Informativa sulla Privacy di Evnyo

Benvenuti sulla piattaforma Evnyo, una soluzione SaaS pay-per-event destinata alle PMI europee per la gestione dei loro eventi. La protezione dei vostri dati personali è la nostra priorità assoluta. La presente informativa sulla privacy spiega in modo trasparente come Evnyo tratta i vostri dati, in piena conformità al Regolamento (UE) 2016/679 (GDPR) e alle leggi nazionali applicabili. Redatta secondo i più elevati standard legali, questa informativa riflette il nostro impegno in materia di privacy e sicurezza. Dettagliamo le finalità del trattamento dei dati, le nostre basi giuridiche, i responsabili del trattamento che utilizziamo, le misure di sicurezza implementate, i vostri diritti e come esercitarli.

Evnyo si impegna a rispettare i principi di liceità, correttezza, trasparenza, minimizzazione dei dati e limitazione delle finalità previsti dal GDPR. Garantiamo inoltre la responsabilizzazione (accountability) documentando rigorosamente la nostra conformità. Utilizzando la nostra piattaforma, mantenete il controllo sui vostri dati: li utilizziamo solo per le finalità esplicite descritte di seguito e non li commercializziamo mai.

Il titolare del trattamento dei dati raccolti tramite la piattaforma Evnyo è MACK, società a responsabilità limitata francese con capitale sociale di € 246.389,00, sede legale APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, iscritta al Registro del Commercio e delle Società di Lille Métropole con il numero 852 895 747, SIRET 85289574700032 (di seguito "Evnyo" o "noi"). In qualità di titolare del trattamento, determiniamo le finalità e i mezzi dei trattamenti relativi alla gestione del sito e degli account clienti. Inoltre, quando trattiamo dati dei partecipanti per conto dei nostri clienti (organizzatori di eventi), agiamo in qualità di responsabile del trattamento ai sensi dell'articolo 28 del GDPR (cfr. sezione "Responsabilità del Trattamento" di seguito).

Designazione di un Referente per la Protezione dei Dati: In quanto PMI, Evnyo non ha l'obbligo legale di designare un referente per la protezione dei dati ai sensi dell'articolo 37 del GDPR e delle legislazioni nazionali equivalenti, poiché la nostra attività principale non consiste in un trattamento su larga scala che richiede un monitoraggio regolare e sistematico degli interessati, né in un trattamento su larga scala di categorie particolari di dati. Questa valutazione è stata effettuata conformemente alle linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) e delle autorità nazionali. Tuttavia, per trasparenza e miglioramento continuo delle nostre pratiche, abbiamo scelto di designare un referente per la protezione dei dati. Questo referente non ha lo status di referente per la protezione dei dati ai sensi dell'articolo 37 GDPR.

Autorità di controllo competenti: A seconda del vostro luogo di residenza, l'autorità di controllo competente è:

• Francia: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Regno Unito: Information Commissioner's Office (ICO)
• Germania: Autorità per la protezione dei dati dei Länder e Bundesbeauftragte für den Datenschutz
• Spagna: Agencia Española de Protección de Datos (AEPD)
• Italia: Garante per la protezione dei dati personali
• Portogallo: Comissão Nacional de Proteção de Dados (CNPD)
• Polonia: Urząd Ochrony Danych Osobowych (UODO)
• Romania: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Paesi Bassi: Autoriteit Persoonsgegevens (AP)
• Belgio: Autorité de protection des données (APD/GBA)
• Austria: Datenschutzbehörde (DSB)

Per qualsiasi domanda relativa a questa informativa o per esercitare i vostri diritti (dettagliati di seguito), potete contattare il nostro referente per la protezione dei dati:

• Dominique PRASIVORAVONG – Referente per la Protezione dei Dati di Evnyo
• Contatto: privacy@evnyo.com (o per posta al nostro indirizzo della sede legale, all'attenzione del referente per la protezione dei dati)

Raccogliamo e trattiamo dati personali esclusivamente per finalità determinate, esplicite e legittime. Di seguito trovate l'elenco dettagliato delle nostre finalità di trattamento, nonché la base giuridica corrispondente per ciascuna di esse, conformemente all'articolo 6 del GDPR:

• Invio di inviti e promemoria per eventi: Evnyo consente agli organizzatori di inviare inviti via email (tramite Postmark) e SMS (tramite Twilio) ai partecipanti, di sollecitare le persone che non hanno risposto o di inviare loro promemoria prima dell'evento. Questo trattamento è necessario per l'esecuzione del contratto che ci lega ai nostri clienti organizzatori (articolo 6(1)(b) GDPR) – agiamo su istruzioni dei nostri clienti per contattare gli ospiti nel quadro dell'organizzazione dell'evento. L'organizzatore, in quanto responsabile degli inviti, si assicura di disporre di una base giuridica adeguata (ad esempio il proprio interesse legittimo a invitare i propri contatti professionali).

• Monitoraggio della partecipazione e gestione del check-in: La nostra piattaforma elabora le risposte degli ospiti (partecipazione confermata, rifiuto, ecc.), monitora le iscrizioni e gestisce l'accesso all'evento. Questi dati consentono all'organizzatore di seguire in tempo reale l'affluenza e di gestire la presenza dei partecipanti il giorno dell'evento. Il trattamento viene effettuato nell'ambito del servizio fornito (gestione dell'evento), su base contrattuale (articolo 6(1)(b)).

• Importazione di contatti: Evnyo offre una funzionalità di importazione di contatti per aiutare i nostri clienti a integrare facilmente le loro liste di invitati (ad esempio da una rubrica). Questa operazione, attivata su richiesta dell'utente, comporta il trattamento dei dati di contatto (es. nomi, email, numeri) dei vostri contatti per aggiungerli come ospiti. L'uso di dati utente grezzi o derivati ricevuti dalle API di Workspace aderirà alla Politica sui dati utente di Google, inclusi i requisiti di uso limitato. La base giuridica è l'esecuzione del contratto e l'interesse legittimo dell'organizzatore a semplificare l'aggiunta di partecipanti (articolo 6(1)(b) o (f) a seconda dei casi). Il cliente si impegna a importare solo contatti che è autorizzato a utilizzare e ad aver informato queste persone se necessario.

• Correzione di dati e generazione di immagini tramite IA: Per migliorare l'esperienza utente, offriamo funzionalità assistite dall'intelligenza artificiale. Concretamente, Evnyo può inviare a OpenAI estratti di dati forniti dal cliente (ad esempio un file CSV mal strutturato o un elenco di partecipanti copiato e incollato) per correggerne il formato o generare automaticamente un'immagine (visual dell'evento) su richiesta. Questi trattamenti hanno lo scopo di facilitare la preparazione dell'evento (dati standardizzati, visual attrattivi). La base giuridica si basa sull'esecuzione del contratto – queste funzionalità vengono attivate solo su vostra richiesta per servirvi. Nota: I dati trasmessi a OpenAI sono limitati allo stretto necessario (principio di minimizzazione) e soggetti a trattamento automatizzato. Conformemente ai termini d'uso di OpenAI, i dati inviati tramite la loro API non vengono utilizzati per addestrare i loro modelli (salvo opt-in esplicito da parte nostra, che non facciamo) e vengono automaticamente eliminati dai loro sistemi entro un massimo di 30 giorni dopo il trattamento. Importante: I dati dei contatti di Google Workspace sono utilizzati esclusivamente per gli inviti agli eventi. Nessun modello di IA o machine learning utilizza i dati delle API di Google Workspace. Le nostre funzionalità di IA operano in modo completamente indipendente dalle fonti di dati Google.

• Statistiche anonimizzate: Evnyo può elaborare statistiche globali e anonimizzate dai dati degli eventi (es. tasso medio di risposta, numero totale di partecipanti, ecc.) al fine di fornire agli organizzatori indicatori sul successo dei loro eventi e migliorare i nostri servizi. Nessun dato personale appare in queste statistiche (i risultati sono aggregati in modo irreversibile). La produzione di tali statistiche non avendo impatto sulla privacy (dati non identificativi), può essere effettuata sulla base del nostro interesse legittimo a valutare e migliorare i nostri servizi (articolo 6(1)(f) GDPR).

