Informativa sulla Privacy

Informativa sulla Privacy

Ultimo aggiornamento: 10 aprile 2026

Siamo Museum App Inc. ("Museum App", "noi", "nostro"), una società registrata nello Stato del Texas, Stati Uniti.

Sede amministrativa:
5900 Balcones Drive Ste 100
Austin, TX 78731
Stati Uniti

1. Chi Siamo e a Chi Si Applica Questa Informativa

Questa Informativa sulla Privacy si applica al nostro sito web (https://museum.app), alle applicazioni mobile (iOS e Android) e a tutti i servizi correlati che offriamo ai nostri utenti.

Utilizzando Museum App, accetti le pratiche descritte in questa Informativa sulla Privacy. Se non sei d'accordo, ti preghiamo di non utilizzare i nostri servizi.

2. Definizioni Chiave

  • Dati Personali: Informazioni che identificano o possono identificare una persona fisica.
  • Trattamento: Qualsiasi operazione eseguita sui dati personali (raccolta, utilizzo, conservazione, trasferimento, cancellazione, ecc.).
  • Titolare del trattamento: Entità che determina le finalità e i mezzi del trattamento (generalmente, Museum App Inc.).
  • Responsabile del trattamento: Entità che tratta i dati per conto del titolare (ad esempio, fornitori di hosting, email, pagamenti).

3. Dati Che Raccogliamo

3.1 Informazioni Fornite Direttamente

Registrazione e account:

  • Nome completo e nome utente
  • Indirizzo email
  • Password (memorizzata tramite hash crittografico, mai in chiaro)
  • Paese di residenza
  • Lingua preferita
  • Data di nascita (per verifica dell'età e personalizzazione dell'esperienza)
  • Genere (opzionale)

Profilo pubblico e contenuti:

  • Foto profilo o avatar
  • Biografia e descrizione pubblica
  • Paese (visibile sul tuo profilo pubblico)
  • Link a social network o siti web personali
  • Preferenze di categorie di collezione
  • Foto e descrizioni di oggetti da collezione
  • Post, commenti, messaggi pubblici e privati
  • Musei virtuali, sezioni e contenuti organizzati
  • Liste di ricerca/wishlist di collectible

Informazioni di contatto e preferenze:

  • Numero di telefono e prefisso paese (opzionale)
  • Preferenze di privacy (account pubblico/privato, nascondere ultimo accesso, mostrare/nascondere armadietto collectible)
  • Preferenze di sistema: valuta, sistema di misura, sistema di peso, formato data e ora, separatori decimali
  • Impostazioni di notifica e avvisi

Abbonamenti e fatturazione:

  • Piano di abbonamento (Gratuito, Premium, Premium Max)
  • Cronologia pagamenti e fatture
  • ID cliente su Stripe (il nostro processore di pagamento)
  • Ultime 4 cifre della carta e informazioni sulle transazioni (fornite da Stripe; <strong>non memorizziamo i dati completi della carta</strong>)
  • Valuta di fatturazione preferita

Supporto e comunicazioni:

  • Messaggi inviati al supporto tecnico
  • Allegati, screenshot e ricevute
  • Metadati di comunicazione (data, ora, oggetto)
  • Segnalazioni di contenuti o utenti inappropriati

3.2 Informazioni Raccolte Automaticamente

Quando utilizzi Museum App, raccogliamo automaticamente determinate informazioni tecniche e di utilizzo:

Dati tecnici e del dispositivo:

  • Indirizzo IP (con troncamento parziale quando appropriato per motivi di privacy)
  • Geolocalizzazione approssimativa (paese e città) derivata dal tuo indirizzo IP utilizzando la base dati MaxMind GeoLite2 (consultazione locale; il database viene scaricato periodicamente da MaxMind, Inc., USA — gli indirizzi IP non vengono trasferiti per richiesta)
  • Identificatori univoci del dispositivo
  • Sistema operativo e versione
  • Tipo di dispositivo (mobile, tablet, desktop)
  • Browser web e versione (user agent)
  • Versione dell'app mobile
  • Lingua del browser o del sistema operativo
  • Impostazione del fuso orario
  • Risoluzione dello schermo

Dati di utilizzo e attività:

  • Pagine visitate e tempo trascorso
  • Azioni eseguite nell'applicazione (pubblicare, commentare, mettere mi piace, salvare, condividere, seguire utenti)
  • Eventi di interazione (clic, scorrimento, ricerche)
  • Durata della sessione attiva
  • Ultima connessione e stato attività (lastSeen)
  • Visualizzazioni di post, collectible e sezioni museo (con metriche di durata)
  • Cronologia di navigazione all'interno della piattaforma
  • Errori tecnici, crash e prestazioni dell'applicazione

Sicurezza e autenticazione:

  • Cronologia accessi (LoginHistory): dispositivo, posizione geografica approssimativa, data e ora di accesso
  • Token di sessione e cookie di autenticazione (gestiti da NextAuth)
  • Modifiche ai dati sensibili dell'account (email, password, nome utente, biografia) con registro storico per sicurezza
  • Tentativi di accesso falliti o sospetti

Cookie e tecnologie simili:

Utilizziamo cookie e tecnologie simili (localStorage, sessionStorage) per migliorare la tua esperienza. Per maggiori informazioni, consulta la nostra Informativa sui Cookie.

