Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite il servizio BandCalendar è:
- Denominazione:
- BandCalendar
- Indirizzo e-mail:
- [email protected]
- Sito web:
- www.bandcalendar.it
Per qualsiasi domanda relativa al trattamento dei dati personali puoi contattarci all'indirizzo [email protected].
Tipologie di dati raccolti
BandCalendar raccoglie e tratta le seguenti categorie di dati personali, a seconda delle funzionalità utilizzate:
2.1 Dati di registrazione e profilo
- Nome e cognome (o nome d'arte / nome band)
- Indirizzo e-mail
- Password (conservata in forma crittografata — hash bcrypt, mai in chiaro)
- Foto profilo (se caricata volontariamente)
- Dati del team / band
2.2 Dati inseriti nell'applicazione
Nell'utilizzo ordinario del servizio, l'utente inserisce autonomamente dati relativi alla propria attività professionale, tra cui:
- Dati di clienti e contatti (nome, telefono, e-mail, indirizzo)
- Informazioni su eventi (data, luogo, tipo evento, note)
- Dati di collaboratori e musicisti (nome, contatto, compensi)
- Documenti, preventivi e contratti
- Scalette, repertori e brani
- Dati economici (compensi, pagamenti, anticipi)
- Foto e file multimediali caricati dall'utente
BandCalendar agisce come semplice responsabile del trattamento per tutti i dati relativi a terzi (clienti, collaboratori) che l'utente inserisce nella piattaforma. L'utente è il titolare del trattamento di tali dati.
2.3 Dati di utilizzo e tecnici
- Indirizzo IP e informazioni sul browser/dispositivo (log di accesso)
- Token di sessione (JWT, conservati nel browser)
- Token per notifiche push (se autorizzate dall'utente)
- Dati di navigazione aggregati (pagine visitate, funzionalità usate)
2.4 Dati di fatturazione
Per la gestione degli abbonamenti a pagamento utilizziamo provider esterni certificati (Stripe, PayPal). BandCalendar non memorizza direttamente dati di carte di credito o strumenti di pagamento. Riceviamo esclusivamente conferme di transazione e dati di fatturazione necessari ai fini fiscali (es. indirizzo di fatturazione).
2.5 Dati da servizi di terze parti
Se colleghi il tuo account Google Calendar, riceviamo un token OAuth limitato ai permessi di lettura/scrittura del calendario. Non accediamo ad altri dati del tuo account Google.
Finalità e base giuridica del trattamento
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio (registrazione, accesso, funzionalità core) | Esecuzione del contratto — Art. 6.1.b GDPR |
| Gestione abbonamenti e pagamenti | Esecuzione del contratto — Art. 6.1.b GDPR |
| Adempimenti fiscali e contabili | Obbligo legale — Art. 6.1.c GDPR |
| Invio comunicazioni transazionali (conferme, notifiche di sistema) | Esecuzione del contratto — Art. 6.1.b GDPR |
| Sicurezza del servizio, prevenzione frodi e abusi | Legittimo interesse — Art. 6.1.f GDPR |
| Miglioramento del servizio tramite analisi aggregata dell'utilizzo | Legittimo interesse — Art. 6.1.f GDPR |
| Comunicazioni promozionali e newsletter (solo previo consenso) | Consenso — Art. 6.1.a GDPR |
| Notifiche push in-app (solo previo consenso) | Consenso — Art. 6.1.a GDPR |
Modalità del trattamento
Il trattamento viene effettuato con strumenti informatici e telematici. I dati sono conservati su server dedicati localizzati in Italia, di proprietà del titolare del trattamento. L'accesso ai dati è protetto da:
- Cifratura delle password con algoritmo bcrypt
- Connessioni HTTPS/TLS per tutti i trasferimenti dati
- Token di sessione JWT con scadenza limitata
- Accesso ai sistemi di produzione limitato al personale autorizzato
- Backup giornalieri cifrati conservati separatamente
- Segmentazione di rete: database e storage non esposti su Internet
Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità indicate:
Dati account attivo
Per tutta la durata del rapporto contrattuale (finché l'account è attivo).
Dopo la cancellazione dell'account
I dati vengono eliminati entro 30 giorni dalla richiesta di cancellazione, salvo obblighi di legge.
Dati di fatturazione
10 anni dall'operazione, in conformità agli obblighi fiscali italiani (D.P.R. 600/1973).
Log di accesso
Massimo 12 mesi, salvo esigenze legate ad attività di sicurezza o indagini.
File e documenti caricati
Eliminati immediatamente alla cancellazione del file da parte dell'utente, o entro 30 giorni dalla cancellazione dell'account.
Comunicazione a terzi
I dati personali non vengono venduti né ceduti a terzi per scopi commerciali. Possono essere comunicati esclusivamente ai seguenti soggetti, nella misura strettamente necessaria all'erogazione del servizio:
Stripe Inc.
Elaborazione pagamenti con carta
USA (SCCs GDPR)
PayPal Inc.
Elaborazione pagamenti PayPal
USA (SCCs GDPR)
SMTP2GO
Invio e-mail transazionali
Australia (SCCs GDPR)
Cloudflare Inc.
CDN, protezione DDoS, tunnel HTTPS
USA (SCCs GDPR)
Google LLC
Integrazione Google Calendar (solo su richiesta utente)
USA (SCCs GDPR)
Tutti i fornitori sono soggetti a obblighi contrattuali di riservatezza e sicurezza conformi al GDPR.
Trasferimenti internazionali
Alcuni fornitori di cui al punto 6 hanno sede al di fuori dell'Unione Europea. In questi casi, il trasferimento dei dati avviene nel rispetto delle garanzie previste dagli artt. 44-49 del GDPR, in particolare mediante:
- Clausole contrattuali standard (Standard Contractual Clauses — SCCs) adottate dalla Commissione Europea
- Adesione a programmi di certificazione riconosciuti dalla Commissione Europea
Diritti dell'interessato
In qualità di interessato, hai il diritto di esercitare in qualsiasi momento i seguenti diritti, ai sensi degli artt. 15-22 del GDPR:
Accesso (art. 15)
Ottenere conferma del trattamento e una copia dei tuoi dati personali.
Rettifica (art. 16)
Correggere dati inesatti o completare quelli incompleti.
Cancellazione (art. 17)
Richiedere l'eliminazione dei tuoi dati ("diritto all'oblio").
Limitazione (art. 18)
Limitare il trattamento dei tuoi dati in determinate circostanze.
Portabilità (art. 20)
Ricevere i tuoi dati in formato strutturato e leggibile da macchina.
Opposizione (art. 21)
Opporti al trattamento basato su legittimo interesse.
Revoca del consenso
Revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente.
Reclamo all'Autorità
Proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Per esercitare i tuoi diritti invia una richiesta a [email protected]. Risponderemo entro 30 giorni, come previsto dal GDPR.
Minori
Ai sensi dell'art. 8 GDPR e del D.Lgs. 101/2018, l'età minima per prestare autonomamente il consenso al trattamento dei dati personali per i servizi online è 14 anni in Italia. Non raccogliamo consapevolmente dati personali di minori di 14 anni.
I ragazzi tra 14 e 17 anni possono utilizzare BandCalendar e tutte le sue funzionalità. Per la sottoscrizione di un piano a pagamento — che costituisce un contratto con BandCalendar — è richiesta l'autorizzazione di un genitore o tutore legale.
Se sei a conoscenza che un minore di 14 anni ha creato un account, ti chiediamo di contattarci a [email protected] per procedere alla cancellazione immediata.
Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare questa informativa in qualsiasi momento, ad esempio in seguito a modifiche normative o all'introduzione di nuove funzionalità. Le modifiche significative verranno comunicate tramite e-mail all'indirizzo registrato o tramite avviso nell'applicazione.
La data dell'ultimo aggiornamento è sempre indicata in cima a questa pagina. L'utilizzo continuato del servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.
Contatti
Per qualsiasi domanda, richiesta o segnalazione relativa al trattamento dei tuoi dati personali puoi contattarci:
BandCalendar
E-mail: [email protected]
Sito: www.bandcalendar.it
Hai anche il diritto di presentare un reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Questa informativa è stata redatta in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.