🔒 Informativa sulla Privacy

Ultimo aggiornamento: da personalizzare a cura del Titolare. Versione 1.0

Indice

Titolare del trattamento
Dati raccolti
Finalità e basi giuridiche
Tempi di conservazione
Destinatari e trasferimenti extra-UE
Diritti dell'interessato
Sicurezza e violazioni dei dati
Tutela dei minori
Modifiche all'informativa

La presente informativa è resa ai sensi dell'art. 13 del Regolamento (UE) 2016/679 ("GDPR") e descrive come TravFriends ("la Piattaforma", "noi") tratta i dati personali degli utenti.

⚠️ Questo è un template di partenza. Prima della pubblicazione sostituire le sezioni in corsivo con i dati reali del Titolare e validare il testo con un consulente legale specializzato in protezione dati.

1. Titolare del trattamento

Titolare del trattamento è [Ragione Sociale / Nome e Cognome del Titolare], con sede in [indirizzo completo], P.IVA/C.F. […].
Contatti per la privacy: privacy@travfriends.com.
Responsabile della Protezione dei Dati (DPO), se nominato: [nome e contatto].

2. Quali dati raccogliamo

Dati di registrazione: email, password (cifrata), nome utente.
Dati di profilo: nome visualizzato, data di nascita, genere, foto profilo, biografia, città.
Contenuti pubblicati: post, commenti, storie 24h, foto, viaggi, itinerari (giorni, attività, prenotazioni, spese, bagaglio).
Dati di relazione: amicizie, gruppi, messaggi privati.
Dati di navigazione: indirizzo IP (in forma hashed nei log), user-agent, pagine visitate, timestamp.
Dati di geolocalizzazione: nella sola precisione che decidi tu nelle Impostazioni → Sicurezza viaggio (esatta, città, regione, off).
Documenti di verifica identità (KYC): caricati volontariamente dall'utente, conservati il tempo strettamente necessario alla verifica e poi cancellati.
Consensi: traccia auditabile di quando e come hai concesso/revocato ciascun consenso.

3. Finalità e basi giuridiche

Esecuzione del servizio (art. 6.1.b): creazione account, gestione viaggi, messaggistica, feed.
Obblighi di legge (art. 6.1.c): conservazione di log per finalità di sicurezza, KYC ove richiesto.
Legittimo interesse (art. 6.1.f): prevenzione frodi, sicurezza della piattaforma, miglioramento del servizio in forma aggregata.
Consenso (art. 6.1.a): newsletter, profilazione pubblicitaria, condivisione con partner terzi, cookie di marketing/analitici. Il consenso è sempre revocabile dalla pagina Impostazioni → Privacy.

4. Tempi di conservazione

Profilo e contenuti: fino alla cancellazione dell'account.
Log di sicurezza: [12-24 mesi tipici].
Documenti KYC: cancellati entro [24-72 ore] dalla verifica; lo storico dell'esito resta in forma minimizzata.
Consensi: tenuti come traccia auditabile per il tempo necessario a dimostrarne la validità (tipicamente fino a 3 anni dalla revoca).

5. Destinatari e trasferimenti extra-UE

I dati sono trattati internamente. Possono essere comunicati a fornitori di servizi tecnici (responsabili del trattamento ex art. 28 GDPR):

Supabase (hosting database, autenticazione, storage) — sede USA, garanzie ex art. 46 GDPR.
Netlify (hosting frontend statico) — sede USA, garanzie ex art. 46 GDPR.
[Eventuali partner terzi se condivisione attivata dall'utente].

I trasferimenti extra-UE avvengono sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

6. I tuoi diritti

In qualsiasi momento puoi esercitare i seguenti diritti, gratuitamente:

Accesso (art. 15): conoscere quali dati trattiamo.
Rettifica (art. 16): correggere dati inesatti.
Cancellazione / oblio (art. 17): eliminare il tuo account dalla pagina Impostazioni → Privacy → "Elimina il mio account".
Limitazione (art. 18) e opposizione (art. 21).
Portabilità (art. 20): ricevere i tuoi dati in formato JSON dalla pagina Impostazioni → Privacy → "Scarica i miei dati".
Revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
Reclamo al Garante per la Protezione dei Dati Personali.

7. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate: cifratura in transito (TLS 1.2+) e a riposo per i documenti sensibili, Row-Level Security a livello database, hashing delle password con algoritmi moderni, autenticazione a due fattori opzionale. In caso di data breach saremo tenuti a notificarne l'occorrenza al Garante entro 72 ore (art. 33) e agli interessati senza ingiustificato ritardo (art. 34) se il rischio è elevato.

