Privacy Policy

Ultimo aggiornamento: 03 June 2026 — versione 1.0

Questa Privacy Policy descrive come Travels Diary (“noi”, “il servizio”) raccoglie, utilizza e protegge i dati personali degli utenti che si registrano e utilizzano la piattaforma. Ci impegniamo a trattare i tuoi dati con rispetto, trasparenza e nel pieno rispetto del Regolamento (UE) 2016/679 (GDPR) e della normativa italiana applicabile.

1. Titolare del trattamento

Il titolare del trattamento dei dati raccolti tramite Travels Diary è il soggetto che gestisce la piattaforma. Per qualsiasi domanda relativa al trattamento dei tuoi dati puoi scrivere all’indirizzo email indicato nella sezione “Contatti” del sito.

2. Quali dati raccogliamo

Raccogliamo dati in tre categorie principali:

  • Dati di registrazione: nome visualizzato, username, indirizzo e-mail e password (conservata in forma di hash crittografico, mai in chiaro).
  • Dati di profilo: foto profilo, biografia, città di residenza e altre informazioni che scegli di rendere pubbliche modificando il tuo profilo.
  • Contenuti pubblicati: titoli e testi dei diari di viaggio, tappe, fotografie e immagini caricate, commenti, valutazioni (rating e like), salvataggi e reazioni.
  • Dati relazionali e sociali: richieste di amicizia, relazioni di “follow”, co-autori dei viaggi, blocchi utente e segnalazioni di contenuti abusivi.
  • Messaggi privati: i messaggi scambiati in privato tra utenti sono conservati in forma cifrata e accessibili esclusivamente ai partecipanti alla conversazione.
  • Dati tecnici: indirizzo IP, tipo di browser, pagine visitate e timestamp delle sessioni, raccolti automaticamente per garantire sicurezza e funzionalità della piattaforma.

3. Finalità e basi giuridiche del trattamento

Trattiamo i tuoi dati per le seguenti finalità:

  • Erogazione del servizio (base: esecuzione del contratto) — autenticazione, creazione e visualizzazione dei viaggi, gestione del profilo, notifiche e messaggistica interna.
  • Sicurezza e prevenzione abusi (base: legittimo interesse) — rate limiting sugli endpoint sensibili, rilevamento di tentativi di accesso non autorizzato, gestione delle segnalazioni e dei blocchi.
  • Invio e-mail transazionali (base: esecuzione del contratto) — notifiche di sistema, e-mail di reset password tramite servizio AWS SES. Non inviamo newsletter commerciali senza esplicito consenso.
  • Miglioramento della piattaforma (base: legittimo interesse) — analisi aggregata dell’utilizzo per ottimizzare funzionalità e prestazioni.
  • Adempimenti di legge (base: obbligo legale) — conservazione dei dati obbligatoria per legge, risposta ad autorità competenti in caso di richieste formali.

4. Condivisione dei dati con terze parti

Non vendiamo i tuoi dati personali. Possiamo condividerli solo con:

  • Fornitori di infrastruttura (es. Amazon Web Services per storage file e invio e-mail) che operano come responsabili del trattamento ai sensi dell’art. 28 GDPR e garantiscono adeguate misure di sicurezza.
  • Autorità giudiziarie o di pubblica sicurezza quando richiesto da obblighi di legge o da provvedimenti dell’autorità.

5. Trasferimenti fuori dall’Unione Europea

Alcuni dati (ad es. file caricati su AWS S3) possono essere trattati su server localizzati fuori dall’UE. In questi casi ci avvaliamo esclusivamente di fornitori che rispettano le garanzie previste dagli artt. 46–49 GDPR (Clausole Contrattuali Standard approvate dalla Commissione Europea).

6. Conservazione dei dati

Conserviamo i dati per il periodo strettamente necessario:

  • I dati di account e contenuti pubblicati sono conservati finché l’account è attivo.
  • In caso di cancellazione dell’account, i dati vengono eliminati entro 30 giorni, salvo obbligo di conservazione superiore previsto dalla legge.
  • I log di sicurezza vengono conservati per un massimo di 12 mesi.
  • I token di reset password hanno validità massima di 1 ora e vengono eliminati al primo utilizzo.

7. Sicurezza

Adottiamo misure tecniche e organizzative adeguate: password conservate con hashing bcrypt, connessioni cifrate (HTTPS), protezione CSRF su tutti i form, rate limiting sugli endpoint di autenticazione, validazione e sanificazione di tutti gli input e upload. Nonostante i nostri sforzi, nessun sistema è inviolabile: in caso di data breach notificheremo gli interessati nei tempi e modi previsti dal GDPR.

8. Cookie

Utilizziamo esclusivamente cookie tecnici di sessione, necessari al funzionamento della piattaforma (autenticazione, protezione CSRF). Non utilizziamo cookie di profilazione o di terze parti per scopi pubblicitari.

9. I tuoi diritti

Ai sensi del GDPR hai diritto di:

  • Accesso — ottenere copia dei dati che ti riguardano.
  • Rettifica — correggere dati inesatti o incompleti direttamente dal tuo profilo o contattandoci.
  • Cancellazione (“diritto all’oblio”) — richiedere l’eliminazione dell’account e di tutti i dati associati.
  • Limitazione — richiedere la sospensione del trattamento in attesa di verifica.
  • Portabilità — ricevere i tuoi dati in formato strutturato e leggibile da macchina.
  • Opposizione — opporti al trattamento basato su legittimo interesse.
  • Reclamo — presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Per esercitare i tuoi diritti, accedi alla sezione “Modifica profilo” o contattaci via e-mail. Risponderemo entro 30 giorni dalla ricezione della richiesta.

10. Modifiche a questa policy

Ci riserviamo di aggiornare questa Privacy Policy per riflettere modifiche normative o operative. Le modifiche sostanziali saranno comunicate tramite notifica in-app o via e-mail con almeno 15 giorni di preavviso. L’uso continuato della piattaforma dopo la notifica costituisce accettazione della nuova versione.