Privacy Policy
Versione 1.0 — In vigore dal 26/04/2026
PREMESSA
La presente Informativa Privacy (di seguito l'«Informativa Privacy» o l'«Informativa») descrive in modo trasparente le modalità con cui Inmedia S.r.l. (di seguito «Stravagando» o la «Piattaforma»), titolare e gestore della piattaforma digitale Stravagando accessibile all'indirizzo principale stravagando.com e relativi sottodomini, sull'app mobile per iOS e Android (di seguito l'«App») e sui canali di assistenza, marketing e comunicazione collegati, raccoglie, utilizza, conserva, comunica e trasferisce i dati personali degli Interessati, in conformità con:
(a) il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito «GDPR»);
(b) il Decreto Legislativo italiano 30 giugno 2003 n. 196 («Codice Privacy»), come modificato dal Decreto Legislativo italiano 10 agosto 2018 n. 101;
(c) le Linee guida del Garante per la protezione dei dati personali italiano (di seguito il «Garante») e le decisioni del European Data Protection Board (EDPB);
(d) la Direttiva 2002/58/CE (Direttiva ePrivacy) come modificata, per i profili di marketing diretto e di Strumenti di Tracciamento;
(e) per i residenti negli Stati Uniti d'America, le normative statali applicabili tra cui California Consumer Privacy Act (CCPA) come modificato dal California Privacy Rights Act (CPRA), Virginia Consumer Data Protection Act (VCDPA), Colorado Privacy Act (CPA), Connecticut Data Privacy Act (CTDPA), Utah Consumer Privacy Act (UCPA) e successive normative statali in vigore;
(f) per il trattamento di dati che presentano profili di natura fiscale o riconducibili al trattamento dei pagamenti, le normative settoriali applicabili tra cui il Decreto Legislativo italiano 1° marzo 2023 n. 32 (DAC7), il Decreto Legislativo italiano 21 novembre 2007 n. 231 (antiriciclaggio), il Decreto del Presidente della Repubblica italiano 600/1973 (accertamento delle imposte sui redditi) e il D.P.R. italiano 633/1972 (IVA);
(g) il Regolamento (UE) 2022/2065 (Digital Services Act, «DSA») e il Regolamento (UE) 2019/1150 (Platform-to-Business, «P2B») per i profili di trasparenza nei servizi digitali e nelle relazioni con utenti commerciali;
(h) il Regolamento (UE) 2024/1689 (Artificial Intelligence Act, «AI Act») per i profili di trasparenza dei sistemi di intelligenza artificiale impiegati per la moderazione automatica dei contenuti generati dagli Utenti e per il calcolo del Trust Score;
(i) la Direttiva (UE) 2022/2555 (NIS2), per i profili di sicurezza delle informazioni.
La presente Informativa Privacy costituisce l'informativa generale ai sensi degli artt. 13 e 14 GDPR ed è integrata, per i profili specifici, dalla Cookie Policy della Piattaforma — alla quale si fa rinvio per il dettaglio degli Strumenti di Tracciamento — dai Termini e Condizioni Generali di Utilizzo (con particolare riferimento alle Sezioni 5, 6, 7, 8, 8-bis, 9, 11, 12, 12-bis, 16 e 16.1), dai Termini e Condizioni di Vendita per i profili relativi al marketplace di Esperienze a pagamento, dai Termini Host, dai Termini del Programma di Referral, dalle Specifiche Tecniche del Servizio per i parametri operativi del trattamento, nonché dalle informative privacy specifiche eventualmente fornite al momento della raccolta di dati personali per finalità ulteriori (es. partecipazione a concorsi, sondaggi, programmi pilota, beta access).
In caso di difformità tra la presente Informativa Privacy e altre informative privacy specifiche fornite all'Interessato per singoli trattamenti, prevalgono — per il trattamento specifico interessato — le previsioni dell'informativa specifica più recente; restano ferme le previsioni della presente Informativa per tutto quanto non specificamente disciplinato.
ART. 1 — DEFINIZIONI
Ai fini della presente Informativa Privacy, i seguenti termini hanno il significato di seguito indicato. Le definizioni si integrano con quelle previste nei Termini e Condizioni Generali, nei Termini e Condizioni di Vendita, nei Termini Host, nei Termini del Programma di Referral e nella Cookie Policy della Piattaforma.
1.1 «Dati Personali»: qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'art. 4, paragrafo 1, n. 1) GDPR. Include, a titolo esemplificativo: nome, cognome, indirizzo, data di nascita, codice fiscale, partita IVA, indirizzo email, numero di telefono, IP address, identificativi univoci, dati di transazione, contenuti di comunicazioni, coordinate geografiche, Contenuti UGC.
1.2 «Trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a Dati Personali, ai sensi dell'art. 4, paragrafo 1, n. 2) GDPR. Include la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione, raffronto, interconnessione, limitazione, cancellazione e distruzione.
1.3 «Titolare del Trattamento» o «Titolare»: la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di Dati Personali, ai sensi dell'art. 4, paragrafo 1, n. 7) GDPR. Per i trattamenti descritti nella presente Informativa, il Titolare è Inmedia S.r.l. salvo diversa indicazione.
1.4 «Responsabile del Trattamento» o «Responsabile»: la persona fisica o giuridica che tratta Dati Personali per conto del Titolare ai sensi dell'art. 28 GDPR, sulla base di un contratto o di altro atto giuridico vincolante.
1.5 «Interessato»: la persona fisica identificata o identificabile alla quale si riferiscono i Dati Personali. Ai fini della presente Informativa, l'Interessato corrisponde tipicamente all'Utente della Piattaforma in una delle qualifiche di seguito definite.
1.6 «Utente»: qualunque soggetto che accede o utilizza la Piattaforma. L'Utente può rivestire una o più delle seguenti qualifiche, anche cumulativamente nello stesso periodo, ai sensi della Sezione 3-bis dei Termini e Condizioni Generali:
(a) Visitatore non registrato — chi accede alla Piattaforma senza essersi registrato, ivi compresi i destinatari del servizio di assistenza pre-registrazione («Guest Help», cfr. Sezione 17-ter dei Termini e Condizioni Generali);
(b) Utente social — persona fisica registrata sulla Piattaforma per le funzionalità non transazionali (Profilo, Social/Community, Gamification, esplorazione del catalogo Luoghi, pubblicazione di Contenuti UGC), ai sensi dei Termini e Condizioni Generali. Costituisce il regime base applicabile a ogni Utente registrato;
(c) Cliente o Guest — l'Utente che, in aggiunta alla qualifica di Utente social, ricerca, prenota o fruisce delle Esperienze a pagamento offerte tramite il marketplace integrato, ai sensi dei Termini e Condizioni di Vendita;
(d) Host — l'Utente, persona fisica o entità giuridica, che pubblica e offre Esperienze a pagamento sul marketplace integrato, ai sensi dei Termini Host;
(e) Referente (o Referrer) — l'Utente che aderisce al Programma di Referral promuovendo la Piattaforma e ricevendone i benefici, ai sensi dei Termini del Programma di Referral.
L'assunzione di una qualifica speciale (Cliente, Host, Referente) non comporta la perdita della qualifica base di Utente social, ma comporta l'applicazione cumulativa dei trattamenti previsti per le ulteriori finalità. La presente Informativa descrive i trattamenti applicabili a ciascuna qualifica nelle sezioni dedicate.
1.7 «Esperienza»: l'attività esperienziale a pagamento offerta dall'Host ai Clienti tramite il marketplace integrato della Piattaforma, secondo le definizioni dei Termini e Condizioni di Vendita.
1.8 «Luogo» o «POI» (Point of Interest): singola località o entità geografica catalogata nel catalogo Luoghi della Piattaforma (denominazione tecnica interna: Atlas), identificata da coordinate geografiche, attributi descrittivi (nome, categoria, indirizzo) e categorizzazione tematica. I Luoghi possono comprendere borghi, sentieri, castelli, ristoranti, monumenti naturali e altri punti di interesse, gravabili da Contenuti UGC quali check-in, recensioni e post pubblicati sulla Bacheca del Luogo.
1.9 «Check-in»: la registrazione geolocalizzata effettuata dall'Utente in prossimità di un Luogo presente nel catalogo, validata server-side mediante calcolo della distanza dalle coordinate del POI. Il check-in costituisce la principale modalità di accumulo di XP nel sistema di Gamification e può essere associato a un Tag UGC ai sensi della successiva definizione 1.13.
1.10 «Contenuti Generati dagli Utenti» o «UGC» (User-Generated Content): qualsiasi contenuto pubblicato dall'Utente sulla Piattaforma, comprensivo, a titolo esemplificativo, di fotografie, recensioni con punteggio, post-racconto pubblicati sulla Bacheca di un Luogo, proposte di nuovi Luoghi, suggerimenti di modifica a Luoghi esistenti, commenti, liste personali (Quaderni), tag, like, check-in e messaggi diretti scambiati tramite il sistema di messaggistica integrato.
1.11 «Bacheca»: l'interfaccia di visualizzazione di Contenuti UGC sulla Piattaforma, declinata in due forme:
(a) Bacheca personale (rotta /{locale}/feed) — l'aggregato personalizzato dei Contenuti rilevanti per l'Utente, ivi compresi i Contenuti che lo menzionano tramite Tag UGC;
(b) Bacheca di un Luogo — lo spazio pubblico associato a ciascun POI in cui gli Utenti possono pubblicare post-racconto e altri Contenuti contestuali al Luogo.
1.12 «Sistema di Gamification»: il sistema ludico della Piattaforma comprensivo di XP (punti esperienza), Livelli, Traguardi (denominazione tecnica interna: Achievement), Streak (serie consecutive di attività), Level Perks (vantaggi associati al raggiungimento di Livelli) e Year Review (rendicontazione periodica dell'attività). Gli elementi del Sistema di Gamification hanno natura esclusivamente simbolica e ludica e non costituiscono moneta virtuale né bene convertibile in denaro, ai sensi della Sezione 9.1 dei Termini e Condizioni Generali.
1.13 «Tag UGC»: l'associazione, all'interno di un Contenuto pubblicato da un Utente, del riferimento a un altro Utente registrato. Il Tag UGC è applicabile nei limiti e secondo le regole della Sezione 8-bis dei Termini e Condizioni Generali e, per la specifica fattispecie del companion tagging nei check-in, della Sezione 8.
1.14 «Trust Score»: l'indicatore tecnico numerico (compreso tra 0 e 100) calcolato automaticamente sulla base della coerenza tecnica dei check-in di un Utente, descritto alla Sezione 11 dei Termini e Condizioni Generali. Il Trust Score incide sull'attribuzione di XP per i check-in, sull'approvazione automatica delle recensioni e sull'accesso a funzionalità riservate.
1.15 «Moderazione automatica»: il trattamento di analisi preventiva dei Contenuti UGC effettuato mediante sistemi di intelligenza artificiale di Terze Parti, comprensivo, in particolare, di un modello linguistico per la classificazione testuale e di un servizio di analisi delle immagini, descritti alla Sezione 12 dei Termini e Condizioni Generali e in conformità con il Regolamento (UE) 2024/1689 (AI Act).
1.16 «Categorie particolari di Dati Personali» o «Dati Sensibili»: i Dati Personali di cui all'art. 9, paragrafo 1 GDPR — ovvero quelli che rivelino origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, relativi alla salute, vita sessuale o orientamento sessuale. La Piattaforma non richiede normalmente la fornitura di Dati Sensibili dagli Utenti; se un Utente fornisce volontariamente Dati Sensibili (es. menzionando nelle comunicazioni con l'Host una condizione di salute rilevante per la fruizione dell'Esperienza, o pubblicando un Contenuto UGC che li riveli), il loro trattamento avviene sulla base del consenso esplicito ai sensi dell'art. 9, paragrafo 2, lettera a) GDPR o, ove applicabile, sulla base dell'art. 9, paragrafo 2, lettera f) GDPR (esercizio o difesa di un diritto in sede giudiziaria).
1.17 «Dati Penali»: i Dati Personali relativi a condanne penali e reati o a connesse misure di sicurezza ai sensi dell'art. 10 GDPR. La Piattaforma può trattare tali dati esclusivamente nelle ipotesi previste dalla legge, in particolare in attuazione di misure antiriciclaggio, di antifrode e di sanzioni internazionali.
1.18 «Strumenti di Tracciamento»: cookie e altre tecnologie analoghe per il tracciamento dell'Utente, come definiti nella Cookie Policy della Piattaforma alla quale si fa integrale rinvio.
1.19 «Stripe Connect»: l'infrastruttura di pagamento fornita da Stripe Payments Europe Ltd, utilizzata dalla Piattaforma per l'incasso dei pagamenti dei Clienti, l'esecuzione dei trasferimenti agli Host e dei Cashout ai Referenti.
1.20 «KYC» (Know Your Customer): l'insieme delle procedure di verifica dell'identità degli Utenti, condotte direttamente da Stravagando o tramite fornitori specializzati come Stripe Identity, ai fini di sicurezza, antifrode, antiriciclaggio e ottemperanza alla normativa fiscale.
1.21 «DAC7»: la Direttiva (UE) 2021/514, recepita in Italia dal Decreto Legislativo italiano del 1° marzo 2023 n. 32, che impone agli operatori di piattaforme digitali la raccolta, verifica e comunicazione all'Agenzia delle Entrate dei dati relativi ai soggetti che esercitano «Attività Rilevanti» tramite la Piattaforma.
1.22 «UIF»: l'Unità di Informazione Finanziaria istituita presso la Banca d'Italia ai sensi dell'art. 6 del D.Lgs. 231/2007, destinataria delle segnalazioni di operazioni sospette ai fini antiriciclaggio.
1.23 «Garante»: il Garante per la protezione dei dati personali italiano, autorità di controllo italiana ai sensi del GDPR, con sede in Roma, Piazza Venezia n. 11.
1.24 «SEE»: lo Spazio Economico Europeo, comprendente gli Stati membri dell'Unione Europea, Islanda, Liechtenstein e Norvegia.
1.25 «Trasferimento Extra-SEE»: il trasferimento di Dati Personali a destinatari stabiliti in Paesi che non fanno parte dello Spazio Economico Europeo, soggetto alle garanzie del Capo V GDPR.
1.26 «Data Breach»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso a Dati Personali trasmessi, conservati o trattati, ai sensi dell'art. 4, paragrafo 1, n. 12) GDPR.
1.27 «DSA»: il Regolamento (UE) 2022/2065 (Digital Services Act), che disciplina i servizi digitali nel mercato unico europeo.
1.28 «AI Act»: il Regolamento (UE) 2024/1689, che istituisce regole armonizzate sull'intelligenza artificiale.
1.29 «P2B»: il Regolamento (UE) 2019/1150 (Platform-to-Business Regulation), che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online.
1.30 «Legal Hold»: il prolungamento, in deroga ai termini ordinari di conservazione, della conservazione di Dati Personali o Contenuti specifici per esigenze di legge, di tutela in sede giudiziaria, di adempimento di obblighi imperativi o di indagine da parte di Autorità competenti, ai sensi dell'art. 9-bis della presente Informativa e della Sezione 16.1 dei Termini e Condizioni Generali.
1.31 «DPO» (Data Protection Officer) o «Responsabile della Protezione dei Dati»: il soggetto incaricato di sorvegliare l'osservanza del GDPR ai sensi degli artt. 37-39 GDPR. Il DPO, ove nominato, è contattabile all'indirizzo legal@stravagando.com.
ART. 2 — TITOLARE DEL TRATTAMENTO E DPO
2.A — Titolare del trattamento
2.1 Identificazione. Il Titolare del trattamento dei Dati Personali raccolti tramite la Piattaforma è:
Inmedia S.r.l. Sede legale: Via L'Aquila, 22, 65122 Pescara (PE), Italia Codice Fiscale / P.IVA: 02017520681 Email generale di assistenza: support@stravagando.com Email per richieste in materia di protezione dei dati personali: legal@stravagando.com PEC: inmediasrl@pec.it
2.2 Identità commerciale. La Piattaforma è commercialmente conosciuta con il marchio «Stravagando» e le relative declinazioni grafiche, di proprietà esclusiva di Inmedia S.r.l..
2.B — Responsabile della Protezione dei Dati (DPO)
2.3 DPO. Ove la nomina sia obbligatoria ai sensi dell'art. 37 GDPR o ove Inmedia S.r.l. la disponga su base volontaria, il Responsabile della Protezione dei Dati (DPO / Data Protection Officer) è contattabile all'indirizzo:
legal@stravagando.com (con oggetto: «DPO»)
Inmedia S.r.l. si riserva la facoltà di istituire in futuro un indirizzo di posta elettronica dedicato (a titolo esemplificativo: dpo@stravagando.com), che sarà comunicato agli Interessati mediante aggiornamento della presente Informativa ai sensi dell'Art. 14. Le richieste indirizzate al DPO sono gestite secondo il principio di confidenzialità ex art. 38, paragrafo 5 GDPR.
2.C — Rappresentante UE (per soggetti extra-SEE)
2.4 Rappresentante UE. Per gli Interessati residenti nello Spazio Economico Europeo, Inmedia S.r.l. è essa stessa stabilita nell'Unione Europea (Italia) e non necessita pertanto della nomina di un Rappresentante UE ai sensi dell'art. 27 GDPR.
2.D — Co-Titolari e Titolari autonomi
2.5 Co-Titolari. Per alcuni trattamenti specifici, Inmedia S.r.l. può agire in qualità di Co-Titolare congiuntamente ad altri Titolari, ai sensi dell'art. 26 GDPR. In tali casi, la specifica configurazione dei rispettivi obblighi è oggetto di accordo formale tra i Co-Titolari, il cui sintetico contenuto è messo a disposizione degli Interessati su richiesta a legal@stravagando.com. Configurazioni tipiche di Co-Titolarità includono — a titolo esemplificativo — l'utilizzo di Meta Business Tools (Facebook Pixel, Custom Audiences) per finalità di marketing congiunte tra Inmedia S.r.l. e Meta Platforms Ireland Limited.
