Informativa sul trattamento dei dati personali
ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy")
Ultimo aggiornamento: 11 aprile 2026 (revisione lessicale "la Vecia"; modello consenso marketing — soft opt-in piattaforma + consenso esplicito organizzatore)
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali per la Piattaforma BresciaTicket (di seguito, il "Titolare") è identificato di seguito, ai sensi dell'Art. 13 GDPR:
Fabio Vezzoli — P.IVA / C.F. 04370730980
Contrada delle Bassiche 9e, 25122 Brescia (BS)
Email: privacy@bresciaticket.it
PEC: vezzoli.f@legalmail.it
2. Cos'è BresciaTicket
BresciaTicket (di seguito, la "Piattaforma") è un servizio online di biglietteria per eventi, accessibile all'indirizzo bresciaticket.it. La Piattaforma consente agli organizzatori di creare e gestire eventi con vendita di biglietti (online e/o in loco), e agli utenti (acquirenti) di acquistare biglietti per gli eventi pubblicati. Il servizio include la generazione di biglietti PDF con QR code, il check-in tramite scanner e funzionalità di gestione ordini.
3. Dati personali raccolti
3.1 Dati degli acquirenti (utenti pubblici)
Quando un utente acquista un biglietto, raccogliamo:
| Categoria | Dati specifici | Obbligatorio |
|---|---|---|
| Dati identificativi | Nome e cognome | Si |
| Dati di contatto | Indirizzo email, numero di telefono (se richiesto dall'organizzatore) | Email si, telefono dipende dall'evento |
| Dati di pagamento | I dati della carta di credito sono raccolti e gestiti esclusivamente da Stripe e non transitano mai sui server di BresciaTicket | Solo per eventi a pagamento online |
| Consensi | Preferenze di consenso per comunicazioni dell'organizzatore e della piattaforma | No (facoltativi) |
3.2 Dati degli organizzatori
Quando un organizzatore si registra sulla Piattaforma, raccogliamo:
| Categoria | Dati specifici |
|---|---|
| Dati identificativi | Nome, cognome/ragione sociale, azienda |
| Dati di contatto | Indirizzo email |
| Dati fiscali | Regime fiscale IVA |
| Dati Stripe | ID account Stripe Connect (per ricevere i pagamenti) |
3.3 Dati generati automaticamente
- Dati di navigazione: indirizzo IP, tipo di browser, pagine visitate (tramite log del server)
- Dati transazionali: numero ordine, importi, stato pagamento, data e ora
- Biglietti: QR code, token univoci, stato check-in
3.4 Lista d'attesa eventi
Quando un tipo di biglietto è esaurito, l'utente può iscriversi volontariamente a una lista d'attesa per essere avvisato via email se si libera un posto. L'iscrizione richiede un consenso esplicito al trattamento dei dati ai sensi dell'Art. 6.1.a GDPR.
| Categoria | Dati | Obbligatorio |
|---|---|---|
| Identificativi | Nome e cognome | Sì |
| Contatto | Email (per le notifiche) | Sì |
| Telefono | Numero di telefono | No (facoltativo) |
| Tracciamento consenso | Data, IP, versione informativa | Sì (audit GDPR) |
Funzionamento: quando un ordine viene cancellato o rimborsato, il sistema notifica automaticamente la prima persona in lista d'attesa per quel tipo di biglietto. La persona riceve un'email con un link valido 12 ore (4 ore se l'evento è nelle 24 ore successive) per completare l'acquisto. Se non risponde in tempo, il sistema passa al successivo.
Retention: i dati della lista d'attesa vengono cancellati automaticamente entro 90 giorni dalla fine dell'evento. L'utente può disiscriversi in qualsiasi momento tramite il link presente in tutte le email inviate (Art. 17 GDPR — diritto all'oblio).
Destinatari dei dati: i dati restano sui server di BresciaTicket (SiteGround, EU) e vengono comunicati esclusivamente a Brevo (Francia, EU) per l'invio delle email di notifica. Nessun trasferimento extra-UE. I dati della lista d'attesa non vengono inviati al modello AI della Vecia ne ad altri sub-responsabili AI.