• Elaborazione pagamenti e fatturazione: Evnyo utilizza Stripe per elaborare i pagamenti dei nostri clienti organizzatori per l'utilizzo della nostra piattaforma pay-per-event, nonché per la gestione della fatturazione ricorrente e degli abbonamenti. Questa funzione include l'elaborazione sicura dei dati bancari, la convalida dei pagamenti, la gestione dei programmi di fatturazione e il monitoraggio delle transazioni. La base giuridica per questo trattamento è l'esecuzione del contratto che ci lega ai nostri clienti (Articolo 6(1)(b) GDPR) – questi dati di pagamento sono essenziali per fornire il nostro servizio a pagamento e rispettare i nostri obblighi contrattuali di fatturazione.

• Gestione di cookie e consensi: Sul nostro sito web, utilizziamo cookie e tracker conformemente ai requisiti della Direttiva ePrivacy (2002/58/CE) e delle sue trasposizioni nazionali, in particolare le severe normative tedesche e francesi in materia di cookie. I cookie non essenziali (ad esempio per misurazioni di audience o funzionalità di personalizzazione) vengono inseriti solo dopo aver ottenuto il vostro consenso previo, libero, specifico, informato e inequivocabile tramite il nostro banner di consenso gestito da CookieYes. Questo consenso viene registrato e documentato conformemente agli standard più rigorosi. La base giuridica per l'uso di cookie non essenziali è il vostro consenso esplicito (articolo 6(1)(a) GDPR). Riguardo ai cookie strettamente necessari per il funzionamento del servizio (es. per rimanere collegati al vostro account), si basano sul nostro interesse legittimo o sulla necessità tecnica legata all'esecuzione del servizio richiesto (articolo 6(1)(b) o (f)). Potete gestire le vostre preferenze sui cookie in qualsiasi momento tramite lo strumento di consenso (CMP) e ritirare il vostro consenso con la stessa facilità con cui l'avete dato. (Cfr. sezione "Cookie" di seguito.)

• Documentazione di consensi e obblighi legali: Al fine di dimostrare la nostra conformità normativa in tutti i paesi in cui operiamo, conserviamo la prova di qualsiasi consenso che potreste aver dato (ad esempio il vostro consenso ai cookie tramite CookieYes, o per ricevere comunicazioni se applicabile). In virtù del GDPR e delle leggi nazionali equivalenti, il titolare del trattamento deve poter fornire in qualsiasi momento la prova che la persona ha acconsentito in condizioni valide. Documentiamo quindi le condizioni di raccolta dei consensi e manteniamo un registro dei consensi conformemente alle raccomandazioni delle autorità europee per la protezione dei dati. Questo trattamento è necessario per il rispetto di un obbligo legale che grava su di noi (articolo 6(1)(c) GDPR, art. 7(1) GDPR – capacità di dimostrare il consenso). Ad esempio, il registro dei consensi raccolti tramite CookieYes (inclusa la cronologia delle scelte di ogni utente, un identificatore, data/ora e indirizzo IP anonimizzato) viene conservato in modo sicuro per costituire una prova in caso di controllo o contestazione.

In tutte le circostanze, Evnyo tratta i vostri dati personali solo per le finalità summenzionate e non procederà mai a trattamenti successivi incompatibili con queste finalità senza informarvi e, se del caso, ottenere nuovamente il vostro consenso. Inoltre, nessun processo decisionale automatizzato o profilazione ai sensi dell'articolo 22 GDPR viene implementato attraverso i nostri servizi.

Nell'ambito delle finalità di cui sopra, Evnyo può raccogliere diverse categorie di dati personali:

• Dati di identificazione e contatto: nome, cognome, indirizzo email, numero di telefono dei partecipanti invitati a un evento (forniti dall'organizzatore o dal partecipante stesso durante la registrazione). Per gli utenti clienti (organizzatori), raccogliamo nomi, cognomi, dati di contatto professionali, funzione/titolo, nonché informazioni relative all'azienda (ragione sociale, indirizzo, partita IVA se applicabile) durante la creazione dell'account e la fatturazione.

• Dati relativi all'evento: informazioni legate all'invito e alla partecipazione delle persone – es. stato dell'invito (inviato/aperto), risposta (sì/no/in attesa), numero di accompagnatori, preferenze espresse (es. scelta di fascia oraria o regime alimentare, se l'organizzatore lo richiede), presenza effettiva durante il check-in. Questi dati consentono il monitoraggio logistico dell'evento.

• Dati importati: se l'organizzatore utilizza la funzione di importazione contatti, Evnyo tratterà i dati dalla sua rubrica di terze parti (es. contatti Gmail, Outlook) che avrà selezionato – tipicamente nome, email, azienda, telefono dei contatti da invitare. Importante: questa importazione viene effettuata solo su iniziativa dell'utente e con la sua autorizzazione esplicita ad accedere a questi contatti tramite il servizio di terze parti (che può richiedere la corrispondente autorizzazione OAuth). Evnyo non utilizza questi dati oltre la costituzione della lista degli invitati.

• Contenuti forniti: qualsiasi contenuto libero che potreste inserire sulla piattaforma, ad esempio il messaggio personalizzato dell'invito, il logo o visual dell'evento (che può contenere un'immagine, potenzialmente il volto di una persona se lo caricate, ecc.), o file che allegaste (es. programma PDF dell'evento). Questi contenuti vengono utilizzati solo nell'ambito dell'evento (distribuzione dell'invito, messa a disposizione ai partecipanti, ecc.). Quando Evnyo ricorre a OpenAI per generare un'immagine o riformattare un testo fornito, il prompt e/o i dati inviati all'IA possono includere alcuni elementi di questi contenuti forniti (es. testo grezzo contenente nomi). Tuttavia, ci assicuriamo di non inviare informazioni superflue o altamente sensibili a questi servizi esterni.

• Dati tecnici e di navigazione: durante l'utilizzo della piattaforma o la consultazione del sito, possiamo raccogliere alcuni dati tecnici: indirizzo IP (anonimizzato per le misurazioni di audience), informazioni del dispositivo e del browser, preferenze linguistiche, log di connessione (date/ore) e cookie (cfr. sezione dedicata). Questi dati vengono utilizzati principalmente per la sicurezza, la fornitura del servizio (es. mantenere aperta la vostra sessione) e statistiche aggregate. Possono anche servire per rilevare e prevenire usi abusivi della piattaforma.

Tutti i dati raccolti vengono ottenuti direttamente da voi (utente organizzatore o ospite) o derivano dal vostro utilizzo dei servizi (es. stato di partecipazione). Nei rari casi in cui i dati ci vengono trasmessi da una terza parte autorizzata (es. un collega vi iscrive a un evento tramite Evnyo), l'organizzatore si impegna ad aver ottenuto le autorizzazioni necessarie. Chiediamo ai nostri clienti-organizzatori di assicurarsi di informare correttamente i partecipanti dell'uso della piattaforma Evnyo per gestire gli inviti, conformemente all'articolo 14 GDPR se applicabile.

I vostri dati personali sono accessibili al personale autorizzato di Evnyo nella stretta misura del necessario (principio di accesso limitato – ad esempio, il nostro team di supporto può accedere alle informazioni del vostro account per assistervi). A parte questi accessi interni protetti da impegni di riservatezza, Evnyo non comunica i vostri dati a terzi, ad eccezione dei suoi fornitori tecnici debitamente autorizzati, elencati di seguito. Questi fornitori agiscono per nostro conto e per nostro nome come responsabili del trattamento, secondo le nostre istruzioni e nel rispetto di questa informativa.