3.3 Informazioni da Terze Parti

Autenticazione di terze parti (Single Sign-On):

  • Nome e cognome
  • Indirizzo email
  • Foto profilo (Google) o email relay (Apple)
  • ID utente del fornitore esterno

Elaborazione pagamenti (Stripe):

  • ID cliente (Stripe Customer ID)
  • Stato abbonamento (attivo, cancellato, scaduto)
  • Ultime 4 cifre e tipo di carta (Visa, Mastercard, ecc.)
  • Cronologia transazioni (importi, date, stati pagamento)
  • Eventi di fatturazione (rinnovi, pagamenti falliti, rimborsi)

Pubblicità e analytics:

  • Richiediamo il tuo consenso preventivo quando legalmente richiesto
  • Riceviamo metriche aggregate di impression, clic e conversioni
  • I fornitori utilizzano cookie e tecnologie di tracciamento secondo le tue preferenze
  • Gli abbonati premium non visualizzano annunci pubblicitari

3.4 Categorie Speciali di Dati Personali e Dati Sensibili

Museum App NON richiede né raccoglie intenzionalmente categorie speciali di dati personali in conformità con GDPR/UK GDPR (origine razziale o etnica, opinioni politiche, convinzioni religiose, informazioni sulla salute, orientamento sessuale, dati genetici o biometrici).

Vietiamo espressamente agli utenti di caricare, pubblicare o trattare attraverso il Servizio qualsiasi contenuto contenente:

  • Dati biometrici (riconoscimento facciale, impronte digitali, scansioni dell'iride, geometria facciale, ecc.) senza adeguata base giuridica e consenso esplicito
  • Categorie speciali di dati personali di terzi
  • Informazioni mediche, finanziarie o di minori senza autorizzazione

I contenuti che violano questo divieto possono essere rimossi senza preavviso, e l'account responsabile può essere sospeso o eliminato definitivamente. Per maggiori informazioni, consulta i nostri Termini e Condizioni.

4. Come Utilizziamo i Tuoi Dati Personali

4.1 Fornitura e Gestione del Servizio

  • Creare, gestire e autenticare il tuo account utente
  • Consentire la pubblicazione, modifica e gestione di collectible, post e musei virtuali
  • Abilitare le funzionalità social: seguire utenti, mettere mi piace, commentare, salvare contenuti, condividere post, creare repost
  • Messaggistica privata in tempo reale (chat 1-a-1) tramite WebSocket/Socket.io
  • Gestire le liste di ricerca/wishlist di collectible
  • Personalizzare la tua esperienza secondo le tue preferenze (lingua, tema, valuta, formati)
  • Ricordare le tue impostazioni di privacy e account

4.2 Sicurezza e Protezione

  • Autenticazione sicura e prevenzione degli accessi non autorizzati
  • Rilevamento e prevenzione di frodi, spam, abusi e attività malevole
  • Moderazione dei contenuti e revisione delle segnalazioni degli utenti
  • Proteggere l'integrità e la sicurezza della piattaforma
  • Inviare notifiche di sicurezza via email: nuovi dispositivi rilevati, modifiche password, modifiche indirizzo email, tentativi di accesso sospetti
  • Mantenere log di audit (LoginHistory, modifiche dati sensibili) per indagini di sicurezza

4.3 Miglioramento e Sviluppo del Prodotto

  • Analytics aggregati e statistiche di utilizzo (senza identificazione individuale)
  • Correzione di bug tecnici e miglioramenti delle prestazioni
  • Test A/B per ottimizzare le funzionalità
  • Sviluppo di nuove funzionalità e miglioramenti
  • Ricerca e analisi delle tendenze del collezionismo

4.4 Comunicazioni

  • <strong>Comunicazioni transazionali (obbligatorie):</strong> conferme di registrazione, reset password, notifiche di modifiche account, avvisi di sicurezza, conferme di pagamento
  • <strong>Notifiche di servizio:</strong> attività social (nuovi follower, mi piace, commenti, menzioni, messaggi privati), aggiornamenti sui contenuti salvati
  • <strong>Supporto tecnico:</strong> risposte alle richieste e assistenza
  • <strong>Avvisi importanti:</strong> modifiche ai Termini e Condizioni, Informativa sulla Privacy, manutenzione programmata
  • <strong>Comunicazioni marketing (opzionali, con opt-in):</strong> newsletter, novità sui prodotti, promozioni, contenuti educativi sul collezionismo

4.5 Fatturazione e Abbonamenti

  • Elaborare i pagamenti degli abbonamenti Premium e Premium Max
  • Gestire rinnovi automatici, upgrade, downgrade e cancellazioni
  • Emettere fatture e ricevute elettroniche
  • Fornire supporto per fatturazione e pagamenti
  • Adempiere agli obblighi fiscali e contabili

4.6 Strumenti e Funzionalità Speciali

  • <strong>Calcolatore del valore della collezione:</strong> stimare il valore totale della collezione basato sui dati che fornisci (non costituisce valutazione professionale)
  • <strong>Calcolatore prezzo lotto:</strong> calcolare il prezzo pagato per lotti di articoli
  • <strong>Metriche dei contenuti:</strong> visualizzazioni di post e collectible, durata di visualizzazione, engagement
  • <strong>Raccomandazioni:</strong> suggerire utenti, categorie o contenuti rilevanti basati sui tuoi interessi

