Privacy Policy

Ai sensi del Regolamento (UE) 2016/679 (GDPR):

• <strong>Titolare del Trattamento per i dati dell'Evento:</strong> l'Utente (organizzatore, anche per conto della propria Organizzazione) che crea l'evento, in quanto determina finalità e base giuridica del trattamento delle fotografie, dei contenuti caricati e dei dati degli ospiti inseriti nelle liste nell'ambito dell'Evento.
• <strong>Responsabile del Trattamento:</strong> fotia, che fornisce la piattaforma software in modalità SaaS e tratta i dati personali relativi all'Evento per conto del Titolare, ai sensi dell'art. 28 GDPR, con autonomia limitata alle modalità tecniche necessarie all'erogazione del servizio.
• <strong>Titolare autonomo per specifici trattamenti:</strong> fotia agisce inoltre come Titolare del trattamento per i dati personali trattati per finalità proprie quali gestione degli account, sicurezza della piattaforma, prevenzione di abusi, gestione dei log tecnici, adempimento di obblighi legali (incluso il Digital Services Act) e tutela dei propri diritti.

La presente Privacy Policy descrive come fotia tratta i dati personali degli utenti che utilizzano la piattaforma Software as a Service (SaaS) per la gestione di eventi: organizzazione degli accessi tramite liste ospiti, QR code e check-in (modulo Gate) e raccolta e condivisione di gallerie fotografiche (modulo Gallery).

fotia opera come fornitore di hosting tecnico e non utilizza i contenuti caricati né i dati degli ospiti per finalità proprie.

Il servizio coinvolge le seguenti categorie di soggetti:

• Utenti registrati che creano e gestiscono Eventi (organizzatori), anche per conto di un'Organizzazione (venue, locale, promoter)
• Membri del team dell'Organizzazione (PR e staff), invitati dall'organizzatore e registrati con un proprio account
• Ospiti in lista: persone inserite nelle liste ospiti dall'organizzatore o dai suoi PR, che non necessitano di alcun account
• Ospiti anonimi, che caricano o visualizzano fotografie senza creare un account

4.1 Utenti registrati e membri del team

Per la creazione e gestione dell'account, fotia tratta in particolare:

• nome completo
• indirizzo email
• numero di telefono (opzionale)
• accettazione dei termini di servizio
• ruolo ricoperto all'interno di un'Organizzazione (owner, PR o staff) e relativa appartenenza

Non vengono effettuate profilazioni, né analisi comportamentali a fini commerciali.

4.2 Ospiti in lista (modulo Gate)

Quando un organizzatore o un suo PR inserisce un ospite in una lista, fotia tratta per conto dell'organizzatore:

• nome dell'ospite (o del rappresentante del gruppo)
• numero di telefono (opzionale, utilizzato esclusivamente per l'invio del QR di invito)
• numero di accompagnatori e di ingressi omaggio
• eventuali note organizzative inserite da chi gestisce la lista

Questi dati si riferiscono di norma a persone che non hanno un account fotia e vengono raccolti non presso l'interessato: è l'organizzatore, in qualità di Titolare del trattamento, a garantire la liceità della raccolta e a informare gli interessati. Il QR di invito contiene esclusivamente identificativi casuali, non riconducibili a dati personali da parte di terzi. La pagina pubblica dell'invito mostra solo nome dell'ospite, evento e lista; non è indicizzabile dai motori di ricerca, è protetta da limiti di accesso e il link cessa di funzionare 24 ore dopo la fine dell'evento.

4.3 Registri di ingresso (check-in)

Al momento dell'ingresso di un ospite viene registrato:

• data e ora dell'ingresso
• l'operatore (owner o staff) che ha effettuato il check-in
• la tipologia di ingresso (pagante oppure omaggio)

I registri di check-in sono immutabili: non possono essere modificati né cancellati singolarmente, a garanzia dell'integrità dei conteggi degli ingressi e del calcolo delle commissioni. Vengono eliminati definitivamente insieme all'evento a cui si riferiscono.

4.4 Ospiti anonimi (modulo Gallery)

Gli ospiti che caricano fotografie:

• non devono registrarsi
• non vengono richiesti dati identificativi diretti

fotia non richiede registrazione né dati identificativi diretti, fatto salvo l'indirizzo IP trattato per finalità di sicurezza.