2.6 Titolari autonomi. Numerose Terze Parti che ricevono Dati Personali nel contesto della Piattaforma agiscono in qualità di Titolari autonomi del trattamento per le finalità da loro determinate, in particolare: (a) Stripe Payments Europe Ltd, per i pagamenti e i servizi finanziari; (b) le Autorità giudiziarie, fiscali, amministrative e di vigilanza nazionali ed estere; (c) gli istituti bancari per l'esecuzione dei pagamenti; (d) gli Host e i Clienti per la comunicazione e l'esecuzione delle Esperienze prenotate, ciascuno nei limiti del proprio ruolo; (e) gli altri Utenti della comunità social per la fruizione dei Contenuti UGC pubblicati con visibilità pubblica o estesa al network di follow reciproco. La presente Informativa descrive i trattamenti svolti da Inmedia S.r.l. in qualità di Titolare; per i trattamenti svolti dalle Terze Parti in qualità di Titolari autonomi, si rinvia alle rispettive informative privacy.
ART. 3 — CATEGORIE DI DATI PERSONALI TRATTATI
Inmedia S.r.l. tratta diverse categorie di Dati Personali a seconda del rapporto con l'Interessato e delle funzionalità della Piattaforma utilizzate. Le categorie di seguito elencate sono dettagliate per Utente-tipo (Visitatore, Utente social, Cliente, Host, Referente); il trattamento di ciascuna categoria avviene per le finalità e sulle basi giuridiche descritte nel successivo Art. 4.
3.A — Dati di registrazione e Profilo
3.1 Visitatori non registrati. Per i Visitatori non registrati, Inmedia S.r.l. non raccoglie dati di registrazione. Sono raccolti automaticamente i Dati di Utilizzo descritti al successivo paragrafo 3.K. Nel caso in cui il Visitatore contatti l'assistenza pre-registrazione («Guest Help» ai sensi della Sezione 17-ter dei Termini e Condizioni Generali), sono raccolti l'indirizzo email fornito, il contenuto della richiesta e i metadati del token di accesso temporaneo emesso dal sistema.
3.2 Utenti social e Clienti registrati. Per gli Utenti registrati alle funzionalità non transazionali (social, gamification, esplorazione, UGC) — che costituiscono il regime base applicabile a ogni Utente — e per i Clienti che accedono al marketplace integrato, sono raccolti, in fase di creazione dell'account e di aggiornamento successivo:
(a) dati identificativi minimi: nome, cognome;
(b) dati di contatto: indirizzo email (verificato tramite messaggio di conferma con link di verifica, secondo le modalità descritte alla Sezione 4.1 dei Termini e Condizioni Generali), numero di telefono mobile ove richiesto per funzionalità specifiche (con verifica via SMS OTP), indirizzo postale ove fornito per Esperienze prenotate sul marketplace;
(c) credenziali di accesso: password (memorizzata in forma hashed con algoritmi crittografici sicuri quali bcrypt o Argon2; in nessun caso conservata in chiaro), eventuali token di autenticazione a due fattori (2FA) basati su TOTP e codici di recupero, eventuali identificativi univoci ricevuti dai provider di autenticazione federata (SSO Google, Meta/Facebook);
(d) data di nascita, ove la Piattaforma ne disponga la raccolta in attuazione di obblighi di verifica dell'età ai sensi dell'art. 28 DSA o ai fini della partecipazione a Esperienze con limitazioni di età; in mancanza, l'Utente conferma in fase di registrazione di possedere l'età minima di accesso prevista dalla Sezione 3 dei Termini e Condizioni Generali (14 anni per i residenti in Italia, in applicazione dell'art. 8 GDPR e dell'art. 2-quinquies del Codice Privacy italiano);
(e) preferenze: lingua di interfaccia, valuta, città di destinazione preferite, categorie di Esperienze di interesse, preferenze marketing, accessibilità, fuso orario;
(f) dati di Profilo pubblico: username (generato automaticamente dal sistema in fase di registrazione sulla base dei dati forniti, secondo quanto disposto alla Sezione 4 dei Termini e Condizioni Generali; la modifica successiva sarà eventualmente resa disponibile come funzionalità in evoluzione, cfr. Sezione 29 dei Termini e Condizioni Generali), immagine di profilo (facoltativa), bio breve (facoltativa);
(g) impostazioni di visibilità e privacy del Profilo, autonomamente gestite dall'Interessato dalla pagina di privacy dell'account (rotta account.privacy), come previsto dalla Sezione 5 dei Termini e Condizioni Generali. Le impostazioni — tra loro indipendenti — comprendono in particolare:
(i) visibilità del Profilo (profile_visibility, predefinita: privato);
(ii) indicizzazione del Profilo nei motori di ricerca esterni (allow_search_indexing, predefinita: disabilitata; opera congiuntamente al Profilo pubblico e al raggiungimento di una soglia minima di attività);
(iii) visibilità nelle classifiche pubbliche (show_in_leaderboards, predefinita: abilitata);
(iv) consenso al Tag UGC (allow_ugc_tagging, predefinita: abilitata).
(h) indirizzo IP e user-agent del browser, conservati nelle sessioni e nei principali eventi (a titolo esemplificativo: login, check-in) ai fini di sicurezza, audit e accertamento di abusi, ai sensi della Sezione 4.4 dei Termini e Condizioni Generali.
3.3 Host. Per gli Host registrati sul marketplace integrato sono raccolti, in aggiunta ai dati di cui al paragrafo 3.2 ove applicabili:
(a) dati identificativi e fiscali estesi: nome e cognome o denominazione sociale, ragione sociale, sede legale, numero di iscrizione al Registro delle Imprese, codice fiscale, partita IVA con indicazione del regime fiscale di adesione (ordinario, semplificato, forfettario, regime speciale agriturismo o B&B), eventuale codice REA, indicazione di qualifica di consumatore o impresa;
(b) dati del titolare effettivo ai sensi del D.Lgs. 231/2007 per le entità giuridiche;
(c) dati del rappresentante legale: nome, cognome, codice fiscale, posizione, documento di identità in corso di validità;
(d) dati bancari: IBAN per i pagamenti, intestazione del conto, BIC/SWIFT per IBAN extra-SEPA, eventuali documenti di titolarità del conto;
(e) dati assicurativi: polizza RC professionale o RC verso terzi (denominazione compagnia, numero, massimale, data di scadenza);
(f) dati di compliance: dichiarazioni autocertificate ai sensi del D.P.R. italiano 445/2000, attestati di conformità sanitaria/sicurezza ove richiesti per la categoria di Esperienza, eventuale Codice Identificativo Nazionale (CIN) per le strutture turistiche ai sensi della Legge italiana 191/2023;
(g) dati relativi all'attività: tipologie di Esperienze offerte, sedi operative, calendari di disponibilità, descrizioni testuali e visive dell'offerta;
(h) dati delle Esperienze (limitatamente alla parte relativa all'Host): descrizione, prezzo, durata, capacità, location, materiale fotografico/video, recensioni ricevute.
3.4 Referenti. Per i Referenti registrati al Programma di Referral sono raccolti, in aggiunta ai dati di cui al paragrafo 3.2 ove applicabili:
(a) dati identificativi e fiscali estesi: come per gli Host, distinguendo regime occasionale (persona fisica senza P.IVA) da regime professionale (persona fisica con P.IVA o entità giuridica);
(b) dati bancari: IBAN per i Cashout, BIC/SWIFT;
(c) dati di canale promozionale: identificazione dei canali promozionali utilizzati (sito web, social media, blog, newsletter, podcast), URL principali, audience indicativa, descrizione attività di promozione;
(d) Codice di Referral e Link di Referral assegnati al Referente;
(e) dati di performance del Referral: numero di Segnalati, numero di Azioni Qualificanti, Compensi accumulati, Cashout effettuati.
3.B — Dati di transazione e di pagamento
3.5 Dati di transazione. Per ogni operazione transazionale effettuata sul marketplace integrato della Piattaforma sono raccolti:
(a) identificativo univoco della transazione;
(b) importo, valuta, data e ora;
(c) identificativo dell'Esperienza prenotata, con dettaglio prezzo unitario, partecipanti, opzioni acquistate;
(d) dati dell'Host ricevente il pagamento;
(e) dati del Referente eventualmente attribuito alla conversione (ai fini del Cookie di Attribuzione 90 giorni last-click, secondo le regole dei Termini del Programma di Referral);
(f) stato della transazione: pending, succeeded, failed, refunded, disputed/chargeback;
(g) eventuali rimborsi, chargeback, escrow holds.
3.6 Dati di pagamento (gestiti da Stripe). I dati strumentali al pagamento — numero di carta, scadenza, CVV, autenticazione 3D Secure, dati del device utilizzato per il pagamento — sono raccolti e trattati esclusivamente da Stripe Payments Europe Ltd in qualità di Titolare autonomo del trattamento. Inmedia S.r.l. non ha accesso ai dati completi della carta di pagamento; riceve da Stripe esclusivamente:
(a) un identificativo tokenizzato del metodo di pagamento (es. ultimi 4 cifre, marca della carta, scadenza);
(b) lo stato della transazione;
(c) eventuali codici di errore o motivi di rifiuto.
3.7 Punteggio di rischio Stripe Radar. Per ogni transazione, Stripe Radar elabora un punteggio di rischio antifrode pseudonimizzato che è condiviso con Inmedia S.r.l. ai fini delle decisioni autorizzative. Il punteggio comprende elementi di device fingerprinting, comportamentali e cronologici, secondo le politiche di Stripe Radar.
3.C — Dati di identità e KYC
3.8 Documenti di identità. Per Clienti che ne facciano richiesta in casi specifici (es. Esperienze con limitazioni di età o requisiti normativi specifici) e — sistematicamente — per Host e Referenti, sono raccolti, anche tramite il servizio Stripe Identity:
(a) documento di identità in corso di validità (carta d'identità, passaporto, patente di guida): immagine fronte/retro, numero del documento, autorità di rilascio, data di rilascio e scadenza;
(b) selfie o video di riconoscimento per la verifica di vita (liveness detection), ove applicabile;
(c) dati biometrici generati esclusivamente dal fornitore Stripe Identity per il match tra documento e selfie, in qualità di Responsabile del trattamento di Stripe; tali dati biometrici non sono conservati da Inmedia S.r.l. e sono cancellati dal fornitore secondo le sue politiche di conservazione, in conformità con l'art. 9 GDPR;
(d) prova di residenza per le sole entità giuridiche o per richieste di KYC rafforzato (utenza, bolletta, estratto conto recente);
(e) visura camerale o documento equipollente per le entità giuridiche.
3.D — Dati fiscali, antiriciclaggio e DAC7
3.9 Dati fiscali. Per Host e Referenti sono raccolti i dati fiscali necessari all'adempimento degli obblighi normativi:
(a) codice fiscale (italiano) o TIN (per residenti esteri) per ciascuno Stato di residenza fiscale;
(b) partita IVA, regime IVA, numero VIES per soggetti UE non italiani;
(c) certificato di residenza fiscale estero per applicazione di convenzioni contro la doppia imposizione;
(d) Form W-8BEN o W-8BEN-E per residenti USA o entità US;
(e) Form W-9 con TIN per residenti USA, ai fini del backup withholding e del Form 1099-NEC/1099-K;
(f) calcoli e certificazioni fiscali elaborate dal sistema: ritenute d'acconto, IVA, importi soggetti a Form 1099, Certificazioni Uniche italiane.
3.10 Dati DAC7. Inmedia S.r.l. raccoglie e verifica le informazioni richieste dalla Direttiva (UE) 2021/514 (DAC7) e dal D.Lgs. italiano 32/2023 per i Venditori non esclusi:
(a) per persone fisiche: nome, indirizzo principale, data e luogo di nascita, codice fiscale/TIN per ogni Stato di residenza fiscale, partita IVA, identificativo del conto finanziario (IBAN);
(b) per entità giuridiche: denominazione, sede, codice fiscale/TIN per ogni Stato di residenza fiscale, partita IVA, numero al Registro delle Imprese, titolare effettivo, identificativo del conto finanziario.
3.11 Audit log DAC7. Per assicurare la conformità documentale richiesta dal D.Lgs. italiano 32/2023, Inmedia S.r.l. mantiene un audit log che registra le verifiche effettuate, le incongruenze rilevate, le correzioni apportate e gli scambi automatici di dati con l'Agenzia delle Entrate italiana, conservato per 10 anni.
3.12 Dati antiriciclaggio. Per le finalità antiriciclaggio di cui al D.Lgs. 231/2007 e al Regolamento (UE) 2024/1624, ove applicabili, sono raccolti dati relativi a:
(a) origine dei fondi;
(b) finalità del rapporto economico;
(c) struttura proprietaria delle entità giuridiche e identificazione del titolare effettivo;
(d) esposizione a rischio politico (Politically Exposed Persons — PEP);
(e) presenza in liste di sanzioni internazionali (ONU, UE, OFAC, HMT).
3.E — Dati di geolocalizzazione
3.13 Geolocalizzazione approssimata. Sono raccolti automaticamente dati di geolocalizzazione approssimata (a livello di città o regione) ricavati dall'indirizzo IP dell'Utente, ai fini di personalizzazione dei contenuti, prevenzione frodi e antiriciclaggio.
3.14 Geolocalizzazione precisa. I dati di geolocalizzazione precisa (GPS) sono raccolti solo previo consenso esplicito dell'Utente, in particolare:
(a) quando l'Utente attiva la funzione «Trova Esperienze vicino a me» nell'App o sul web;
(b) quando l'Utente effettua un check-in geolocalizzato presso un Luogo (cfr. Art. 3.E-bis);
(c) quando l'Utente concede la geolocalizzazione di sistema all'App.
La geolocalizzazione precisa può essere disattivata in qualsiasi momento dalle impostazioni del dispositivo. Il consenso può essere revocato senza pregiudizio per la liceità del trattamento basato sul consenso prima della revoca.
3.E-bis — Dati di Check-in geolocalizzati
3.15 Check-in. All'atto del check-in effettuato dall'Utente in prossimità di un Luogo, sono raccolti:
(a) coordinate geografiche GPS (latitudine, longitudine, eventuale altitudine) acquisite dal dispositivo dell'Utente, con la precisione consentita dal sistema operativo del dispositivo;
(b) timestamp del check-in;
(c) identificativo del Luogo (POI) a cui il check-in è associato;
(d) distanza calcolata dal POI ai fini di validazione (formula geodetica di Haversine);
(e) livello di visibilità scelto dall'Utente per il singolo check-in (Solo io / Amici / Tutti), ai sensi della Sezione 7.1 dei Termini e Condizioni Generali;
(f) eventuale Tag UGC associato (cfr. Art. 3.K);
(g) indicatori tecnici utili al calcolo del Trust Score (cfr. Art. 3.H).
3.16 Arrotondamento e pseudonimizzazione tecnica. Le coordinate GPS trasmesse sono arrotondate nei log di sistema al fine di limitare il livello di tracciamento, secondo la precisione indicata nelle Specifiche Tecniche del Servizio. Tale operazione costituisce pseudonimizzazione tecnica ai sensi dell'art. 4, paragrafo 1, n. 5) GDPR, e non anonimizzazione definitiva, in quanto la riconducibilità del dato all'Interessato resta possibile mediante combinazione con altre informazioni dell'account.
3.17 Anti-spoofing. Ai fini della verifica dell'autenticità del check-in e della prevenzione di simulazioni della posizione mediante GPS spoofing o tecniche analoghe, possono essere elaborati indicatori comportamentali e di pattern (a titolo esemplificativo: velocità di spostamento tra check-in consecutivi geograficamente distanti, congruità con dati di accelerometro ove disponibili) che confluiscono nel calcolo del Trust Score (cfr. Art. 3.H e Art. 11).
3.F — Dati di comunicazione e supporto
3.18 Comunicazioni con il servizio clienti. Sono raccolti i contenuti delle comunicazioni intercorse tra l'Utente e il servizio clienti di Stravagando, attraverso:
(a) email a support@stravagando.com o a indirizzi specifici (es. legal@, dmca@);
(b) sistema di ticket interno della Piattaforma;
(c) chat live (ove attivata da fornitore terzo) — limitatamente alla sessione di chat;
(d) comunicazioni telefoniche — registrate solo previo specifico consenso dell'Utente, con avviso preventivo;
(e) eventuali comunicazioni via PEC;
(f) conversazioni di Guest Help per i Visitatori non registrati, gestite tramite token di accesso temporaneo emesso all'indirizzo email fornito, ai sensi della Sezione 17-ter dei Termini e Condizioni Generali.
3.19 Messaggistica diretta tra Utenti. Sono raccolti, conservati e — ove necessario per finalità di sicurezza, antifrode, gestione delle controversie e ottemperanza al DSA — analizzati in forma automatizzata, i contenuti delle comunicazioni intercorse tramite il sistema di messaggistica integrato della Piattaforma, in particolare:
(a) comunicazioni Host-Cliente in relazione a una prenotazione sul marketplace;
(b) richieste informative pre-acquisto da parte di potenziali Clienti agli Host;
(c) messaggi diretti tra Utenti registrati nell'ambito della community social, ove tale funzionalità sia resa disponibile dalla Piattaforma.
Le comunicazioni effettuate al di fuori del sistema di messaggistica integrato (es. WhatsApp, email diretta) non sono raccolte né conservate da Inmedia S.r.l. e sfuggono alle tutele di sicurezza e gestione delle controversie offerte dalla Piattaforma; gli Utenti sono incoraggiati a utilizzare esclusivamente il sistema di messaggistica integrato.
3.20 Recensioni e feedback. Sono raccolti i contenuti delle recensioni e dei feedback rilasciati dagli Utenti sulle Esperienze, sui Luoghi del catalogo, sugli Host e — internamente — sui Clienti. Le recensioni pubblicate sono visibili nel profilo pubblico dell'Esperienza/Host/Luogo e, ove indicizzabili, indicizzate dai motori di ricerca; lo username del recensore è visibile pubblicamente, mentre i dati identificativi completi non lo sono. In adempimento della Direttiva (UE) 2019/2161 (Omnibus), Inmedia S.r.l. adotta misure adeguate per accertare che le recensioni pubblicate provengano da Utenti che hanno effettivamente fruito dell'Esperienza o frequentato il Luogo, con relative attestazioni nel profilo della Esperienza/Luogo.
3.G — Dati di Contenuti UGC e di comunità
3.21 Contenuti pubblicati dall'Utente. Sono raccolti e conservati tutti i Contenuti UGC pubblicati dall'Utente sulla Piattaforma, secondo le seguenti tipologie principali:
(a) fotografie caricate come immagine di Profilo, come corredo di Contenuti UGC o di Esperienze;
(b) post-racconto pubblicati sulla Bacheca di un Luogo;
(c) commenti a Contenuti di altri Utenti;
(d) like e altre reazioni a Contenuti di altri Utenti;
(e) liste personali (Quaderni) con relativi Luoghi/Esperienze inseriti;
(f) proposte di nuovi Luoghi per l'inserimento nel catalogo;
(g) suggerimenti di modifica a Luoghi esistenti.