4.7 Pubblicità (web e applicazioni mobile)

Museum App può mostrare pubblicità attraverso reti come Google AdSense (web) e Google AdMob (applicazioni mobile). La disponibilità pubblicitaria può variare a seconda della tua posizione geografica e delle impostazioni dell'account. Quando la pubblicità è attiva nella tua regione:

  • Nell'UE/SEE e Regno Unito: Richiediamo il tuo consenso esplicito prima di utilizzare cookie/SDK non essenziali o personalizzare gli annunci. Senza consenso, mostriamo annunci non personalizzati e applichiamo Limited Ads quando appropriato
  • Negli Stati Uniti: Rispettiamo i segnali di privacy come Global Privacy Platform (GPP) e Global Privacy Control (GPC), e offriamo controlli opt-out per la "vendita/condivisione" dove si applicano le leggi statali (CCPA/CPRA, Virginia, Colorado, Connecticut, Texas)
  • Utilizziamo una Piattaforma di Gestione del Consenso (CMP) compatibile con gli standard IAB TCF 2.2 per gestire le tue preferenze pubblicitarie e sui cookie
  • Offriamo annunci contestuali (non personalizzati) come alternativa quando non acconsenti alla pubblicità personalizzata
  • I dettagli completi su categorie di partner, finalità pubblicitarie e durate dei cookie sono disponibili nella nostra Informativa sui Cookie

Base giuridica in SEE/Regno Unito: La base giuridica per l'utilizzo di cookie/SDK pubblicitari e annunci personalizzati è il tuo consenso (art. 6.1.a GDPR). Se lo neghi o lo revochi, forniremo solo annunci non personalizzati e limiteremo gli identificatori secondo le politiche Limited Ads.

4.8 Conformità Legale

  • Rispondere a richieste valide delle autorità competenti
  • Difendere i nostri diritti legali in procedimenti giudiziari o amministrativi
  • Far rispettare i nostri Termini e Condizioni
  • Prevenire attività illegali o dannose

4.9 Analisi e Strumenti Predittivi (Futuro)

In futuro, Museum App potrebbe sviluppare strumenti di analisi di mercato e previsione del valore utilizzando dati sui prezzi dei collectible completamente anonimizzati.

  • Stime del valore di mercato per collectible simili
  • Tendenze storiche dei prezzi nel mercato del collezionismo
  • Strumenti predittivi basati su dati di mercato aggregati
  • Tutte queste analisi sarebbero eseguite esclusivamente con dati completamente anonimizzati, senza possibilità di identificare singoli utenti o collectible

5. Base Giuridica del Trattamento (GDPR/UK GDPR)

5.1 Consenso

Otteniamo il tuo consenso esplicito e informato per:

  • Cookie non essenziali e pubblicità personalizzata (tramite CMP conforme TCF 2.2)
  • Comunicazioni marketing via email (puoi disiscriverti in qualsiasi momento)
  • Condivisione di dati con determinati terzi al di fuori dell'ambito strettamente operativo

5.2 Esecuzione del Contratto

Il trattamento è necessario per l'esecuzione del contratto che hai con noi (Termini e Condizioni):

  • Creare e gestire il tuo account
  • Fornire le funzionalità del servizio (post, collectible, musei, chat, liste di ricerca)
  • Elaborare abbonamenti e pagamenti
  • Fornire supporto tecnico

5.3 Obbligo Legale

Il trattamento è necessario per adempiere agli obblighi legali applicabili:

  • Conservazione dei dati finanziari e di fatturazione per i periodi legali (es. 7 anni)
  • Risposta a richieste legittime delle autorità competenti
  • Conformità alle normative fiscali e contabili

5.4 Interessi Vitali

In casi eccezionali, possiamo trattare dati per proteggere la vita o l'integrità fisica di una persona.

5.5 Interessi Legittimi

Il trattamento è necessario per i nostri interessi legittimi, a condizione che i tuoi diritti e le tue libertà non prevalgano:

  • Sicurezza della piattaforma e prevenzione di frodi/abusi
  • Moderazione dei contenuti e applicazione delle policy
  • Analytics aggregati non intrusivi per migliorare il prodotto
  • Rilevamento errori tecnici e miglioramento delle prestazioni
  • Pubblicità personalizzata (una volta implementata)
  • Comunicazioni marketing (newsletter, promozioni)
  • Alcune autorizzazioni del dispositivo mobile (fotocamera, galleria foto, notifiche push)
  • Utilizzo di dati di localizzazione precisi (se richiesto in futuro)

6. Con Chi Condividiamo i Tuoi Dati Personali

Museum App non vende i tuoi dati personali a terzi nel senso tradizionale del termine. Tuttavia, condividiamo determinate informazioni con fornitori di servizi e nelle circostanze descritte di seguito:

6.1 Fornitori di Servizi (responsabili del trattamento)

Condividiamo dati con terze parti che forniscono servizi per nostro conto, in base a contratti che li obbligano a proteggere i tuoi dati e utilizzarli solo per le finalità specificate:

  • Hosting e infrastruttura: Digital Ocean (server e hosting web)
  • CDN (Content Delivery Network): Cloudflare (distribuzione globale di contenuti statici, protezione DDoS)
  • Elaborazione pagamenti: Stripe Inc. (elaborazione sicura carte di credito, gestione abbonamenti, fatturazione)
  • Email transazionali: Amazon Web Services (invio email di verifica, notifiche di sicurezza, fatture, supporto)
  • Email transazionali (fallback): Resend (Resend Inc., USA) — usato solo quando AWS SES è temporaneamente non disponibile, in modo che le email di verifica e sicurezza ti raggiungano comunque. Stesso ambito di dati del canale principale: indirizzo del destinatario e contenuto del messaggio inviato.
  • Autenticazione: NextAuth (gestione sessioni), Google OAuth (accesso con Google) e Apple Sign-In (accesso con Apple)
  • Chat in tempo reale: Socket.io (WebSocket auto-ospitato sui nostri server, nessun trasferimento a terzi)
  • Elaborazione immagini: Sharp (elaborazione locale delle immagini sui nostri server, nessun trasferimento esterno)
  • Geolocalizzazione: MaxMind GeoLite2 (consultazione locale IP verso posizione geografica approssimativa; il database GeoLite2 viene scaricato periodicamente da MaxMind, Inc., USA — gli indirizzi IP non vengono trasferiti per richiesta)
  • Reportistica errori e APM: Sentry (Functional Software Inc., USA) — acquisizione di errori e metriche di prestazione dell'app mobile. Le intestazioni di autorizzazione, i JWT e i parametri sensibili vengono oscurati prima della trasmissione; gli utenti sono identificati solo tramite ID numerico, mai tramite nome utente o e-mail.

6.2 Reti Pubblicitarie e Misurazione

Quando la pubblicità è abilitata nella tua regione, potremmo condividere informazioni con reti pubblicitarie (come Google AdSense, Google AdMob) in conformità con le tue preferenze di consenso e le leggi applicabili. Le informazioni condivise possono includere:

  • Identificatori dispositivo o pubblicitari (ad ID, cookie pubblicitari)
  • Dati di navigazione e utilizzo (pagine visitate, interazioni, eventi app), sempre con controlli di privacy regionali
  • Metriche di impression, clic, conversioni e performance pubblicitarie
  • Informazioni demografiche approssimative (età, genere, posizione generale) quando hai dato il consenso

Nell'UE/SEE e Regno Unito, questa condivisione avviene solo dopo aver ottenuto il tuo consenso esplicito tramite la nostra CMP. Negli Stati Uniti, riconosciamo automaticamente i segnali di opt-out (GPC/GPP) e ci conformiamo alle leggi statali applicabili.

Nota per i residenti di alcuni stati USA: Alcune leggi statali (CCPA/CPRA California, VCDPA Virginia, CPA Colorado, CTDPA Connecticut, TDPSA Texas) possono considerare questa condivisione come "vendita" o "condivisione per pubblicità comportamentale". Offriamo controlli opt-out tramite segnali di privacy del browser (GPC/GPP) e dalle impostazioni del tuo account (Impostazioni → Privacy → Preferenze pubblicitarie). Per maggiori informazioni, vedi Sezione 14 di questa Informativa.

6.3 Autorità Legali e Conformità Normativa

Potremmo divulgare i tuoi dati personali quando richiesto dalla legge o quando crediamo in buona fede che sia necessario per:

  • Rispettare ordini del tribunale, citazioni, richieste governative valide
  • Far rispettare i nostri Termini e Condizioni
  • Proteggere i nostri diritti, proprietà o sicurezza, così come quelli dei nostri utenti o del pubblico
  • Prevenire frodi, abusi o attività illegali
  • Cooperare con le indagini delle forze dell'ordine

6.4 Trasferimenti Aziendali

In caso di fusione, acquisizione, vendita di asset o ristrutturazione aziendale, i tuoi dati personali potrebbero essere trasferiti all'entità successore. Ti avviseremo con avviso prominente prima che i tuoi dati siano trasferiti e soggetti a un'Informativa sulla Privacy diversa.

6.5 Visibilità del Profilo e Distinzione tra Dati Pubblici e Privati

Museum App è un social network progettato per connettere i collezionisti e condividere contenuti. Per la sua natura di piattaforma social, i profili utente sono pubblici per design e visibili a chiunque su internet, inclusi utenti non registrati e motori di ricerca.

Dati personali che sono pubblici:

  • Il tuo nome utente, nome del profilo e biografia
  • La tua foto profilo e museo virtuale
  • Collectible che pubblichi nella tua collezione pubblica
  • Post, commenti e contenuti che condividi pubblicamente
  • Le tue liste di follower e account che segui
  • Le tue interazioni pubbliche (mi piace, commenti pubblici, repost)

Base giuridica: Creando un account su Museum App, dai il tuo consenso espresso affinché queste informazioni siano pubbliche e accessibili a chiunque, come stabilito nei nostri Termini di Servizio (Sezione 8.4).

Armadietto Collezione Privato (Funzionalità Premium): Gli utenti con abbonamento Premium o Premium Max hanno accesso a un armadietto collezione privato che permette loro di conservare e organizzare collectible privatamente senza essere visibili ad altri utenti. Questa funzionalità è disponibile esclusivamente per gli abbonati attivi ai piani premium.