Selezioniamo i nostri responsabili del trattamento con la massima cura, assicurandoci che presentino garanzie sufficienti in materia di protezione dei dati (competenza, misure di sicurezza, conformità GDPR). Importante: In quanto PMI, Evnyo si basa su contratti e DPA (Data Processing Addendum) standard offerti dai suoi fornitori di servizi. Non abbiamo il peso contrattuale per negoziare clausole personalizzate con i giganti tecnologici, ma ci assicuriamo che le loro condizioni standard rispettino i requisiti dell'articolo 28 del GDPR. Questi DPA standard definiscono l'oggetto e la durata del trattamento, la natura delle operazioni effettuate, i tipi di dati e interessati coinvolti, nonché gli obblighi di riservatezza, sicurezza e assistenza che li riguardano. I nostri responsabili del trattamento non utilizzeranno mai i vostri dati per scopi diversi da quelli che abbiamo loro specificato secondo i loro termini generali d'uso. Ecco l'elenco completo dei nostri fornitori e il loro ruolo esatto:

• CookieYes – Consent Management Platform (CMP): strumento di gestione dei consensi sui cookie. CookieYes implementa il banner dei cookie sul nostro sito e registra le scelte di ogni utente riguardo ai cookie. Ruolo: garantire che i tracker non essenziali vengano attivati solo con il consenso, e conservare la prova del consenso o rifiuto dell'utente. Ubicazione: CookieYes Limited è una società registrata nel Regno Unito. Le preferenze di consenso possono essere memorizzate localmente (tramite un cookie tecnico sul vostro browser) e/o sui server di CookieYes. Questi dati (identificatore anonimo di consenso, data, tipo di consenso) sono puramente tecnici e utilizzati per dimostrare il rispetto delle vostre scelte.

• Dichiarazione sull'uso dei dati dell'API Google: L'uso da parte di Evnyo delle informazioni ricevute dalle API Google rispetta la Politica sui Dati Utente dei Servizi API Google, inclusi i requisiti di Uso Limitato. Per ulteriori informazioni su questi requisiti potete visitare: Google Workspace API User Data Policy e Google API Services User Data Policy .

• OpenAI – Intelligenza Artificiale (IA): servizio di IA avanzata che utilizziamo tramite API per funzionalità specifiche (es: correzione di dati mal formattati, generazione di immagini su richiesta). Ruolo: trattamento algoritmico del contenuto che gli sottoponiamo per produrre un risultato (file corretto o immagine generata) restituito a Evnyo. Ubicazione: Stati Uniti (OpenAI, Inc.). Dati trasmessi: estratti di testo o istruzioni che ci fornite per l'uso dell'IA (che possono contenere dati personali se li avete inclusi). Garanzie: Conformemente ai termini d'uso dell'API OpenAI (OpenAI API Data Processing Terms), i dati che trasmettiamo non vengono utilizzati da OpenAI per addestrare i loro modelli di IA (salvo opt-in esplicito da parte nostra, che non facciamo) e vengono automaticamente eliminati dai loro sistemi entro un massimo di 30 giorni dopo il trattamento. OpenAI si impegna contrattualmente a non utilizzare questi dati per scopi diversi dalla fornitura del servizio richiesto.

• Supabase – Database e hosting di file: Supabase è il nostro fornitore di infrastruttura applicativa. Ruolo: hosting del database PostgreSQL contenente i dati di Evnyo (account, eventi, inviti, risposte, ecc.), e archiviazione dei file associati (es. immagini dei vostri eventi) in uno spazio dedicato (bucket). Ubicazione: Unione Europea. Utilizziamo i server europei di Supabase (regione UE) affinché tutti i dati e file siano ospitati esclusivamente in Europa. Da notare che Supabase si basa su centri dati certificati (utilizzano in particolare infrastrutture Cloud regionali conformi al GDPR). I dati archiviati nel database o nel bucket sono crittografati a riposo (cfr. sezione Sicurezza) e sono accessibili solo alle applicazioni Evnyo e ai nostri amministratori autorizzati. Supabase non accede ai dati in chiaro e non li utilizza diversamente che per le esigenze tecniche dell'archiviazione.

• Vercel – Hosting front-end: Vercel è la piattaforma di hosting del front-end della nostra applicazione (sito web e interfaccia utente di Evnyo). Ruolo: distribuzione dell'applicazione web e dei contenuti statici agli utenti finali, tramite una rete di distribuzione di contenuti globale (CDN) per prestazioni ottimali. Ubicazione: principalmente negli Stati Uniti (Vercel Inc.), con una CDN in tutto il mondo (inclusi server in Europa) per avvicinare il contenuto all'utente. Garanzie di trasferimento: Vercel è certificato per l'EU-US Data Privacy Framework e offre un Data Processing Addendum standard conforme al GDPR. Dati interessati: essenzialmente dati tecnici di navigazione. Quando utilizzate Evnyo, il vostro browser si connette ai server di Vercel per caricare l'interfaccia; Vercel può registrare dati tecnici (es. indirizzo IP, data, risorsa richiesta) per esigenze di log e cache, ma non tratta alcun dato personale applicativo archiviato (il database rimane presso Supabase). I log di Vercel vengono utilizzati solo per scopi di troubleshooting e vengono eliminati regolarmente.

• Postmark – Invio di email transazionali: servizio di email (offerto da Wildbit/ActiveCampaign) utilizzato per instradare le email generate da Evnyo. Ruolo: invio affidabile di email transazionali relative agli eventi (es. inviti, conferme di iscrizione, promemoria, follow-up post-evento) per conto dell'organizzatore. Ubicazione: principalmente negli Stati Uniti (server di invio Postmark), con infrastrutture ridondanti. Garanzie di trasferimento: Postmark offre un Data Processing Addendum (DPA) standard conforme ai requisiti GDPR e garanzie contrattuali per i trasferimenti internazionali. Dati trasmessi: indirizzo email del destinatario, contenuto dell'invito o del messaggio (includendo eventualmente il nome dell'ospite, dettagli dell'evento, ecc.). Postmark agisce come semplice vettore di invio e memorizza temporaneamente le informazioni di invio (log delle email, stato di consegna) per scopi di monitoraggio e prova di invio. Questi log vengono conservati per un tempo limitato e poi eliminati secondo la loro politica di conservazione. Postmark è contrattualmente tenuto a rispettare la riservatezza dei dati trasmessi.

• Twilio – Invio di SMS transazionali: piattaforma utilizzata per l'invio di SMS (ad esempio inviti o promemoria SMS, o messaggi di verifica) ai partecipanti che hanno fornito un numero di telefono. Ruolo: instradare SMS verso gli operatori telefonici dei vostri contatti. Ubicazione: Twilio Inc. è una società americana, ma ha punti di presenza nell'UE. Per impostazione predefinita, le richieste SMS da Evnyo vengono instradate tramite server situati nell'UE. Tuttavia, in caso di sovraccarico o necessità di instradamento internazionale, può accadere che il messaggio venga elaborato da un server fuori dall'UE (es. negli Stati Uniti) per garantire la consegnabilità – questo è il "fallback" internazionale. Garanzie di trasferimento: Twilio dispone di Norme Aziendali Vincolanti (BCR) approvate dalle autorità europee per la protezione dei dati e offre un Data Processing Addendum conforme al GDPR. Dati trasmessi: numero di telefono del destinatario, contenuto testuale dell'SMS (includendo eventualmente il nome dell'evento o un link di conferma). Twilio conserva questi dati solo per la registrazione e fatturazione (dettagli dei messaggi) e li elimina secondo tempistiche conformi alle normative telecom.

• Stripe – Elaborazione pagamenti: piattaforma di pagamento utilizzata per elaborare i pagamenti dei nostri clienti organizzatori di eventi e la fatturazione dei nostri servizi. Ruolo: elaborazione sicura di pagamenti con carta di credito, bonifici bancari e altri metodi di pagamento, nonché gestione di fatturazione e abbonamenti. Ubicazione: Stripe Europe, Ltd. (Irlanda) per clienti europei, con infrastruttura distribuita in Europa e conformità SEPA. Garanzie di trasferimento: Stripe dispone di certificazioni GDPR complete e applica Clausole Contrattuali Standard (SCC) per qualsiasi trasferimento fuori dall'UE. Dati trasmessi: dettagli di fatturazione dell'organizzatore (nome, indirizzo, email, informazioni di pagamento), importi delle transazioni, storico di fatturazione. Stripe agisce come titolare del trattamento per aspetti legati ai pagamenti e come responsabile per i dati che le trasmettiamo come parte del nostro servizio. I dati di pagamento sono crittografati e protetti secondo gli standard PCI DSS. Stripe conserva i dati delle transazioni secondo le proprie politiche di conservazione e obblighi normativi finanziari.