3.22 Trattamento privacy-by-design delle fotografie (EXIF strip). A tutela della privacy degli Utenti, in attuazione dell'art. 25 GDPR (data protection by design and by default), Inmedia S.r.l. rimuove i metadati EXIF dalle fotografie caricate dall'Utente al momento della loro elaborazione server-side, mediante ricodifica dell'immagine. In particolare sono rimossi: dati di geolocalizzazione (GPS), modello e numero di serie del dispositivo di scatto, data e ora originali, parametri tecnici di esposizione. Inmedia S.r.l. non conserva copie dei metadati EXIF rimossi: l'operazione è irreversibile. L'Interessato che desideri preservare i metadati di una fotografia propria è invitato a conservare autonomamente l'originale, in quanto la versione conservata sulla Piattaforma ne sarà priva.
3.23 Dati di relazione sociale. Sono raccolti i dati relativi alle relazioni sociali tra Utenti sulla Piattaforma, quali:
(a) relazioni di follow (chi segue chi);
(b) mutual-follow (relazioni di follow reciproco, rilevanti ai fini dell'abilitazione del Tag UGC e di alcune funzionalità di visibilità ai sensi delle Sezioni 7 e 8 dei Termini e Condizioni Generali);
(c) blocchi tra Utenti ed eventuali segnalazioni.
3.H — Dati del Sistema di Gamification e indicatori derivati
3.24 Elementi gamification. Sono raccolti e conservati gli elementi del Sistema di Gamification associati all'Utente, secondo quanto descritto alla Sezione 9 dei Termini e Condizioni Generali:
(a) XP (punti esperienza) accumulati e storia degli incrementi;
(b) Livello raggiunto e progressione;
(c) Traguardi sbloccati (denominazione tecnica interna: Achievement), data e contesto dello sblocco;
(d) Streak attive e storia delle serie consecutive;
(e) Level Perks attivi, ivi compresi eventuali codici sconto generati e beta access abilitati;
(f) dati elaborati per il Year Review periodico.
Gli elementi del Sistema di Gamification hanno natura esclusivamente simbolica e ludica e non costituiscono moneta virtuale né bene convertibile in denaro, ai sensi della Sezione 9.1 dei Termini e Condizioni Generali. Il loro trattamento non costituisce profilazione ai sensi dell'art. 4, paragrafo 1, n. 4) GDPR né processo decisionale automatizzato ai sensi dell'art. 22 GDPR.
3.25 Trust Score e indicatori antifrode. Sono elaborati e conservati indicatori derivati dall'attività dell'Utente, in particolare:
(a) Trust Score (valore numerico 0-100) calcolato automaticamente sulla base della coerenza tecnica dei check-in dell'Utente, secondo i criteri descritti alla Sezione 11 dei Termini e Condizioni Generali e dettagliati nelle Specifiche Tecniche del Servizio;
(b) indicatori antifrode comportamentali (a titolo esemplificativo: velocity dei check-in, congruità geografica, pattern di pubblicazione UGC, segnalazioni ricevute);
(c) indicatori di affidabilità Host (tasso di accettazione delle prenotazioni, tasso di cancellazione, rating medio, percentuale di reclami, qualità delle risposte alle comunicazioni);
(d) indicatori di performance del Referente (tasso di conversione, qualità dei Segnalati post-onboarding, tasso di rimborso/chargeback delle prenotazioni dei Segnalati);
(e) profilo di rischio antifrode (sintetizzato da indicatori comportamentali, tecnologici e cronologici);
(f) statistiche aggregate non identificative.
L'incidenza di alcuni di tali indicatori sulla fruibilità del Servizio è descritta all'Art. 11 (Processo decisionale automatizzato e profilazione).
3.I — Tag UGC e dati di moderazione automatica
3.26 Tag UGC. Per i Tag UGC applicati dagli Utenti, ai sensi della Sezione 8-bis dei Termini e Condizioni Generali, sono raccolti e conservati:
(a) identificativo numerico dell'Utente taggante e identificativo numerico dell'Utente taggato;
(b) identificativo del Contenuto a cui il Tag è associato (check-in, post sulla Bacheca di un Luogo);
(c) timestamp di creazione del Tag;
(d) timestamp di eventuale rimozione del Tag e identificativo numerico dell'Utente che ha eseguito la rimozione (taggante o taggato);
(e) storia anonimizzata della rimozione (timestamp e ruolo dell'autore — taggante o taggato — privi dell'identificativo personale), conservata per massimo 24 mesi ai fini di audit di moderazione e prevenzione abusi.
I Tag UGC non sono utilizzati per finalità di profilazione né per decisioni automatizzate ai sensi dell'art. 22 GDPR. In particolare, i Tag applicati ai post sulla Bacheca non concorrono all'attribuzione di XP né allo sblocco di Traguardi, in coerenza con la Sezione 8-bis.8 dei Termini e Condizioni Generali. Per i Tag applicati ai check-in nell'ambito del companion tagging, si applica la disciplina della Sezione 8 dei Termini e Condizioni Generali e dei correlati riconoscimenti gamification, descritti all'Art. 3.H.
3.27 Dati di Moderazione automatica. Per ogni decisione di Moderazione automatica adottata dai sistemi di intelligenza artificiale di Terze Parti impiegati dalla Piattaforma, sono raccolti e conservati in una tabella di sistema dedicata i seguenti metadati:
(a) identificativo del Contenuto oggetto di analisi;
(b) decisione adottata (approvazione, rifiuto, segnalazione per revisione manuale, declassamento);
(c) codice motivazionale e categoria di rischio rilevata;
(d) modello utilizzato e versione, soglia di confidenza applicata;
(e) punteggi di confidenza elaborati dal sistema;
(f) latenza, costo e dati operativi della chiamata al fornitore;
(g) esito di eventuale revisione umana successiva e identificativo dell'operatore che ha effettuato il riesame.
Tali metadati sono utilizzati per finalità di audit, miglioramento dei sistemi, gestione di eventuali reclami e adempimento degli obblighi di trasparenza previsti dall'AI Act, dal DSA (in particolare art. 17 — Statement of Reasons) e dall'art. 22 GDPR, secondo le modalità descritte all'Art. 11.
3.J — Dati di navigazione e Strumenti di Tracciamento
3.28 Dati di Utilizzo. Sono raccolti automaticamente, secondo quanto descritto in dettaglio nella Cookie Policy:
(a) indirizzo IP (anonimizzato, ove configurabile);
(b) identificativi del device (device fingerprinting, user-agent, sistema operativo, versione browser);
(c) dati di sessione (durata, pagine visitate, sequenza di navigazione, clickstream);
(d) identificativi pubblicitari mobili (IDFA per iOS, Google Advertiser ID per Android), solo previo consenso;
(e) referrer URL e parametri UTM di provenienza;
(f) interazioni con la Piattaforma (pulsanti cliccati, ricerche effettuate, prenotazioni iniziate e abbandonate, check-in tentati e completati).
3.29 Dati conservati localmente sul dispositivo dell'Utente. La Piattaforma è progettata anche come Progressive Web App (PWA) installabile sul dispositivo dell'Utente e include un Service Worker che utilizza le API native del browser (Cache API, IndexedDB, localStorage) per finalità di caching, memorizzazione di preferenze, supporto offline e notifiche push. Tale memorizzazione avviene esclusivamente sul dispositivo dell'Utente, non trasferisce dati a Inmedia S.r.l. in modo diretto e non costituisce trattamento di Dati Personali da parte del Titolare nella misura in cui rimane confinata al browser locale. L'Utente può svuotare tale memoria in qualsiasi momento dalle impostazioni del proprio browser, come previsto dalla Sezione 18.1 dei Termini e Condizioni Generali.
3.30 Strumenti di Tracciamento di Terze Parti. Sono raccolti dati ulteriori tramite Strumenti di Tracciamento di Terze Parti (Google, Meta, TikTok, LinkedIn, Microsoft, Hotjar e altri), come dettagliato nella Cookie Policy, esclusivamente nei limiti del consenso prestato dall'Utente. Inmedia S.r.l. adotta il modello Consent Mode v2 di Google per la gestione granulare del consenso e la conservazione della storia delle scelte secondo modalità append-and-update.
3.K — Dati di terzi forniti dall'Utente
3.31 Dati di altri partecipanti. Quando un Cliente prenota un'Esperienza per più partecipanti, può fornire dati di terzi (nome, cognome, eventualmente data di nascita per Esperienze con limitazioni di età). L'Utente che fornisce dati di terzi:
(a) garantisce di averne ottenuto il consenso, o di avere altra base giuridica per la condivisione;
(b) si impegna a fornire all'interessato l'informativa privacy sintetica disponibile nella sezione «Prenoto per altri» della Piattaforma, contenente le informazioni essenziali sul trattamento;
(c) tiene indenne Inmedia S.r.l. da contestazioni di terzi derivanti dalla mancata o inadeguata informazione, ai sensi delle clausole di manleva dei Termini e Condizioni Generali.
Analoga responsabilità ricade sull'Utente che pubblica Contenuti UGC contenenti dati di terzi (a titolo esemplificativo: fotografie raffiguranti persone identificabili oltre l'Utente stesso). L'Utente garantisce di aver ottenuto le necessarie autorizzazioni dai soggetti raffigurati o nominati, ai sensi dell'art. 97 della Legge italiana 633/1941 e della Sezione 6.3 dei Termini e Condizioni Generali.
ART. 4 — FINALITÀ DEL TRATTAMENTO E BASI GIURIDICHE
I Dati Personali raccolti sono trattati per le finalità di seguito descritte, ciascuna con la propria base giuridica ai sensi dell'art. 6 (e, ove applicabile, art. 9) GDPR. La presente sezione costituisce l'informativa di sintesi prevista dall'art. 13, paragrafo 1, lettera c) GDPR.
4.A — Finalità contrattuali e di erogazione del Servizio
4.1 Esecuzione del contratto. I Dati Personali sono trattati per:
(a) creazione e gestione dell'account Utente, ivi compresa la generazione automatica dello username e l'eventuale autenticazione federata (SSO);
(b) erogazione delle funzionalità non transazionali della Piattaforma (Profilo, Social, Gamification, esplorazione del catalogo Luoghi, pubblicazione e fruizione di Contenuti UGC, partecipazione alla community);
(c) erogazione delle funzionalità del marketplace (ricerca, prenotazione, pagamento, fruizione delle Esperienze a pagamento);
(d) gestione delle prenotazioni, dei pagamenti, delle cancellazioni e dei rimborsi, ivi compresa l'esecuzione delle Politiche di Cancellazione applicabili;
(e) calcolo e versamento dei Compensi Host e dei Compensi Referente, gestione dei Cashout via Stripe Connect;
(f) esecuzione dei check-in geolocalizzati e attribuzione dei correlati elementi del Sistema di Gamification (XP, Livelli, Traguardi, Streak), ivi compresa l'eventuale attribuzione di Tag UGC nell'ambito del companion tagging;
(g) pubblicazione, visibilità e moderazione dei Contenuti UGC secondo le impostazioni di visibilità autonomamente gestite dall'Utente e le regole applicabili al Tag UGC;
(h) gestione della messaggistica tra Utenti (Host-Cliente; community); gestione del Guest Help per Visitatori non registrati;
(i) erogazione del servizio di assistenza clienti;
(j) amministrazione delle relazioni di follow, inclusa la gestione dei rapporti di mutual-follow rilevanti per l'applicabilità di alcune funzionalità (Tag UGC, visibilità dei check-in di livello «Amici»).
Base giuridica: art. 6, paragrafo 1, lettera b) GDPR — esecuzione di un contratto di cui l'Interessato è parte (Termini e Condizioni Generali, Termini e Condizioni di Vendita, Termini Host, Termini Programma di Referral) o esecuzione di misure precontrattuali su richiesta dell'Interessato.
4.B — Finalità di adempimento normativo
4.2 Obblighi di legge. I Dati Personali sono trattati per:
(a) adempimenti fiscali: tenuta della contabilità, fatturazione elettronica via Sistema di Interscambio italiano (SDI), Certificazioni Uniche italiane, ritenute d'acconto, dichiarazioni IVA, Form 1099 USA;
(b) adempimenti DAC7: raccolta, verifica, conservazione e comunicazione all'Agenzia delle Entrate italiana e — tramite scambio automatico — alle Autorità fiscali estere dei dati dei Venditori non esclusi (Host e Referenti);
(c) adempimenti antiriciclaggio: verifica della clientela, conservazione del fascicolo clienti, segnalazioni di operazioni sospette all'UIF, tenendo conto del tipping-off art. 39 D.Lgs. 231/2007 (divieto di rivelare la segnalazione);
(d) rispetto delle sanzioni internazionali: screening contro le liste sanzioni ONU, UE, OFAC, HMT, blocco di operazioni o relazioni con soggetti sanzionati;
(e) adempimenti DSA: pubblicazione del Transparency Report periodico, gestione delle segnalazioni notice and action ai sensi dell'art. 16 DSA, garanzia dell'anonimato del segnalante salvo richiesta dell'Autorità competente, conservazione del log delle decisioni di moderazione e degli Statements of Reasons, gestione dei Trusted Flagger ai sensi dell'art. 22 DSA, comunicazioni alle Autorità competenti tramite i punti di contatto designati (Sezioni 12-bis.4 e 12-bis.5 dei Termini e Condizioni Generali);
(f) adempimenti AI Act: trasparenza in ordine all'utilizzo di sistemi di intelligenza artificiale per la Moderazione automatica dei Contenuti, ai sensi del Regolamento (UE) 2024/1689, ivi compresa la documentazione delle decisioni e dei correlati metadati;
(g) adempimenti P2B: pubblicazione delle condizioni generali, gestione delle reclamazioni interne degli Utenti commerciali, mediazione esterna designata;
(h) risposte a richieste di Autorità giudiziarie, fiscali, amministrative, di vigilanza o di pubblica sicurezza italiane o estere competenti, nei limiti previsti dalla legge applicabile (a titolo esemplificativo: ordini di esibizione, sequestri probatori, ordini di conservazione ai sensi dell'art. 254-bis del Codice di Procedura Penale italiano, richieste ex Convenzione di Budapest sul cybercrime).
Base giuridica: art. 6, paragrafo 1, lettera c) GDPR — adempimento di obblighi di legge.
4.C — Finalità di sicurezza, antifrode e tutela dei diritti
4.3 Sicurezza, antifrode e Trust Score. I Dati Personali sono trattati per:
(a) prevenzione e identificazione di accessi non autorizzati, brute force, credential stuffing, account takeover, bot automatizzati; gestione della re-autenticazione per operazioni sensibili ai sensi della Sezione 4.2 dei Termini e Condizioni Generali;
(b) prevenzione di frodi sui pagamenti (Stripe Radar, device fingerprinting, velocity check);
(c) prevenzione di pratiche fraudolente nel Programma di Referral (Self-Referral, Cookie Stuffing, Click Fraud) e nel Sistema di Gamification (account multipli, scambi reciproci sospetti, simulazione di attività);
(d) calcolo del Trust Score degli Utenti sulla base della coerenza tecnica dei check-in, ai sensi della Sezione 11 dei Termini e Condizioni Generali e degli artt. 3.E-bis e 3.H della presente Informativa, con le garanzie procedurali descritte all'Art. 11.B;
(e) identificazione di tentativi di GPS spoofing e simulazione della posizione, ai fini della tutela dell'integrità del catalogo Luoghi e del Sistema di Gamification;
(f) tutela del patrimonio della Piattaforma, degli Host, dei Clienti, dei Referenti e degli altri Utenti da frodi e abusi;
(g) tutela della sicurezza informatica della Piattaforma ai sensi della NIS2;
(h) supporto investigativo a richieste di Autorità giudiziarie e di pubblica sicurezza;
(i) tutela dei diritti di Inmedia S.r.l. in caso di controversie giudiziali o stragiudiziali, anche con conservazione di evidenze probatorie elettroniche.
Base giuridica: art. 6, paragrafo 1, lettera f) GDPR — legittimo interesse di Inmedia S.r.l. alla sicurezza, alla prevenzione frodi, alla tutela dei propri diritti e dei diritti degli Utenti, in equilibrio con i diritti e le libertà fondamentali dell'Interessato. Per i trattamenti che comportano valutazioni automatizzate di rischio si rinvia all'Art. 11.
4.D — Finalità di Moderazione automatica dei Contenuti UGC
4.4 Moderazione automatica. I Contenuti UGC pubblicati dall'Utente sono sottoposti, in via preventiva, ad analisi automatizzata mediante sistemi di intelligenza artificiale di Terze Parti, ai sensi della Sezione 12 dei Termini e Condizioni Generali, in particolare:
(a) un modello linguistico per la classificazione testuale di recensioni, post, commenti e proposte;
(b) un servizio di analisi delle immagini per il rilevamento di contenuti per adulti, violenti od offensivi nelle fotografie.
I sistemi sono integrati con un fallback di revisione manuale per i casi limite, l'indisponibilità dei sistemi automatici o i Contenuti in pending al superamento dei limiti operativi. La specifica identità dei modelli impiegati, le soglie di confidenza, i criteri di accesso al fast-track per Utenti con storico positivo e i limiti operativi di spesa sono indicati nelle Specifiche Tecniche del Servizio.
L'Interessato ha diritto a richiedere la revisione umana della decisione di moderazione entro 14 giorni dalla notifica, secondo le modalità descritte all'Art. 11.C, in coerenza con la Sezione 12.3 dei Termini e Condizioni Generali. La revisione è effettuata da personale qualificato di Stravagando e non si svolge attraverso il medesimo sistema automatizzato che ha emesso la decisione contestata.
Base giuridica:
art. 6, paragrafo 1, lettera b) GDPR — esecuzione del contratto (la moderazione costituisce condizione per la pubblicazione del Contenuto sulla Piattaforma);
art. 6, paragrafo 1, lettera c) GDPR — adempimento di obblighi di legge (DSA, AI Act);
art. 6, paragrafo 1, lettera f) GDPR — legittimo interesse al mantenimento dell'integrità e della qualità della comunità di Utenti.
