenti sono memorizzate all'interno del database PostgreSQL come BYTEA cifrato applicativo AES-256-GCM prima della scrittura, con chiave master IMAGE_ENCRYPTION_MASTER_KEY custodita in AWS SSM Parameter Store SecureString. La cancellazione dell'immagine implica la cancellazione della tupla cifrata; la chiave non consente decifratura post-cancellazione.
5.6 La Società conserva, off-chain, le associazioni tra voto, utente e proposta per il tempo necessario alla verificabilità del voto stesso. La cancellazione del voto on-chain è tecnicamente impossibile ma operativamente irrilevante una volta cancellati gli identificatori off-chain.
6. Destinatari e Sub-Responsabili
I dati personali possono essere comunicati a:
Sub-responsabili del trattamento (art. 28 par. 2 GDPR e equivalenti), autorizzati con contratto:
| Sub-responsabile | Trattamento svolto | Sede legale | Localizzazione tecnica | Meccanismo di trasferimento (vd. § 7) |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL / AWS Inc. | Calcolo (AWS App Runner, AWS Lambda) - backend Vora | Lussemburgo / USA | Regione AWS EU-West-1 (Irlanda) primaria; accesso operativo USA via supporto e SCC | DPA AWS + SCC UE 2021/914 Modulo 3 + AWS Supplementary Addendum + certificazione EU-US DPF |
| Amazon Web Services EMEA SARL / AWS Inc. | Database gestito Aurora Serverless v2 PostgreSQL | Lussemburgo / USA | EU-West-1 (Irlanda) | Idem |
| Amazon Web Services EMEA SARL / AWS Inc. | Storage Amazon S3 + CDN CloudFront (asset pubblici, no PII) | Lussemburgo / USA | EU (S3 EU-West-1) + edge globali per asset pubblici | Idem; edge CDN tratta solo dati non personali |
| Amazon Web Services EMEA SARL / AWS Inc. | Gestione segreti (SSM Parameter Store SecureString) | Lussemburgo / USA | AWS EU-West-1 | Idem |
| Resend Inc. | Recapito email transazionali (welcome, reset password, notifiche reward) | Stati Uniti (Delaware) | USA - EU region delivery to be verified at publish time | SCC UE 2021/914 Modulo 3 + UK IDTA B1.0 per clienti UK + SCC svizzeri-FADP per clienti CH + verifica stato EU-US DPF (vedi nota in calce alla tabella) |
| Google Ireland Ltd. + Google LLC | Autenticazione "Sign in with Google" (OAuth 2.0) - recapito token, no profilazione | Irlanda + USA | UE-bound dove tecnicamente possibile + USA | SCC UE 2021/914 + certificazione EU-US DPF di Google LLC |
| Anthropic PBC (se funzionalità AI attive) | Modelli AI di terze parti per sintesi proposte e supporto editoriale | Stati Uniti | USA | SCC UE 2021/914 Modulo 3 + Anthropic DPA |
| Notai e funzionari camerali (CCIAA) | Solo su attivazione del cliente italiano, per redazione regolamento concorso e verbale di chiusura | Italia | Italia | Pubblico ufficiale, non sub-responsabile in senso stretto |
Nota - Verifica stato DPF. Lo status EU-US Data Privacy Framework di Resend Inc. è verificato manualmente all'indirizzo
https://www.dataprivacyframework.gov/listal momento della pubblicazione della presente informativa. Qualora alla data della verifica Resend non risulti certificato DPF, l'SCC UE 2021/914 Modulo 3 costituisce comunque meccanismo di trasferimento legalmente sufficiente; il DPF è un livello aggiuntivo di tutela ove disponibile.
La Società pubblica e mantiene aggiornato l'elenco dei sub-responsabili all'indirizzo voiceofthenewera.com/subprocessors.html (in preparazione). Le organizzazioni-clienti sono informate di ogni nuovo sub-responsabile con almeno 30 giorni di preavviso, e possono opporsi entro 15 giorni ai sensi del DPA.
Soggetti autonomi titolari:
- consulenti legali, fiscali, contabili e revisori della Società, ove necessario;
- autorità giudiziarie, di polizia o di vigilanza di qualunque giurisdizione rilevante (MIMIT, AGCM, Garante, AdE, GdF in Italia; FTC, IRS, State AGs negli USA; ICO, ASA, Gambling Commission nel Regno Unito; CNIL in Francia; ANPD in Brasile; etc.) su richiesta legittima;
- soggetti acquirenti di Vora S.r.l. in caso di operazioni di M&A, previo NDA e con informativa preventiva all'utente ove tecnicamente possibile.