8. Tutela dei minori

TravFriends è destinato a utenti di età pari o superiore a 14 anni. Per i minori tra 14 e 16 anni il consenso al trattamento dei dati per finalità di marketing richiede l'autorizzazione del titolare della responsabilità genitoriale (ex art. 8 GDPR, soglia italiana D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018).

9. Modifiche all'informativa

Qualsiasi modifica sostanziale sarà comunicata in app/via email almeno 30 giorni prima dell'entrata in vigore. La versione corrente è sempre disponibile a questa URL.

🔒 Privacy Policy

Last updated: to be customized by the Data Controller. Version 1.0

Contents

Data Controller
Data we collect
Purposes and legal bases
Retention periods
Recipients and non-EU transfers
Your rights
Data security and breaches
Protection of minors
Changes to this policy

This notice is provided pursuant to Art. 13 of Regulation (EU) 2016/679 ("GDPR") and describes how TravFriends ("the Platform", "we") processes users' personal data.

⚠️ This is a starting template. Before publishing, replace the sections in italics with the Controller's real details and have the text reviewed by a lawyer specialized in data protection.

1. Data Controller

The Data Controller is [Company name / Controller's full name], with registered office at [full address], VAT/Tax code […].
Privacy contact: privacy@travfriends.com.
Data Protection Officer (DPO), if appointed: [name and contact].

2. What data we collect

Registration data: email, password (encrypted), username.
Profile data: display name, date of birth, gender, profile photo, bio, city.
Published content: posts, comments, 24h stories, photos, trips, itineraries (days, activities, bookings, expenses, luggage).
Relationship data: friendships, groups, private messages.
Browsing data: IP address (hashed in logs), user-agent, pages visited, timestamps.
Geolocation data: only at the precision you choose in Settings → Travel safety (exact, city, region, off).
Identity verification documents (KYC): uploaded voluntarily by the user, kept only as long as strictly necessary for verification and then deleted.
Consents: an auditable record of when and how you granted/withdrew each consent.

3. Purposes and legal bases

Provision of the service (Art. 6.1.b): account creation, trip management, messaging, feed.
Legal obligations (Art. 6.1.c): retention of logs for security purposes, KYC where required.
Legitimate interest (Art. 6.1.f): fraud prevention, platform security, service improvement in aggregated form.
Consent (Art. 6.1.a): newsletter, advertising profiling, sharing with third-party partners, marketing/analytics cookies. Consent can always be withdrawn from Settings → Privacy.

4. Retention periods

Profile and content: until the account is deleted.
Security logs: [typically 12-24 months].
KYC documents: deleted within [24-72 hours] of verification; the outcome record remains in minimized form.
Consents: kept as an auditable record for as long as needed to prove their validity (typically up to 3 years after withdrawal).

5. Recipients and non-EU transfers

Data is processed internally. It may be disclosed to technical service providers (data processors under Art. 28 GDPR):

Supabase (database hosting, authentication, storage) — based in the USA, safeguards under Art. 46 GDPR.
Netlify (static frontend hosting) — based in the USA, safeguards under Art. 46 GDPR.
[Any third-party partners if sharing is enabled by the user].

Non-EU transfers take place on the basis of the Standard Contractual Clauses (SCCs) approved by the European Commission.

6. Your rights

At any time you can exercise the following rights, free of charge:

Access (Art. 15): find out what data we process.
Rectification (Art. 16): correct inaccurate data.
Erasure / right to be forgotten (Art. 17): delete your account from Settings → Privacy → "Delete my account".
Restriction (Art. 18) and objection (Art. 21).
Portability (Art. 20): receive your data in JSON format from Settings → Privacy → "Download my data".
Withdrawal of consent: at any time, without affecting the lawfulness of prior processing.
Complaint to the Italian Data Protection Authority (Garante).

7. Data security

We adopt appropriate technical and organizational measures: encryption in transit (TLS 1.2+) and at rest for sensitive documents, database-level Row-Level Security, password hashing with modern algorithms, optional two-factor authentication. In the event of a data breach we are required to notify the Authority within 72 hours (Art. 33) and the data subjects without undue delay (Art. 34) where the risk is high.

8. Protection of minors

TravFriends is intended for users aged 14 or over. For minors between 14 and 16, consent to data processing for marketing purposes requires authorization from the holder of parental responsibility (under Art. 8 GDPR, Italian threshold per Legislative Decree 196/2003 as amended by Legislative Decree 101/2018).

9. Changes to this policy

Any substantial change will be communicated in-app/by email at least 30 days before it takes effect. The current version is always available at this URL.