4.E — Finalità di miglioramento del Servizio
4.5 Analitica e ottimizzazione. I Dati Personali sono trattati, in forma aggregata e anonimizzata ove possibile, per:
(a) misurazione delle performance della Piattaforma e dei tassi di conversione;
(b) analisi del comportamento di navigazione per identificare aree di miglioramento (in forma aggregata o, ove disaggregata, sulla base del consenso ai sensi della Cookie Policy);
(c) test A/B di interfacce e funzionalità;
(d) elaborazione di statistiche interne sulla popolazione degli Utenti;
(e) miglioramento iterativo dei sistemi di Moderazione automatica e degli algoritmi di calcolo del Trust Score, sulla base dei metadati di decisione descritti all'Art. 3.27 e dell'esito di eventuali revisioni umane.
Base giuridica:
per analitiche aggregate assimilabili a tecniche (Provvedimento del Garante italiano del 10/06/2021, par. 4.2): art. 122 Codice Privacy italiano + art. 6, paragrafo 1, lettera f) GDPR (legittimo interesse al miglioramento del Servizio);
per analitiche disaggregate: art. 6, paragrafo 1, lettera a) GDPR — consenso, secondo la Cookie Policy.
4.F — Finalità di comunicazione di servizio
4.6 Comunicazioni di servizio. Sono inviate all'Utente comunicazioni in relazione all'erogazione del Servizio e all'esecuzione del contratto, ai sensi della Sezione 17 dei Termini e Condizioni Generali, distinte in tre categorie:
(a) categorie essenziali (a titolo esemplificativo: modifiche dei Termini, sospensione dell'account, alert di sicurezza, ricevute marketplace, comunicazioni legali, conferma di cancellazione dell'account): non disattivabili in quanto necessarie all'esecuzione del contratto e all'adempimento di obblighi del Titolare;
(b) categorie di servizio (a titolo esemplificativo: notifiche social, gamification, attività marketplace di carattere informativo): disattivabili granularmente dalle impostazioni dell'account;
(c) categorie di marketing utility connesse al rapporto contrattuale ma di natura promozionale (a titolo esemplificativo: promemoria pre-Esperienza per prenotazioni effettuate, inviti a recensire dopo l'Esperienza): l'invio è subordinato al consenso opt-in dell'Utente, granulare per ciascuna categoria.
I canali utilizzati comprendono email, notifiche push web, notifiche push mobile (per future App native iOS/Android) e notifiche in-app.
Base giuridica: art. 6, paragrafo 1, lettera b) GDPR (esecuzione del contratto) per le categorie essenziali e di servizio; art. 6, paragrafo 1, lettera a) GDPR (consenso) per le categorie di marketing utility.
4.G — Finalità di marketing diretto e newsletter
4.7 Marketing diretto su servizi analoghi (soft opt-in). Per gli Utenti che hanno effettuato almeno una prenotazione o creato un account, possono essere inviate comunicazioni di marketing diretto su servizi analoghi a quelli prenotati o utilizzati (es. nuove Esperienze nelle stesse città, nuovi Host nella stessa categoria), tramite email e notifiche in-App.
Base giuridica: art. 6, paragrafo 1, lettera f) GDPR — legittimo interesse al marketing diretto su servizi analoghi, ai sensi del Considerando 47 GDPR e dell'art. 130, comma 4 del Codice Privacy italiano. L'Interessato può opporsi in qualsiasi momento mediante il link di opt-out presente in ogni comunicazione, le impostazioni di account o la richiesta a legal@stravagando.com.
4.8 Newsletter e marketing diretto profilato. Per le comunicazioni di marketing rivolte agli Utenti — anche non titolari di account — sulla newsletter periodica e su iniziative promozionali generali, Inmedia S.r.l. adotta il modello del double opt-in ai sensi della Sezione 17-bis dei Termini e Condizioni Generali. La newsletter è offerta indipendentemente dalla titolarità di un account; la base giuridica è il consenso esplicito dell'Interessato.
L'Interessato può revocare in qualsiasi momento il consenso e disiscriversi dalla newsletter mediante:
(a) il link di disiscrizione presente in calce a ogni email di marketing;
(b) il meccanismo di disiscrizione con un solo clic previsto dagli standard di settore per la deliverability (RFC 8058);
(c) la richiesta inviata a legal@stravagando.com.
A seguito della disiscrizione, Inmedia S.r.l. conserva il dato della disiscrizione (indirizzo email in forma sufficiente all'identificazione univoca e metadati di revoca) come lista di soppressione (suppression list) per garantire all'Interessato il rispetto nel tempo della scelta di non essere più contattato. La base giuridica di tale conservazione è il legittimo interesse alla soppressione ai sensi dell'art. 6, paragrafo 1, lettera f) GDPR, nonché l'adempimento dell'art. 7, paragrafo 3 GDPR (obbligo di rispettare la revoca del consenso). L'Interessato ha diritto di richiedere la cancellazione anche del record di soppressione, prendendo nota delle conseguenze (l'eventuale futura re-iscrizione non sarà più riconosciuta dal sistema come tale).
4.9 Marketing profilato e su servizi non analoghi. Per finalità di marketing diretto:
(a) su servizi non analoghi (es. promozione di servizi di Terze Parti);
(b) profilato sulla base dei comportamenti di navigazione disaggregati;
(c) tramite canali pubblicitari di Terze Parti (Meta, Google, TikTok, LinkedIn, ecc.);
(d) tramite SMS o telefono (ove applicabile);
è raccolto il consenso preventivo dell'Utente, mediante il Pannello Preferenze della Cookie Policy, le impostazioni dell'account o specifico checkbox.
Base giuridica: art. 6, paragrafo 1, lettera a) GDPR — consenso, revocabile in qualsiasi momento.
4.10 Esclusione di pubblicità mirata ai minori. In conformità con l'art. 28 DSA, Inmedia S.r.l. non presenta pubblicità mirata basata su profilazione ai sensi dell'art. 4, paragrafo 4 GDPR agli Utenti per i quali sussistono indicatori di minore età, secondo le modalità descritte nelle Specifiche Tecniche del Servizio e in coerenza con la Sezione 14-bis.3 dei Termini e Condizioni Generali.
4.H — Tag UGC: base giuridica differenziata
4.11 Trattamento del Tag UGC. La funzionalità di Tag UGC, descritta alla Sezione 8-bis dei Termini e Condizioni Generali e all'Art. 3.26 della presente Informativa, comporta un trattamento di Dati Personali su base giuridica differenziata in relazione al ruolo dell'Interessato:
(a) per l'Utente destinatario del Tag (Tag «in entrata»), il trattamento è basato sul consenso esplicito dell'Interessato espresso mediante l'impostazione «Permetti agli altri di taggarmi nei contenuti» (allow_ugc_tagging), attiva per impostazione predefinita e revocabile in qualsiasi momento dalle impostazioni del Profilo, ai sensi dell'art. 6, paragrafo 1, lettera a) GDPR;
(b) per l'Utente autore del Tag (Tag «in uscita»), il trattamento è basato sull'esecuzione del contratto e in particolare delle funzionalità sociali della Piattaforma cui l'Utente ha aderito mediante i Termini e Condizioni Generali, ai sensi dell'art. 6, paragrafo 1, lettera b) GDPR;
(c) per le correlate funzionalità di notifica e visualizzazione, il trattamento è basato sull'esecuzione del contratto ai sensi dell'art. 6, paragrafo 1, lettera b) GDPR e sulle preferenze di notifica espresse dall'Interessato.
La revoca dell'impostazione allow_ugc_tagging opera pro-futuro: i tentativi successivi di Tag da parte di altri Utenti sono silenziosamente scartati dal sistema senza notifica al destinatario protetto. I Tag eventualmente già applicati prima della revoca possono essere rimossi dall'Interessato attraverso il pannello del Profilo, con effetto immediato e definitivo, in coerenza con la Sezione 8-bis.4 dei Termini e Condizioni Generali.
4.I — Finalità di profilazione automatizzata
4.12 Profilazione automatizzata interna. Inmedia S.r.l. effettua attività di profilazione automatizzata limitatamente a:
(a) personalizzazione dei risultati di ricerca delle Esperienze e dei Luoghi suggeriti nell'esplorazione del catalogo;
(b) suggerimenti di Esperienze e Luoghi coerenti con il profilo di interesse dell'Utente;
(c) calcolo del rating di affidabilità Host e Referente;
(d) calcolo del risk score antifrode (descritto all'Art. 11.A);
(e) calcolo del Trust Score (descritto all'Art. 11.B).
Le attività di cui alle lettere (a), (b) e (c) non producono effetti giuridici sull'Interessato né lo riguardano in modo significativo. Le attività di cui alle lettere (d) e (e) sono potenzialmente idonee a produrre effetti significativi e sono trattate separatamente all'Art. 11.
Base giuridica: art. 6, paragrafo 1, lettere b) e f) GDPR — esecuzione del contratto e legittimo interesse al miglioramento del Servizio, alla qualità della community e all'antifrode.
4.J — Categorie particolari di dati e dati penali
4.13 Trattamenti eccezionali. Quando volontariamente forniti dall'Utente o necessari per finalità specifiche, possono essere trattati Dati Sensibili o Penali esclusivamente sulla base di:
(a) consenso esplicito dell'Interessato, ai sensi dell'art. 9, paragrafo 2, lettera a) GDPR;
(b) esecuzione di obblighi del datore di lavoro ex art. 9, paragrafo 2, lettera b) GDPR, ove applicabile (es. per dati di dipendenti coinvolti nell'erogazione del Servizio);
(c) interesse pubblico rilevante ex art. 9, paragrafo 2, lettera g) GDPR, in attuazione della normativa antiriciclaggio e di contrasto a reati finanziari;
(d) accertamento, esercizio o difesa di un diritto in sede giudiziaria ex art. 9, paragrafo 2, lettera f) GDPR;
(e) trattamento da parte di autorità pubbliche ex art. 10 GDPR, per i dati penali, in attuazione di obblighi normativi.
ART. 5 — MODALITÀ DI RACCOLTA DEI DATI PERSONALI
5.A — Raccolta diretta dall'Interessato
5.1 Form di registrazione e profilo. I Dati Personali di registrazione e profilo (paragrafi 3.2-3.4) sono raccolti direttamente dall'Interessato attraverso i form di registrazione e di aggiornamento del Profilo, nelle versioni web e App della Piattaforma. La fornitura di alcuni dati è necessaria per l'utilizzo dei servizi della Piattaforma; in caso di mancata fornitura, l'utilizzo della funzionalità correlata può essere impossibile o limitato.
5.2 Pubblicazione di Contenuti UGC. I Contenuti UGC (paragrafi 3.21-3.23) sono raccolti direttamente dall'Interessato al momento della loro pubblicazione sulla Piattaforma. Le fotografie sono sottoposte server-side al processo di rimozione dei metadati EXIF descritto al paragrafo 3.22.
5.3 Check-in geolocalizzati. I dati di check-in (paragrafi 3.15-3.17) sono raccolti direttamente al momento dell'esecuzione del check-in da parte dell'Interessato, previa concessione del permesso di accesso al GPS del dispositivo. Le coordinate trasmesse sono arrotondate nei log secondo quanto previsto al paragrafo 3.16.
5.4 Comunicazioni con il servizio clienti e con altri Utenti. I Dati Personali di comunicazione (paragrafi 3.18-3.19) sono raccolti direttamente dall'Interessato attraverso i canali di assistenza e di messaggistica della Piattaforma, ivi compreso il Guest Help per i Visitatori non registrati.
5.5 Inserimento di Esperienze (Host). I dati relativi alle Esperienze sono inseriti direttamente dall'Host attraverso il pannello di gestione dell'account; l'Host è esclusivo responsabile della veridicità e completezza dei dati inseriti, ai sensi dei Termini Host.
5.6 Aggiornamento delle impostazioni di privacy. Le impostazioni di visibilità e privacy del Profilo (par. 3.2 lettera g) sono raccolte e aggiornate direttamente dall'Interessato dalla pagina account.privacy, con re-autenticazione richiesta per le operazioni sensibili ai sensi della Sezione 4.2 dei Termini e Condizioni Generali.
5.B — Raccolta da Terze Parti
5.7 Single Sign-On (SSO). Quando l'Utente sceglie di registrarsi o autenticarsi mediante SSO da provider terzi (Google, Apple, Meta/Facebook), Inmedia S.r.l. riceve dal provider terzo, in qualità di Titolare autonomo, esclusivamente i dati strettamente necessari (nome, cognome, indirizzo email verificato, eventuale immagine profilo, identificativo univoco presso il provider), nel rispetto delle politiche del provider.
5.8 Stripe Identity (KYC). Per le procedure di KYC, in particolare di Host e Referenti, Inmedia S.r.l. si avvale del servizio Stripe Identity di Stripe Payments Europe Ltd. Stripe Identity acquisisce direttamente i documenti di identità e i selfie/video di vita dell'Interessato, esegue i controlli di autenticità e di match, e comunica a Inmedia S.r.l. l'esito sintetico (verificato/non verificato) e gli estremi del documento. Inmedia S.r.l. non riceve i dati biometrici grezzi né conserva il selfie/video dell'Interessato.
5.9 Verifica VIES e registri pubblici. Per i numeri di partita IVA forniti, Inmedia S.r.l. effettua verifica automatica tramite il sistema VIES della Commissione UE per le P.IVA UE non italiane, e tramite l'archivio dell'Agenzia delle Entrate italiana per le P.IVA italiane. Per le entità giuridiche, possono essere consultati i registri delle Imprese pubblici per la verifica della corretta costituzione e dei poteri di rappresentanza.
5.10 Liste sanzioni internazionali. Inmedia S.r.l. effettua screening periodico contro le liste sanzioni ONU, UE, OFAC e HMT, mediante fornitori specializzati operanti come Responsabili del trattamento. I nomi e codici fiscali/TIN degli Utenti sono confrontati con i nominativi delle liste; in caso di match potenziale, è effettuata una verifica manuale per escludere falsi positivi.
5.11 Provider antifrode di Terze Parti. Per finalità antifrode, Inmedia S.r.l. può ricevere informazioni di rischio da fornitori specializzati quali Stripe Radar, Sift Science e analoghi. Tali fornitori operano come Responsabili del trattamento o Titolari autonomi a seconda della specifica configurazione contrattuale.
5.12 Sistemi di Moderazione automatica. I metadati delle decisioni di Moderazione automatica (Art. 3.27) sono generati dalle interazioni di Inmedia S.r.l. con i fornitori di intelligenza artificiale di Terze Parti (modello linguistico per testi e servizio di analisi immagini), che operano in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR. I Contenuti UGC dell'Utente sono trasmessi a tali fornitori esclusivamente per le finalità della Moderazione automatica e per il tempo strettamente necessario all'analisi.
5.C — Raccolta automatica
5.13 Dati di Utilizzo via Strumenti di Tracciamento. I Dati di Utilizzo (paragrafi 3.28-3.30) sono raccolti automaticamente tramite Strumenti di Tracciamento descritti nella Cookie Policy. La raccolta avviene sulla base delle preferenze espresse dall'Interessato nel Pannello Preferenze, conformemente al Provvedimento del Garante italiano del 10/06/2021 e al modello Consent Mode v2.
5.14 Log di sicurezza e auditing. I log di sicurezza dei sistemi (accessi, transazioni, check-in, errori, eventi rilevanti) sono raccolti automaticamente e conservati ai fini della sicurezza informatica, dell'investigazione di incidenti e dell'audit ai sensi della Sezione 4.4 dei Termini e Condizioni Generali.
5.15 Audit trail della rimozione dei Tag UGC. La rimozione di un Tag UGC da parte dell'Interessato taggato o dell'autore del Tag genera automaticamente una traccia di audit comprensiva di timestamp e identificativo dell'autore dell'operazione, ai sensi del paragrafo 3.26 lettera (d), conservata in forma anonimizzata oltre i 24 mesi per le sole finalità di prevenzione abusi di moderazione.
5.D — Raccolta da fonti pubbliche
5.16 Fonti pubbliche. Limitatamente a finalità di antifrode e di compliance (es. KYC rafforzato per Host con volumi attesi elevati), Inmedia S.r.l. può consultare informazioni provenienti da fonti pubbliche, quali pubblicazioni di stampa, registri pubblici, social network professionali nei limiti consentiti dalle politiche di tali piattaforme. Tali consultazioni sono effettuate nel rispetto del principio di minimizzazione e per le sole finalità sopra indicate.
ART. 6 — MODALITÀ DI TRATTAMENTO E MISURE DI SICUREZZA
6.A — Modalità di trattamento
6.1 Strumenti. Il trattamento dei Dati Personali avviene sia con strumenti automatizzati (sistemi informatici, processi automatici, algoritmi di intelligenza artificiale per la Moderazione automatica e il calcolo del Trust Score) sia, ove necessario, manualmente (consultazione, modifica, gestione di richieste degli Interessati, gestione di controversie, revisione umana ai sensi degli artt. 11 e 12). I dati sono conservati su sistemi informatici accessibili al personale autorizzato di Inmedia S.r.l., ai Responsabili del trattamento e — limitatamente a quanto strettamente necessario — alle Autorità competenti.
6.2 Soggetti autorizzati al trattamento. I Dati Personali sono trattati da personale di Inmedia S.r.l. formalmente autorizzato e formato sui temi della protezione dei dati personali ai sensi dell'art. 29 GDPR e dell'art. 2-quaterdecies del Codice Privacy italiano. Le autorizzazioni sono concesse secondo il principio del need-to-know (accesso minimo necessario per la mansione) e del least-privilege, e sono periodicamente riviste.
6.3 Principi. Il trattamento è effettuato secondo i principi di:
(a) liceità, correttezza e trasparenza (art. 5, paragrafo 1, lettera a) GDPR);
(b) limitazione delle finalità (art. 5, paragrafo 1, lettera b) GDPR) — i dati raccolti per una finalità non sono trattati per finalità incompatibili;
(c) minimizzazione (art. 5, paragrafo 1, lettera c) GDPR) — sono raccolti i soli dati pertinenti, adeguati e limitati al necessario;
(d) esattezza (art. 5, paragrafo 1, lettera d) GDPR) — i dati sono mantenuti aggiornati e accurati;
(e) limitazione della conservazione (art. 5, paragrafo 1, lettera e) GDPR) — i dati sono conservati per il tempo strettamente necessario;
(f) integrità e riservatezza (art. 5, paragrafo 1, lettera f) GDPR) — i dati sono protetti da trattamenti non autorizzati o illeciti, perdita, distruzione o danno accidentale;
(g) responsabilizzazione (accountability) (art. 5, paragrafo 2 GDPR) — Inmedia S.r.l. mantiene la documentazione delle misure adottate ed è in grado di dimostrare la conformità.