Dati privati che NON condividiamo MAI o rendiamo pubblici:

  • Prezzo di acquisto e data di acquisizione dei collectible
  • Valore stimato attuale dei collectible
  • Note personali e documentazione privata
  • Fatture e ricevute di acquisto
  • Qualsiasi altra informazione sensibile relativa alle acquisizioni
  • Messaggi privati e conversazioni dirette
  • Impostazioni di privacy e preferenze account

<strong>Garanzia di privacy:</strong> Questi dati privati sono protetti da misure di sicurezza tecniche e organizzative, e sono accessibili solo dal proprietario dell'account. <strong>Non saranno mai pubblicamente visibili o condivisi con altri utenti in forma identificabile</strong>, indipendentemente dal fatto che il collectible sia pubblico o privato.

Possibile uso futuro dei dati sui prezzi per strumenti predittivi:

In futuro, Museum App <strong>potrebbe sviluppare</strong> strumenti di previsione dei prezzi e stima del valore di mercato a beneficio della comunità dei collezionisti. Se implementiamo queste funzionalità, <strong>potremmo utilizzare</strong> dati sul prezzo di acquisto e valore attuale dei collectible in modo <strong>completamente anonimo e aggregato</strong> per:

  • Generare modelli predittivi delle tendenze di mercato
  • Calcolare stime di valore per articoli simili
  • Fornire range di prezzi storici e proiezioni future
  • Migliorare strumenti di valutazione e calcolatori di collezione

Impegno di anonimizzazione:

Se implementiamo questi strumenti predittivi in futuro, garantiamo che:

  • Anonimizzazione irreversibile: I dati saranno trattati in modo che sia tecnicamente impossibile risalire a un utente specifico o collectible individuale
  • Nessuna identificazione: Nessun utente, nemmeno Museum App, sarà in grado di identificare la provenienza dei dati utilizzati nelle previsioni
  • Aggregazione massiva: I dati saranno combinati con informazioni di molteplici utenti e collectible prima di qualsiasi elaborazione
  • Nessun prezzo individuale: I prezzi individuali o informazioni che potrebbero identificare il proprietario non saranno mai condivisi pubblicamente
  • Conformità legale: Questi dati anonimizzati rispetteranno il concetto di "dati anonimi" secondo il GDPR (Considerando 26), non costituiranno "informazioni personali" secondo CCPA §1798.140(o)(2), e non saranno considerati "dati personali" secondo LGPD Art. 12

Base giuridica per trattamento futuro:

  • GDPR/UK GDPR: Interesse legittimo (Art. 6(1)(f)) - I dati veramente anonimizzati non sono dati personali e non richiedono base giuridica sotto il GDPR; inoltre, migliorare il servizio attraverso l'analisi statistica beneficia l'intera comunità
  • CCPA/CPRA: I dati anonimizzati sono esplicitamente esclusi dalla definizione di "informazioni personali" (§1798.140(o)(2))
  • LGPD (Brasile): I dati anonimizzati non costituiscono dati personali e sono fuori dall'ambito della legge (Art. 12)
  • Trasparenza: Ti avviseremo attraverso un aggiornamento di questa Informativa sulla Privacy e avviso prominente nell'applicazione se implementiamo questi strumenti in futuro, dandoti l'opportunità di esercitare i tuoi diritti di opposizione prima dell'implementazione

I tuoi diritti: Puoi esercitare il tuo diritto di accesso, rettifica, cancellazione, portabilità, opposizione e limitazione del trattamento in qualsiasi momento in conformità con la sezione 10 di questa Informativa. Puoi eliminare il tuo account e tutti i tuoi dati personali dalle impostazioni del tuo account in qualsiasi momento.

<strong>Controllo privacy:</strong> Usa le impostazioni di privacy disponibili in <strong>Impostazioni → Privacy</strong> per gestire le tue preferenze di visibilità, consensi per marketing, analytics e pubblicità personalizzata.

7. Trasferimenti Internazionali di Dati

Museum App opera dagli Stati Uniti. Ospitiamo e trattiamo dati negli Stati Uniti e in altre località secondo i nostri fornitori di servizi (Digital Ocean, Cloudflare, Stripe, Amazon Web Services, Sentry).

Per gli utenti nell'Unione Europea, nello Spazio Economico Europeo e nel Regno Unito:

Quando trasferiamo dati personali al di fuori del SEE/Regno Unito verso paesi che non hanno una decisione di adeguatezza della Commissione Europea, applichiamo le seguenti garanzie:

  • Clausole Contrattuali Standard (SCC): contratti approvati dalla Commissione Europea che garantiscono una protezione adeguata
  • Regno Unito: Per i trasferimenti soggetti al UK GDPR, utilizziamo l'International Data Transfer Agreement (UK IDTA) o le SCC UE con l'Addendum UK, come appropriato
  • Misure tecniche e organizzative supplementari: crittografia dei dati in transito e a riposo, controlli di accesso rigorosi, minimizzazione dei dati
  • Valutazione dell'impatto del trasferimento: analisi dei rischi e garanzie aggiuntive quando necessario

Puoi richiedere copie non confidenziali delle Clausole Contrattuali Standard, UK IDTA o UK Addendum che abbiamo implementato inviando un'email a [email protected].

8. Per Quanto Tempo Conserviamo i Tuoi Dati

Conserviamo i tuoi dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti, a meno che la legge richieda o permetta un periodo di conservazione più lungo:

8.1 Account Attivo

Finché il tuo account rimane attivo e utilizzi il servizio, conserviamo i tuoi dati personali per fornirti il servizio.

