Privacy Policy

Ai sensi del Regolamento (UE) 2016/679 (GDPR):

• <strong>Titolare del Trattamento per i contenuti dell’Evento:</strong> l'Utente (organizzatore) che crea l'evento, in quanto determina finalità e base giuridica del trattamento delle fotografie e dei contenuti caricati nell’ambito dell’Evento.
• <strong>Responsabile del Trattamento:</strong> fotia, che fornisce la piattaforma software in modalità SaaS e tratta i dati personali relativi ai contenuti dell’Evento per conto del Titolare, ai sensi dell’art. 28 GDPR, con autonomia limitata alle modalità tecniche necessarie all’erogazione del servizio.
• <strong>Titolare autonomo per specifici trattamenti:</strong> fotia agisce inoltre come Titolare del trattamento per i dati personali trattati per finalità proprie quali gestione degli account, sicurezza della piattaforma, prevenzione di abusi, gestione dei log tecnici, adempimento di obblighi legali (incluso il Digital Services Act) e tutela dei propri diritti.

La presente Privacy Policy descrive come fotia tratta i dati personali degli utenti che utilizzano la piattaforma Software as a Service (SaaS) per la creazione e gestione di gallerie fotografiche di eventi.

fotia opera come fornitore di hosting tecnico e non utilizza i contenuti caricati per finalità proprie.

Il servizio può essere utilizzato da:

• Utenti registrati, che creano e gestiscono Eventi
• Ospiti anonimi, che caricano fotografie senza creare un account

4.1 Utenti registrati

Per la creazione e gestione dell'account, fotia tratta in particolare:

• nome completo
• indirizzo email
• numero di telefono (opzionale)
• accettazione dei termini di servizio

Non vengono effettuate profilazioni, né analisi comportamentali a fini commerciali.

4.2 Ospiti anonimi

Gli ospiti che caricano fotografie:

• non devono registrarsi
• non vengono richiesti dati identificativi diretti

fotia non richiede registrazione né dati identificativi diretti, fatto salvo l’indirizzo IP trattato per finalità di sicurezza.

4.3 Dati tecnici raccolti in fase di caricamento

fotia tratta alcuni dati tecnici associati al caricamento delle fotografie, quali:

• indirizzo IP dell’uploader
• informazioni sul browser
• sistema operativo
• tipologia di dispositivo

L’indirizzo IP è conservato per un periodo limitato e proporzionato alle finalità di sicurezza e prevenzione di abusi, e successivamente cancellato o anonimizzato. Gli altri dati tecnici sono trattati in forma aggregata o pseudonimizzata, ove possibile.

Tali dati sono trattati per:

• garantire la sicurezza della piattaforma e prevenire utilizzi illeciti o abusivi
• diagnosticare e risolvere eventuali errori tecnici
• assicurare il corretto funzionamento e il miglioramento tecnico del servizio

4.4 Dati relativi alle segnalazioni (DSA)

In caso di segnalazione di contenuti ai sensi del Digital Services Act, vengono raccolti:

• indirizzo email del segnalante (obbligatorio)
• nome del segnalante (opzionale)
• indirizzo IP del segnalante
• relazione del segnalante con il contenuto (es. persona coinvolta, terza parte, titolare dei diritti)
• descrizione e categoria della segnalazione

L'indirizzo IP del segnalante viene automaticamente cancellato dopo 30 giorni. Gli altri dati della segnalazione sono conservati per il tempo necessario agli obblighi di conformità DSA e per garantire la tracciabilità delle azioni intraprese.

4.5 Log degli errori

fotia registra log tecnici interni per il monitoraggio del servizio. Tali log possono contenere, in modo incidentale, riferimenti a utenti registrati (ID, email) e vengono automaticamente eliminati dopo 30 giorni.

Le fotografie caricate:

• Restano di proprietà dell'interessato o dell'Utente organizzatore.
• Vengono elaborate automaticamente per l'ottimizzazione della visualizzazione web (conversione in formato WebP, ridimensionamento e compressione).
• Sono conservate sia nella versione originale che nella versione ottimizzata per la visualizzazione.
• Non vengono utilizzate per scopi di marketing o addestramento AI.
• Non vengono analizzate tramite riconoscimento facciale o altri dati biometrici.