6.B — Misure di sicurezza tecniche
6.4 Misure tecniche. Inmedia S.r.l. adotta misure tecniche di sicurezza adeguate al rischio del trattamento ai sensi dell'art. 32 GDPR, includendo:
(a) cifratura dei dati in transito mediante TLS 1.2 o superiore per tutte le comunicazioni con la Piattaforma;
(b) cifratura dei dati a riposo per i dati sensibili e di particolare rilevanza (es. documenti di identità, dati bancari) tramite algoritmi di cifratura standard di settore (AES-256 o equivalenti);
(c) hashing sicuro delle password mediante algoritmi crittografici (bcrypt, scrypt o Argon2) con salt unico per password;
(d) autenticazione a due fattori (2FA) basata su applicazione autenticatrice TOTP e codici di recupero, disponibile per tutti gli account; obbligatoria per Host e Referenti con volumi rilevanti e per il personale Inmedia S.r.l. con accesso a sistemi critici, ai sensi della Sezione 4.2 dei Termini e Condizioni Generali;
(e) re-autenticazione per operazioni sensibili (modifica email, password, impostazioni di visibilità, indicizzazione, leaderboard, Tag UGC) anche a sessione attiva, a tutela contro attacchi di account takeover;
(f) segregazione degli ambienti di sviluppo, staging e produzione;
(g) firewall, intrusion detection e intrusion prevention ai confini di rete;
(h) scansioni periodiche di vulnerabilità e penetration test annuali;
(i) backup crittografati e geograficamente distribuiti, con verifica periodica del ripristino;
(j) aggiornamenti tempestivi di sicurezza (patch management) sui sistemi operativi, applicativi e librerie;
(k) pseudonimizzazione dei dati di analisi ove possibile, ivi compreso l'arrotondamento delle coordinate GPS dei check-in nei log di sistema (par. 3.16);
(l) rimozione irreversibile dei metadati EXIF dalle fotografie caricate, come misura tecnica di privacy by design (par. 3.22);
(m) conservazione di IP address e user-agent nelle sessioni e nei principali eventi a fini di audit, secondo il principio di minimizzazione.
6.C — Misure di sicurezza organizzative
6.5 Misure organizzative. Sono adottate altresì misure organizzative quali:
(a) policy di sicurezza documentate e periodicamente aggiornate;
(b) formazione del personale sui temi della protezione dei dati;
(c) classificazione delle informazioni per livelli di sensibilità;
(d) data protection by design and by default integrata nei nuovi sviluppi (art. 25 GDPR), con particolare riferimento alle funzionalità sociali e di geolocalizzazione (impostazioni di privacy predefinite restrittive, scelta granulare della visibilità per singolo check-in, opt-out granulari);
(e) valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR per i trattamenti ad alto rischio, ivi compresi quelli concernenti la Moderazione automatica IA, il calcolo del Trust Score e il trattamento dei check-in geolocalizzati;
(f) registro delle attività di trattamento ai sensi dell'art. 30 GDPR;
(g) audit interni e indipendenti periodici, anche sull'efficacia dei sistemi di Moderazione automatica;
(h) procedura di gestione degli incidenti di sicurezza integrata con la procedura di notifica del Data Breach.
6.D — Sicurezza ai sensi della NIS2
6.6 Compliance NIS2. Limitatamente ai requisiti applicabili a Inmedia S.r.l. ai sensi della Direttiva (UE) 2022/2555 (NIS2) come recepita in Italia, sono adottate misure di sicurezza informatica proporzionate al livello di rischio identificato, con particolare riferimento a: gestione dei rischi cyber, incident response, continuità operativa, sicurezza della supply chain, formazione del personale.
6.E — Data Breach
6.7 Procedura. In caso di Data Breach con rischio per i diritti e le libertà degli Interessati, Inmedia S.r.l. notifica al Garante italiano entro 72 ore dalla conoscenza dell'incidente (art. 33 GDPR) e — quando il rischio sia elevato — comunica tempestivamente l'evento agli Interessati nei modi e con i contenuti previsti dall'art. 34 GDPR. Inmedia S.r.l. mantiene un registro interno di tutti i Data Breach, indipendentemente dalla loro gravità.
ART. 7 — DESTINATARI DEI DATI PERSONALI E COMUNICAZIONE
I Dati Personali possono essere comunicati alle categorie di destinatari di seguito descritte, ciascuno nei limiti e per le finalità di seguito indicate. La comunicazione è regolata da specifici accordi contrattuali o, ove richiesto da legge, avviene in adempimento di obblighi normativi.
7.A — Responsabili del trattamento
7.1 Responsabili. Le seguenti categorie di soggetti operano in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR, sulla base di accordi contrattuali (DPA — Data Processing Agreement) che disciplinano natura, oggetto, durata, finalità del trattamento, tipologie di dati, categorie di interessati, obblighi e diritti del Titolare:
(a) fornitori di cloud hosting (es. Amazon Web Services, Google Cloud, Microsoft Azure, Laravel Cloud) — hosting dell'infrastruttura applicativa;
(b) fornitori di servizi di sicurezza e edge (es. Cloudflare, Akamai) — protezione DDoS, Web Application Firewall, Content Delivery Network, caching ai bordi della rete;
(c) fornitori di servizi di analitica (configurati come Responsabili — es. Matomo self-hosted, Plausible Analytics) — analitica web in modalità anonimizzata;
(d) fornitori di servizi di posta elettronica transazionale e di newsletter (es. SendGrid, Mailgun, Postmark, Brevo, Klaviyo) — invio di email transazionali, di servizio e di marketing;
(e) fornitori di servizi di SMS e push notification (es. Twilio, Firebase Cloud Messaging) — invio di OTP, alert, notifiche push;
(f) fornitori di servizi di customer support (es. Intercom, Zendesk, Freshdesk, HubSpot) — gestione tecnica del sistema di ticket e del Guest Help;
(g) fornitori di servizi di antifrode (configurati come Responsabili) — risk scoring, device fingerprinting;
(h) fornitori di servizi di KYC (es. Stripe Identity per la parte di trattamento operata su istruzione) — verifica documentale;
(i) fornitori di sistemi di intelligenza artificiale per la Moderazione automatica di Contenuti UGC, in particolare:
(i.1) Anthropic, PBC — modello linguistico per la classificazione testuale di recensioni, post, commenti e proposte;
(i.2) Google LLC — servizio di analisi delle immagini (Vision API) per il rilevamento di contenuti per adulti, violenti od offensivi nelle fotografie;
(j) studi legali e consulenti vincolati al segreto professionale, per le attività di consulenza legale, fiscale e di compliance;
(k) società di revisione contabile e di certificazione, per gli adempimenti di legge.
7.2 Elenco aggiornato. L'elenco aggiornato dei Responsabili del trattamento nominati da Inmedia S.r.l., con indicazione della loro localizzazione e delle garanzie di trasferimento adottate, è disponibile a richiesta dell'Interessato all'indirizzo legal@stravagando.com.
7.B — Titolari autonomi
7.3 Titolari autonomi. Le seguenti categorie di soggetti ricevono Dati Personali in qualità di Titolari autonomi del trattamento, perseguendo finalità da loro autonomamente determinate. Inmedia S.r.l. non è responsabile dei trattamenti svolti da tali soggetti, ai quali si rinvia per le rispettive informative privacy:
(a) Stripe Payments Europe Ltd — per i servizi di pagamento, escrow, Connect, antifrode Radar, KYC Identity (per la parte autonoma del trattamento), reportistica fiscale;
(b) istituti bancari del Titolare e degli Utenti — per l'esecuzione dei pagamenti SEPA e SWIFT;
(c) piattaforme pubblicitarie e social network (Meta, Google, TikTok, LinkedIn, Microsoft, Pinterest, X, Reddit, Snapchat) — per le finalità marketing e profilazione, sulla base del consenso prestato dall'Utente, fatte salve le limitazioni per i minori di cui all'Art. 4.10;
(d) fornitori di SSO (Google, Apple, Meta/Facebook) — per i servizi di autenticazione single sign-on;
(e) Autorità giudiziarie, fiscali, amministrative, di vigilanza e di pubblica sicurezza italiane ed estere competenti, in adempimento di obblighi normativi o richieste autoritative legittime, ivi compresi i Coordinatori dei Servizi Digitali ai sensi del DSA, i Trusted Flagger riconosciuti ai sensi dell'art. 22 DSA, la Commissione UE per gli scambi nell'ambito della Statements of Reasons database;
(f) Agenzia delle Entrate italiana — per gli adempimenti DAC7 e fiscali;
(g) UIF presso la Banca d'Italia — per le segnalazioni antiriciclaggio;
(h) Internal Revenue Service (IRS) statunitense — per i Form 1099 e gli adempimenti fiscali USA degli Utenti residenti USA.
7.4 OpenStreetMap Foundation. Una parte significativa dei dati del catalogo Luoghi è ottenuta da OpenStreetMap, distribuiti con licenza Open Database License (ODbL) v1.0. Tale circostanza non comporta trattamento di Dati Personali degli Utenti da parte di OpenStreetMap Foundation in relazione all'uso del Servizio da parte degli Utenti, e l'attribuzione «© OpenStreetMap contributors» è visualizzata in ciascuna pagina che presenta dati OSM ai sensi della Sezione 15.2 dei Termini e Condizioni Generali.
7.C — Comunicazione tra Utenti della Piattaforma
7.5 Trasparenza tra Host e Cliente. I Dati Personali sono comunicati tra Host e Cliente, in misura strettamente necessaria all'esecuzione delle prenotazioni sul marketplace, secondo le seguenti regole:
(a) prima della conferma della prenotazione: l'Host vede il primo nome e l'iniziale del cognome del Cliente, l'immagine profilo, il rating aggregato e il numero di Esperienze già completate;
(b) dopo la conferma della prenotazione: l'Host riceve nome completo del Cliente, recapito email e telefono per la comunicazione operativa;
(c) il Cliente vede sempre il profilo pubblico dell'Host, con dati commerciali (denominazione, città, rating, recensioni pubbliche).
Host e Cliente agiscono ciascuno in qualità di Titolare autonomo del trattamento per i dati così comunicati, e si impegnano — ai sensi dei rispettivi Termini e Condizioni — a trattare i dati ricevuti esclusivamente per le finalità di esecuzione dell'Esperienza prenotata, nel rispetto della normativa in materia di protezione dei dati personali. Inmedia S.r.l. non è responsabile dei trattamenti svolti da Host o Cliente in qualità di Titolari autonomi.
7.6 Visibilità tra Utenti della community social. Nell'ambito delle funzionalità social della Piattaforma, i Dati Personali dell'Utente sono visibili ad altri Utenti registrati e — quando il Profilo è impostato come pubblico e indicizzabile — al pubblico generale, secondo le impostazioni autonomamente gestite dall'Interessato (par. 3.2 lettera g). Tale visibilità comprende, secondo le impostazioni:
(a) lo username, l'immagine di Profilo e la bio breve;
(b) i Contenuti UGC pubblicati con visibilità pubblica o estesa al network di mutual-follow (post, commenti, recensioni, fotografie, check-in con visibilità «Amici» o «Tutti»);
(c) la posizione nelle classifiche pubbliche (Livello, XP del periodo), per gli Utenti che mantengono attivata l'impostazione show_in_leaderboards;
(d) le menzioni ricevute tramite Tag UGC validamente applicati;
(e) le relazioni di follow ove rese visibili.
Gli altri Utenti che fruiscono di tali Contenuti agiscono ciascuno per finalità personali o, se commerciali, in qualità di Titolari autonomi del trattamento, fatte salve le restrizioni d'uso previste dai Termini e Condizioni Generali (in particolare il divieto di scraping non autorizzato, di cui alla Sezione 14).
7.7 Recensioni pubbliche. Le recensioni rilasciate dagli Utenti sulle Esperienze, sui Luoghi e sugli Host sono pubblicate sul profilo pubblico della Esperienza/Luogo/Host con visibilità dello username del recensore, e sono indicizzabili dai motori di ricerca quando il Profilo del recensore è impostato come indicizzabile o quando il pubblico è impostato a livello del Luogo. L'Utente che pubblica una recensione:
(a) acconsente alla pubblicazione e alla visibilità pubblica;
(b) garantisce che il contenuto è veritiero, basato su un'esperienza reale ai sensi della Direttiva (UE) 2019/2161, e non viola i diritti di terzi;
(c) può richiedere la modifica o cancellazione della propria recensione mediante il pannello dell'account o richiesta a legal@stravagando.com.
7.8 DSA — Notice & Action e tutela dell'anonimato del segnalante. In adempimento del Regolamento (UE) 2022/2065 (DSA), Inmedia S.r.l. mette a disposizione un meccanismo di segnalazione di contenuti potenzialmente illegali o lesivi di diritti di terzi (procedura notice and action), accessibile dalla sezione dedicata della Piattaforma. Le segnalazioni e le decisioni di moderazione sono registrate e conservate, con riferimento ai soggetti coinvolti, secondo le tempistiche di conservazione di cui all'Art. 9.
L'identità del segnalante non viene esposta all'Utente segnalato in alcuna fase del procedimento, in coerenza con la Sezione 12-bis.1 dei Termini e Condizioni Generali e a tutela contro ritorsioni e a garanzia della libertà di segnalazione. L'identità del segnalante può essere rivelata esclusivamente su richiesta dell'Autorità competente.
7.D — Comunicazioni in caso di operazioni straordinarie
7.9 Cessione, fusione, acquisizione. In caso di cessione, fusione, acquisizione o altra operazione straordinaria che coinvolga Inmedia S.r.l. (o ramo d'azienda comprendente la Piattaforma), i Dati Personali possono essere trasferiti al cessionario/incorporante in qualità di nuovo Titolare del trattamento, secondo modalità conformi all'art. 4 GDPR e con adeguata informativa preventiva agli Interessati ove prevista dalla legge applicabile. Resta fermo il diritto dell'Interessato di opporsi al trasferimento ove la base giuridica del trattamento successivo lo consenta.
7.E — Divieto di vendita
7.10 No sale. Inmedia S.r.l. non vende i Dati Personali degli Utenti a terzi a fini commerciali. Per i residenti USA, si veda il successivo Art. 13 in materia di CCPA/CPRA per la definizione di «sale» e di «sharing».
ART. 8 — TRASFERIMENTI EXTRA-SEE
8.1 Principio. Alcuni dei trattamenti descritti comportano il trasferimento di Dati Personali al di fuori dello Spazio Economico Europeo (SEE), in particolare verso gli Stati Uniti d'America, il Regno Unito ed altri Paesi terzi, in connessione con la fornitura di servizi essenziali alla Piattaforma (pagamenti, cloud hosting, marketing, supporto clienti, KYC, Moderazione automatica con sistemi di intelligenza artificiale).
8.2 Garanzie adottate. I trasferimenti extra-SEE avvengono nel rispetto del Capo V GDPR, mediante una o più delle seguenti garanzie:
(a) Decisioni di adeguatezza della Commissione UE ai sensi dell'art. 45 GDPR, ove applicabili (Regno Unito, Svizzera, Israele, Canada parziale, Andorra, Argentina, Giappone, Nuova Zelanda, Repubblica di Corea, Uruguay, Stati Uniti limitatamente alle organizzazioni certificate al EU-US Data Privacy Framework);
(b) EU-US Data Privacy Framework per i trasferimenti negli Stati Uniti, con conferma della certificazione del destinatario al framework approvato dalla Commissione UE con Decisione di adeguatezza del 10 luglio 2023;
(c) Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE con Decisione di esecuzione 2021/914, ai sensi dell'art. 46, paragrafo 2, lettera c) GDPR, integrate da ulteriori misure tecniche e organizzative ove necessarie sulla base del Transfer Impact Assessment (TIA) condotto da Inmedia S.r.l.;
(d) Norme vincolanti d'impresa (Binding Corporate Rules — BCR) approvate ai sensi dell'art. 47 GDPR, ove applicabili al destinatario;
(e) deroghe ex art. 49 GDPR, in casi specifici e residuali (es. consenso esplicito dell'Interessato, esecuzione di contratto su sua richiesta, motivi di interesse pubblico).
8.3 Trasparenza. Inmedia S.r.l. fornisce all'Interessato che ne faccia richiesta — all'indirizzo legal@stravagando.com — copia delle garanzie adottate per il trasferimento extra-SEE specifico, secondo modalità conformi all'art. 13, paragrafo 1, lettera f) GDPR.
8.4 Trasferimenti specifici principali. A titolo informativo, i principali trasferimenti extra-SEE attualmente effettuati riguardano:
(a) Stati Uniti — pagamenti: Stripe Payments Europe Ltd condivide con Stripe Inc. (società madre) parte dei dati di pagamento, con adozione di SCC integrate da misure tecniche supplementari;
(b) Stati Uniti — cloud e sicurezza: Google Cloud, Microsoft Azure (limitatamente a regioni non-UE selezionate), Cloudflare, Amazon Web Services per le sole regioni non europee ove eccezionalmente impiegate, sotto EU-US Data Privacy Framework e SCC residue ove necessarie;
(c) Stati Uniti — Moderazione automatica: Anthropic, PBC per il modello linguistico di classificazione testuale dei Contenuti UGC, sotto SCC integrate e — ove la certificazione sia mantenuta dal destinatario — EU-US Data Privacy Framework; Google LLC per il servizio Vision API di analisi delle immagini, alle medesime condizioni;
(d) Regno Unito: alcuni fornitori di analitica e sicurezza hanno parte di operazioni nel Regno Unito, sotto Decisione di adeguatezza UK;
(e) Stati Uniti — marketing: i partner pubblicitari Meta, Google, TikTok, LinkedIn, Microsoft per le finalità marketing, sotto SCC e EU-US DPF.