8.2 Contenuti Eliminati o Account Chiuso

  • Cancellazione operativa: I dati vengono eliminati dai nostri sistemi di produzione entro circa 90 giorni dalla cancellazione del contenuto o dalla chiusura dell'account
  • Backup: I dati possono rimanere nelle copie di backup automatiche per un periodo aggiuntivo fino a 90 giorni, dopo di che vengono eliminati definitivamente
  • Eccezioni: Potremmo conservare determinati dati più a lungo se:
  • È necessario per adempiere a obblighi legali (fatture, registri fiscali)
  • C'è una controversia legale pendente o procedura di risoluzione
  • Sono necessari per indagini di sicurezza, frode o abuso
  • Hai specificamente richiesto la loro conservazione

8.3 Dati di Fatturazione e Transazioni

Fatture, ricevute, cronologia pagamenti e dati relativi agli abbonamenti: 5-10 anni, come richiesto dalle leggi fiscali e contabili applicabili (IRS negli Stati Uniti, normative locali in altri paesi).

8.4 Log di Sicurezza e Audit

  • Cronologia accessi (LoginHistory): 12-24 mesi
  • Log di accesso ed eventi di sicurezza: 12 mesi
  • Registri delle modifiche ai dati sensibili (email, password, nome utente): 24 mesi

8.5 Registri di Consenso e Preferenze Privacy

Conserviamo lo stato del consenso, opt-out e preferenze privacy (segnali CMP, stringhe TCF 2.2, GPP/GPC, scelte sui cookie, preferenze pubblicitarie) per 24 mesi o il periodo minimo richiesto dalla legge, qualunque sia il maggiore. Questa conservazione ci consente di rispettare i requisiti di audit delle reti pubblicitarie e dimostrare un consenso valido quando legalmente richiesto.

8.6 Criteri di Conservazione

Per determinare il periodo di conservazione appropriato, consideriamo:

  • La natura e la sensibilità dei dati
  • Il potenziale rischio di danno da uso o divulgazione non autorizzati
  • Le finalità del trattamento
  • Se possiamo soddisfare le finalità attraverso altri mezzi meno invasivi
  • Obblighi legali, normativi, fiscali o contabili applicabili

Puoi richiedere informazioni dettagliate sui nostri criteri e periodi di conservazione specifici inviando un'email a [email protected].

9. Sicurezza dei Tuoi Dati

Museum App implementa misure tecniche e organizzative ragionevoli per proteggere i tuoi dati personali secondo gli standard del settore:

9.1 Misure Tecniche

  • Crittografia: Dati in transito via HTTPS/TLS; password memorizzate con hash crittografico bcrypt (mai in chiaro)
  • Autenticazione sicura: Token di sessione sicuri gestiti da NextAuth, supporto per autenticazione a due fattori (futuro)
  • Controllo accessi: Accesso basato sui ruoli, principio del minimo privilegio
  • Monitoraggio sicurezza: Rilevamento di accessi non autorizzati, tentativi di intrusione, attività sospette
  • Backup: Backup automatici regolari con crittografia e archiviazione sicura
  • Segregazione ambienti: Separazione tra produzione, sviluppo e test
  • Protezione DDoS: Cloudflare per la mitigazione degli attacchi denial of service

9.2 Misure Organizzative

  • Policy di sicurezza e protezione dei dati
  • Formazione e sensibilizzazione del personale
  • Accordi di riservatezza con dipendenti e fornitori
  • Audit di sicurezza e revisioni periodiche
  • Piano di risposta agli incidenti di sicurezza

9.3 Limitazioni

Nonostante i nostri sforzi, nessun sistema di sicurezza è completamente infallibile. Non possiamo garantire che i nostri sistemi siano invulnerabili a tutti i tipi di attacchi informatici, hacking o accessi non autorizzati.

9.4 Notifica di Violazione della Sicurezza

In caso di violazione della sicurezza che interessa dati personali, Museum App rispetterà tutti gli obblighi di notifica stabiliti dalle leggi applicabili:

  • GDPR/UK GDPR: Notifica all'autorità di controllo entro 72 ore; comunicazione alle persone interessate senza indebito ritardo quando c'è alto rischio
  • Leggi statali USA: Notifica ai residenti interessati secondo i termini di ogni stato
  • Forniremo informazioni sulla natura della violazione, dati interessati, misure adottate e passi che puoi intraprendere per proteggerti

9.5 La Tua Responsabilità

Sei responsabile di:

  • Mantenere la riservatezza della tua password e credenziali di accesso
  • Non condividere il tuo account con terzi
  • Notificarci immediatamente qualsiasi uso non autorizzato del tuo account inviando un'email a [email protected]
  • Usare password forti (minimo 8 caratteri, combinazione di lettere, numeri e simboli)
  • Mantenere aggiornato il software del tuo dispositivo e browser

Per maggiori informazioni sulle nostre limitazioni di responsabilità in caso di violazioni della sicurezza, vedi Sezione 8 dei nostri Termini e Condizioni.

10. Protezione dei Minori

10.1 Stati Uniti (COPPA)

Museum App non consente l'utilizzo del servizio a utenti al di sotto dell'età minima per il consenso digitale nella loro giurisdizione — 13 anni nella maggior parte dei paesi (in conformità con il Children's Online Privacy Protection Act, COPPA) e 16 anni nello Spazio Economico Europeo, Regno Unito e Svizzera (in conformità con l'articolo 8 del GDPR).