Il trattamento dei dati personali avviene ai sensi dell’art. 6 del GDPR, sulla base delle seguenti condizioni di liceità:

• Esecuzione di un contratto (art. 6(1)(b) GDPR), con riferimento alla fornitura del servizio SaaS nei confronti degli organizzatori che utilizzano la piattaforma.
• Adempimento di obblighi legali (art. 6(1)(c) GDPR), ad esempio in relazione agli obblighi previsti dal Digital Services Act o da altre normative applicabili.
• Legittimo interesse (art. 6(1)(f) GDPR):

In particolare:

• l’Organizzatore, in qualità di Titolare del trattamento delle fotografie dell’evento, può fondare il trattamento sul proprio legittimo interesse o su altra idonea base giuridica da esso individuata;
• fotia agisce quale Titolare autonomo per i trattamenti necessari alla sicurezza della piattaforma, alla prevenzione di abusi, alla gestione tecnica del servizio, alla gestione delle segnalazioni e agli adempimenti di compliance.

I dati personali sono trattati mediante strumenti informatici e procedure automatizzate, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione previsti dal GDPR.

Le fotografie e i contenuti caricati sono oggetto di elaborazione tecnica necessaria all’erogazione del servizio (es. ottimizzazione per la visualizzazione web e gestione dello storage).

fotia adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, tra cui:

• controlli di accesso logico ai sistemi e ai dati
• sistemi di autenticazione e protezione delle credenziali
• monitoraggio tecnico e registrazione degli eventi rilevanti ai fini della sicurezza
• procedure automatizzate di gestione e cancellazione dei dati secondo i periodi di conservazione previsti
• misure di prevenzione di accessi non autorizzati, perdita, alterazione o divulgazione indebita dei dati

fotia applica i principi di privacy by design e by default, adottando misure tecniche e organizzative proporzionate alla natura dei dati trattati e ai rischi connessi.

I dati vengono conservati per i periodi strettamente necessari alle finalità del trattamento:

• <strong>Foto ed eventi:</strong> conservati per un massimo di {retentionDays} giorni dalla data dell'evento, salvo cancellazione anticipata da parte dell'Utente. Alla scadenza, tutte le foto associate vengono eliminate definitivamente dallo storage.
• <strong>Indirizzi IP degli uploader:</strong> automaticamente cancellati dopo 30 giorni dal caricamento.
• <strong>Indirizzi IP dei segnalanti:</strong> automaticamente cancellati dopo 30 giorni dalla segnalazione.
• <strong>Log degli errori:</strong> automaticamente eliminati dopo 30 giorni.
• <strong>Export ZIP:</strong> i link di download degli export fotografici scadono automaticamente dopo 7 giorni dalla generazione.
• <strong>Segnalazioni e audit trail:</strong> conservati per il tempo necessario agli obblighi di legge e alla tutela dei diritti in sede giudiziaria per conformità al Digital Services Act (DSA) e per obblighi di tracciabilità delle azioni di moderazione.

Alla chiusura di un account o alla scadenza di un Evento, fotia procede alla rimozione di tutte le foto associate dai propri server di storage, incluse le versioni originali, ottimizzate e gli eventuali export, tramite procedure automatizzate di eliminazione.

I dati personali non vengono venduti né ceduti a terzi.

Per l'erogazione del servizio, fotia si avvale di fornitori qualificati per servizi di hosting, database, storage, invio email e infrastruttura cloud, nominati responsabili del trattamento ai sensi dell’art. 28 GDPR. L’elenco aggiornato dei responsabili è disponibile su richiesta. Qualora si verifichino trasferimenti verso Paesi extra-UE, questi avvengono nel rispetto degli artt. 44 ss. GDPR mediante decisioni di adeguatezza o clausole contrattuali standard.

Ciascun fornitore è vincolato contrattualmente al rispetto del GDPR e tratta in particolare i dati per le finalità tecniche necessarie al funzionamento del servizio.

I dati sono ospitati in data center situati nell’UE. Alcuni fornitori possono essere società con sede extra-UE; eventuali trasferimenti avvengono secondo art. 44 ss. I dati personali degli utenti (database, foto, email) vengono elaborati e conservati all'interno dell'UE.

Eventuali trasferimenti verso Paesi extra UE, qualora si rendessero necessari in futuro, avverranno solo in presenza di garanzie adeguate ai sensi degli artt. 44–49 GDPR, e saranno comunicati mediante aggiornamento della presente Policy.

Ai sensi del GDPR, l'utente ha diritto di:

• accesso ai dati
• rettifica
• cancellazione
• limitazione del trattamento
• opposizione
• portabilità dei dati

Le richieste possono essere inviate a:

support@fotia.events

L'utente ha inoltre diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali.

fotia può aggiornare la presente Privacy Policy in caso di modifiche normative o funzionali.

Le modifiche saranno comunicate tramite il sito o l'account Utente.

Per qualsiasi domanda relativa alla privacy: