Informazioni legali

Privacy Policy

Come trattiamo i tuoi dati personali in conformità al GDPR (Reg. UE 2016/679).

Ultimo aggiornamento: 19/06/2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite il sito SmartSpace (di seguito: "Piattaforma") è MyRetail S.r.l., con sede legale in Via Carlo Osma 2, 20151 Milano (MI) — P.IVA 13259900960. Email di contatto: [email protected] — Tel. 02 8239 6837.

2. Tipologie di dati raccolti

Raccogliamo solo i dati strettamente necessari a fornire i nostri servizi:

  • Dati di registrazione: nome, cognome, email, password (cifrata via bcrypt), telefono (opzionale), ruolo (cliente / venue / fornitore).
  • Dati di profilo: per le venue (nome location, indirizzo, foto, descrizione, prezzi, disponibilità). Per i fornitori (categoria, area di servizio, portfolio).
  • Dati di richiesta evento: tipo evento, data, numero ospiti, note, contatti che inserisci nei form di richiesta preventivo.
  • Dati di interazione: messaggi scambiati tra utenti tramite la piattaforma (es. inbox venue↔fornitore).
  • Dati tecnici: indirizzo IP, user-agent, ultimo accesso. Servono per sicurezza e prevenzione frodi.
  • Cookie tecnici e analitici: vedi Cookie Policy per dettaglio.

3. Finalità del trattamento

I dati sono trattati per le seguenti finalità:

  • (a) Esecuzione del contratto (art. 6(1)(b) GDPR): erogare i servizi della Piattaforma — search location, gestione richieste evento, messaggistica venue↔fornitore, dashboard.
  • (b) Adempimenti legali (art. 6(1)(c) GDPR): fatturazione, antiriciclaggio, conservazione log per 12 mesi.
  • (c) Legittimo interesse (art. 6(1)(f) GDPR): sicurezza piattaforma, prevenzione abusi, analytics aggregati.
  • (d) Consenso esplicito (art. 6(1)(a) GDPR): solo per comunicazioni marketing — sempre revocabile.

4. Condivisione dei dati con terzi

I tuoi dati possono essere condivisi con:

  • Altre venue/fornitori ai quali invii richieste — i dati di contatto che inserisci nei form vengono trasmessi al destinatario della richiesta.
  • Fornitori di servizi: hosting (in UE), email transactional (SendGrid o equivalente in UE/USA con SCC), strumenti analytics.
  • Autorità: solo se richiesto da legge o ordine giudiziario.

Non vendiamo i tuoi dati personali a terzi.

5. Conservazione dei dati

  • Dati account attivo: per tutta la durata dell'account.
  • Dati post-cancellazione account: anonimizzati entro 30 giorni; soft-deleted preservati 12 mesi per audit/contenziosi.
  • Log tecnici: 12 mesi.
  • Dati di fatturazione: 10 anni (obbligo civilistico/fiscale).

6. I tuoi diritti

Hai sempre diritto a:

  • Accesso (art. 15) — sapere quali tuoi dati trattiamo.
  • Rettifica (art. 16) — correggere dati inesatti dal tuo profilo.
  • Cancellazione (art. 17, "diritto all'oblio") — chiedere la cancellazione dell'account.
  • Limitazione (art. 18) — limitare il trattamento in casi specifici.
  • Portabilità (art. 20) — ricevere i tuoi dati in formato strutturato (JSON/CSV).
  • Opposizione (art. 21) — opporti al trattamento basato su legittimo interesse.
  • Revoca consenso (art. 7(3)) — revocare in qualsiasi momento i consensi prestati (es. marketing).
  • Reclamo al Garante Privacygaranteprivacy.it.

Per esercitare i tuoi diritti scrivi a [email protected]. Rispondiamo entro 30 giorni.

7. Sicurezza dei dati

Misure tecniche e organizzative adottate:

  • Password cifrate con bcrypt (algoritmo lento, resistente a brute-force).
  • Traffico criptato HTTPS/TLS 1.2+ su tutti gli endpoint.
  • Backup automatici giornalieri.
  • Access control basato su ruolo (RBAC) sul backend.
  • Audit log immutabile delle azioni admin (vedi admin_audit_log).

8. Minori

La Piattaforma è destinata esclusivamente a utenti di età ≥ 16 anni. Non raccogliamo consapevolmente dati di minori sotto questa età. Se un genitore/tutore individua un account creato da un minore, può segnalarlo a [email protected] per la rimozione.

9. Modifiche alla policy

Possiamo aggiornare questa policy. Gli aggiornamenti significativi saranno notificati via email agli utenti registrati con almeno 30 giorni di preavviso. Il documento ha sempre data di "ultimo aggiornamento" in alto.

⚠️ Nota: questa è una versione operativa "best-effort". Per una validazione legale completa rivolgiti a un avvocato specializzato GDPR — soprattutto se gestisci dati di clienti business o offri servizi in più paesi UE.