Non raccogliamo intenzionalmente informazioni personali da minori al di sotto di questa soglia. Se scopriamo di aver raccolto dati da un tale utente senza il consenso verificabile dei genitori, elimineremo tali informazioni dai nostri sistemi il prima possibile.

10.2 Unione Europea e Regno Unito (GDPR/UK GDPR)

Si applicano le età minime locali per il consenso digitale previste dall'articolo 8 del GDPR/UK GDPR (tra 13 e 16 anni a seconda del paese membro). Quando legalmente richiesto, Museum App implementerà meccanismi ragionevoli per la verifica del consenso parentale o del tutore legale.

10.3 Pubblicità Rivolta ai Minori

Museum App non utilizza annunci personalizzati o identificatori per il targeting comportamentale diretti a utenti che sappiamo o ragionevolmente supponiamo essere minori.

Applichiamo policy di contenuto adatto alle famiglie e limitazioni di targeting in conformità con le policy delle reti pubblicitarie (Google AdSense/AdMob "Child-directed treatment").

10.4 Se Sei un Genitore o Tutore Legale

Se ritieni che tuo figlio minorenne abbia fornito dati personali a Museum App senza il tuo consenso, contattaci immediatamente a [email protected]. Adotteremo misure per eliminare tali informazioni il prima possibile.

11. I Tuoi Diritti Privacy

A seconda della tua posizione, hai diritti riguardo ai tuoi dati personali. I più comuni includono:

  • Accesso: Ottenere una copia dei tuoi dati personali
  • Rettifica: Correggere dati inesatti o incompleti
  • Cancellazione: Richiedere la cancellazione dei tuoi dati (con alcune eccezioni legali)
  • Portabilità: Ricevere i tuoi dati in formato scaricabile
  • Opposizione: Opporti a determinati trattamenti dei dati
  • Revoca del consenso: Annullare consensi precedentemente concessi
  • Opt-out pubblicitario: Rifiutare la pubblicità personalizzata (una volta implementata)

Leggi applicabili in base alla tua posizione

  • 🇪🇺 Unione Europea / SEE / Regno Unito: GDPR e UK GDPR garantiscono ampi diritti inclusa portabilità, limitazione del trattamento. Inoltre, hai il diritto di presentare un reclamo all'autorità di controllo se ritieni che abbiamo violato i tuoi diritti di protezione dei dati, senza pregiudizio per qualsiasi altro ricorso amministrativo o giudiziario. Puoi contattare direttamente autorità come Garante Privacy (Italia), ICO (Regno Unito), o altre autorità UE/SEE nel tuo paese di residenza.
  • 🇺🇸 Stati Uniti: CCPA/CPRA (California), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), TDPSA (Texas) e altre leggi statali garantiscono diritti di accesso, correzione, cancellazione, portabilità e opt-out dalla vendita/condivisione dei dati. Include il diritto alla non discriminazione e di appellare i rifiuti.
  • 🇧🇷 Brasile: La LGPD garantisce diritti di conferma, accesso, correzione, anonimizzazione, cancellazione, portabilità, informazione sulla condivisione e revoca del consenso.
  • Altre giurisdizioni: Se risiedi in un altro paese con leggi sulla protezione dei dati, potresti avere diritti aggiuntivi. Contattaci a [email protected].

12. Come Esercitare i Tuoi Diritti

12.1 Dal Tuo Account

Vai su Impostazioni → Privacy e Sicurezza per:

  • Visualizzare e modificare le tue informazioni personali
  • Scaricare i tuoi dati: Richiedere un export completo che include post, collectible, messaggi, commenti, cronologia attività e altro (vedi processo dettagliato sotto)
  • Eliminare il tuo account definitivamente
  • Gestire le preferenze di privacy, cookie e notifiche

📥 Processo di download dati:

  1. Clicca su "Scarica i miei dati" nelle Impostazioni
  2. Riceverai un codice di verifica via email
  3. Inserisci il codice per confermare la tua richiesta
  4. I tuoi dati saranno disponibili entro un massimo di 30 giorni
  5. Riceverai un'email con link per il download (valido 7 giorni)
  6. Il file include tutti i tuoi dati in formato JSON scaricabile

Nota: Puoi avere solo una richiesta attiva alla volta. Se ne hai già una in corso, attendi che sia completata prima di richiederne un'altra.

12.2 Via Email

Per richieste speciali (correzione di dati specifici, cancellazione parziale, portabilità verso un altro servizio, ecc.), invia un'email a [email protected] indicando:

  • Il tuo nome completo e nome utente
  • Email associata al tuo account
  • Diritto che desideri esercitare (accesso, rettifica, cancellazione, portabilità, opposizione)
  • Descrizione dettagliata della tua richiesta

Tempi di risposta: 30-45 giorni a seconda della tua posizione (GDPR: 30 giorni; CCPA: 45 giorni). Verificheremo la tua identità tramite codice email prima di elaborare richieste sensibili.