• OVH – Gestione nome di dominio e DNS: OVHcloud è il nostro registrar e host DNS per il dominio evnyo.com. Ruolo: gestione tecnica del nome di dominio, record DNS (in particolare quelli legati all'invio di email, come SPF/DKIM), e hosting di alcune funzioni ausiliarie (es. reindirizzamento del sito verso Vercel). Ubicazione: Francia (OVH, società francese). Dati personali: in realtà pochissimi dati – OVH tratta essenzialmente dati tecnici (query DNS dei visitatori, che non contengono dati personali identificabili di per sé eccetto possibilmente l'IP di chi fa la query). Per trasparenza, menzioniamo OVH perché è un fornitore di servizi nella nostra catena tecnica, ma non sfrutta alcun dato di utente finale.

Ogni fornitore di servizi summenzionato agisce solo su istruzioni di Evnyo e mai per proprio conto. Manteniamo il controllo dei vostri dati. Se in futuro dovessimo ricorrere a nuovi fornitori di servizi o cambiarne uno, aggiorneremmo questo elenco e, se del caso, vi informeremmo preventivamente se ciò impatta i vostri dati. Conservate naturalmente i vostri diritti (cfr. sezione "I Vostri Diritti") inclusi sui dati trattati tramite questi responsabili del trattamento: Evnyo rimane il vostro unico punto di contatto.

Evnyo si assicura che tutti i suoi responsabili del trattamento offrano garanzie contrattuali robuste in materia di protezione dei dati, conformemente all'articolo 28 del GDPR. Ciò significa in particolare che:

• Autorizziamo i nostri responsabili del trattamento a trattare i dati solo per scopi specifici e documentati, in relazione alle nostre istruzioni. Un responsabile del trattamento non può in nessun caso riutilizzare i vostri dati per proprio uso (es. marketing) o trasmetterli a terzi senza autorizzazione.

• Ogni responsabile del trattamento è vincolato da una clausola di riservatezza rigorosa riguardo ai dati a cui può avere accesso. Il personale dei nostri fornitori di servizi autorizzato a manipolare i vostri dati è soggetto a un dovere di riservatezza legale o contrattuale.

• I nostri contratti richiedono a questi fornitori di servizi di implementare tutte le misure di sicurezza richieste dall'articolo 32 del GDPR (cfr. dettagli nella sezione Sicurezza di seguito), e di assisterci per consentire l'esercizio dei vostri diritti (es: se richiedeste la cancellazione dei vostri dati, il responsabile del trattamento deve cooperare per eliminarli dai suoi sistemi).

• Nessun ulteriore responsabile del trattamento (chiamato "sub-responsabile del trattamento") può essere ingaggiato senza la nostra autorizzazione scritta preventiva. Se uno dei nostri fornitori di servizi desidera assumerne un altro per eseguire parte del trattamento, deve informarci preventivamente e contrarre con lui obblighi identici. In ogni caso, il fornitore di servizi iniziale rimane pienamente responsabile verso Evnyo per qualsiasi mancanza del suo sub-responsabile del trattamento (principio di responsabilità a cascata, art. 28(4) GDPR).

• Al termine della prestazione, i nostri contratti stabiliscono che i responsabili del trattamento devono, a scelta di Evnyo, eliminare tutti i dati personali o restituirceli e distruggere qualsiasi copia esistente (salvo obbligo legale contrario). Ad esempio, se eliminate un evento e richiedete la cancellazione dei dati dei partecipanti, ci assicureremo che queste informazioni vengano eliminate anche dai sistemi dei nostri fornitori di servizi (Supabase, backup, ecc.).

• Infine, i nostri responsabili del trattamento devono fornirci tutte le informazioni necessarie per dimostrare la conformità ai requisiti del GDPR e consentire la realizzazione di eventuali audit. Evnyo effettua regolari due diligence (revisione di certificazioni, audit di terze parti, rapporti di sicurezza) per assicurare il rispetto continuo di questi obblighi.

Lavorando così con un ecosistema di fornitori di servizi conformi e contrattualmente impegnati, Evnyo garantisce che la sub-responsabilità di certe operazioni non indebolisca affatto il livello di protezione applicato ai vostri dati.

Evnyo attribuisce particolare importanza alla sovranità e localizzazione dei dati. Tutti i vostri file e dati sono ospitati esclusivamente all'interno dell'Unione Europea attraverso il nostro partner tecnologico Supabase, la cui infrastruttura europea garantisce una localizzazione rigorosa dei dati sul territorio UE. Questo approccio europeo ci permette di mantenere un controllo giuridico ottimale sulle vostre informazioni, con i documenti che importate e le liste dei partecipanti che rimangono fisicamente su server europei, soggetti alla regolamentazione europea. I benefici sono duplici: latenze ridotte grazie alla prossimità geografica con i vostri partecipanti europei, e un migliore controllo giuridico, con i vostri dati non esposti alle legislazioni extraterritoriali di paesi terzi. In sintesi, Evnyo privilegia l'hosting europeo conforme ai requisiti di sovranità digitale, garantendo sicurezza rafforzata e conformità GDPR rinforzata.

Evnyo mira nella misura del possibile a evitare i trasferimenti di dati fuori dallo Spazio Economico Europeo (SEE). La regola generale è che i dati vengano trattati e archiviati all'interno dell'UE. Tuttavia, alcuni dei nostri responsabili del trattamento o strumenti essendo basati fuori dall'UE, possono verificarsi trasferimenti internazionali di dati in modo limitato. Dettagliamo di seguito questi casi e le garanzie messe in atto:

• Nessun trasferimento non inquadrato: Nessun trasferimento di dati personali viene effettuato verso un paese non membro del SEE senza protezione. Tutti i nostri flussi internazionali sono inquadrati per assicurare un livello di protezione dei dati essenzialmente equivalente a quello dell'UE. In pratica, ciò significa che se i vostri dati dovessero lasciare il suolo europeo, Evnyo si basa su uno dei meccanismi previsti dal GDPR: ad esempio, l'esistenza di una decisione di adeguatezza della Commissione europea per il paese destinatario, o la firma di Clausole Contrattuali Standard (CCS) quando si tratta di un trasferimento verso un fornitore di servizi situato in un paese senza adeguatezza.

• Fornitori di servizi situati fuori dall'UE: Tra i nostri responsabili del trattamento elencati, alcuni sono stabiliti negli Stati Uniti (es. OpenAI, Postmark, Twilio, Vercel) o in Irlanda (Stripe). Come tali, i dati loro trasmessi nell'ambito della loro missione costituiscono trasferimenti fuori dal continente UE. Importante: Evnyo si assicura che tutti i suoi subappaltatori extra-UE dispongano di meccanismi di trasferimento validati (BCR, CCS, decisione di adeguatezza). I DPA standard utilizzati rispettano i requisiti dell'articolo 28 GDPR. Concretamente:
• Stripe: con sede in Irlanda (UE) per clienti europei, dispone di certificazioni GDPR complete e applica Clausole Contrattuali Standard (SCC) per qualsiasi trasferimento fuori dall'UE
• Twilio: dispone di Norme Aziendali Vincolanti (BCR) approvate dalle autorità europee e aderisce alle condizioni del loro Data Processing Addendum standard
• Postmark: offre un Data Processing Addendum (DPA) standard conforme ai requisiti GDPR
• Vercel: certificato per l'EU-US Data Privacy Framework e offre un DPA standard
• OpenAI: applica i termini standard OpenAI API Data Processing Terms (conservazione ≤ 30 giorni, nessun addestramento senza opt-in)

Questi meccanismi, benché non negoziati individualmente da Evnyo, offrono garanzie legali equivalenti alle CCS per proteggere i vostri dati durante i trasferimenti internazionali.

