Articolo 1 — Titolare del trattamento

Il titolare del trattamento dei dati a carattere personale è:

Triptic SAS

Sede legale: 57 rue Raspail, 92300 Levallois-Perret, Francia

SIRET: 889 274 510 00011

Rappresentato da: Olivier BAILLEUX, Presidente

Contatto DPO / Protezione dei dati:  dpo@triptic.io

Articolo 2 — Dati raccolti

Triptic raccoglie le seguenti categorie di dati, in funzione del ruolo dell'Utente e del suo utilizzo della Piattaforma:

2.1 Dati di identificazione

• cognome, nome, indirizzo email, numero di telefono;
• indirizzo postale;
• data di nascita (facoltativa);
• professione (facoltativa);
• datore di lavoro (facoltativo);
• foto del profilo (facoltativa);
• nome utente (@username);
• per gli Host professionali e le Organizzazioni: ragione sociale, numero SIRET, indirizzo professionale.

2.2 Dati di connessione e tecnici

• indirizzo IP, log di connessione;
• tipo di browser, sistema operativo, dispositivo utilizzato;
• date e orari di connessione.

2.3 Dati relativi alle transazioni

• cronologia delle Prenotazioni (date, importi, stato);
• informazioni di fatturazione legate agli Abbonamenti;
• identificativi Stripe (Stripe Customer ID, Stripe Connected Account ID); Triptic non memorizza i numeri di carta di credito, che vengono trattati esclusivamente da Stripe.

2.4 Dati di contenuto

• Annunci pubblicati (descrizioni, foto, tariffe, calendari);
• messaggi scambiati tramite la messaggistica interna;
• recensioni, commenti, racconti di viaggio;
• risultati del questionario sulla personalità del viaggiatore (tag, archetipo, punteggi).

2.5 Dati di geolocalizzazione

Triptic può raccogliere dati di localizzazione approssimativa (città, regione) sulla base dell'indirizzo IP. La geolocalizzazione precisa è utilizzata unicamente per la visualizzazione delle mappe (Leaflet/OpenStreetMap) e la geocodifica degli indirizzi (Nominatim). Tali servizi operano lato client o tramite richieste anonime e non richiedono un consenso specifico.

Articolo 3 — Finalità e basi giuridiche del trattamento

I dati personali sono trattati per le seguenti finalità:

3.1 Esecuzione del contratto (articolo 6.1.b del GDPR)

• gestione dell'account utente e autenticazione;
• messa in contatto tra Host e Viaggiatori;
• gestione delle Prenotazioni e dei pagamenti;
• comunicazione tra Membri tramite la messaggistica;
• fornitura degli strumenti SaaS di gestione degli affitti;
• generazione del profilo viaggiatore (Ritratto del Viaggiatore).

3.2 Obbligo legale (articolo 6.1.c del GDPR)

• conservazione dei dati di fatturazione (obblighi contabili e fiscali);
• conservazione dei dati di connessione (obbligo del fornitore di hosting ai sensi della LCEN);
• risposta a richieste giudiziarie e amministrative.

3.3 Interesse legittimo (articolo 6.1.f del GDPR)

• miglioramento della Piattaforma e analisi del pubblico (tramite Umami, senza dati personali);
• prevenzione delle frodi e sicurezza della Piattaforma;
• supporto tecnico e risoluzione delle controversie;
• invio di comunicazioni relative al funzionamento del Servizio (notifiche di Prenotazione, aggiornamenti dei Termini, avvisi di sicurezza).

3.4 Consenso (articolo 6.1.a del GDPR)

• invio di newsletter e comunicazioni di marketing;
• installazione di cookie non essenziali, ove applicabile;
• geolocalizzazione precisa.

Il consenso può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso effettuato prima della revoca.

Articolo 4 — Destinatari dei dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

4.1 Responsabili del trattamento tecnici

• Stripe (Stripe Payments Europe, Ltd., Irlanda): elaborazione dei pagamenti e prevenzione delle frodi;
• OVH SAS (Francia): hosting della Piattaforma e dei dati;
• Brevo / Sendinblue (Francia): invio di email transazionali e newsletter;
• OpenStreetMap Foundation (Regno Unito): mappe di base e geocodifica Nominatim (dati aperti, richieste anonime).

Ciascun responsabile del trattamento è vincolato da un accordo sul trattamento dei dati (DPA) conforme all'articolo 28 del GDPR.

4.2 Altri Membri

Alcuni dati sono visibili agli altri Membri nell'ambito del funzionamento della Piattaforma: nome, foto del profilo, @username, profilo viaggiatore pubblico, recensioni pubblicate, Annunci. I recapiti completi (email, telefono) vengono comunicati solo in caso di Prenotazione confermata, nella misura necessaria all'esecuzione del contratto di locazione.