ART. 9 — CONSERVAZIONE DEI DATI PERSONALI
I Dati Personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti, secondo il principio di limitazione della conservazione di cui all'art. 5, paragrafo 1, lettera e) GDPR. Sono di seguito riportate le tempistiche di conservazione tipiche, salvo cause di prolungamento connesse a contenziosi, ad indagini di Autorità competenti, ad obblighi normativi sopravvenuti, ad esercizio di diritti dell'Interessato, ovvero ai casi di Legal Hold di cui all'Art. 9-bis.
9.A — Account e Profilo
9.1 Account attivo. I dati di account e di Profilo sono conservati per l'intera durata della relazione contrattuale (account attivo).
9.2 Cancellazione volontaria self-service. In caso di cancellazione dell'account su richiesta diretta dell'Interessato mediante la funzionalità self-service della Piattaforma (rotta account.gdpr.delete, ai sensi della Sezione 20 dei Termini e Condizioni Generali), i dati identificativi dell'account sono sottoposti a soft-delete e conservati per 90 giorni dalla data della richiesta, decorsi i quali sono cancellati definitivamente. Tale periodo è giustificato dall'esigenza di gestire eventuali reclami, accertamenti di abuso e adempimenti di legge, in coerenza con le regole di retention applicate agli Utenti sanzionati.
9.3 Sospensione, sanzione o ban dell'account. In caso di sospensione o ban dell'account ai sensi della Sezione 13 dei Termini e Condizioni Generali, i Contenuti pubblici dell'Utente sono immediatamente oscurati e conservati in soft-delete per 90 giorni, decorsi i quali sono cancellati definitivamente, fermi restando i casi di Legal Hold.
9.4 Account non attivamente dismesso. In assenza di esplicita richiesta di cancellazione da parte dell'Interessato e in assenza di sanzioni, i dati di account possono essere conservati per ulteriori 24 mesi dopo l'ultima attività significativa rilevata, ai fini della gestione di eventuali contenziosi e di richieste di Autorità competenti. Inmedia S.r.l. si riserva la facoltà di introdurre, ai sensi della Sezione 21 dei Termini e Condizioni Generali, un meccanismo di chiusura automatica per inattività prolungata, previo preavviso non inferiore a 30 giorni per email.
9.B — Contenuti UGC
9.5 Contenuti UGC eliminati volontariamente. I Contenuti UGC eliminati dall'Interessato mediante le funzionalità della Piattaforma sono sottoposti a soft-delete: resi immediatamente non visibili dall'interfaccia pubblica e conservati nella base dati per 30 giorni a fini di eventuali audit, verifiche di sicurezza e procedimenti disciplinari interni, decorsi i quali sono cancellati definitivamente, ai sensi della Sezione 6.5 dei Termini e Condizioni Generali e fermi restando i casi di Legal Hold.
9.6 Contenuti UGC pubblicati e attivi. I Contenuti UGC pubblicati e attivi sono conservati per la durata della pubblicazione, di norma per la durata dell'account dell'Interessato che li ha pubblicati, salvo richiesta di cancellazione da parte dell'Interessato o esercizio di diritti.
9.7 Recensioni pubbliche. Le recensioni rilasciate sulle Esperienze e sui Luoghi sono conservate per il tempo di pubblicazione del profilo dell'Esperienza/Luogo, salvo richiesta di rettifica o cancellazione da parte del recensore o esercizio di diritti dell'Interessato. La cessazione dell'attività dell'Host non comporta automaticamente la cancellazione delle recensioni storiche, in quanto rilevanti per la comunità di Utenti.
9.C — Check-in e Sistema di Gamification
9.8 Check-in. I check-in sono conservati nello storico di attività dell'Utente per tempo indefinito durante la vita dell'account, salvo eliminazione su richiesta dell'Interessato o esercizio dei diritti di cui all'Art. 10. L'eliminazione di un check-in lo rimuove dall'interfaccia pubblica e dallo storico personale, ma non comporta automaticamente la riduzione degli XP accumulati né la perdita dei Traguardi conseguiti, in considerazione dell'irrevocabilità storica dei riconoscimenti di gamification, fatti salvi i casi di accertamento di abuso o frode ai sensi della Sezione 7.2 dei Termini e Condizioni Generali.
9.9 Elementi del Sistema di Gamification. XP, Livelli, Traguardi, Streak e altri elementi del Sistema di Gamification sono conservati per la durata dell'account dell'Utente. In caso di cancellazione dell'account, gli elementi sono cancellati senza diritto a indennizzo, in coerenza con la loro natura simbolica (Sezione 9.1 dei Termini e Condizioni Generali). Resta ferma la conservazione in forma aggregata e anonimizzata di dati statistici, ove tecnicamente irreversibile.
9.D — Tag UGC e Moderazione automatica
9.10 Tag UGC. I Tag UGC associati a Contenuti sono conservati per la durata di vita del Contenuto cui sono associati. In caso di rimozione del Tag da parte dell'Interessato (taggante o taggato), l'associazione tra identificativo Utente e identificativo Contenuto viene immediatamente cancellata; resta conservato in forma anonimizzata il fatto storico della rimozione (timestamp e ruolo dell'autore — taggante o taggato — privi dell'identificativo personale) per massimo 24 mesi, ai fini di audit di moderazione e prevenzione abusi, in coerenza con il paragrafo 3.26 lettera (e).
9.11 Metadati di Moderazione automatica. I metadati delle decisioni di Moderazione automatica (par. 3.27) sono conservati per 36 mesi dalla decisione, prorogabili in caso di contenzioso, reclamo DSA non ancora definito o indagini di Autorità competenti. La conservazione risponde alle finalità di audit, miglioramento dei sistemi, gestione di reclami, adempimento degli obblighi di trasparenza ex AI Act e DSA, e tutela dei diritti di Inmedia S.r.l. in sede contenziosa.
9.E — Dati di transazione, fiscali e antiriciclaggio
9.12 Dati di transazione e fatturazione. Conservati per 10 anni dalla data della transazione, ai sensi dell'art. 2220 del Codice Civile italiano e delle norme fiscali (D.P.R. italiano 600/1973, D.P.R. italiano 633/1972).
9.13 Dati DAC7. Audit log DAC7 e dataset trasmessi all'Agenzia delle Entrate italiana: 10 anni dalla trasmissione, ai sensi del D.Lgs. italiano 32/2023.
9.14 Dati antiriciclaggio. 5 anni dalla cessazione della relazione, ai sensi dell'art. 31 del D.Lgs. italiano 231/2007 e del Regolamento (UE) 2024/1624. Per le segnalazioni di operazioni sospette all'UIF, conservazione secondo le indicazioni della normativa applicabile e nel rispetto del divieto di tipping-off.
9.15 Dati di KYC e documenti di identità. Per la durata della relazione contrattuale e per 5 anni successivi, salvo le esigenze antiriciclaggio. I dati biometrici eventualmente generati da Stripe Identity non sono conservati da Inmedia S.r.l. e sono soggetti alle politiche di conservazione di Stripe.
9.F — Comunicazioni, sicurezza e marketing
9.16 Comunicazioni con il servizio clienti. 24 mesi dalla data della comunicazione, prorogabili in caso di contenzioso o di indagini di Autorità.
9.17 Conversazioni di Guest Help. Le conversazioni con Visitatori non registrati gestite tramite token email sono soggette a chiusura automatica per inattività trascorso un periodo determinato (indicato nelle Specifiche Tecniche del Servizio), decorso il quale i dati sono conservati secondo le regole di retention applicate ai Contenuti UGC.
9.18 Messaggistica tra Utenti tramite la Piattaforma. 18 mesi dalla data dell'ultimo messaggio nella conversazione, prorogabili in caso di contenzioso o di segnalazione DSA. Le comunicazioni operative legate a una prenotazione completata possono essere conservate per la durata del relativo periodo di garanzia / reclamabilità della prestazione.
9.19 Dati di sicurezza e antifrode. 24 mesi dalla raccolta, prorogabili nei casi di esigenze investigative o di contenzioso.
9.20 Dati di marketing e profilazione. Fino a 24 mesi dall'ultima interazione dell'Utente con la comunicazione di marketing o, se anteriore, fino alla revoca del consenso. Dati di profilazione disaggregata: secondo le tempistiche specifiche dei singoli Strumenti di Tracciamento, indicate nella Cookie Policy.
9.21 Liste di soppressione newsletter. Conservazione a tempo indeterminato della sola informazione minima necessaria a impedire la re-iscrizione di un Interessato che si è disiscritto, fino a richiesta di cancellazione anche del record di soppressione da parte dell'Interessato stesso.
9.22 Dati di Strumenti di Tracciamento (Cookie). Vedere Cookie Policy per le tempistiche specifiche per categoria.
9.23 Consent log. 10 anni dalla raccolta del consenso o dalla revoca, ai fini probatori e di accountability.
9.24 Audit log di sicurezza. 24 mesi, prorogabili in caso di indagini o contenziosi.
9.25 Dati relativi a contenzioso. Per la durata del contenzioso e per i tempi prescrizionali successivi ai sensi del Codice Civile italiano (tipicamente 10 anni dalla cessazione della causa), o per i tempi superiori previsti da Autorità competenti.
9.G — Cancellazione e anonimizzazione
9.26 Cancellazione automatica. Decorsi i termini di conservazione, i Dati Personali sono cancellati o anonimizzati in modo irreversibile. La cancellazione è eseguita automaticamente dai sistemi informatici, con riscontro periodico tramite audit.
9.27 Conservazione in forma anonimizzata. I dati possono essere conservati in forma anonimizzata (ovvero non più riconducibili a persona identificata o identificabile) anche oltre i termini sopra indicati, per finalità statistiche e di miglioramento del Servizio. L'anonimizzazione è eseguita secondo standard tecnici riconosciuti che impediscono la reidentificazione.
ART. 9-bis — LEGAL HOLD E PROLUNGAMENTO DELLA CONSERVAZIONE
Il presente articolo descrive il regime di Legal Hold, ovvero il prolungamento della conservazione di Dati Personali o Contenuti specifici in deroga ai termini ordinari indicati all'Art. 9, in coerenza con la Sezione 16.1 dei Termini e Condizioni Generali.
9-bis.A — Presupposti
9-bis.1 Ipotesi di Legal Hold. Inmedia S.r.l. si riserva la facoltà di prolungare la conservazione di dati o Contenuti specifici oltre il termine standard di cui all'Art. 9, limitatamente a quanto e per il tempo strettamente necessario, al ricorrere di una delle seguenti circostanze:
(a) richiesta formale dell'Autorità giudiziaria, della Polizia giudiziaria o di altra Autorità competente — a titolo esemplificativo: ordini di esibizione, sequestri probatori, ordini di conservazione ai sensi dell'art. 254-bis del Codice di Procedura Penale italiano, richieste ai sensi della Convenzione di Budapest sul cybercrime, provvedimenti del Garante italiano;
(b) procedimento disciplinare interno o reclamo DSA in corso ai sensi delle Sezioni 12-bis e 13 dei Termini e Condizioni Generali, fino alla relativa definizione;
(c) contenzioso legale, giudiziale o stragiudiziale, pendente o ragionevolmente prevedibile, riguardante i dati o Contenuti in questione, per l'esercizio o la difesa di un diritto in sede giudiziaria (art. 17, paragrafo 3, lettera e) GDPR);
(d) obbligo legale specifico che imponga la conservazione — a titolo esemplificativo: obblighi fiscali ai sensi dell'art. 2220 del Codice Civile italiano per i dati relativi a transazioni nel marketplace; obblighi antiriciclaggio ai sensi del D.Lgs. italiano 231/2007 e del Regolamento (UE) 2024/1624; obblighi di reportistica fiscale ai sensi della Direttiva UE 2021/514 (DAC7) e del D.Lgs. italiano 32/2023; obblighi di conservazione dei dati di traffico telematico ai sensi del D.Lgs. italiano 196/2003.
9-bis.B — Modalità di applicazione
9-bis.2 Criteri. In tutti i casi di Legal Hold:
(a) la conservazione è limitata ai dati e Contenuti specificamente rilevanti per la finalità che giustifica il prolungamento e non si estende all'intero patrimonio informativo dell'Interessato;
(b) i dati in Legal Hold sono accessibili esclusivamente al personale autorizzato e ai destinatari della richiesta legittima, e non rientrano nella visibilità ordinaria della Piattaforma;
(c) la durata è quella strettamente necessaria al raggiungimento della finalità; cessata la causa, i dati sono cancellati senza ulteriori indugi;
(d) salvo quando vietato dall'Autorità richiedente o da norme di legge (a titolo esemplificativo: segreto investigativo ai sensi dell'art. 329 del Codice di Procedura Penale italiano), Inmedia S.r.l. informa l'Interessato del prolungamento effettuato e della relativa motivazione, in modo compatibile con le esigenze investigative.
9-bis.C — Effetti sui diritti dell'Interessato
9-bis.3 Esercizio dei diritti GDPR. L'esistenza di un procedimento di Legal Hold non sospende né limita di per sé i diritti dell'Interessato di cui agli artt. 15-22 GDPR, fatte salve le eccezioni previste dall'art. 23 GDPR e dalla normativa applicabile (segreto investigativo, esigenze di giustizia, ecc.). L'esercizio del diritto alla cancellazione (art. 17 GDPR) può essere temporaneamente sospeso, per i soli dati e per il tempo strettamente necessario, in coerenza con l'art. 17, paragrafo 3 GDPR. L'Interessato è informato dell'eventuale sospensione, salvo quanto previsto al paragrafo 9-bis.2 lettera (d).
9-bis.4 Diritto alla portabilità. L'esportazione dei dati ai fini della portabilità di cui all'art. 20 GDPR non include i Contenuti eventualmente soggetti a Legal Hold; l'inclusione di tali Contenuti è possibile esclusivamente su richiesta formale dell'Autorità competente.
ART. 10 — DIRITTI DEGLI INTERESSATI
L'Interessato ha diritto di esercitare, in qualsiasi momento e gratuitamente (salvo richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, per le quali Inmedia S.r.l. può addebitare un contributo spese ragionevole o rifiutare di soddisfare la richiesta, ai sensi dell'art. 12, paragrafo 5 GDPR), i diritti di seguito descritti.
10.A — Diritti previsti dal GDPR
10.1 Diritto di accesso (art. 15 GDPR). L'Interessato ha diritto di ottenere la conferma che sia o meno in corso un trattamento di Dati Personali che lo riguardano e, in tal caso, l'accesso a tali Dati Personali e alle informazioni indicate nella presente Informativa. Su richiesta, Inmedia S.r.l. fornisce una copia dei Dati Personali oggetto di trattamento.
10.2 Diritto di rettifica (art. 16 GDPR). L'Interessato ha diritto di ottenere la rettifica dei Dati Personali inesatti che lo riguardano senza ingiustificato ritardo, nonché l'integrazione dei Dati Personali incompleti, anche fornendo una dichiarazione integrativa. La maggior parte dei dati di Profilo è autonomamente modificabile dall'Interessato dall'area riservata del proprio account.
10.3 Diritto alla cancellazione («diritto all'oblio») (art. 17 GDPR). L'Interessato ha diritto di ottenere la cancellazione dei propri Dati Personali, nei casi previsti dall'art. 17 GDPR, in particolare quando:
(a) i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti;
(b) l'Interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;
(c) l'Interessato si oppone al trattamento ai sensi dell'art. 21 GDPR e non sussiste motivo legittimo prevalente di Inmedia S.r.l. per procedere al trattamento;
(d) i dati sono stati trattati illecitamente;
(e) i dati devono essere cancellati per adempiere un obbligo legale.
L'Interessato può esercitare il diritto alla cancellazione integrale del proprio account direttamente dalla Piattaforma, mediante la funzionalità self-service descritta alla Sezione 20 dei Termini e Condizioni Generali, ovvero scrivendo a legal@stravagando.com.
Limiti specifici della cancellazione. Il diritto alla cancellazione non si applica nei casi previsti dall'art. 17, paragrafo 3 GDPR, in particolare:
(i) per l'adempimento di obblighi legali (es. conservazione fiscale dei dati di transazione del marketplace ex art. 2220 c.c. — 10 anni; conservazione antiriciclaggio — 5 anni; audit log DAC7 — 10 anni);
(ii) per l'esercizio o la difesa di un diritto in sede giudiziaria;
(iii) nei casi di Legal Hold ai sensi dell'Art. 9-bis;
(iv) per le recensioni pubbliche che, pur potendo essere depersonalizzate (sostituendo l'identificativo del recensore), possono essere mantenute online ai fini della trasparenza informativa verso la comunità di Utenti.
La cancellazione dell'account comporta la decadenza simbolica degli elementi del Sistema di Gamification (XP, Livelli, Traguardi, Streak), in coerenza con la loro natura ai sensi della Sezione 9.1 dei Termini e Condizioni Generali, senza diritto a indennizzo. La cancellazione di un singolo check-in non comporta la riduzione automatica degli XP attribuiti né la perdita dei Traguardi conseguiti, in considerazione dell'irrevocabilità storica dei riconoscimenti di gamification (par. 9.8). La cancellazione comporta altresì l'eliminazione dei Tag UGC «in entrata» (Tag che hanno taggato l'Interessato in Contenuti di altri Utenti) e l'eliminazione delle relazioni di follow attive.
10.4 Diritto di limitazione del trattamento (art. 18 GDPR). L'Interessato ha diritto di ottenere la limitazione del trattamento dei propri Dati Personali, nei casi previsti dall'art. 18 GDPR. Durante il periodo di limitazione, i dati possono essere conservati ma non ulteriormente trattati, salvo specifiche eccezioni di legge.
10.5 Diritto alla portabilità dei dati (art. 20 GDPR). L'Interessato ha diritto di ricevere i propri Dati Personali — limitatamente a quelli forniti direttamente dall'Interessato stesso al Titolare e trattati con mezzi automatizzati sulla base del consenso o dell'esecuzione di un contratto — in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e ha il diritto di trasmetterli a un altro Titolare senza impedimenti. Ove tecnicamente fattibile, l'Interessato ha diritto di ottenere la trasmissione diretta dei dati a un altro Titolare. Inmedia S.r.l. mette a disposizione una funzionalità self-service di esportazione, ai sensi della Sezione 20 dei Termini e Condizioni Generali, che include, ove pertinenti:
(a) i dati di Profilo e di account;
(b) i Contenuti UGC pubblicati;
(c) lo storico dei check-in personali (con le coordinate originali fornite dall'Interessato, fermo restando che le copie nei log di sistema rimangono arrotondate ai sensi del paragrafo 3.16);
(d) lo storico delle prenotazioni e delle transazioni;
(e) i dati di gamification (XP, Traguardi, Streak);
(f) le impostazioni di privacy e preferenze.