• Regno Unito: Il fornitore di servizi CookieYes essendo basato nel Regno Unito, è da notare che il Regno Unito beneficia di una decisione di adeguatezza della Commissione europea dal 28 giugno 2021, consentendo trasferimenti di dati nelle stesse condizioni che verso il SEE (conformemente all'articolo 45 GDPR). Tuttavia, il Regno Unito applica ora il UK GDPR e il Data Protection Act 2018, che possono presentare divergenze dal GDPR europeo. Evnyo monitora l'evoluzione di questa decisione di adeguatezza e delle normative britanniche, e prenderà le misure necessarie se la situazione dovesse cambiare (es: conclusione di un UK Addendum alle CCS, ecc.).

• Caso particolare di Twilio (SMS): Come menzionato, Twilio dispone di meccanismi legalmente approvati. Twilio ha in particolare implementato Norme Aziendali Vincolanti (BCR) interne validate dalle autorità europee, che costituiscono il suo principale strumento di trasferimento. Inoltre, Twilio aderisce alle CCS per i paesi terzi non coperti dalle sue BCR. Così, l'uso di Twilio per inviare SMS (anche se questi vengono instradati fuori dall'UE) rimane conforme ai requisiti europei.

• Proporzionalità: Ci assicuriamo che i dati inviati fuori dall'UE siano minimizzati in relazione alla finalità. Ad esempio, quando richiediamo a OpenAI di correggere un testo, trasmettiamo solo il testo necessario, senza metadati aggiuntivi. Allo stesso modo, per un SMS tramite Twilio, sono interessate solo le informazioni essenziali (contenuto SMS, numero). Nessuno dei vostri dati Evnyo è ospitato massivamente o sistematicamente fuori dall'UE, eventuali trasferimenti sono puntuali e circoscritti.

• Valutazione dei rischi di trasferimento: Prima di utilizzare qualsiasi fornitore di servizi situato fuori dall'UE, Evnyo valuta i rischi legati al trasferimento di dati personali tenendo conto di:
• La natura e sensibilità dei dati trasferiti (minimizzazione allo stretto necessario)
• La finalità e durata del trattamento
• Le garanzie contrattuali offerte dal fornitore di servizi (DPA, BCR, certificazione Data Privacy Framework)
• La legislazione del paese di destinazione e i rischi di accesso governativo
• Misure di sicurezza tecniche aggiuntive (crittografia, pseudonimizzazione)

Questa valutazione ci consente di assicurare che ogni trasferimento benefici di un livello di protezione adeguato, anche senza negoziazione di CCS personalizzate.

In sintesi, nessun trasferimento dei vostri dati fuori dal SEE ha luogo senza rigoroso inquadramento. Evnyo rimane attento alle evoluzioni giurisprudenziali (sentenza "Schrems II", ecc.) e raccomandazioni delle autorità per adeguare se necessario i suoi meccanismi di trasferimenti internazionali. Il nostro obiettivo è che i vostri dati beneficino ovunque si trovino di un livello di riservatezza e sicurezza conforme agli standard europei.

Evnyo conserva i vostri dati personali solo per periodi limitati, proporzionati alle finalità per cui sono stati raccolti, e in conformità con i requisiti legali. Ecco le nostre principali politiche di conservazione:

• Dati legati a eventi e partecipanti: I dati personali di ospiti/partecipanti (nomi, contatti, stato, ecc.) vengono conservati durante la durata di vita dell'evento e la sua gestione attiva, poi eliminati o anonimizzati 90 giorni dopo la fine dell'evento o la risoluzione del contratto, a seconda di quale si verifichi per prima. In pratica, non appena un evento è passato e chiuso dall'organizzatore, inizia un contatore di conservazione. Dopo 90 giorni, eliminiamo dal nostro database tutti i dettagli identificativi relativi a questo evento (lista dei partecipanti con le loro informazioni). Questo periodo di 3 mesi dopo l'evento consente all'organizzatore di accedere ancora ai rapporti e statistiche, effettuare follow-up post-evento (ringraziamenti, resoconti anonimizzati) e gestire eventuali reclami (es. richiesta di certificato di partecipazione) prima della cancellazione. Superato questo termine, l'organizzatore non ha più accesso ai dati nominativi dei partecipanti su Evnyo, questi essendo sia eliminati definitivamente sia conservati in forma aggregata/anonimizzata per le statistiche globali. (Esempio: un tasso di partecipazione dell'80% potrà essere conservato senza alcuna menzione di chi ha partecipato o meno.)

• Dati di account cliente (organizzatore): Le informazioni relative al vostro account Evnyo (profilo utente, informazioni dell'azienda cliente, storico di fatturazione) vengono conservate finché utilizzate i nostri servizi e siete un cliente attivo. Se decidete di chiudere il vostro account o in caso di risoluzione del contratto, elimineremo o anonimizzeremo i dati del vostro profilo e degli eventi passati al più tardi 30 giorni dopo la fine del contratto, eccetto quelli che dobbiamo conservare più a lungo per rispettare i nostri obblighi legali o stabilire la prova di un diritto. Ad esempio, i dati di fatturazione (fatture emesse, informazioni di pagamento) verranno conservati conformemente agli obblighi contabili e fiscali per la durata legale (in Italia, 10 anni per i documenti contabili). Verranno poi eliminati. Allo stesso modo, gli scambi contrattuali che possono avere valore giuridico potranno essere archiviati per il tempo delle prescrizioni legali applicabili.

• Log tecnici e dati di navigazione: I registri di attività del sistema (connessioni, azioni effettuate) vengono conservati per la sicurezza e tracciabilità per una durata di 12 mesi scorrevoli, salvo diverso requisito legale. I log più sensibili (es. log di accesso amministratore) possono essere conservati fino a 2 anni. Gli indirizzi IP raccolti per scopi di sicurezza o registrazione vengono generalmente conservati 3 mesi (eccetto IP associati ai log di amministrazione, conservati 2 anni). I dati di navigazione raccolti per scopi statistici (tramite cookie analitici) vengono aggregati e anonimizzati immediatamente, ma i dati grezzi associati ai cookie (es. identificatore cookie) possono essere conservati massimo 13 mesi conformemente alle raccomandazioni delle autorità europee per la protezione dei dati, in particolare i requisiti rigorosi della CNIL francese e delle autorità tedesche.

• Consensi: I registri di consenso (es. log CMP di CookieYes, prova di opt-in) verranno conservati per il tempo necessario a poter dimostrare la conformità in tutti i paesi in cui operiamo. Così, i log di consenso sui cookie vengono archiviati per 6 mesi a 13 mesi (a seconda che l'utente mantenga le sue scelte o le rinnovi), in linea con le normative nazionali più rigorose in materia di cookie. Le prove di consenso per ricevere comunicazioni (se Evnyo offre una newsletter o altro) verrebbero conservate fino alla cessazione dell'invio + 3 anni (durata di prescrizione). In generale, non cancelliamo una prova di consenso finché il trattamento interessato è in corso e non contestato. In caso di ritiro del consenso, possiamo conservare l'informazione che vi siete opposti (lista di opposizione) finché necessario per non sollecitarvi impropriamente.

• Backup: Il nostro sistema effettua backup regolari crittografati del database per assicurare la continuità del servizio. Questi backup possono contenere dati personali e vengono conservati in generale per 30 giorni scorrevoli prima di essere sovrascritti da nuovi backup. Così, anche dopo eliminazione di dati nel database principale, può sussistere una copia in un backup fino alla sua scadenza. Superati 30 giorni, i backup contenenti questi dati obsoleti vengono automaticamente distrutti. I backup sono accessibili solo per scopi di ripristino dai nostri amministratori e sono soggetti alle stesse misure di sicurezza e riservatezza.

Al termine delle durate di cui sopra, i dati vengono sia eliminati in modo sicuro, sia resi anonimi in modo irreversibile. Quando i dati vengono anonimizzati, escono dal campo del GDPR (nessuna persona è più identificabile) e possono essere conservati più a lungo senza limite particolare, ad esempio per alimentare le nostre statistiche globali o analisi interne.