4.3 Autorità pubbliche

Triptic può essere tenuta a comunicare dati personali alle autorità giudiziarie, amministrative o fiscali in risposta a una richiesta legale.

Articolo 5 — Trasferimenti al di fuori dell'UE

I dati sono ospitati in Francia (OVH). Il responsabile del trattamento Stripe può trasferire dati verso paesi situati al di fuori dello Spazio economico europeo (SEE), in particolare gli Stati Uniti. I servizi di cartografia (OpenStreetMap, Nominatim) operano tramite richieste anonime senza trasferimento di dati personali.

Tali trasferimenti sono disciplinati dalle garanzie previste dal GDPR:

• decisione di adeguatezza della Commissione europea (EU-US Data Privacy Framework per gli Stati Uniti, ove applicabile);
• clausole contrattuali tipo (SCC) adottate dalla Commissione europea;
• misure tecniche supplementari (crittografia, pseudonimizzazione) qualora si rivelino necessarie.

Articolo 6 — Periodo di conservazione

I dati personali sono conservati per i seguenti periodi:

• Dati dell'account (identificazione, profilo): per l'intera durata della registrazione, quindi cancellati entro un termine di trenta (30) giorni dalla chiusura dell'account, fatti salvi gli obblighi di archiviazione legale.
• Dati di fatturazione: dieci (10) anni a decorrere dalla chiusura dell'esercizio contabile (obbligo contabile).
• Dati di connessione (log, IP): un (1) anno a decorrere dalla creazione del dato (obbligo LCEN).
• Messaggi scambiati: per l'intera durata dell'account, quindi anonimizzati o cancellati al momento della chiusura.
• Dati di Prenotazione: cinque (5) anni dopo la fine del soggiorno (termine di prescrizione civile).
• Dati di consenso (newsletter): tre (3) anni a decorrere dall'ultimo contatto o dalla raccolta del consenso.
• Dati di Abbonamento dopo la disdetta: sei (6) mesi (periodo di riattivazione), quindi cancellati o anonimizzati.

Articolo 7 — Diritti degli interessati

In conformità al GDPR (articoli da 15 a 22) e alla legge francese sulla protezione dei dati, ogni Utente dispone dei seguenti diritti:

• Diritto di accesso (art. 15): ottenere la conferma che i dati che lo riguardano sono oggetto di trattamento e riceverne una copia.
• Diritto di rettifica (art. 16): chiedere la correzione dei dati inesatti o incompleti.
• Diritto alla cancellazione (art. 17): chiedere la cancellazione dei propri dati, fatti salvi gli obblighi legali di conservazione.
• Diritto alla limitazione del trattamento (art. 18): chiedere la sospensione del trattamento nei casi previsti dal GDPR.
• Diritto alla portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare del trattamento.
• Diritto di opposizione (art. 21): opporsi al trattamento dei propri dati basato sull'interesse legittimo o sulla prospezione commerciale.
• Diritto di revoca del consenso: revocare il proprio consenso in qualsiasi momento per i trattamenti basati sul consenso, senza pregiudicare la liceità del trattamento precedente.
• Direttive post mortem: definire direttive relative alla sorte dei propri dati dopo la morte (diritto specifico francese, art. 85 della legge sulla protezione dei dati).

Per esercitare tali diritti, l'Utente può inoltrare la propria richiesta:

• via email:  dpo@triptic.io;
• per posta: Triptic SAS — DPO — 57 rue Raspail, 92300 Levallois-Perret, Francia.

Triptic si impegna a rispondere entro un (1) mese dalla ricezione della richiesta, prorogabile di due (2) mesi in caso di complessità.

In caso di difficoltà, l'Utente può presentare un reclamo presso la Commission nationale de l'informatique et des libertés (CNIL): https://www.cnil.fr.

Articolo 8 — Sicurezza dei dati

Triptic adotta le misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, in conformità all'articolo 32 del GDPR, e in particolare:

• cifratura delle comunicazioni in transito (HTTPS/TLS);
• cifratura dei dati sensibili a riposo;
• controllo rigoroso degli accessi ai server e ai dati;
• monitoraggio degli accessi e rilevamento delle intrusioni (fail2ban, registri di audit);
• backup regolari e piano di continuità operativa;
• aggiornamento regolare dei sistemi e delle dipendenze software.

In caso di violazione di dati a carattere personale che presenti un rischio per i diritti e le libertà degli interessati, Triptic notificherà l'evento alla CNIL entro settantadue (72) ore e informerà gli interessati nel più breve tempo possibile, in conformità agli articoli 33 e 34 del GDPR.

Articolo 9 — Minori

La Piattaforma non è destinata a persone di età inferiore a diciotto (18) anni. Triptic non raccoglie consapevolmente dati personali di minori. Qualora Triptic dovesse scoprire di aver raccolto dati di un minore senza il consenso del suo rappresentante legale, tali dati verrebbero cancellati senza indugio.