Le fotografie eventualmente incluse nell'esportazione sono prive dei metadati EXIF originali, ai sensi del paragrafo 3.22. I Contenuti soggetti a Legal Hold non sono inclusi nell'esportazione, ai sensi dell'Art. 9-bis.4.
10.6 Diritto di opposizione (art. 21 GDPR). L'Interessato ha diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei Dati Personali che lo riguardano basato sull'art. 6, paragrafo 1, lettera e) o f) GDPR (interesse pubblico o legittimo interesse), salvo che Inmedia S.r.l. dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell'Interessato, oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
L'Interessato ha diritto di opporsi in qualsiasi momento e senza necessità di motivazione al trattamento dei Dati Personali per finalità di marketing diretto, ivi compresa la profilazione connessa a tale marketing. Tale diritto può essere esercitato mediante:
(a) il link di opt-out presente in ogni comunicazione di marketing;
(b) le impostazioni dell'account (preferenze di notifica e marketing);
(c) il Pannello Preferenze della Cookie Policy;
(d) la richiesta inviata a legal@stravagando.com.
Specificamente, l'Interessato può autonomamente:
(i) disattivare la propria visibilità nelle classifiche pubbliche modificando l'impostazione show_in_leaderboards;
(ii) disabilitare il Tag UGC modificando l'impostazione allow_ugc_tagging, con effetto immediato sui tentativi successivi;
(iii) modificare la visibilità del Profilo (profile_visibility) e l'indicizzazione esterna (allow_search_indexing);
(iv) impostare il livello di visibilità di ogni singolo check-in al momento dell'esecuzione (Solo io / Amici / Tutti);
(v) revocare il consenso al trattamento di dati di geolocalizzazione precisa dalle impostazioni del dispositivo.
10.7 Diritto di revoca del consenso (art. 7, paragrafo 3 GDPR). Ove il trattamento sia basato sul consenso, l'Interessato ha diritto di revocarlo in qualsiasi momento, senza pregiudizio per la liceità del trattamento basato sul consenso prima della revoca. La revoca può essere esercitata mediante gli stessi canali utilizzati per prestare il consenso.
10.B — Diritti specifici legati al trattamento automatizzato
10.8 Diritti ex art. 22 GDPR. L'Interessato ha diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardino o che incida in modo analogo significativamente sulla sua persona, salvo le eccezioni previste dall'art. 22, paragrafo 2 GDPR (necessità per la conclusione/esecuzione del contratto, autorizzazione di legge, consenso esplicito). Per i trattamenti che ricadono in tale fattispecie — antifrode pagamenti, Trust Score, Moderazione automatica IA — l'Interessato ha diritto di ottenere l'intervento umano da parte di Inmedia S.r.l., di esprimere la propria opinione e di contestare la decisione, secondo le modalità descritte all'Art. 11.
10.C — Modalità di esercizio
10.9 Canali di contatto. Per esercitare i diritti di cui sopra, l'Interessato può:
(a) inviare una richiesta scritta all'indirizzo email legal@stravagando.com (con oggetto: «Esercizio diritti privacy»);
(b) utilizzare le funzionalità self-service disponibili nell'area riservata della Piattaforma (modifica del Profilo, gestione delle preferenze di privacy e marketing, esportazione dei dati, cancellazione dell'account);
(c) inviare una raccomandata o PEC al Titolare ai recapiti indicati all'Art. 2;
(d) contattare il DPO, ove nominato, all'indirizzo legal@stravagando.com (con oggetto: «DPO»).
10.10 Identificazione del richiedente. Per garantire la sicurezza dei dati e prevenire accessi non autorizzati, Inmedia S.r.l. può chiedere all'Interessato di fornire prova della propria identità, in modo proporzionato alla richiesta. Per le operazioni sensibili effettuate dall'area riservata della Piattaforma è richiesta la re-autenticazione ai sensi della Sezione 4.2 dei Termini e Condizioni Generali.
10.11 Tempi di risposta. Inmedia S.r.l. fornisce risposta alla richiesta dell'Interessato senza ingiustificato ritardo e, in ogni caso, entro 1 mese dalla ricezione della richiesta. Tale termine può essere prorogato di ulteriori 2 mesi qualora sia necessario, tenuto conto della complessità e del numero delle richieste; l'Interessato è informato della proroga entro 1 mese dalla ricezione della richiesta, unitamente ai motivi del ritardo.
10.12 Risposta gratuita. Le richieste sono evase gratuitamente. Inmedia S.r.l. può addebitare un contributo spese ragionevole solo nei casi previsti dall'art. 12, paragrafo 5 GDPR (richieste manifestamente infondate o eccessive).
10.D — Diritto di reclamo
10.13 Reclamo. Fermo restando ogni altro ricorso amministrativo o giurisdizionale, l'Interessato ha diritto di proporre reclamo all'Autorità di controllo competente, secondo le modalità descritte all'Art. 15.
ART. 11 — PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE
Inmedia S.r.l. effettua taluni trattamenti che comportano decisioni automatizzate ai sensi dell'art. 22 GDPR, idonee a produrre effetti giuridici o significativi sulla persona dell'Interessato. I trattamenti rilevanti sono di seguito descritti separatamente, con indicazione della logica utilizzata, dell'importanza prevista, delle conseguenze e delle garanzie procedurali adottate. Per i trattamenti che non producono effetti significativi (a titolo esemplificativo: personalizzazione dei risultati di ricerca, suggerimenti di Esperienze, calcolo del rating aggregato), si rinvia all'Art. 4.12.
11.A — Antifrode sui pagamenti e sulla relazione marketplace
11.1 Trattamento. Inmedia S.r.l., congiuntamente a Stripe Payments Europe Ltd in qualità di Titolare autonomo per la parte di sua competenza, elabora un punteggio di rischio antifrode per le transazioni del marketplace integrato e per le relazioni con Host e Referenti, sulla base di:
(a) indicatori di transazione: importo, frequenza, BIN, paese di emissione, allineamento al profilo storico dell'Utente, velocity;
(b) indicatori di dispositivo: device fingerprinting, user-agent, indirizzo IP, indicatori di emulatori, congruenza geografica;
(c) indicatori comportamentali: cronologia di navigazione, tempo trascorso nel checkout, presenza di chargeback precedenti;
(d) liste di soggetti a rischio e segnalazioni interne ed esterne.
11.2 Logica e importanza. Il sistema applica regole soglia automatiche e modelli statistici. In funzione del punteggio possono essere automaticamente: (i) consentita la transazione; (ii) richiesta una verifica aggiuntiva (es. 3D Secure, riprova della carta, KYC rafforzato); (iii) rifiutata la transazione; (iv) sospesa l'erogazione del Servizio o congelato il payout Host/Referente; (v) avviata indagine antifrode manuale.
11.3 Conseguenze. Possono prodursi effetti significativi sull'Interessato: impossibilità di completare la prenotazione, sospensione dei pagamenti, blocco dell'account, segnalazione alle Autorità competenti.
11.4 Garanzie procedurali. L'Interessato ha diritto:
(a) all'intervento umano da parte di un operatore Inmedia S.r.l. che riesamini la decisione;
(b) a esprimere la propria opinione sulla situazione e a fornire elementi a propria difesa;
(c) a contestare la decisione, secondo le modalità di cui all'Art. 10.
Le richieste di riesame possono essere inviate a legal@stravagando.com con riferimento all'identificativo della transazione o della procedura.
11.B — Trust Score
11.5 Trattamento. Inmedia S.r.l. elabora un punteggio numerico (Trust Score) compreso tra 0 e 100, attribuito a ciascun Utente sulla base della coerenza tecnica dei check-in effettuati, secondo le regole descritte alla Sezione 11 dei Termini e Condizioni Generali e dettagliate nelle Specifiche Tecniche del Servizio. Gli indicatori comprendono: prossimità tra coordinate trasmesse e POI, congruità del tempo intercorso tra check-in consecutivi geograficamente distanti, plausibilità della velocità di spostamento, eventuali indicatori di GPS spoofing, segnalazioni ricevute, esito di precedenti procedimenti disciplinari.
11.6 Logica e importanza. Il Trust Score influisce su:
(a) attribuzione di XP per i check-in: ai Trust Score più bassi corrisponde una riduzione dell'XP attribuito al check-in o, nei casi estremi, una sua nullificazione;
(b) approvazione automatica delle recensioni: per Trust Score elevato, le recensioni possono accedere al fast-track di approvazione (Sezione 12.4 dei Termini e Condizioni Generali) e ricevere visibilità immediata; per Trust Score bassi è richiesta revisione manuale;
(c) accesso a funzionalità riservate: alcune funzionalità (a titolo esemplificativo: proposta di nuovi Luoghi al catalogo, partecipazione a programmi beta) possono richiedere il superamento di una soglia minima di Trust Score;
(d) visibilità dei propri Contenuti: in casi di Trust Score molto basso, può essere applicato un fattore di declassamento nell'ordine di pubblicazione.
11.7 Conseguenze. Il Trust Score può produrre effetti significativi sulla fruibilità del Servizio per l'Interessato, in particolare sulla partecipazione al Sistema di Gamification e sull'accesso a funzionalità riservate.
11.8 Garanzie procedurali. L'Interessato ha diritto a chiedere a Inmedia S.r.l. spiegazioni sul Trust Score attribuito, a richiederne il riesame manuale e a contestarlo, in coerenza con i diritti di cui all'art. 22 GDPR. Le richieste di riesame possono essere inviate a legal@stravagando.com. Il Trust Score non è di per sé reso visibile all'Utente né ai terzi nella sua forma numerica grezza, in coerenza con la natura di indicatore tecnico interno; sono rese visibili all'Utente, ove richiesto, le risultanze sintetiche relative all'attribuzione di XP per singolo check-in e ai correlati codici motivazionali.
11.C — Moderazione automatica IA dei Contenuti UGC
11.9 Trattamento. I Contenuti UGC pubblicati dagli Utenti sono sottoposti, prima della pubblicazione, ad analisi automatizzata mediante sistemi di intelligenza artificiale di Terze Parti, ai sensi della Sezione 12 dei Termini e Condizioni Generali e dell'Art. 4.4 della presente Informativa.
11.10 Logica e importanza. I sistemi di Moderazione automatica:
(a) classificano i testi mediante un modello linguistico per categorie di rischio (a titolo esemplificativo: incitamento all'odio, contenuti pornografici, violazione di diritti di proprietà intellettuale, spam, frodi);
(b) analizzano le immagini mediante un servizio di analisi delle immagini per il rilevamento di contenuti per adulti, violenti od offensivi;
(c) applicano soglie di confidenza per determinare se il Contenuto è automaticamente approvato, declassato, sottoposto a revisione manuale o rifiutato;
(d) accedono a un fast-track per Utenti con storico positivo e Trust Score elevato;
(e) operano con un fallback di revisione manuale in caso di indisponibilità dei sistemi automatici o di superamento dei limiti operativi.
L'identità specifica dei modelli impiegati, le soglie di confidenza, i criteri di accesso al fast-track e i limiti operativi sono indicati nelle Specifiche Tecniche del Servizio.
11.11 Conseguenze. La decisione di Moderazione automatica può comportare:
(a) approvazione e pubblicazione del Contenuto;
(b) rifiuto della pubblicazione, con notifica all'Interessato e codice motivazionale (Statement of Reasons ai sensi dell'art. 17 DSA);
(c) declassamento del Contenuto (ridotta visibilità);
(d) sottoposizione a revisione manuale prima della pubblicazione;
(e) nei casi più gravi, avvio di procedimento disciplinare nei confronti dell'Interessato ai sensi della Sezione 13 dei Termini e Condizioni Generali.
11.12 Garanzie procedurali. L'Interessato ha diritto:
(a) a ricevere lo Statement of Reasons della decisione, ai sensi dell'art. 17 DSA, contenente almeno il codice motivazionale, la categoria di rischio rilevata, l'indicazione del sistema automatizzato impiegato e l'indicazione del diritto di chiedere il riesame umano;
(b) a richiedere la revisione umana della decisione entro 14 giorni dalla notifica della decisione automatizzata, ai sensi della Sezione 12.3 dei Termini e Condizioni Generali. La revisione è effettuata da personale qualificato di Stravagando, distinto dal sistema automatizzato che ha emesso la decisione;
(c) a esprimere la propria opinione e fornire elementi a propria difesa nell'ambito della procedura di riesame;
(d) a contestare la decisione confermata in sede di riesame mediante reclamo interno al Titolare e, in subordine, mediante reclamo al Garante o ricorso giurisdizionale, ai sensi dell'Art. 15;
(e) limitatamente ai casi rientranti nell'ambito di applicazione del DSA, ad accedere al meccanismo di risoluzione alternativa delle controversie previsto dall'art. 21 DSA, mediante organismi di risoluzione delle controversie certificati dal Coordinatore dei Servizi Digitali competente;
(f) a ricorrere al Trusted Flagger ai sensi dell'art. 22 DSA o all'AGCOM in qualità di Coordinatore dei Servizi Digitali italiano.
11.13 Trasparenza AI Act. In conformità con il Regolamento (UE) 2024/1689 (AI Act), Inmedia S.r.l. assicura adeguata trasparenza sui sistemi di intelligenza artificiale utilizzati nel contesto della Moderazione automatica. Le informazioni sintetiche sui modelli impiegati, sui limiti noti delle loro performance e sui meccanismi di garanzia sono pubblicate nelle Specifiche Tecniche del Servizio e aggiornate periodicamente. Inmedia S.r.l. effettua audit periodici sull'efficacia e sull'imparzialità dei sistemi e adotta misure correttive in caso di bias riscontrati.
ART. 12 — TRATTAMENTO DEI DATI DI MINORI
La Piattaforma è progettata per Utenti adulti e per Utenti minori che abbiano raggiunto l'età minima per l'accesso prevista dalla normativa applicabile alla loro residenza, secondo il regime di seguito descritto. Inmedia S.r.l. tutela attivamente i minori dalla raccolta non consentita di Dati Personali e dalla profilazione pubblicitaria mirata, in conformità con il GDPR, il Codice Privacy italiano, il DSA e — per i residenti USA — il Children's Online Privacy Protection Act (COPPA).
12.A — Età minima di accesso
12.1 Residenti in Italia: 14 anni. Per i residenti in Italia, l'età minima di accesso alla Piattaforma è di 14 anni, in attuazione dell'art. 8 GDPR e dell'art. 2-quinquies del Codice Privacy italiano (D.Lgs. italiano 196/2003 come modificato dal D.Lgs. italiano 101/2018), che fissa per l'Italia tale soglia per l'offerta diretta di servizi della società dell'informazione ai minori sulla base del consenso. Per i minori di 14 anni residenti in Italia, l'accesso alla Piattaforma è interdetto e non sono raccolti Dati Personali sulla base del consenso del minore stesso.
12.2 Residenti in altri Stati membri UE. Per i residenti in altri Stati membri dell'Unione Europea, si applicano le rispettive soglie nazionali di età minima per il consenso alla società dell'informazione ai sensi dell'art. 8, paragrafo 1 GDPR (a titolo esemplificativo: 16 anni in Germania, Lussemburgo, Paesi Bassi, Polonia, Romania, Ungheria; 15 anni in Francia, Repubblica Ceca, Slovenia; 14 anni in Austria, Bulgaria, Cipro, Italia, Lituania, Spagna), o, in mancanza di indicazione specifica, l'età di 16 anni.
12.3 Residenti negli Stati Uniti d'America: 13 anni. Per i residenti negli Stati Uniti d'America, l'età minima di accesso è di 13 anni, in conformità con il Children's Online Privacy Protection Act (COPPA) e con la Federal Trade Commission (FTC) COPPA Rule. Per i minori di 13 anni residenti negli Stati Uniti, l'accesso alla Piattaforma è interdetto e non sono raccolti Dati Personali sulla base del consenso del minore stesso.
12.4 Residenti in altri Paesi. Per i residenti in altri Paesi, si applica l'età minima prevista dalla legge nazionale applicabile o, in mancanza, l'età di 16 anni.
12.B — Regime per gli Utenti minori che abbiano raggiunto l'età minima
12.5 Dichiarazione in fase di registrazione. All'atto della registrazione, l'Utente conferma di possedere l'età minima richiesta dalla legge applicabile alla sua residenza, ai sensi della Sezione 3 dei Termini e Condizioni Generali. Tale dichiarazione è effettuata sotto la propria responsabilità; la fornitura di dichiarazioni mendaci comporta la sospensione e la chiusura dell'account ai sensi della Sezione 13 dei Termini e Condizioni Generali.
12.6 Restrizioni applicabili agli Utenti minori (under 18). Per gli Utenti che abbiano raggiunto l'età minima ma siano ancora minori (under 18) ai sensi della legge applicabile, e per i quali sussistano indicatori di minore età secondo le procedure adottate da Inmedia S.r.l.:
(a) esclusione dalla pubblicità mirata basata su profilazione (art. 4.10 della presente Informativa e art. 28 DSA);
(b) limitazione all'accesso al marketplace in qualità di Cliente, sulla base della responsabilità contrattuale ridotta del minore secondo la legge applicabile; per le prenotazioni che eccedano la capacità contrattuale del minore, può essere richiesta la conferma da parte di un esercente la responsabilità genitoriale, secondo le procedure descritte alla Sezione 3 dei Termini e Condizioni Generali;
(c) limitazione di accesso ad Esperienze 18+ ove categorizzate dall'Host come riservate ad adulti;
(d) impostazioni di privacy maggiormente restrittive di default (a titolo esemplificativo: Profilo non pubblico per default, ridotta visibilità nelle ricerche, indicizzazione esterna disabilitata).
12.7 Adesione al Programma di Referral, qualifica di Host. L'adesione al Programma di Referral è riservata agli Utenti che hanno raggiunto la maggiore età ai sensi della legge applicabile (in Italia, 18 anni), ai sensi dei Termini del Programma di Referral. La qualifica di Host è di regola riservata ai maggiorenni, salvo casi specifici disciplinati dai Termini Host. Tali limitazioni discendono dalla natura economica/commerciale di tali qualifiche e dai correlati profili di responsabilità contrattuale.
