The Wall
⚠ Bozza in attesa di validazione legale. I contenuti non sono ancora definitivi e non costituiscono consulenza legale. I segnaposto in evidenza devono essere completati dal titolare prima della pubblicazione.

Informativa sul trattamento dei dati personali

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR), La informiamo di come trattiamo i dati personali degli utenti che accedono e utilizzano la piattaforma The Wall.

Ultimo aggiornamento: giugno 2026. Bozza non definitiva — in attesa di validazione legale.

1. Titolare del trattamento

Il titolare del trattamento dei dati è [DA COMPLETARE: ragione sociale completa — presumibilmente Alvicore S.r.l.], con sede legale in [DA COMPLETARE: indirizzo completo, CAP, Comune, Provincia, Italia], P.IVA [DA COMPLETARE: numero P.IVA], C.F. [DA COMPLETARE: codice fiscale se diverso da P.IVA].

Indirizzo email del titolare: [DA COMPLETARE: indirizzo email di contatto, es. [email protected]].

Responsabile della Protezione dei Dati (DPO): [DA COMPLETARE: indicare se è stato nominato un DPO e, in caso affermativo, i relativi dati di contatto; in caso contrario, eliminare questo paragrafo se la nomina non è obbligatoria per il titolare].

2. Categorie di dati trattati, finalità e basi giuridiche

Trattiamo i seguenti dati personali per le finalità indicate, ciascuna con la propria base giuridica ai sensi dell'art. 6 GDPR.

Categoria di datiFinalitàBase giuridica
Email, password (hash bcrypt), display name, eventuale account Google (id OAuth)Creazione e gestione dell'account utente, autenticazione, invio email transazionali (verifica email, reset password)Esecuzione del contratto (art. 6.1.b GDPR)
Segreto TOTP (cifrato AES-256-GCM), recovery code (hash SHA-256)Autenticazione a due fattori opzionale per gli utenti, obbligatoria per gli amministratoriEsecuzione del contratto / legittimo interesse del titolare alla sicurezza del servizio (art. 6.1.b e 6.1.f GDPR)
Attestazione maggiore età (timestamp della dichiarazione, senza data di nascita)Verifica del requisito di età minima 18+ in fase di registrazione (minimizzazione: nessuna data di nascita memorizzata)Esecuzione del contratto / obbligo legale (art. 6.1.b e 6.1.c GDPR)
Dati di pagamento (importo, valuta, esito, identificativi di transazione Stripe/PayPal)Processamento dei pagamenti per l'acquisto di blocchi sulla griglia; conservazione per obblighi fiscaliEsecuzione del contratto; obbligo legale (art. 6.1.b e 6.1.c GDPR)
Immagini caricate dagli utenti (UGC — User Generated Content), URL, titolo, descrizione del bloccoPubblicazione del blocco sulla griglia pubblica; moderazione dei contenutiEsecuzione del contratto (art. 6.1.b GDPR)
Consenso marketing (timestamp grant/revoca, versione policy)Invio di comunicazioni commerciali e promozionaliConsenso (art. 6.1.a GDPR) — revocabile in qualsiasi momento dall'area account
Consenso partecipazione al concorso (timestamp grant/revoca, versione policy)Partecipazione al concorso a premio abbinato alla grigliaConsenso (art. 6.1.a GDPR); adempimento DPR 430/2001 per i concorsi a premio
Ticket di partecipazione al concorso (codice ticket, riferimento blocco, indice)Gestione dell'estrazione del concorso a premioEsecuzione del contratto / obbligo legale DPR 430/2001 (art. 6.1.b e 6.1.c GDPR)
Dati identificativi del vincitore del concorsoAssegnazione del premio, adempimenti DPR 430/2001, comunicazione all'autorità competenteObbligo legale (art. 6.1.c GDPR); esecuzione del contratto (art. 6.1.b GDPR)
Indirizzo IP, log applicativi, audit log degli eventi (senza PII nei metadati)Sicurezza del servizio, prevenzione di abusi, rate-limiting, audit di sicurezzaLegittimo interesse del titolare alla sicurezza (art. 6.1.f GDPR)

3. Destinatari e responsabili del trattamento

I dati personali possono essere comunicati alle seguenti categorie di destinatari, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR ove applicabile:

  • Stripe, Inc. — processamento dei pagamenti con carta di credito/debito. Sede: South San Francisco, California, USA. Stripe è certificato EU-US Data Privacy Framework e opera come responsabile del trattamento per i dati di pagamento.
  • PayPal Holdings, Inc. — processamento dei pagamenti tramite PayPal/carte. Sede: San Jose, California, USA. PayPal è certificato EU-US Data Privacy Framework e opera come responsabile del trattamento per i dati di pagamento.
  • Vercel, Inc.— hosting dell'applicazione web e dei contenuti. Sede: San Francisco, California, USA. Vercel aderisce all'EU-US Data Privacy Framework ed è dotato di Clausole Contrattuali Standard (SCC, Decisione 2021/914/UE) per il trattamento dei dati in server europei e negli USA.
  • Provider SMTP per email transazionali: [DA COMPLETARE: nome del provider SMTP utilizzato per l'invio delle email transazionali (verifica email, reset password, notifiche). Indicare se certificato DPF o dotato di SCC].