Eccezioni particolari: Può accadere che dobbiamo conservare certi dati più a lungo in caso di contenzioso o inchiesta (es. congelamento di dati su richiesta di un'autorità, o conservazione fino alla risoluzione di una controversia). In questo caso, bloccheremo l'accesso ai dati interessati e li conserveremo per il tempo necessario all'azione giudiziaria o amministrativa. I vostri dati possono anche essere conservati più a lungo se la legge lo richiede (es. nell'ambito di un obbligo legale di conservazione o archiviazione pubblica).

Rivalutiamo regolarmente le nostre politiche di conservazione per evitare di archiviare dati personali più a lungo del necessario. Se ritenete che uno dei vostri dati sia conservato impropriamente, non esitate a esercitare il vostro diritto alla cancellazione (cfr. di seguito "I Vostri Diritti"), analizzeremo la vostra richiesta con attenzione nel rispetto del GDPR.

Evnyo implementa misure di sicurezza tecniche e organizzative rigorose per proteggere i vostri dati contro i rischi di perdita, alterazione, divulgazione o accesso non autorizzato, conformemente all'articolo 32 del GDPR. Il nostro approccio alla sicurezza si basa sulle migliori pratiche del settore e una valutazione continua dei rischi. Tra le misure in atto:

• Crittografia degli scambi (TLS): Tutte le comunicazioni tra il vostro browser/dispositivo e la piattaforma Evnyo sono protette da crittografia TLS 1.3 (https) end-to-end. Ciò garantisce che i dati che trasmettete o consultate su Evnyo non possano essere intercettati o letti da una terza parte durante il transito. Potete verificare la presenza del lucchetto di sicurezza nel vostro browser durante l'uso del servizio.

• Crittografia dei dati a riposo: I dati personali archiviati nel nostro database così come i file importati nel bucket Supabase sono crittografati a riposo utilizzando algoritmi all'avanguardia (AES-256 ad esempio). La crittografia a riposo significa che anche in caso di accesso fisico o furto dei supporti di archiviazione, i dati rimangono illeggibili senza le appropriate chiavi di decrittazione. Queste chiavi di crittografia vengono mantenute segrete e protette su moduli sicuri.

• Controllo degli accessi e autenticazione rafforzata: Internamente, l'accesso ai dati personali è strettamente riservato alle persone che ne hanno bisogno per le loro funzioni (principio del need-to-know). Utilizziamo una gestione fine degli accessi per ruoli (RBAC – Role-Based Access Control) per segmentare i permessi all'interno del nostro team. Ad esempio, un tecnico del supporto può vedere certi dati del vostro account per aiutarvi, ma non avrà accesso ai dati finanziari o alle liste di ospiti di altri clienti. Inoltre, tutti i nostri account amministratori e sensibili sono protetti da autenticazione multi-fattore (MFA) obbligatoria, riducendo il rischio di intrusione tramite furto di password. L'autenticazione degli utenti clienti supporta anche standard di sicurezza (password con hash e salt, requisiti di complessità, possibilità di 2FA se lo desiderate, ecc.).

• Test, audit e manutenzione della sicurezza: Effettuiamo regolarmente test di penetrazione e analisi delle vulnerabilità sulla nostra piattaforma per identificare eventuali falle. Qualsiasi componente o dipendenza software viene aggiornato prontamente quando è disponibile una patch di sicurezza. Seguiamo le raccomandazioni OWASP Top 10 per prevenire vulnerabilità applicative comuni (iniezioni, XSS, CSRF, ecc.). Inoltre, i nostri responsabili del trattamento critici (es. Supabase, Vercel) sono certificati o sottoposti ad audit (certificazioni ISO 27001, SOC 2 Type II, ecc.), assicurando un alto livello di sicurezza dell'infrastruttura.

• Integrità e resilienza: I nostri sistemi integrano meccanismi che garantiscono la riservatezza, integrità, disponibilità e resilienza dei vostri dati. Ad esempio, duplichiamo i dati su più server ridondanti per prevenire la perdita in caso di guasto (con backup regolari come menzionato). L'accesso ai dati in produzione viene registrato e monitorato permanentemente. Qualsiasi anomalia (tentativo di accesso ingiustificato, picco di traffico sospetto, ecc.) scatena avvisi di sicurezza in tempo reale. Abbiamo anche procedure di ripristino di emergenza testate regolarmente per ristabilire rapidamente il servizio e l'accesso ai dati in caso di incidente maggiore (piano di continuità aziendale / piano di disaster recovery).

• Sicurezza degli sviluppi: I nostri team integrano la sicurezza fin dalla progettazione delle nuove funzionalità (privacy by design & by default, art. 25 GDPR). Gli ambienti di test sono isolati dai dati reali (utilizziamo set di dati fittizi per lo sviluppo per non esporre dati veri). Qualsiasi modifica del codice è soggetta a revisioni (code review) e test unitari/funzionali inclusi sugli aspetti di sicurezza.

• Riservatezza del personale e formazione: Ogni collaboratore di Evnyo che ha accesso a dati personali è soggetto contrattualmente a un obbligo di riservatezza. Inoltre, sensibilizziamo regolarmente tutto il personale sulle buone pratiche di protezione dei dati (formazioni GDPR, sicurezza informatica, procedure da seguire in caso di incidente, ecc.).

• Misure fisiche e ambientali: Benché Evnyo sia una soluzione cloud, ci assicuriamo che i nostri hosting dispongano di misure di protezione fisica robuste (centri dati sorvegliati 24/7, controllo di accesso fisico biometrico o con badge, ridondanza elettrica, rilevamento incendi, ecc.).

In caso di violazione di dati personali nonostante tutte queste precauzioni (es. intrusione accertata, perdita o divulgazione non autorizzata di dati), ci impegniamo a seguire la procedura legale: notifica al Garante entro 72h se richiesto (articolo 33 GDPR) e comunicazione agli interessati quando la violazione è suscettibile di generare un rischio elevato per loro (articolo 34 GDPR). Disponiamo di un registro interno degli incidenti di sicurezza e di un piano di risposta agli incidenti per gestire efficacemente questo tipo di situazione. Il nostro obiettivo è essere proattivi e trasparenti: se siete interessati da un incidente grave, sarete informati nei migliori tempi, con tutte le informazioni sulla natura dell'incidente e le misure prese.

Conformemente al GDPR, disponete di un insieme di diritti relativi ai vostri dati personali. Evnyo si impegna a garantire il rispetto effettivo di questi diritti e ad offrirvi modalità semplici per esercitarli. Ecco un riassunto dei vostri diritti fondamentali:

• Diritto di essere informati: avete il diritto di essere informati in modo chiaro sui trattamenti dei vostri dati (questo è precisamente l'oggetto di questa informativa sulla privacy). Ci sforziamo di fornirvi tutte le informazioni richieste dagli articoli 13 e 14 GDPR (identità del titolare, finalità, basi giuridiche, destinatari, periodi di conservazione, ecc.).

• Diritto di accesso: potete chiederci conferma che deteniamo dati personali che vi riguardano, e se del caso, ottenerne una copia così come informazioni sulle modalità del trattamento (finalità, categorie di dati, destinatari, ecc.). Concretamente, ciò vi permette di sapere quali dati abbiamo su di voi. Forniremo queste informazioni in forma comprensibile e tramite il mezzo di comunicazione di vostra scelta (elettronico o cartaceo). Nota: per gli ospiti di eventi, nella misura in cui Evnyo agisce come responsabile del trattamento dell'organizzatore, è spesso più pertinente sollecitare prima l'organizzatore (titolare del trattamento) per l'accesso ai vostri dati di iscrizione. Tuttavia, potete anche contattarci direttamente; coordineremo allora con il nostro cliente per fornirvi una risposta completa.

• Diritto di rettifica: se constatate che i dati che vi riguardano sono inesatti o incompleti, potete richiederne la correzione o l'aggiornamento. Ad esempio, se il vostro nome è scritto male o se cambiate indirizzo email, procederemo alla modifica nei migliori tempi. In pratica, gli utenti organizzatori possono rettificare essi stessi certe informazioni del loro account tramite le impostazioni del profilo. Per i partecipanti, una richiesta può essere indirizzata all'organizzatore o a noi, e rettificheremo su istruzione dell'organizzatore.