- piattaforme social di terzi (es. Meta, TikTok, X, Google/YouTube) quando la Società pubblica contenuti promozionali che menzionano o taggano l'utente sui propri canali, in qualita di titolari autonomi ai sensi delle rispettive informative;
7. Trasferimenti Internazionali di Dati Personali - Per Giurisdizione
La Società configura i propri sistemi affinché il trattamento primario avvenga nell'area economica europea (AWS EU-West-1, Irlanda). I trasferimenti extra-UE/SEE sono limitati e disciplinati come segue, in funzione della giurisdizione di provenienza dell'interessato:
7.1 Regola generale di minimizzazione
Tutti i sub-responsabili principali (AWS, Google) sono contrattualmente vincolati ad ospitare i dati della Società primariamente nell'Area Economica Europea. I trasferimenti extra-UE risultano tecnicamente necessari solo per: (a) Resend Inc. per il recapito email; (b) Google OAuth per il flusso di autenticazione; (c) Anthropic PBC per i servizi AI ove attivati; (d) edge CDN globali di CloudFront per asset pubblici privi di PII; (e) eventuali accessi operativi di supporto AWS dagli USA sotto SCC.
7.2 Interessati residenti nell'UE / SEE
Si applicano le Standard Contractual Clauses della Commissione Europea (Decisione di Esecuzione UE 2021/914 del 4 giugno 2021), Modulo 3 (processor-to-processor) per i flussi la Società → sub-responsabili. Copia degli SCC è disponibile su richiesta a privacy@voiceofthenewera.com. Le SCC sono accompagnate da una Transfer Impact Assessment (TIA) conforme alla sentenza C-311/18 della CGUE ("Schrems II") e dalle misure tecniche supplementari di cui al § 10.
7.3 Interessati residenti nel Regno Unito
Si applica il UK International Data Transfer Addendum (IDTA) B1.0 emesso il 21 marzo 2022 dall'Information Commissioner's Office (ICO) ai sensi della section 119A del Data Protection Act 2018, applicato come addendum agli SCC UE di cui al § 7.2. Per i flussi la Società → US sub-processor, è applicabile in alternativa il "UK Extension to the EU-US Data Privacy Framework" ove il sub-responsabile risulti certificato presso il DPF.
7.4 Interessati residenti in Svizzera
Si applicano gli SCC UE 2021/914 come adattati per la Svizzera ai sensi della dichiarazione del Federal Data Protection and Information Commissioner (FDPIC) del 27 agosto 2021 e del revFADP (Federal Act on Data Protection rivisto) del 25 settembre 2020.
7.5 Interessati residenti in Brasile (LGPD)
Si applicano le clausole contrattuali specifiche ai sensi dell'art. 33 della Lei 13.709/2018 (LGPD), come integrate negli SCC UE 2021/914 con adattamento brasiliano. I diritti LGPD dell'interessato di cui all'art. 18 LGPD sono esercitabili scrivendo a privacy@voiceofthenewera.com; l'autorità nazionale di riferimento è la Autoridade Nacional de Proteção de Dados (ANPD - gov.br/anpd).
7.6 Interessati residenti in California (CCPA / CPRA)
La Società NON vende né condivide dati personali ai sensi del Cal. Civ. Code § 1798.140 lett. (ad) ("sell") e (ah) ("share"), né lo ha fatto nei 12 mesi precedenti la presente informativa, né ha l'intenzione di farlo. Pertanto:
a) La Società non è tenuta a pubblicare un link "Do Not Sell or Share My Personal Information"; tuttavia, lo pubblica nel footer del sito a tutela trasparenza (link a voiceofthenewera.com/ccpa-rights.html);
b) i trasferimenti UE → USA verso sub-responsabili (Resend, Google, Anthropic) avvengono nell'ambito di rapporti "service provider" / processor ex Cal. Civ. Code § 1798.140 lett. (ag), e non integrano sale né sharing;
c) gli interessati californiani esercitano i diritti CCPA/CPRA (right to know, delete, correct, opt-out of automated decision-making, non-discrimination) scrivendo a privacy@voiceofthenewera.com; l'autorità di riferimento è la California Privacy Protection Agency (CPPA - cppa.ca.gov).
