Informative legali
Privacy Policy
Questa informativa descrive come GuVarda tratta i dati personali durante l'uso della piattaforma, incluse basi giuridiche, tempi di conservazione e diritti.
Ultimo aggiornamento · versione policy 2026-04-23.1
Titolare del trattamento
GuVarda è il titolare del trattamento per le attività descritte in questa informativa. Per qualunque domanda sui tuoi dati puoi contattarci a [email protected].
Contatto privacy
Le richieste privacy (accesso, rettifica, cancellazione, opposizione, portabilità) possono essere inviate a [email protected]. Quando richiesto dalla normativa nominiamo un Data Protection Officer; il punto di contatto attuale è [email protected].
Finalità e basi giuridiche
Trattiamo i dati personali per le seguenti finalità: • Registrazione account e autenticazione — art. 6(1)(b) GDPR (esecuzione del contratto). • Pubblicazione, condivisione e moderazione di itinerari, tappe, commenti e media — art. 6(1)(b). • Registrazione del consenso per cookie e tracciamento — art. 6(1)(c) (obbligo legale ex GDPR art. 7(1) e ePrivacy art. 5(3)). • Deduplica anonima del conteggio visualizzazioni tramite fingerprint server-side (hash SHA-256 di IP, user-agent, Accept-Language) — art. 6(1)(f) (legittimo interesse in metriche aggregate e prevenzione abusi). Conservazione: 90 giorni, poi il fingerprint viene azzerato. • Analisi di prodotto tramite Google Analytics 4 — art. 6(1)(a) (consenso). Caricato solo dopo opt-in sulla categoria analytics. • Email transazionali (verifica, recupero password, avvisi di inattività) tramite Brevo — art. 6(1)(b). • Geocoding e routing per la pianificazione degli itinerari tramite Photon (Komoot) e/o Stadia Maps e Mapbox — art. 6(1)(b). Vengono inviate solo query testuali e coordinate GPS, mai dati dell'account. • Suggerimenti AI opzionali nell'editor tramite OpenAI o GitHub Models (Microsoft), a seconda della configurazione di deployment — art. 6(1)(b). Viene inviato solo il testo della bozza che fornisci per generare il suggerimento. • Registro audit delle azioni privilegiate degli amministratori — art. 6(1)(f) (legittimo interesse in accountability).
Categorie di dati trattati
Account: email, password in hash (account locali), identificativi OAuth (Google), nickname, campi profilo, data ultimo login. Autenticazione: metadati dei refresh token, metadati dei token di verifica email. Contenuti: itinerari (titolo, slug, descrizione, stato), tappe e waypoint (coordinate), commenti, like, bookmark, segnalazioni. Media: avatar, immagini di tappa e copertina conservati in object storage. Consenso: identificatore pseudonimo, versione policy, decisione per categoria, azione, timestamp, locale, hash IP con salt, user-agent. Tecnici: fingerprint server-side anonimo (in hash), log richieste senza email o PII in chiaro, trace id, voci di admin audit.
Destinatari e responsabili
Ci affidiamo ai seguenti responsabili per erogare il servizio: • Google LLC — Accesso con Google (autenticazione) e, se presti il consenso, Google Analytics 4 (analytics). • Brevo (Sendinblue) — invio email transazionali. • Photon (Komoot, UE) e Stadia Maps — geocoding. • Stadia Maps e/o Mapbox — calcolo del percorso stradale. • OpenAI, L.L.C. o GitHub Models (Microsoft) — suggerimenti AI nell'editor, in base alla configurazione di deployment. • MinIO (self-hosted) o AWS S3 — object storage per i media. L'elenco aggiornato con dati trasferiti, paese di trattamento e base giuridica è mantenuto nel registro interno dei responsabili ed è disponibile per le autorità di controllo su richiesta.
Trasferimenti internazionali
Alcuni responsabili elencati sopra sono stabiliti al di fuori dello Spazio Economico Europeo. In questi casi il trasferimento è coperto da garanzie adeguate ex art. 46 GDPR, tipicamente Clausole Contrattuali Standard (2021/914) e, dove applicabile, il Data Privacy Framework UE-USA. Una copia delle garanzie può essere richiesta a [email protected].
Tempi di conservazione
Conserviamo i dati solo per il tempo necessario alla finalità per cui sono stati raccolti: • Dati account e profilo — fino alla cancellazione dell'account o fino al purge per inattività (24 mesi senza login → email di avviso → 30 giorni di grace → cancellazione definitiva). • Refresh token — 30 giorni oltre la data di scadenza. • Token di verifica email — 7 giorni oltre la data di scadenza. • Log di consenso — 24 mesi dalla registrazione. • Admin audit log — 12 mesi. • Fingerprint anonimi di visualizzazione — 90 giorni, poi azzerati; il conteggio resta come contatore aggregato. • Media caricati — finché il contenuto collegato esiste; alla cancellazione account avatar e media non referenziati vengono rimossi. • Itinerari pubblicati dopo cancellazione account — restano online in forma anonimizzata (autore mostrato come utente eliminato) come descritto nei Termini di Servizio.
I tuoi diritti
Hai diritto di accedere, rettificare, cancellare, limitare, portare i tuoi dati e di opporti al trattamento nei casi previsti. Puoi esercitare la maggior parte di questi diritti direttamente: • Accesso / portabilità — profilo → Privacy → «Scarica i miei dati». L'export è un archivio JSON strutturato. • Rettifica — modifica profilo, più un flow dedicato di cambio email con verifica del nuovo indirizzo. • Cancellazione — profilo → Privacy → «Elimina il mio account». È richiesta una doppia conferma. Le conseguenze sono descritte nei Termini di Servizio. • Revoca del consenso cookie — link «Gestisci preferenze cookie» nel footer e nelle pagine legali. Per qualunque richiesta non gestibile in self-service scrivi a [email protected].
Reclami
Se ritieni che i tuoi dati siano stati trattati in modo non conforme puoi presentare reclamo all'autorità di controllo competente. In Italia: Garante per la protezione dei dati personali (https://www.garanteprivacy.it).
Decisioni automatizzate
GuVarda non adotta decisioni esclusivamente automatizzate con effetti giuridici o analogamente significativi sugli utenti. I suggerimenti AI nell'editor sono proposte che tu revisioni e accetti manualmente.