Informativa sulla privacy
Ai sensi del Regolamento UE 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice Privacy)
Versione 1.0 — in vigore dal 19 maggio 2026
1. Titolare del trattamento
Via Zara 7, 16145 Genova (GE), Italia
Codice Fiscale: BLDNRC81B08D969B
Email: info@genovasos.it
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti dell'art. 37 GDPR. Per qualsiasi richiesta in materia di trattamento è possibile scrivere all'indirizzo email indicato.
2. Tipologie di dati trattati
La piattaforma tratta le seguenti categorie di dati:
- Dati di registrazione: indirizzo email, nome utente, password (memorizzata in forma di hash sicuro). In caso di login tramite Google o Facebook: identificativo univoco del provider, email, nome.
- Dati di profilo: ruolo assegnato (cittadino, reporter, verificato, moderatore), data di registrazione.
- Contenuti pubblicati: testo di segnalazioni e commenti, fotografie caricate (con metadati EXIF rimossi prima del salvataggio), coordinate geografiche scelte volontariamente dall'utente al momento della segnalazione.
- Dati tecnici: indirizzo IP del visitatore (utilizzato in forma confrontativa per impedire conferme multiple della stessa segnalazione dallo stesso dispositivo), user-agent del browser, timestamp delle azioni, log di errore del server.
- Cookie tecnici: identificativo di sessione, token CSRF, cookie di autenticazione allauth. Non sono utilizzati cookie di profilazione né strumenti di analytics di terze parti.
Non vengono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR. L'utente è invitato a non includere volontariamente dati sensibili o di terzi nei propri contenuti.
3. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del servizio (registrazione, pubblicazione segnalazioni, commenti, mappa) | Esecuzione di un contratto / misure precontrattuali — lett. b) |
| Prevenzione di abusi, spam, conferme multiple (uso dell'IP) | Legittimo interesse del titolare — lett. f) |
| Moderazione automatica dei commenti tramite OpenAI Moderation API | Legittimo interesse del titolare — lett. f) |
| Pubblicazione e indicizzazione delle segnalazioni come strumento civico di interesse pubblico | Consenso dell'utente all'atto della pubblicazione — lett. a) e legittimo interesse — lett. f) |
| Comunicazioni di servizio (modifiche termini, sicurezza account) | Esecuzione del contratto — lett. b) |
| Adempimento di obblighi di legge (richieste di autorità competenti) | Obbligo legale — lett. c) |
4. Modalità del trattamento
I dati sono trattati con strumenti elettronici, su server di terzi (vedi sezione 6), con misure tecniche e organizzative adeguate (password in hash, connessioni HTTPS, accessi limitati ai dati di amministrazione). Le foto sono ottimizzate e ripulite dei metadati EXIF (inclusa eventuale geolocalizzazione automatica della fotocamera) prima del salvataggio.
5. Conservazione dei dati
- Account utente: fino alla richiesta di cancellazione da parte dell'utente.
- Segnalazioni pubblicate: conservate a tempo indeterminato per finalità di interesse pubblico, storiche e di tracciabilità civica. In caso di cancellazione dell'account, le segnalazioni vengono mantenute in forma anonimizzata salvo richiesta esplicita di rimozione totale.
- Commenti: cancellati con l'account dell'autore.
- Indirizzi IP per anti-doppia-conferma: massimo 12 mesi.
- Log tecnici di errore: massimo 90 giorni.
6. Destinatari e responsabili esterni
Per erogare il servizio, alcuni dati vengono trattati da fornitori terzi che agiscono come responsabili del trattamento ai sensi dell'art. 28 GDPR o come titolari autonomi:
| Fornitore | Servizio | Paese |
|---|---|---|
| Interserver Inc. | Hosting del server e del database | USA |
| OpenAI, L.L.C. | Analisi automatica foto (gpt-4o-mini) e moderazione commenti (Moderation API) | USA |
| Google LLC | Login OAuth (se l'utente sceglie "Accedi con Google"), font web (DM Sans) | USA |
| Meta Platforms Ireland Ltd. | Login OAuth (se l'utente sceglie "Accedi con Facebook") | Irlanda (UE) / USA |
| OpenStreetMap Foundation | Tessere mappa e geocoding (Nominatim) | Regno Unito |
Le foto pubblicate sulla piattaforma vengono trasmesse a OpenAI esclusivamente al momento dell'analisi automatica al momento dell'invio della segnalazione, secondo i termini API di OpenAI che escludono l'uso per addestramento di modelli.
7. Trasferimento dati extra-UE
Alcuni dei fornitori indicati (Interserver, OpenAI, Google) hanno sede negli Stati Uniti. Il trasferimento dei dati verso paesi extra-UE avviene sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses, SCC) approvate dalla Commissione Europea con Decisione 2021/914 e, ove applicabile, dell'adesione dei fornitori al Data Privacy Framework UE-USA. L'utente è informato che, nonostante tali garanzie, il livello di protezione dei dati negli USA può non essere equivalente a quello dell'Unione Europea.
8. Diritti dell'interessato
Ai sensi degli articoli 15-22 del GDPR, l'utente ha il diritto di:
- accesso ai propri dati personali e ottenerne copia;
- rettifica di dati inesatti o incompleti;
- cancellazione ("diritto all'oblio") nei limiti previsti dalla legge;
- limitazione del trattamento;
- portabilità dei dati in formato strutturato e leggibile;
- opposizione al trattamento fondato sul legittimo interesse;
- revoca del consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento già effettuato;
- reclamo all'Autorità Garante per la protezione dei dati personali (garanteprivacy.it).
Per esercitare questi diritti è sufficiente scrivere a info@genovasos.it. Si risponderà entro 30 giorni, prorogabili di altri 60 nei casi previsti dall'art. 12 GDPR.
9. Cookie
Il sito utilizza esclusivamente cookie tecnici: identificativo di sessione Django, token CSRF anti-falsificazione, cookie di autenticazione di django-allauth. Si tratta di cookie indispensabili al funzionamento del servizio, esenti dall'obbligo di consenso preventivo ai sensi del provvedimento del Garante del 8 maggio 2014 (n. 229) e degli aggiornamenti del 10 giugno 2021. Non sono utilizzati cookie di profilazione, di marketing né strumenti di analytics di terze parti.
10. Sicurezza
Il titolare adotta misure tecniche e organizzative ragionevoli per proteggere i dati: connessione HTTPS, hash sicuro delle password, backup periodici, separazione delle credenziali di accesso al server. Trattandosi tuttavia di un servizio in fase prototipale, non può essere garantita un'assoluta inviolabilità. Eventuali violazioni dei dati personali (data breach) saranno gestite secondo l'art. 33 GDPR (notifica al Garante entro 72 ore e comunicazione agli interessati nei casi a rischio elevato).
11. Decisioni automatizzate
L'AI Vision di OpenAI è utilizzata esclusivamente per suggerire all'utente il riempimento dei campi della segnalazione: l'utente conserva il pieno controllo e può modificare o ignorare i suggerimenti prima della pubblicazione. Non vengono prese decisioni automatizzate con effetti giuridici o significativi ai sensi dell'art. 22 GDPR. La moderazione automatica dei commenti tramite OpenAI Moderation produce un effetto limitato (blocco del commento) sempre riesaminabile dai moderatori umani su richiesta.
12. Modifiche all'informativa
La presente informativa può essere aggiornata in qualsiasi momento, in particolare a fronte di modifiche normative o di nuove funzionalità. La versione vigente è sempre disponibile a questa pagina con indicazione della data di entrata in vigore. Modifiche sostanziali saranno comunicate agli utenti registrati via email.