7.7 Altre giurisdizioni
Per gli interessati residenti in altre giurisdizioni (Canada - PIPEDA; Australia - Privacy Act 1988; Giappone - APPI; Singapore - PDPA; Sudafrica - POPIA; etc.), la Società applica gli SCC UE 2021/914 come baseline e, ove l'ordinamento locale lo richieda, meccanismi addizionali di adeguatezza (es. decisione di adeguatezza UE per il Giappone; transfer assessment per Canada PIPEDA ex PIPEDA Fair Information Principles; etc.).
8. Diritti dell'Interessato - Per Giurisdizione
L'interessato può esercitare in qualsiasi momento i diritti di cui agli artt. 15-22 GDPR (per i residenti UE/SEE) e i diritti equivalenti previsti dalla normativa applicabile nel proprio Paese di residenza abituale. Si rinvia alla sintesi della Section 7 delle Condizioni d'Uso End-User end-user-tos.it.md.
Modalità di esercizio: scrivere a privacy@voiceofthenewera.com, indicando giurisdizione di residenza e diritto invocato. La Società risponde:
- Interessati UE/SEE/UK: entro trenta (30) giorni dalla richiesta, prorogabili di sessanta (60) giorni nei casi complessi ex art. 12 par. 3 GDPR / UK GDPR;
- Interessati californiani (CCPA): entro quarantacinque (45) giorni, prorogabili di ulteriori 45 giorni con avviso all'interessato (Cal. Civ. Code § 1798.130);
- Interessati brasiliani (LGPD): entro quindici (15) giorni dalla richiesta (LGPD art. 19);
- Altre giurisdizioni: entro i termini previsti dalla normativa applicabile, e in ogni caso senza ingiustificato ritardo.
Reclamo all'autorità di controllo: ai sensi dell'art. 77 GDPR e disposizioni equivalenti, l'interessato può proporre reclamo all'autorità competente della propria residenza abituale:
- Italia: Garante per la Protezione dei Dati Personali - Piazza Venezia 11, 00187 Roma -
garante@gpdp.it-protocollo@pec.gpdp.it-www.gpdp.it; - Altri Stati UE/SEE: autorità nazionale equivalente (CNIL Francia, BfDI Germania, AEPD Spagna, etc.);
- Regno Unito: ICO -
ico.org.uk; - California: CPPA -
cppa.ca.gov; - Brasile: ANPD -
gov.br/anpd; - altre giurisdizioni: autorità nazionale di protezione dati equivalente.
Ricorso giurisdizionale: ai sensi dell'art. 79 GDPR e norme equivalenti, l'interessato può proporre ricorso davanti all'autorità giudiziaria ordinaria della propria residenza (per i consumatori UE/SEE, art. 79 par. 2 GDPR + Reg. 1215/2012 artt. 17-19).
9. Conservazione (Retention)
I tempi di conservazione sono indicati nella tabella di cui al § 4 e si articolano come segue:
- Account attivo: per tutto il periodo di utilizzo del servizio;
- Account inattivo: cancellazione automatica dopo 24 mesi di inattività documentata, previa email di avviso 30 giorni prima;
- Dati contabili e fiscali: 10 anni ex art. 2220 c.c. e D.P.R. 633/1972 (per i Clienti italiani; per i Clienti di altre giurisdizioni, i termini di conservazione fiscale applicabili - es. 7 anni in molti Stati USA, 10 anni in Brasile per dati contabili, 6 anni nel Regno Unito ex Companies Act 2006 s. 388);
- Log di sicurezza generici: 12 mesi;
- Log di eventi di sicurezza (es. tentativi di accesso non autorizzato): 24 mesi;
- Backup di sicurezza: 30 giorni con cifratura at-rest, sovrascritti ciclicamente;
- Record di consenso (es. accettazione ToS, opt-in di condivisione identità, Promoter Acknowledgement): per tutta la durata + 10 anni dalla revoca, a difesa della Società in sede contenziosa in qualunque giurisdizione.
10. Misure di Sicurezza (TOMs)
Sintesi delle misure tecniche e organizzative ai sensi dell'art. 32 GDPR (e degli equivalenti - LGPD art. 46, CCPA reasonable security, etc.). Dettaglio completo nel DPA.
- Cifratura at-rest: AES-256 a livello AWS (KMS-managed) per volumi Aurora e S3; AES-256-GCM applicativo per immagini utente in PostgreSQL BYTEA (chiave master in SSM Parameter Store SecureString).
- Cifratura in-transit: TLS 1.2+ obbligatorio su tutti gli endpoint pubblici; cipher suites moderne (ECDHE / AES-GCM / ChaCha20).