I dati non vengono ceduti né venduti a terzi per finalità proprie di questi ultimi.

4. Trasferimenti di dati verso paesi terzi e garanzie

Alcuni dei responsabili del trattamento indicati al punto 3 (Stripe, PayPal, Vercel) hanno sede negli Stati Uniti d'America, paese non adeguato ai sensi dell'art. 45 GDPR nella versione originaria. Il trasferimento è garantito dalle seguenti misure:

  • EU-US Data Privacy Framework (DPF): Stripe, PayPal e Vercel sono certificati nell'ambito del Data Privacy Framework, riconosciuto come adeguato dalla Commissione Europea con decisione del 10 luglio 2023 (Decisione 2023/1795/UE).
  • Clausole Contrattuali Standard (SCC): Vercel utilizza inoltre le Clausole Contrattuali Standard adottate dalla Commissione Europea (Decisione 2021/914/UE) come misura di garanzia aggiuntiva per i trasferimenti verso gli USA.

Per ulteriori informazioni sulle garanzie applicate da ciascun fornitore, è possibile consultare le rispettive informative privacy: Stripe (stripe.com/it/privacy), PayPal (paypal.com), Vercel (vercel.com/legal/privacy-policy).

5. Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto dei seguenti criteri:

  • Dati relativi al concorso a premio(ticket, vincitore, estrazione): conservati fino alla chiusura dell'edizione e per i successivi 12 mesi, salvo obblighi legali più lunghi derivanti dal DPR 430/2001.
  • Audit log e log di sicurezza: conservati per 24 mesi dalla generazione dell'evento.
  • Consenso marketing: i dati di contatto per comunicazioni di marketing sono trattati fino alla revoca del consenso; la soppressione avviene entro 30 giorni dalla revoca.
  • Dati di pagamento: conservati per il periodo richiesto dalla normativa fiscale vigente (in Italia, ordinariamente 10 anni ai sensi del DPR 600/1973 e del DPR 633/1972).
  • Dati dell'account: conservati per la durata del rapporto contrattuale; in caso di eliminazione dell'account, i dati vengono cancellati salvo obblighi di conservazione superiori.

6. Diritti dell'interessato

Ai sensi degli artt. 15-22 GDPR, Lei ha il diritto di:

  • Accesso (art. 15): ottenere conferma del trattamento e copia dei dati che La riguardano.
  • Portabilità(art. 20): ricevere i Suoi dati in formato strutturato e leggibile da dispositivo automatico. La funzione "Scarica i miei dati" sarà disponibile nell'area account in un prossimo aggiornamento del servizio.
  • Rettifica(art. 16): correggere dati inesatti. Il display name può essere modificato direttamente nell'area account; la modifica dell'indirizzo email sarà disponibile in un prossimo aggiornamento.
  • Cancellazione ("diritto all'oblio")(art. 17): richiedere la cancellazione dei Suoi dati. L'eliminazione dell'account è già disponibile nell'area account ( /account ), salvo obblighi di conservazione.
  • Limitazione del trattamento (art. 18): chiedere la sospensione del trattamento in determinati casi previsti dalla legge.
  • Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse o per finalità di marketing diretto.
  • Revoca del consenso(art. 7): revocare in qualsiasi momento i consensi prestati (marketing, concorso) tramite l'area account (/account) senza pregiudizio per la liceità del trattamento effettuato anteriormente alla revoca.

7. Come esercitare i diritti e reclamo al Garante

Per esercitare i Suoi diritti può scrivere al titolare all'indirizzo: [DA COMPLETARE: indirizzo email dedicato alla privacy, es. [email protected]].

Risponderemo entro 30 giorni dalla ricezione della richiesta (termine prorogabile di ulteriori 60 giorni in caso di particolare complessità).

Lei ha inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (Garante Privacy), con sede in Piazza Venezia 11, 00187 Roma, sito web www.garanteprivacy.it.

8. Processi automatizzati e modalità dell'estrazione del concorso

Non viene effettuata alcuna profilazione automatizzata che produca effetti giuridici significativi sull'interessato ai sensi dell'art. 22 GDPR.

L'estrazione del vincitore del concorso a premio è effettuata tramite un algoritmo deterministico e verificabile (draw-v1): la lista dei ticket partecipanti viene congelata prima dell'estrazione e il risultato è riproducibile da terze parti (notaio/perizia) a partire dalla lista congelata e dal seme esterno fornito al momento dell'estrazione, senza accesso al database. La lista dei ticket consegnata al notaio è pseudonimizzata: non contiene dati identificativi dell'utente (solo codici ticket, riferimenti al blocco e timestamp).