Anti-abuso: il sistema impedisce iscrizioni duplicate (1 sola iscrizione per email per tipo di biglietto), applica rate limit per IP e utilizza protezione CSRF/honeypot.
3.4-bis Comunicazioni di marketing
Comunicazioni promozionali di BresciaTicket — base soft opt-in. In qualità di Titolare, BresciaTicket si riserva la facoltà di inviare agli acquirenti, all'indirizzo email indicato in fase di acquisto, comunicazioni promozionali relative ad altri eventi analoghi presenti sulla propria piattaforma. La base giuridica è l'art. 130 comma 4 del Codice Privacy (D.lgs. 196/2003 e successive modifiche), che consente l'invio di comunicazioni commerciali su prodotti o servizi analoghi a quelli già acquistati, senza necessità di ulteriore consenso, purché l'interessato sia stato informato al momento della raccolta dei dati (la presente informativa adempie a tale obbligo) e abbia in ogni momento la possibilità di opporsi gratuitamente all'invio. L'opt-out è garantito tramite link "annulla iscrizione" presente in ogni email inviata, oltre che scrivendo a info@bresciaticket.it.
Cessione dei contatti all'organizzatore — base consenso esplicito. In fase di acquisto l'utente può, tramite casella opzionale non preflaggata, prestare un consenso esplicito affinché l'organizzatore dell'evento riceva i suoi contatti (nome, email, eventuale telefono) per inviargli autonomamente comunicazioni sui propri prossimi eventi. Base giuridica: Art. 6.1.a GDPR. Il consenso è tracciato (data, indirizzo IP, versione del testo dell'informativa) ai fini di accountability ex Art. 7 GDPR. Senza questo consenso, l'organizzatore riceve i contatti degli acquirenti esclusivamente per finalità di gestione operativa dell'evento (check-in, comunicazioni di servizio relative all'ordine, gestione cancellazioni) e non può utilizzarli per attività promozionali. La revoca del consenso è possibile in qualsiasi momento scrivendo a info@bresciaticket.it o all'organizzatore stesso.
3.5 Dati trattati dalla Vecia (assistente AI WhatsApp — solo organizzatori)
La Vecia è l'assistente AI su WhatsApp di BresciaTicket, riservata agli organizzatori di eventi (non agli acquirenti). Consente agli organizzatori di gestire i propri eventi e di consultare in tempo reale i dati aggregati di vendite, biglietti e check-in direttamente da WhatsApp.
Attivazione: l'organizzatore collega volontariamente il proprio numero WhatsApp tramite la pagina Profilo (/organizer/profile.php), prestando un consenso esplicito al trattamento tramite AI. Il testo del consenso, la data e l'indirizzo IP vengono registrati per finalità di accountability.
Architettura privacy by design — il modello AI non vede mai dati personali degli acquirenti
La Vecia è progettata in modo che il modello AI non veda mai nome, cognome, email, telefono o indirizzo di un acquirente. Tutti gli strumenti della Vecia restituiscono al modello AI solo dati aggregati: numeri di biglietti venduti, totali di incasso, percentuali di sell-through, conteggi di acquirenti unici, statistiche di check-in. Quando l'organizzatore ha bisogno di consultare o gestire i nominativi dei propri acquirenti, la Vecia genera un link diretto alla pagina filtrata della dashboard web e l'organizzatore vi accede dal proprio dispositivo. I dati identificativi degli acquirenti restano sempre sul server BresciaTicket, non transitano mai dal modello AI e non vengono mai inviati via WhatsApp.
| Categoria dato | Esempio | Vede il modello AI? | Destinazione |
|---|---|---|---|
| Conversazione organizzatore | "Quanti biglietti ho venduto per Supervini?" | Sì | Twilio + OpenAI (USA) |
| Profilo organizzatore | Nome, azienda, ID | Sì | OpenAI (USA) |
| Metadata eventi organizzatore | Titoli, date, vendite aggregate, posti rimasti, prezzi, codici sconto | Sì | OpenAI (USA) |
| Statistiche acquirenti aggregate | Numero acquirenti unici, ordini medi, tasso cancellazione, distribuzione orari acquisto | Sì (solo numeri, mai nomi) | OpenAI (USA) |
| Dati identificativi degli acquirenti | Nome, cognome, email, telefono, indirizzo | MAI | Restano sul server BresciaTicket. Per consultarli l'organizzatore apre il link generato dalla Vecia che porta direttamente alla dashboard web filtrata |
Retention: lo storico conversazioni con la Vecia è conservato per 30 giorni, trascorsi i quali viene cancellato automaticamente.