12.3 Diritti Aggiuntivi

  • Agenti autorizzati: Puoi designare un rappresentante legale per inviare richieste per tuo conto (richiede procura)
  • Appelli (USA): Se rifiutiamo la tua richiesta, puoi appellarti scrivendo a [email protected] con oggetto "Appello". Risponderemo entro 45 giorni, o il periodo richiesto dalla legge applicabile
  • Segnali di privacy: Riconosciamo Global Privacy Control (GPC) e Global Privacy Platform (GPP) per l'opt-out pubblicitario automatico

13. Comunicazioni Marketing e Promozionali

13.1 Opt-in (consenso preventivo)

Per gli utenti nell'Unione Europea, Spazio Economico Europeo, Regno Unito e altre giurisdizioni che lo richiedono, chiediamo il tuo consenso esplicito (opt-in) prima di inviarti comunicazioni marketing, come:

  • Newsletter con novità sui prodotti
  • Promozioni e offerte speciali
  • Contenuti educativi sul collezionismo
  • Sondaggi e feedback degli utenti

13.2 Opt-out (disiscrizione)

Puoi disiscriverti dalle comunicazioni marketing in qualsiasi momento tramite:

  • Link "Annulla iscrizione" in ogni email marketing
  • Impostazioni account: Impostazioni → Notifiche → Disattiva "Email promozionali"
  • Email: [email protected] con oggetto "Disiscrizione marketing"

13.3 Comunicazioni Transazionali (non annullabili)

Alcune comunicazioni sono essenziali per il funzionamento del servizio e non possono essere annullate finché mantieni il tuo account attivo:

  • Conferme di registrazione e verifica email
  • Reset password
  • Notifiche di sicurezza (nuovo dispositivo, modifiche account)
  • Conferme di pagamento e fatture
  • Modifiche ai Termini e Condizioni o Informativa sulla Privacy
  • Avvisi di chiusura o sospensione account

14. Vendita e Condivisione dei Dati (USA)

Museum App non vende i tuoi dati personali nel senso tradizionale. Tuttavia, alcune leggi statunitensi (CCPA/CPRA, Virginia, Colorado, Connecticut, Texas, ecc.) definiscono la "vendita" in modo ampio, includendo la condivisione di dati con reti pubblicitarie per pubblicità comportamentale.

Poiché utilizziamo pubblicità che può qualificarsi come "vendita" secondo queste leggi:

  • Opt-out automatico: Riconosciamo segnali di preferenza privacy come Global Privacy Control (GPC) e Global Privacy Platform (GPP)
  • Controllo account: Potrai gestire le preferenze pubblicitarie da Impostazioni → Privacy → Preferenze pubblicitarie
  • Non discriminazione: Non ti negheremo il servizio né applicheremo prezzi diversi per l'esercizio dei tuoi diritti privacy

Puoi gestire queste preferenze in Impostazioni → Privacy → Preferenze pubblicitarie o tramite segnali del browser (GPC/GPP). Forniremo anche un link "Non vendere/condividere le mie informazioni personali" quando richiesto dalla legge statale applicabile.

15. Decisioni Automatizzate e Profilazione

Museum App può effettuare profilazione di base per migliorare la tua esperienza, incluso:

  • Classificare le tue preferenze tematiche di collezione basate sulla tua attività
  • Raccomandare utenti, categorie o contenuti rilevanti
  • Rilevare e limitare spam, frodi o attività sospette
  • Selezionare annunci contestuali o personalizzati (solo con il tuo consenso quando legalmente richiesto)

NON prendiamo decisioni automatizzate che producono effetti legali significativi su di te o ti influenzano in modo analogo senza intervento umano, a meno che:

  • Sia necessario per l'esecuzione del contratto con te
  • Sia autorizzato dalla legge applicabile
  • Tu abbia dato il tuo consenso esplicito

Se hai domande su come utilizziamo la profilazione o le decisioni automatizzate, contattaci a [email protected].

16. Modifiche a Questa Informativa sulla Privacy

Museum App si riserva il diritto di aggiornare o modificare questa Informativa sulla Privacy in qualsiasi momento. Quando apportiamo modifiche:

16.1 Notifica delle Modifiche

Modifiche minori: Aggiorniamo la data "Ultimo aggiornamento" all'inizio di questa Informativa

Modifiche sostanziali: Ti avviseremo tramite:

  • Email al tuo indirizzo registrato
  • Notifica prominente nell'applicazione (banner o pop-up)
  • Avviso sul nostro sito web

16.2 Data di Efficacia

Le modifiche entreranno in vigore alla data indicata in cima a questa Informativa ("Ultimo aggiornamento"). L'uso continuato del servizio dopo la data di efficacia costituisce la tua accettazione delle modifiche.

16.3 Cronologia delle Versioni

Puoi richiedere versioni precedenti di questa Informativa sulla Privacy inviando un'email a [email protected].

16.4 Servizi di Terze Parti - Geolocalizzazione

Questo sito utilizza dati GeoLite2 creati da MaxMind, disponibili su https://www.maxmind.com. Questo servizio ci consente di rilevare il tuo paese di origine per rispettare le normative sulla privacy applicabili (GDPR, CCPA, LGPD).

17. Contatti

Se hai domande, commenti o preoccupazioni riguardo questa Informativa sulla Privacy o come trattiamo i tuoi dati personali, contattaci a:

Museum App Inc.

5900 Balcones Drive Ste 100

Austin, TX 78731

Stati Uniti

Email di contatto: [email protected]

Faremo del nostro meglio per rispondere alla tua richiesta entro un tempo ragionevole (generalmente 5-10 giorni lavorativi per richieste generali; termini legali specifici per richieste relative ai diritti privacy).