12.C — Verifica dell'età
12.8 Misure adottate. Inmedia S.r.l. adotta misure ragionevoli e proporzionate per verificare l'età degli Utenti, in coerenza con l'art. 28 DSA, sulla base di:
(a) dichiarazione dell'Utente in fase di registrazione;
(b) data di nascita, ove richiesta;
(c) indicatori comportamentali e di contenuto;
(d) richiesta di verifica documentale, in casi limite o ad alto rischio.
Le specifiche misure sono indicate nelle Specifiche Tecniche del Servizio e sono periodicamente aggiornate alla luce delle migliori pratiche di settore e delle indicazioni delle Autorità competenti.
12.9 Segnalazione di minori non aventi l'età minima. Qualora Inmedia S.r.l. venga a conoscenza, anche tramite segnalazione di terzi, della presenza di un Utente minore al di sotto dell'età minima richiesta per la sua residenza:
(a) procede con la sospensione immediata dell'account in modalità tale da impedire ulteriori interazioni;
(b) cancella i Dati Personali raccolti senza valida base giuridica, salvo che la conservazione sia necessaria all'adempimento di obblighi di legge, all'esercizio di un diritto in sede giudiziaria o ad altro fine consentito dall'art. 17, paragrafo 3 GDPR;
(c) informa, ove possibile e quando opportuno, i soggetti esercenti la responsabilità genitoriale sull'esistenza dell'account e sulle azioni adottate.
12.D — Consenso parentale (COPPA)
12.10 Procedura COPPA per i residenti USA. Per i residenti negli Stati Uniti d'America, in conformità con il Children's Online Privacy Protection Act, qualora Inmedia S.r.l. raccolga consapevolmente Dati Personali da un bambino sotto i 13 anni — ipotesi che, per la Piattaforma, è interdetta dalla soglia di accesso — sono adottate misure di:
(a) notifica ai soggetti esercenti la responsabilità genitoriale, ai sensi del 16 CFR § 312.4;
(b) raccolta del consenso parentale verificabile, ai sensi del 16 CFR § 312.5;
(c) garanzia del diritto dei genitori di accedere, modificare e richiedere la cancellazione dei Dati Personali del bambino, ai sensi del 16 CFR § 312.6;
(d) divieto di profilazione pubblicitaria mirata dei bambini, ai sensi del 16 CFR § 312.5(c).
Le richieste di esercizio di tali diritti possono essere inviate a legal@stravagando.com.
ART. 13 — ADDENDUM PER RESIDENTI USA (CCPA, CPRA E ALTRE NORMATIVE STATALI)
Il presente Addendum descrive integrazioni e modifiche della presente Informativa Privacy applicabili ai residenti negli Stati Uniti d'America. In caso di conflitto tra le previsioni generali della presente Informativa e quelle del presente Addendum, per i residenti USA prevalgono le previsioni del presente Addendum.
13.A — Definizioni rilevanti
13.1 Definizioni. Ai fini del presente Addendum, e ai sensi del California Consumer Privacy Act (CCPA) come modificato dal California Privacy Rights Act (CPRA), e delle analoghe normative statali:
(a) «Consumer»: residente negli Stati Uniti d'America che utilizza la Piattaforma;
(b) «Personal Information»: informazioni che identificano, descrivono, riguardano, sono collegate o possono essere ragionevolmente collegate a un Consumer o a un nucleo familiare;
(c) «Sensitive Personal Information»: la sottocategoria di Personal Information di cui al Cal. Civ. Code § 1798.140(ae);
(d) «Sale»: la vendita, divulgazione o trasferimento di Personal Information a terzi a fini di corrispettivo monetario o di altro valore, secondo la definizione del Cal. Civ. Code § 1798.140(ad);
(e) «Sharing»: la condivisione di Personal Information con terzi a fini di cross-context behavioral advertising, secondo la definizione del Cal. Civ. Code § 1798.140(ah);
(f) «Business»: Inmedia S.r.l. in qualità di soggetto che determina i fini e le modalità del trattamento;
(g) «Service Provider» / «Contractor»: i soggetti che trattano Personal Information per conto del Business, secondo la definizione del Cal. Civ. Code § 1798.140(ag) e (j).
13.B — Categorie di Personal Information raccolte
13.2 Categorie ai sensi del Cal. Civ. Code § 1798.140(v). Nei dodici mesi precedenti, Inmedia S.r.l. ha raccolto o può raccogliere le seguenti categorie di Personal Information dei Consumer:
(a) identificatori: nome, indirizzo postale, identificatore online univoco, indirizzo IP, indirizzo email, nome account, codice fiscale/TIN, numero di passaporto/documento;
(b) categorie di informazioni del Cal. Civ. Code § 1798.80(e) (informazioni commerciali): nome, recapiti, dati di pagamento (limitatamente a quanto comunicato dai processor);
(c) informazioni commerciali: storico delle prenotazioni, prodotti acquistati o considerati;
(d) informazioni biometriche: dati biometrici generati esclusivamente da Stripe Identity per i Consumer che si registrano come Host o Referente e per Esperienze ad alto rischio (l'elemento biometrico non è conservato da Inmedia S.r.l.);
(e) informazioni di utilizzo di Internet o di altre reti elettroniche: cronologia di navigazione, ricerca, interazioni con pubblicità;
(f) dati di geolocalizzazione, incluse geolocalizzazione precisa raccolta con consenso del Consumer (paragrafo 3.14) e dati di check-in (paragrafo 3.15-3.17);
(g) dati audio, elettronici, visivi, termici, olfattivi o simili: fotografie e Contenuti UGC pubblicati dal Consumer, registrazioni di chiamate se autorizzate;
(h) informazioni professionali o occupazionali: informazioni sull'attività degli Host;
(i) inferenze: profili creati a fini di personalizzazione (raccomandazioni, suggerimenti) e Trust Score.
13.3 Sensitive Personal Information. Le seguenti categorie di Sensitive Personal Information ai sensi del Cal. Civ. Code § 1798.140(ae) possono essere raccolte:
(a) numeri di documenti di identità rilasciati dal governo (codice fiscale/TIN/SSN, numero di passaporto);
(b) credenziali di accesso alla Piattaforma;
(c) geolocalizzazione precisa;
(d) informazioni finanziarie (estremi bancari per pagamenti);
(e) dati biometrici (gestiti tramite Stripe Identity).
I Consumer hanno diritto di limitare l'uso e la divulgazione di Sensitive Personal Information ai sensi del Cal. Civ. Code § 1798.121.
13.C — Finalità di raccolta
13.4 Finalità. Le Personal Information sopra elencate sono raccolte per le finalità descritte all'Art. 4 della presente Informativa.
13.D — Categorie di terzi
13.5 Divulgazione. Inmedia S.r.l. può divulgare le categorie di Personal Information sopra elencate alle categorie di terzi descritte all'Art. 7 della presente Informativa.
13.E — No Sale di Personal Information
13.6 No Sale. Inmedia S.r.l. non vende (no sale) Personal Information dei Consumer a fini di corrispettivo monetario o di altro valore. Inmedia S.r.l. può condividere (share) Personal Information con partner pubblicitari per finalità di cross-context behavioral advertising, esclusivamente sulla base del consenso del Consumer prestato tramite il Pannello Preferenze della Cookie Policy. Tale condivisione è limitata alle modalità descritte nella Cookie Policy ed è soggetta al diritto di opt-out.
13.F — Diritti dei Consumer
13.7 Diritti CCPA/CPRA. I Consumer residenti in California hanno i seguenti diritti:
(a) diritto di sapere (right to know) — Cal. Civ. Code § 1798.110, 1798.115;
(b) diritto di cancellazione (right to delete) — Cal. Civ. Code § 1798.105;
(c) diritto di correzione (right to correct) — Cal. Civ. Code § 1798.106;
(d) diritto di opt-out dalla Vendita o Condivisione — Cal. Civ. Code § 1798.120;
(e) diritto di limitare l'uso di Sensitive Personal Information — Cal. Civ. Code § 1798.121;
(f) diritto alla non discriminazione per l'esercizio dei diritti — Cal. Civ. Code § 1798.125;
(g) diritto alla portabilità — Cal. Civ. Code § 1798.130(a)(2);
(h) diritto di sapere sull'eventuale processo decisionale automatizzato e di richiedere un opt-out, ove applicabile in base alle regolamentazioni adottate dalla California Privacy Protection Agency (CPPA).
13.8 Diritti dei Consumer in altri Stati USA. I Consumer residenti in Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA) e altri Stati che hanno adottato normative analoghe, beneficiano di diritti sostanzialmente equivalenti, secondo le rispettive normative statali applicabili.
13.G — Modalità di esercizio dei diritti
13.9 Canali. I Consumer possono esercitare i propri diritti mediante:
(a) la pagina di richieste privacy dedicata, accessibile dalla Piattaforma;
(b) l'invio di una email a legal@stravagando.com;
(c) il numero toll-free dedicato, ove istituito;
(d) il meccanismo Global Privacy Control (GPC) per i diritti di opt-out dalla Vendita o Condivisione, riconosciuto automaticamente dalla Piattaforma quale segnale del browser del Consumer.
13.10 Verifica dell'identità. Inmedia S.r.l. adotta procedure ragionevoli per verificare l'identità del Consumer richiedente, in proporzione alla natura della richiesta e alla sensibilità dei dati.
13.11 Agente autorizzato. Il Consumer può designare un agente autorizzato per esercitare i propri diritti per suo conto, ai sensi del Cal. Civ. Code § 1798.135(c) e delle regolamentazioni applicabili.
13.12 Tempi di risposta. Inmedia S.r.l. risponde alle richieste di diritto di sapere, di cancellazione e di correzione entro 45 giorni dalla ricezione, prorogabili di ulteriori 45 giorni quando ragionevolmente necessario.
13.H — Reclami
13.13 Organi di vigilanza. I Consumer residenti USA hanno diritto di proporre reclamo presso:
(a) California Privacy Protection Agency (CPPA) per i Consumer della California: https://cppa.ca.gov;
(b) Attorney General dello Stato di residenza per gli altri Stati;
(c) Federal Trade Commission (FTC): https://www.ftc.gov.
ART. 14 — MODIFICHE ALLA PRESENTE INFORMATIVA
14.A — Aggiornamenti
14.1 Diritto di modifica. Inmedia S.r.l. si riserva il diritto di apportare modifiche alla presente Informativa Privacy, sia per adeguamento a evoluzioni normative, giurisprudenziali o regolamentari, sia per introduzione di nuove funzionalità della Piattaforma o di nuovi trattamenti, sia per esigenze interne di organizzazione e sicurezza.
14.2 Versione e data di entrata in vigore. Ogni versione dell'Informativa è univocamente identificata da un numero di versione e da una data di entrata in vigore, indicati in apertura del documento. La versione attualmente vigente è sempre quella pubblicata sulla Piattaforma all'URL dedicato.
14.3 Storico delle versioni. Inmedia S.r.l. mantiene a disposizione degli Interessati, in un'apposita sezione del sito, lo storico delle precedenti versioni dell'Informativa Privacy con l'indicazione delle principali modifiche apportate, in conformità con il principio di trasparenza ex art. 12 GDPR.
14.B — Comunicazione delle modifiche
14.4 Modifiche sostanziali. Per le modifiche sostanziali — intendendosi tali quelle che incidono significativamente sui diritti degli Interessati o sulle modalità essenziali del trattamento — Inmedia S.r.l. notifica le modifiche agli Utenti con preavviso non inferiore a 30 giorni rispetto alla data di entrata in vigore, in coerenza con la Sezione 19 dei Termini e Condizioni Generali, mediante:
(a) email all'indirizzo di registrazione, qualora l'Utente abbia un account attivo;
(b) avviso in-app e/o banner sulla Piattaforma;
(c) pubblicazione della nuova versione sulla Piattaforma con evidenza delle modifiche.
Durante il preavviso, l'Interessato che non intenda accettare le modifiche può esercitare il diritto di recesso dal contratto, mediante chiusura del proprio account self-service (Sezione 20 dei Termini e Condizioni Generali), senza oneri.
14.5 Modifiche non sostanziali. Per le modifiche non sostanziali (correzioni di refusi, chiarimenti formali, aggiornamenti di Responsabili del trattamento o di altri elementi di mero dettaglio operativo), Inmedia S.r.l. può procedere alla loro pubblicazione con effetto immediato, dandone evidenza nel registro delle modifiche.
14.6 Modifiche per ragioni cogenti. Per modifiche che si rendano immediatamente necessarie in adempimento di obblighi di legge sopravvenuti, di ordini di Autorità competenti o per esigenze di sicurezza, Inmedia S.r.l. può procedere all'introduzione delle modifiche con effetto immediato, fornendo agli Interessati comunicazione successiva non appena ciò sia possibile.
14.C — Trattamenti basati sul consenso
14.7 Nuove finalità basate sul consenso. Qualora le modifiche all'Informativa introducano nuove finalità di trattamento basate sul consenso ai sensi dell'art. 6, paragrafo 1, lettera a) GDPR o dell'art. 9, paragrafo 2, lettera a) GDPR, tali trattamenti non saranno avviati per gli Interessati esistenti se non a seguito di specifica raccolta del consenso, secondo modalità conformi all'art. 7 GDPR.
ART. 15 — CONTATTI E RECLAMI
15.A — Contatti
15.1 Titolare del trattamento. Per qualsiasi richiesta o comunicazione in materia di protezione dei dati personali, gli Interessati possono contattare Inmedia S.r.l. ai seguenti recapiti:
Inmedia S.r.l. Sede legale: Via L'Aquila, 22, 65122 Pescara (PE), Italia Codice Fiscale / P.IVA: 02017520681 Email generale di assistenza: support@stravagando.com Email per richieste in materia di protezione dei dati personali: legal@stravagando.com PEC: inmediasrl@pec.it
15.2 DPO. Il DPO, ove nominato, è contattabile all'indirizzo:
legal@stravagando.com (con oggetto: «DPO»)
Resta ferma la facoltà di Inmedia S.r.l. di istituire un indirizzo dedicato (a titolo esemplificativo: dpo@stravagando.com), che sarà comunicato mediante aggiornamento della presente Informativa ai sensi dell'Art. 14.
15.3 Punti di contatto DSA. Ai sensi degli artt. 11 e 12 del Regolamento (UE) 2022/2065 (Digital Services Act), Inmedia S.r.l. designa i seguenti punti di contatto, descritti dalla Sezione 12-bis dei Termini e Condizioni Generali:
(a) punto di contatto per Autorità degli Stati membri, Commissione UE e Comitato europeo per i servizi digitali ai sensi dell'art. 11 DSA: legal@stravagando.com (con oggetto: «DSA — Autorità»);
(b) punto di contatto per i destinatari del servizio ai sensi dell'art. 12 DSA: legal@stravagando.com (con oggetto: «DSA — Destinatari»);
(c) le lingue di comunicazione del Titolare per i suddetti scopi sono italiano e inglese.
15.4 Notice & Action. Per le segnalazioni di Contenuti potenzialmente illegali o lesivi di diritti di terzi, ai sensi dell'art. 16 DSA, è disponibile sulla Piattaforma un meccanismo dedicato di notice and action; in alternativa, le segnalazioni possono essere inviate a legal@stravagando.com con oggetto «DSA — Notice». L'identità del segnalante non viene esposta all'Utente segnalato, salvo richiesta dell'Autorità competente.
15.B — Diritto di reclamo
15.5 Reclamo al Garante italiano. Fermo restando ogni altro ricorso amministrativo o giurisdizionale, l'Interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali italiano, ai sensi dell'art. 77 GDPR e dell'art. 141 del Codice Privacy italiano, secondo le modalità indicate sul sito istituzionale dell'Autorità:
Garante per la protezione dei dati personali Piazza Venezia n. 11 — 00187 Roma Email: protocollo@gpdp.it PEC: protocollo@pec.gpdp.it Telefono: +39 06.69677.1 Fax: +39 06.69677.3785 Modello di reclamo: https://www.garanteprivacy.it/home/modulistica-e-servizi-online
15.6 Altri Stati membri UE. Per gli Interessati residenti in altri Stati membri UE, è ferma la possibilità di proporre reclamo presso l'Autorità di controllo del proprio Stato membro di residenza, di lavoro o del luogo della presunta violazione, ai sensi dell'art. 77 GDPR. L'elenco delle Autorità di controllo dell'UE è disponibile sul sito dell'European Data Protection Board: https://www.edpb.europa.eu
15.7 Residenti USA. Per i residenti USA, gli organi di vigilanza competenti sono indicati all'Art. 13.13.
15.8 AGCOM in qualità di Coordinatore dei Servizi Digitali. Per le segnalazioni rientranti nell'ambito del Regolamento (UE) 2022/2065 (DSA), gli Interessati residenti in Italia possono altresì rivolgersi all'Autorità per le garanzie nelle comunicazioni (AGCOM), designata Coordinatore dei Servizi Digitali italiano, secondo le modalità indicate sul sito istituzionale: https://www.agcom.it.
15.C — Ricorso giurisdizionale
15.9 Ricorso al Giudice. L'Interessato ha altresì diritto di proporre ricorso giurisdizionale contro il Titolare ai sensi dell'art. 79 GDPR e dell'art. 152 del Codice Privacy italiano, davanti all'autorità giudiziaria del proprio Stato membro di residenza abituale o dello Stato membro in cui Inmedia S.r.l. ha la sua sede principale.
Documento approvato e adottato da Inmedia S.r.l.
Versione: 1.0
Data di entrata in vigore: 26/04/2026
Riferimenti normativi principali:
Regolamento (UE) 2016/679 (GDPR)
D.Lgs. italiano 196/2003 (Codice Privacy) come modificato dal D.Lgs. italiano 101/2018
Provvedimento del Garante per la protezione dei dati personali italiano del 10 giugno 2021 — Linee guida cookie e altri strumenti di tracciamento
Direttiva 2002/58/CE (ePrivacy)
Regolamento (UE) 2022/2065 (Digital Services Act)
Regolamento (UE) 2024/1689 (AI Act)
Regolamento (UE) 2019/1150 (Platform-to-Business)
Direttiva (UE) 2022/2555 (NIS2)
D.Lgs. italiano 32/2023 (DAC7)
D.Lgs. italiano 231/2007 (Antiriciclaggio)
California Consumer Privacy Act (CCPA) come modificato dal CPRA
Virginia CDPA / Colorado CPA / Connecticut CTDPA / Utah UCPA
Children's Online Privacy Protection Act (COPPA)