Filtro di sicurezza in uscita: oltre alla separazione architetturale dei dati, ogni messaggio prodotto dalla Vecia passa per un filtro automatico che intercetta e rimuove eventuali email o numeri di telefono prima dell'invio all'organizzatore (rete di sicurezza GDPR).
Diritti specifici per la Vecia:
- Modulo web GDPR: per qualsiasi richiesta (accesso, cancellazione, rettifica, portabilità, opposizione) puoi compilare il modulo dedicato su richiesta-gdpr.php. Risposta garantita entro 30 giorni.
- Cancellazione storico chat: l'organizzatore può scrivere
/cancellaalla Vecia in qualsiasi momento per eliminare istantaneamente tutto lo storico delle conversazioni (Art. 17 GDPR) - Accesso ai dati: scrivere "i miei dati" o "esporta dati" alla Vecia per un riassunto istantaneo dei dati trattati
- Informativa in chat: scrivere
/privacyalla Vecia per ricevere un'informativa breve direttamente in conversazione - Revoca del consenso: rimuovere il numero WhatsApp dal proprio profilo organizzatore. Da quel momento la Vecia non risponderà più al numero rimosso
Base giuridica: Art. 6(1)(a) GDPR — consenso esplicito dell'organizzatore per il trattamento dei propri dati di conversazione tramite AI; Art. 6(1)(b) per l'esecuzione del contratto di servizio della piattaforma (gestione eventi e biglietti).
Trasferimento extra-UE: l'uso della Vecia comporta trasferimento di dati negli Stati Uniti (OpenAI LP, Twilio Inc., Meta Platforms Inc.), coperto da Standard Contractual Clauses (SCCs) e dai rispettivi Data Processing Agreement firmati dal Titolare. Vedi sezione 6 per i dettagli.
4. Finalità e base giuridica del trattamento
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio (emissione biglietti, gestione ordini, check-in) | Esecuzione del contratto (Art. 6.1.b GDPR) | Durata del rapporto + 10 anni (obblighi fiscali) |
| Gestione pagamenti tramite Stripe | Esecuzione del contratto (Art. 6.1.b GDPR) | Durata del rapporto + 10 anni |
| Invio email transazionali (conferma ordine, biglietti, cancellazioni) | Esecuzione del contratto (Art. 6.1.b GDPR) | Durata del rapporto |
| Comunicazioni promozionali della piattaforma su eventi simili | Soft opt-in (Art. 130 c. 4 Codice Privacy) per acquirenti pregressi, su prodotti analoghi (= altri eventi sulla piattaforma BresciaTicket). Opt-out via link unsubscribe in ogni email | Fino a revoca / opt-out |
| Cessione contatti all'organizzatore per sue comunicazioni promozionali | Consenso esplicito dell'interessato (Art. 6.1.a GDPR), tramite checkbox dedicato in checkout, non preflaggato | Fino a revoca del consenso |
| Adempimenti fiscali e contabili | Obbligo legale (Art. 6.1.c GDPR) | 10 anni dalla transazione |
| Sicurezza e prevenzione frodi | Legittimo interesse (Art. 6.1.f GDPR) | 12 mesi |
| Lista d'attesa eventi (notifica via email se si libera un posto) | Consenso esplicito (Art. 6.1.a GDPR) | Fino a 90 giorni dopo la fine dell'evento o fino a disiscrizione |
5. Comunicazione dei dati a terzi
5.1 Sub-responsabili del trattamento (Art. 28 GDPR)
I seguenti soggetti trattano i dati personali per conto del Titolare, sulla base di appositi accordi sul trattamento (DPA):
| Destinatario | Finalità | Sede | Garanzie |
|---|---|---|---|
| SiteGround | Hosting del sito e del database | UE (Bulgaria/Spagna) | DPA EU, nessun trasferimento extra-UE |