- Controllo accessi: IAM AWS least-privilege; MFA obbligatoria per gli amministratori la Società; isolamento di rete (Aurora in subnet privata); credenziali ruotate via SSM.
- Audit log: log strutturato JSON (structlog); CloudWatch + retention 90gg; log di accesso ai dati personali tracciati a livello applicativo.
- Backup: snapshot automatici Aurora con retention; backup volumi EBS tramite Data Lifecycle Manager (DLM); restore testato.
- Resilienza: architettura serverless multi-AZ; failover automatico Aurora; CDN globale; rate limiting; protezione DDoS layer 7.
- Sicurezza applicativa: revisione di codice; SAST/dependency scanning; ambiente di staging separato; segregazione di dati dev/prod.
- Personale: NDA contrattuale; accesso ai dati di produzione su base "need-to-know"; formazione periodica privacy + security.
11. Notifica di Data Breach
In caso di violazione di dati personali ("data breach") ai sensi degli artt. 33-34 GDPR (e disposizioni equivalenti):
- La Società notifica l'autorità di controllo competente entro 72 ore dalla conoscenza, ove la violazione presenti un rischio per i diritti e le libertà delle persone fisiche; i termini variano per giurisdizione (UK GDPR - 72 ore; LGPD - "tempo razoável" generalmente entro 2 giorni; CCPA - without unreasonable delay; PIPEDA - as soon as feasible; Australia Notifiable Data Breaches scheme - entro 30 giorni con valutazione);
- La Società comunica la violazione all'interessato senza ingiustificato ritardo quando la violazione presenti un rischio elevato;
- in qualità di Responsabile per i dati delle organizzazioni-clienti, la Società notifica il Cliente entro 48 ore dalla conoscenza, fornendo le informazioni necessarie all'adempimento della notifica all'autorità di controllo da parte del Cliente-Titolare.
Procedura interna di incident response: vd. docs/legal/incident-response-policy.md (in preparazione) e docs/06-compliance/concorso-a-premi-playbook.md.
12. Cookie e Tecnologie Analoghe
L'uso di cookie e tecnologie analoghe è descritto nella Cookie Policy separata pubblicata a voiceofthenewera.com/cookie-policy.html, conforme al Provvedimento del Garante del 10 giugno 2021 ("Linee guida cookie"), all'art. 122 D.Lgs. 196/2003, e - per gli interessati di altre giurisdizioni - alle norme equivalenti (ePrivacy Directive 2002/58/EC per UE; PECR 2003 per Regno Unito; CCPA/CPRA per California - "opt-out of sale/sharing"; LGPD per Brasile).
13. Minori
L'età minima per utilizzare la Piattaforma è quella prevista dalla "regola della soglia applicabile più elevata" di cui all'art. 2.2 delle Condizioni d'Uso End-User end-user-tos.it.md. In sintesi:
- Italia: 14 anni per consenso al trattamento; 18 per piena capacità contrattuale;
- UE/SEE: 13-16 anni per consenso digitale ex GDPR art. 8 (default 16);
- Regno Unito: 13 anni;
- USA: 13 anni ex COPPA;
- Brasile: 18 anni ex LGPD/CDC;
- altre giurisdizioni: soglia locale applicabile.
Qualora la Società venga a conoscenza di un account intestato a un minore in violazione delle Condizioni d'Uso o ai sensi di COPPA, l'account è sospeso e i dati cancellati entro 30 giorni dalla conoscenza. La Società non collega volontariamente la propria pubblicità a un pubblico di minori (no targeted advertising to children).
14. Modifiche all'Informativa
La Società può modificare la presente informativa. Le modifiche sono comunicate via email agli utenti registrati e mediante pubblicazione della nuova versione, con preavviso di trenta (30) giorni rispetto all'entrata in vigore, salvo modifiche imposte da norma di legge a efficacia immediata.
15. Contatti
- Privacy (richieste GDPR, UK GDPR, LGPD, CCPA, PIPEDA, FADP, etc.):
privacy@voiceofthenewera.com - PEC: [PEC: ____]
- Legale generale:
legal@voiceofthenewera.com - Segnalazione contenuti illeciti (DSA, UK OSA, NetzDG, Marco Civil):
report@voiceofthenewera.com - Sede: Vora S.r.l., [INDIRIZZO SEDE LEGALE]
Documento sorgente in markdown: docs/legal/privacy-policy.it.md (v3.1.0 - 2026-05-13).