• Diritto alla cancellazione ("diritto all'oblio"): potete ottenere la soppressione dei vostri dati personali nei nostri archivi, specialmente se non sono più necessari rispetto alle finalità per cui sono stati raccolti, o se ritirate il vostro consenso (quando il trattamento era fondato sul consenso). Questo diritto non è assoluto: potremo dover conservare certi dati se un obbligo legale ce lo impone o se sono ancora necessari per constatare/esercitare/difendere un diritto in giustizia. Concretamente, per un ospite che non desidera più apparire nella lista dei partecipanti, l'organizzatore o noi stessi possiamo sopprimere i suoi dati (cosa che verrà realizzata salvo impedimento legittimo). Se Evnyo interviene in quanto responsabile del trattamento, informeremo l'organizzatore della vostra richiesta di cancellazione e, salvo istruzione contraria legittima da parte sua, procederemo alla soppressione effettiva dei vostri dati nei nostri sistemi e confermeremo l'operazione.

• Diritto alla limitazione del trattamento: in certe situazioni, potete richiedere la limitazione (congelamento temporaneo) del trattamento dei vostri dati. Ad esempio, se contestate l'esattezza di un dato o la liceità di un trattamento, il tempo che verifichiamo o che troviamo un accordo, potete richiedere che il dato non sia più utilizzato (ma semplicemente conservato). Quando la limitazione è accordata, non trattiamo più il dato eccetto per conservarlo o per motivi legali imperativi. Vi informeremo preventivamente se la limitazione deve essere revocata.

• Diritto di opposizione: avete il diritto di opporvi, per ragioni relative alla vostra situazione particolare, a ogni trattamento dei vostri dati fondato sull'interesse legittimo di Evnyo (articolo 6(1)(f)). Se esercitate questo diritto, cesseremo il trattamento contestato, salvo che esistano motivi legittimi e imperiosi per continuare (ad esempio, la necessità di conservare certi dati per la difesa di diritti in giustizia) o se il trattamento è richiesto dalla legge. Potete anche opporvi in qualsiasi momento al trattamento dei vostri dati a fini di prospezione (es: se Evnyo inviasse newsletter o comunicazioni di marketing – cosa che facciamo solo su consenso). In quest'ultimo caso, l'opposizione è assoluta: cesseremo senza condizione l'invio di sollecitazioni. Riguardo ai cookie, il vostro diritto di opposizione si traduce nella possibilità di rifiutare ogni cookie non essenziale tramite la CMP (il che è una forma di opposizione a un trattamento di profilazione pubblicitaria ad es.).

• Diritto alla portabilità: avete il diritto di ricevere i vostri dati personali che ci avete fornito, in un formato strutturato, di uso comune e leggibile da macchina, e di trasmetterli a un altro titolare del trattamento se lo desiderate. Questo diritto si applica unicamente ai dati che avete fornito attivamente (es: informazioni del vostro profilo, liste di ospiti importate) o generati dalla vostra attività, e solo per i trattamenti automatizzati fondati sul vostro consenso o un contratto. In pratica, gli organizzatori possono esportare essi stessi molti dati tramite la nostra interfaccia (es. esportare la lista di partecipanti di un evento in CSV). Se desiderate che Evnyo faciliti il trasferimento verso un altro servizio, faremo il possibile (es: fornire un file contenente i vostri eventi e contatti invitati). Per i partecipanti, la portabilità può esercitarsi presso l'organizzatore (che è responsabile del trattamento dei loro dati di invito) o presso Evnyo che inoltrerà la richiesta.

• Diritto a non essere soggetti a una decisione automatizzata: Evnyo non prende alcuna decisione avente effetti giuridici o significativi su di voi in modo automatizzato (senza intervento umano). Questo diritto, previsto dall'articolo 22 GDPR, mira a casi come la profilazione automatica che porta a un rifiuto di servizio, ecc., cosa che non ha luogo qui. In ogni caso, avreste il diritto di sollecitare l'intervento umano, esprimere il vostro punto di vista e contestare la decisione.

Oltre a questi diritti, ricordiamo che se il trattamento dei vostri dati si basa sul vostro consenso, potete ritirare questo consenso in qualsiasi momento (con la stessa facilità con cui l'avete dato). Il ritiro del consenso pone fine al trattamento interessato per il futuro, senza effetto retroattivo (ciò non pregiudica la liceità del trattamento passato). Ad esempio, potete disiscrivervi da una newsletter o rifiutare i cookie opzionali, rispetteremo questa scelta immediatamente.

Esercizio dei vostri diritti: Questi diritti possono essere esercitati gratuitamente (salvo abuso ripetuto) contattandoci alle coordinate indicate nella sezione Titolare del trattamento. Per facilitare le vostre pratiche, potete inviare un'email a privacy@evnyo.com precisando l'oggetto della vostra richiesta e giustificando la vostra identità (per evitare che una terza parte eserciti i vostri diritti al vostro posto in modo fraudolento, potremmo chiedervi un giustificativo o una verifica). Potete anche inviare una lettera postale al nostro indirizzo legale (menzionato sul nostro sito) all'attenzione del referente per la protezione dei dati. Accuseremo ricevuta della vostra richiesta e vi daremo seguito nei migliori tempi.

Tempo di risposta: Ci impegniamo a rispondervi entro 1 mese dalla ricezione della richiesta. Se la vostra richiesta è complessa o ne riceviamo molte, questo termine potrà essere prolungato di 2 mesi supplementari, ma sarete allora informati della necessità di proroga entro il primo mese. In caso di rifiuto eccezionale di accogliere la vostra richiesta (ad esempio se è manifestamente infondata o eccessiva, art. 12(5) GDPR), vi esporremo le ragioni e avrete la possibilità di contestare questa decisione.

Evnyo si sforzerà sempre di facilitare l'esercizio dei vostri diritti. Nessuna richiesta ragionevole sarà ignorata. Se ritenete che non vi abbiamo soddisfatti nell'esercizio dei vostri diritti, o più generalmente che non rispettiamo i nostri obblighi in materia di protezione dei dati, avete il diritto di presentare un reclamo presso l'autorità di controllo competente del vostro paese di residenza:

• Francia: Commission Nationale de l'Informatique et des Libertés (CNIL) - Sito web: cnil.fr, sezione "Reclami". Indirizzo: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Regno Unito: Information Commissioner's Office (ICO) - Sito web: ico.org.uk
• Germania: A seconda del vostro Land di residenza, contattate l'autorità competente tramite bfdi.bund.de
• Spagna: Agencia Española de Protección de Datos (AEPD) - Sito web: aepd.es
• Italia: Garante per la protezione dei dati personali - Sito web: garanteprivacy.it
• Portogallo: Comissão Nacional de Proteção de Dados (CNPD) - Sito web: cnpd.pt
• Polonia: Urząd Ochrony Danych Osobowych (UODO) - Sito web: uodo.gov.pl
• Romania: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - Sito web: dataprotection.ro
• Paesi Bassi: Autoriteit Persoonsgegevens (AP) - Sito web: autoriteitpersoonsgegevens.nl
• Belgio: Autorité de protection des données (APD/GBA) - Sito web: dataprotectionauthority.be
• Austria: Datenschutzbehörde (DSB) - Sito web: dsb.gv.at

Se risiedete in un altro paese UE/SEE, potete contattare l'autorità per la protezione dei dati del vostro paese, che trasmetterà eventualmente all'autorità capofila (la CNIL francese per Evnyo) o tratterà in cooperazione con essa secondo il meccanismo dello sportello unico del GDPR.

Vi invitiamo tuttavia a contattarci in primo ricorso: siamo aperti al dialogo e faremo tutto il possibile per risolvere direttamente qualsiasi problema di cui ci rendiate partecipi.

(Nota Bene: Per i partecipanti invitati tramite Evnyo, ricordate che l'organizzatore dell'evento è generalmente il "titolare del trattamento" principale dei vostri dati di invito. Evnyo agisce allora in quanto responsabile del trattamento. Così, potete indirizzare le vostre richieste sia direttamente all'organizzatore (che ce le inoltrerà se necessario), sia a Evnyo tramite il nostro referente per la protezione dei dati – coopereremo strettamente con l'organizzatore per rispondervi.)