| Brevo (già Sendinblue) | (a) Invio email transazionali (conferme ordini, biglietti PDF) — base contratto. (b) Gestione lista marketing piattaforma per l'invio di comunicazioni su eventi analoghi sulla piattaforma — base soft opt-in art. 130 c. 4 Codice Privacy, opt-out garantito tramite link in ogni email | Francia (UE) | DPA EU native, nessun trasferimento extra-UE |
| OpenAI LP | Elaborazione AI per la Vecia (modello GPT-5-mini). Solo per gli organizzatori che hanno attivato la Vecia | USA | DPA firmato 2026-03-01 + SCCs. Data controls disabilitati (no training, no logging). Nessun dato personale di acquirenti inviato |
| Twilio Inc. | Messaggistica WhatsApp Business API per la Vecia. Solo per gli organizzatori che hanno attivato la Vecia | USA (entità EU: Twilio Ireland Ltd) | DPA firmato 2026-03-01 + SCCs. Retention 30gg configurata |
| Meta Platforms Inc. (WhatsApp) | Infrastruttura WhatsApp Business API: trasporto messaggi tra la Vecia e l'organizzatore. I dati identificativi degli acquirenti non transitano mai via WhatsApp: l'organizzatore li consulta dalla dashboard web tramite link diretto generato dalla Vecia | USA (entità EU: Meta Ireland) | WhatsApp Business Terms + SCCs |
| Serverplan S.r.l. | Hosting del container Docker dell'agente Python della Vecia | Italia (UE) | DPA Serverplan, nessun trasferimento extra-UE |
5.2 Titolari autonomi del trattamento (Art. 24 GDPR)
I seguenti soggetti ricevono dati personali ma agiscono come titolari autonomi del trattamento (non per conto del Titolare): hanno proprie obbligazioni normative verso autorità di vigilanza, banche, regulator di settore, e adottano proprie informative e finalità di trattamento. Non sono sub-responsabili ai sensi dell'Art. 28 GDPR.
| Destinatario | Finalità e qualifica | Sede | Riferimenti |
|---|---|---|---|
| Stripe, Inc. | Elaborazione pagamenti online (Stripe Connect). Stripe agisce come Payment Service Provider (PSP) autorizzato e regolato (PSD2 / PSP irlandese), titolare autonomo del trattamento per le finalità di esecuzione del pagamento, antiriciclaggio (AMLD), prevenzione frodi e adempimenti regolamentari. Vedi dettagli e accountability in stripe.com/it/privacy | USA (entità EU: Stripe Technology Europe Ltd, Irlanda) | Stripe Services Agreement + SCCs per l'eventuale trasferimento extra-UE |
| Organizzatore dell'evento | L'organizzatore è titolare autonomo del trattamento dei dati dei propri acquirenti per le finalità di gestione del rapporto contrattuale, comunicazioni operative, marketing diretto (solo previo consenso), check-in. La Piattaforma BresciaTicket trasmette i dati dell'acquirente all'organizzatore al momento dell'ordine, in qualità di responsabile tecnico (Art. 28) per il primo segmento del trattamento, ma l'organizzatore diventa contestualmente titolare dei dati così ricevuti | Italia / UE | L'organizzatore deve avere una propria informativa privacy e adempiere autonomamente agli obblighi GDPR verso i propri acquirenti |
I dati personali non sono venduti a terzi. L'uso di AI generativa da parte della Vecia è limitato all'assistenza operativa degli organizzatori: il modello AI (OpenAI) non vede mai nome, cognome, email, telefono o indirizzo di un acquirente. Tutti gli strumenti della Vecia restituiscono al modello solo dati aggregati (numeri, percentuali, totali). Quando l'organizzatore vuole consultare i nominativi dei propri acquirenti, la Vecia genera un link diretto alla pagina filtrata della dashboard web: i dati restano sul server BresciaTicket, non transitano dal modello AI e non vengono inviati via WhatsApp. Vedi sezione 3.5 per i dettagli architetturali.
6. Trasferimento dei dati extra-UE
Alcuni sub-responsabili del trattamento hanno sede negli Stati Uniti d'America. Il trasferimento è protetto da Standard Contractual Clauses (SCCs) approvate dalla Commissione Europea (Decisione di esecuzione UE 2021/914) ai sensi dell'Art. 46.2.c GDPR, integrate nei rispettivi Data Processing Agreement.
Trasferimenti extra-UE attivi:
- Stripe, Inc. (USA) — pagamenti — privacy policy
- OpenAI LP (USA) — AI per la Vecia — privacy policy
- Twilio, Inc. (USA) — WhatsApp Business API — privacy policy
- Meta Platforms, Inc. (USA) — infrastruttura WhatsApp — privacy policy
Il Titolare ha adottato misure supplementari ai sensi della sentenza Schrems II (CGUE C-311/18) tra cui: separazione architetturale dei dati identificativi degli acquirenti dal modello AI (la Vecia non vede mai nomi, email, telefoni di terzi), minimizzazione del dataset inviato, retention ridotta a 30 giorni per le conversazioni con la Vecia, disabilitazione del logging e del training lato OpenAI, filtro automatico in uscita su email e numeri di telefono.
7. Diritti dell'interessato
Ai sensi degli Artt. 15-22 del GDPR, l'utente ha diritto di:
- Accesso (Art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
- Rettifica (Art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
- Cancellazione (Art. 17): ottenere la cancellazione dei propri dati, nei limiti previsti dalla legge
- Limitazione (Art. 18): ottenere la limitazione del trattamento in determinate circostanze
- Portabilità (Art. 20): ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico
- Opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso (Art. 7.3): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente
Come esercitare i tuoi diritti:
- Modulo web dedicato (consigliato): richiesta-gdpr.php — guidato, registrato automaticamente per accountability, conferma immediata
- Email: privacy@bresciaticket.it
- PEC: vezzoli.f@legalmail.it
Risposta entro 30 giorni dal ricevimento (Art. 12.3 GDPR), prorogabili a 60 giorni con comunicazione motivata in caso di richieste complesse. Servizio gratuito (Art. 12.5).
L'utente ha inoltre diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
8. Sicurezza dei dati (Art. 32 GDPR)
Il Titolare adotta misure tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdita, distruzione o alterazione, tra cui:
- Cifratura in transito: tutte le connessioni avvengono in HTTPS/TLS 1.2+ con certificato valido
- Hashing password: le password degli account organizzatore sono memorizzate solo come hash bcrypt, mai in chiaro
- Protezione CSRF su tutti i form sensibili (login, checkout, GDPR, modifica profilo)
- Validazione e sanitizzazione input per prevenire SQL injection, XSS, command injection
- Content Security Policy (CSP) applicata su tutte le pagine pubbliche
- Controllo accessi basato su ruoli (acquirente / organizzatore / agenzia / superadmin) con verifiche di ownership su ogni operazione sensibile
- Rate limiting su login, checkout, codici sconto, modulo GDPR per prevenire abusi
- Monitoraggio proattivo con sistema "Sentinella 24/7": alert automatici su errori, vendite ferme, deviazioni anomale
- Backup periodici di codice e database
- Aggiornamenti di sicurezza regolari su framework, librerie, dipendenze
- Separazione architetturale dei dati identificativi degli acquirenti dal modello AI (la Vecia zero-PII, Art. 25 GDPR privacy by design)
- Filtro automatico in uscita sui messaggi della Vecia: regex su email e numeri di telefono per intercettare e rimuovere eventuali PII prima dell'invio (rete di sicurezza)
- Webhook Stripe firmati per garantire l'integrità delle notifiche di pagamento
In caso di data breach, il Titolare seguirà la procedura prevista dagli Artt. 33-34 GDPR: notifica al Garante entro 72 ore se il rischio per i diritti degli interessati è significativo, comunicazione agli interessati se il rischio è elevato. Procedura interna documentata in docs/gdpr/procedure/Data_Breach.md.
9. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. L'utilizzo continuato della Piattaforma dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.