4.5 Dati tecnici raccolti in fase di caricamento

fotia tratta alcuni dati tecnici associati al caricamento delle fotografie, quali:

• indirizzo IP dell'uploader
• informazioni sul browser
• sistema operativo
• tipologia di dispositivo

L'indirizzo IP è conservato per un periodo limitato e proporzionato alle finalità di sicurezza e prevenzione di abusi (30 giorni), e successivamente cancellato o anonimizzato. Gli altri dati tecnici sono trattati in forma aggregata o pseudonimizzata, ove possibile.

Tali dati sono trattati per:

• garantire la sicurezza della piattaforma e prevenire utilizzi illeciti o abusivi
• diagnosticare e risolvere eventuali errori tecnici
• assicurare il corretto funzionamento e il miglioramento tecnico del servizio

4.6 Dati relativi alle segnalazioni (DSA)

In caso di segnalazione di contenuti ai sensi del Digital Services Act, vengono raccolti:

• indirizzo email del segnalante (obbligatorio)
• nome del segnalante (opzionale)
• indirizzo IP del segnalante
• relazione del segnalante con il contenuto (es. persona coinvolta, terza parte, titolare dei diritti)
• descrizione e categoria della segnalazione

L'indirizzo IP del segnalante viene automaticamente cancellato dopo 30 giorni. Gli altri dati della segnalazione sono conservati per il tempo necessario agli obblighi di conformità DSA e per garantire la tracciabilità delle azioni intraprese.

4.7 Log degli errori

fotia registra log tecnici interni per il monitoraggio del servizio. Tali log possono contenere, in modo incidentale, riferimenti a utenti registrati (ID, email) e vengono automaticamente eliminati dopo 30 giorni.

4.8 Sponsor e misurazioni aggregate

Se l'organizzatore associa uno sponsor a un evento, fotia conteggia in forma aggregata e anonima le visualizzazioni dell'immagine dello sponsor sulla pagina di invito e nella gallery. Il conteggio è un semplice contatore numerico: non utilizza cookie, non identifica i visitatori e non comporta il trattamento di dati personali.

Le fotografie caricate:

• Restano di proprietà dell'interessato o dell'Utente organizzatore.
• Vengono elaborate automaticamente per l'ottimizzazione della visualizzazione web (conversione in formato WebP, ridimensionamento e compressione).
• Sono conservate sia nella versione originale che nella versione ottimizzata per la visualizzazione.
• Conservano i metadati tecnici incorporati nel file (EXIF: ad esempio data di scatto, modello del dispositivo ed eventuali coordinate GPS), che non vengono rimossi al caricamento e restano visibili a chi scarica il file originale. Chi non desidera condividerli deve rimuoverli prima del caricamento.
• Non vengono utilizzate per scopi di marketing o addestramento AI.
• Non vengono analizzate tramite riconoscimento facciale o altri dati biometrici.

Il trattamento dei dati personali avviene ai sensi dell'art. 6 del GDPR, sulla base delle seguenti condizioni di liceità:

• Esecuzione di un contratto (art. 6(1)(b) GDPR), con riferimento alla fornitura del servizio SaaS nei confronti degli organizzatori che utilizzano la piattaforma.
• Adempimento di obblighi legali (art. 6(1)(c) GDPR), ad esempio in relazione agli obblighi previsti dal Digital Services Act o da altre normative applicabili.
• Legittimo interesse (art. 6(1)(f) GDPR):

In particolare:

• l'Organizzatore, in qualità di Titolare del trattamento delle fotografie dell'evento e dei dati degli ospiti inseriti nelle liste, può fondare il trattamento sul proprio legittimo interesse o su altra idonea base giuridica da esso individuata;
• fotia agisce quale Titolare autonomo per i trattamenti necessari alla sicurezza della piattaforma, alla prevenzione di abusi, alla gestione tecnica del servizio, alla gestione delle segnalazioni e agli adempimenti di compliance.

I dati personali sono trattati mediante strumenti informatici e procedure automatizzate, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione previsti dal GDPR.

Le fotografie e i contenuti caricati sono oggetto di elaborazione tecnica necessaria all'erogazione del servizio (es. ottimizzazione per la visualizzazione web e gestione dello storage).

fotia adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

• controlli di accesso logico ai sistemi e ai dati, con segregazione per ruolo (owner, PR e staff accedono esclusivamente ai dati di propria competenza)
• sistemi di autenticazione e protezione delle credenziali
• codici di accesso (passcode) di gallery e album conservati esclusivamente in forma cifrata (hash), mai in chiaro
• QR di invito basati su identificativi casuali non prevedibili
• monitoraggio tecnico, limiti anti-abuso (rate limiting) e registrazione degli eventi rilevanti ai fini della sicurezza
• procedure automatizzate di gestione e cancellazione dei dati secondo i periodi di conservazione previsti
• misure di prevenzione di accessi non autorizzati, perdita, alterazione o divulgazione indebita dei dati

fotia applica i principi di privacy by design e by default, adottando misure tecniche e organizzative proporzionate alla natura dei dati trattati e ai rischi connessi.