Il sito e la piattaforma Evnyo utilizzano cookie e tecnologie simili per varie finalità, conformemente ai requisiti della Direttiva ePrivacy (2002/58/CE) e delle sue trasposizioni nazionali, in particolare:

• Francia: Articoli 82 e seguenti della Loi Informatique et Libertés modificata
• Germania: Telemediengesetz (TMG) e requisiti rigorosi del BGH
• Spagna: Ley de Servicios de la Sociedad de la Información (LSSI)
• Italia: Codice Privacy e linee guida del Garante
• Regno Unito: Privacy and Electronic Communications Regulations (PECR)
• Paesi Bassi: Telecommunicatiewet e linee guida rigorose dell'Autoriteit Persoonsgegevens
• Belgio: Loi du 13 juin 2005 relative aux communications électroniques
• Austria: Telekommunikationsgesetz (TKG) e standard rigorosi della DSB
• Altri paesi: Normative nazionali equivalenti

Consenso rafforzato: Durante la vostra prima visita, un banner di consenso (fornito da CookieYes) vi permette di accettare o rifiutare i cookie non essenziali in modo granulare per categoria. Conformemente agli standard europei più rigorosi, otteniamo il vostro consenso previo, libero, specifico, informato e inequivocabile per ogni finalità. Potete modificare le vostre scelte in qualsiasi momento cliccando sul link "Cookie" o icona dedicata disponibile sul sito, e ritirare il vostro consenso con la stessa facilità con cui l'avete dato.

I cookie che utilizziamo si classificano in particolare nelle seguenti categorie:

• Cookie strettamente necessari: indispensabili per il funzionamento del sito o per la fornitura del servizio che richiedete. Ad esempio, i cookie di sessione per mantenervi connessi, o quelli che servono a memorizzare le scelte di consenso. Questi cookie non richiedono consenso previo secondo l'eccezione dell'articolo 5(3) della Direttiva ePrivacy. Non potete disattivarli senza alterare il servizio, ma non trattano dati personali diversi da quelli puramente tecnici.

• Cookie di prestazione e statistiche: questi cookie (Google Analytics o equivalente, parametrizzati nel rispetto della normativa con anonimizzazione IP e durata di conservazione limitata) ci aiutano a capire come viene utilizzato il sito, quali pagine sono più visitate, ecc. Abbiamo configurato questi strumenti per anonimizzare il vostro IP ed evitare ogni tracciamento individuale. Vengono depositati solo con il vostro consenso esplicito. I dati raccolti vengono aggregati per migliorare i nostri servizi e l'ergonomia del sito.

• Cookie di funzionalità: migliorano la vostra esperienza (es: memorizzare le vostre preferenze di visualizzazione, lingua, ecc.). Sono opzionali e soggetti a consenso previo.

• Cookie di comunicazione: se Evnyo integra in futuro moduli di chat dal vivo, videoconferenza o altri servizi di terze parti (es. per webinar), questi servizi potrebbero depositare i loro propri cookie. Saranno anch'essi soggetti a consenso e chiaramente identificati nella CMP.

Durata di conservazione: Ogni cookie ha una durata di vita predefinita e proporzionata alla sua finalità (es. sessione, 1 mese, 13 mesi massimo per i cookie analitici). Troverete il dettaglio di ogni cookie, la sua finalità, emittente e durata nella nostra Politica Cookie accessibile tramite la CMP.

Tracciabilità dei consensi: Evnyo mantiene un registro dettagliato dei consensi sui cookie tramite CookieYes, il che ci permette di conservare la prova del vostro accordo o rifiuto per ogni categoria di cookie sul nostro sito. Questa tracciabilità garantisce che rispettiamo le vostre preferenze in modo continuo e permette di dimostrare la nostra conformità in caso di controllo.

Nessuna monetizzazione dei dati: Non procediamo ad alcuna vendita di dati di navigazione a inserzionisti o altre terze parti. Se fossero utilizzati cookie di terze parti (es. YouTube, Google Maps integrati), sarebbero anch'essi soggetti al vostro consenso previo e chiaramente identificati.

Per maggiori informazioni sul nostro uso dei cookie, e su come configurarli, consultate la nostra pagina dedicata "Politica di Gestione dei Cookie" o contattateci.

Evnyo consente ai partecipanti all'evento di caricare foto negli album degli eventi quando questa funzione è abilitata dall'organizzatore. Durante il caricamento di foto su un evento, gli utenti devono fornire un consenso esplicito e riconoscere le seguenti responsabilità:

Consenso e responsabilità dell'utente: Prima di caricare qualsiasi foto, gli utenti devono confermare:

• Di avere il diritto di condividere il contenuto caricato
• Che tutte le persone identificabili nelle foto hanno dato il loro consenso per essere fotografate e per la condivisione delle foto nel contesto dell'evento
• Che l'organizzatore dell'evento può utilizzare queste foto nell'ambito dell'evento
• Di accettare la piena responsabilità per il contenuto che caricano

Allocazione delle responsabilità: Per garantire una chiara responsabilità:

• Chi carica è l'unico responsabile del contenuto che carica, incluso l'ottenimento delle autorizzazioni necessarie dalle persone che appaiono nelle foto
• L'organizzatore dell'evento è responsabile della moderazione dei contenuti se ha abilitato la moderazione, e dell'uso che fa delle foto caricate
• Evnyo agisce come intermediario tecnico e non è responsabile per i contenuti caricati dagli utenti, ma coopererà con le richieste legittime di rimozione

Diritti d'immagine e privacy: Gli utenti che caricano foto devono rispettare:

• I diritti d'immagine di tutte le persone che appaiono nelle foto
• Le leggi sulla privacy applicabili nella loro giurisdizione
• Il contesto specifico dell'evento e qualsiasi restrizione comunicata dall'organizzatore

Rimozione dei contenuti: Se appari in una foto e desideri che venga rimossa, puoi:

• Contattare direttamente l'organizzatore dell'evento
• Utilizzare la funzione di segnalazione disponibile su ogni foto
• Contattare il nostro responsabile della protezione dei dati all'indirizzo privacy@evnyo.com

Elaboreremo le richieste di rimozione in conformità con le leggi applicabili e potremmo richiedere una prova d'identità per garantire la legittimità della richiesta.

Misure tecniche: Per trasparenza, registriamo:

• Conferma del consenso (timestamp e IP anonimizzato)
• Metadati di caricamento per la responsabilità
• Tutte le foto vengono elaborate per rimuovere i dati di localizzazione GPS per la privacy

La presente informativa sulla privacy potrà evolvere, in particolare per riflettere i cambiamenti delle nostre pratiche o per conformarsi a eventuali modifiche legali/normative. In caso di modifica sostanziale (es. nuove finalità, nuovi destinatari, ecc.), vi informeremo preventivamente, tramite un avviso sul sito o un'email, e se richiesto dalla legge, richiederemo il vostro consenso quando la modifica lo esige. La versione aggiornata dell'informativa sarà sempre accessibile sul nostro sito nella sezione \"Privacy\". Vi invitiamo a consultarla periodicamente.

Data di entrata in vigore: Questa informativa è in vigore a partire dal 01/06/2025.

Scegliendo Evnyo, affidate i vostri dati a una piattaforma che pone la privacy e la sicurezza al centro delle sue preoccupazioni. Speriamo che questo documento vi abbia fornito tutta la trasparenza attesa sulle nostre pratiche. Se avete qualsiasi domanda supplementare riguardante i vostri dati o la nostra conformità, non esitate a contattarci – il nostro team e il nostro referente per la protezione dei dati sono qui per fornirvi risposte esperte e personalizzate.

Grazie per la vostra fiducia, e buoni eventi con Evnyo!

Per qualsiasi domanda relativa a questa informativa o per l'esercizio dei vostri diritti, potete contattare il nostro team e il nostro referente per la protezione dei dati che sono qui per fornirvi risposte esperte e personalizzate.