I dati vengono conservati per i periodi strettamente necessari alle finalità del trattamento:

• <strong>Foto e gallery:</strong> conservate per il periodo previsto dal piano della gallery — da un minimo di 30 a un massimo di 365 giorni dalla creazione della gallery — salvo cancellazione anticipata da parte dell'Utente. Alla scadenza, la gallery e tutte le foto associate (originali e ottimizzate) vengono eliminate definitivamente dallo storage tramite procedure automatizzate.
• <strong>Liste ospiti e registri di check-in (modulo Gate):</strong> conservati per la durata di vita dell'evento, sotto la titolarità dell'organizzatore. Vengono eliminati definitivamente quando l'organizzatore elimina l'evento, la lista o il singolo ospite, oppure alla chiusura del suo account.
• <strong>Link di invito (QR):</strong> cessano di funzionare 24 ore dopo la fine dell'evento.
• <strong>Indirizzi IP degli uploader:</strong> automaticamente cancellati dopo 30 giorni dal caricamento.
• <strong>Indirizzi IP dei segnalanti:</strong> automaticamente cancellati dopo 30 giorni dalla segnalazione.
• <strong>Log degli errori:</strong> automaticamente eliminati dopo 30 giorni.
• <strong>Inviti al team non accettati:</strong> il link di invito scade automaticamente dopo 7 giorni.
• <strong>Export ZIP:</strong> i link di download degli export fotografici scadono automaticamente dopo 7 giorni dalla generazione.
• <strong>Segnalazioni e audit trail:</strong> conservati per il tempo necessario agli obblighi di legge e alla tutela dei diritti in sede giudiziaria per conformità al Digital Services Act (DSA) e per obblighi di tracciabilità delle azioni di moderazione.

Alla chiusura di un account o all'eliminazione di un Evento, fotia procede alla rimozione di tutti i dati associati: foto (originali, ottimizzate ed eventuali export), liste ospiti e registri di check-in, tramite procedure automatizzate di eliminazione.

I dati personali non vengono venduti né ceduti a terzi.

Per l'erogazione del servizio, fotia si avvale di fornitori qualificati per servizi di hosting, database, storage, invio email e infrastruttura cloud, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR. L'elenco aggiornato dei responsabili è disponibile su richiesta. Qualora si verifichino trasferimenti verso Paesi extra-UE, questi avvengono nel rispetto degli artt. 44 ss. GDPR mediante decisioni di adeguatezza o clausole contrattuali standard.

Ciascun fornitore è vincolato contrattualmente al rispetto del GDPR e tratta in particolare i dati per le finalità tecniche necessarie al funzionamento del servizio.

L'eventuale invio del QR di invito tramite WhatsApp avviene direttamente dal dispositivo di chi gestisce la lista (apertura dell'app con messaggio precompilato): fotia non comunica dati personali a WhatsApp né ad altri servizi di messaggistica.

I dati sono ospitati in data center situati nell'UE. Alcuni fornitori possono essere società con sede extra-UE; eventuali trasferimenti avvengono secondo art. 44 ss. I dati personali degli utenti (database, foto, email) vengono elaborati e conservati all'interno dell'UE.

Eventuali trasferimenti verso Paesi extra UE, qualora si rendessero necessari in futuro, avverranno solo in presenza di garanzie adeguate ai sensi degli artt. 44–49 GDPR, e saranno comunicati mediante aggiornamento della presente Policy.

Ai sensi del GDPR, l'interessato ha diritto di:

• accesso ai dati
• rettifica
• cancellazione
• limitazione del trattamento
• opposizione
• portabilità dei dati

Le richieste possono essere inviate a:

support@fotia.events

L'interessato ha inoltre diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali.

Gli ospiti inseriti in una lista da un organizzatore o da un suo PR possono esercitare i propri diritti nei confronti dell'organizzatore, in qualità di Titolare del trattamento, oppure rivolgersi a fotia, che inoltrerà la richiesta al Titolare competente fornendo la collaborazione tecnica necessaria.

fotia può aggiornare la presente Privacy Policy in caso di modifiche normative o funzionali.

Le modifiche saranno comunicate tramite il sito o l'account Utente.

Per qualsiasi domanda relativa alla privacy: