Legale — GDPR

Informativa sulla Privacy

La presente informativa è resa ai sensi degli artt. 13-14 del Regolamento UE 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. Per utenti residenti in California si applicano anche i diritti previsti dal CCPA/CPRA — vedi sezione 12.

1. Titolare del trattamento

Drowsy Club — società da costituire, Roma, 00001 Roma, Estonia. P.IVA/VAT: 123456789. Reg.: ABCDEFG.

Contatti: legal@drowsyclub.com. DPO: privacy@drowsyclub.com. Abuse/illegal content: abuse@drowsyclub.com.

2. Categorie di dati trattati

  • Dati identificativi: email, nickname, eventuale nome visualizzato.
  • Dati anagrafici: data di nascita (richiesta per verifica età).
  • Dati di autenticazione: identificatore Google OAuth, provider_token (memorizzato solo in memoria), hash OTP.
  • Dati tecnici: IP address, user-agent, timestamp di accesso, dati di sessione.
  • Dati di pagamento: importo, riferimento transazione CCBill (PAN e CVV non sono mai toccati dai nostri sistemi — PCI-DSS Level 1 via gateway).
  • Dati di utilizzo: Star Dust spese/ricevute, contenuti visualizzati, livello VIP.

3. Base giuridica e finalità

  • Esecuzione contrattuale (art. 6(1)(b) GDPR): erogazione del servizio, gestione wallet Star Dust, erogazione contenuti acquistati.
  • Obbligo legale (art. 6(1)(c) GDPR): verifica età (DSA, 18 USC 2257), conservazione fiscale (10 anni), registro dei trattamenti.
  • Legittimo interesse (art. 6(1)(f) GDPR): sicurezza piattaforma, prevenzione frodi, protezione dal riciclaggio, audit log.
  • Consenso (art. 6(1)(a) GDPR): comunicazioni marketing (opt-in esplicito, revocabile in qualsiasi momento).

4. Destinatari (Data Processors ex art. 28 GDPR)

  • Supabase Inc. (hosting DB+Auth — USA/EU, SCC in atto)
  • Vercel Inc. (hosting applicazione — USA, SCC)
  • Cloudflare Inc. (CDN, Stream, R2 Storage — USA, SCC, DPF certified)
  • Resend Inc. (email transazionali — USA, SCC)
  • CCBill LLC (gateway di pagamento — USA, PCI-DSS Level 1)
  • Google LLC (OAuth identity — solo se attivato dal singolo utente)

Non vendiamo dati personali. I trasferimenti extra-UE avvengono esclusivamente verso paesi coperti da decisione di adeguatezza o tramite Clausole Contrattuali Standard (SCC) 2021/914.

5. Conservazione (retention)

  • Dati account attivo: per tutta la durata dell'account + 730 giorni dopo la chiusura.
  • Dati fiscali/pagamenti: 10 anni dalla fatturazione (art. 2220 c.c.).
  • Log di sicurezza e audit: 12 mesi.
  • Dati utenti minorenni rifiutati da Google OAuth: nessuna conservazione (auth user cancellato).

6. Diritti dell'interessato (artt. 15-22 GDPR)

Puoi esercitare i seguenti diritti:

  • Accesso (art. 15) — ricevere copia dei tuoi dati
  • Rettifica (art. 16) — correggere dati inesatti
  • Cancellazione (art. 17, "diritto all'oblio") — tramite /account
  • Limitazione (art. 18)
  • Portabilità (art. 20) — export JSON strutturato
  • Opposizione (art. 21) al legittimo interesse
  • Reclamo al Garante (garanteprivacy.it) o all'autorità del proprio Stato UE.

Richieste: privacy@drowsyclub.com. Rispondiamo entro 30 giorni (prorogabili di 60 per richieste complesse — art. 12(3)).

7. Minori

Il servizio è inaccessibile ai minori di 18 anni. Se riceviamo dati di un minore li cancelliamo senza ritardo (entro 72 ore). Se ritieni che un minore sia iscritto, segnalaci a abuse@drowsyclub.com.

8. Sicurezza

Misure tecniche e organizzative (art. 32 GDPR):

  • TLS 1.2+ obbligatorio, HSTS preload
  • Cifratura at-rest (AES-256 via Supabase)
  • Cifratura AES-256-GCM per campi sensibili (es. TOTP secret)
  • RLS (Row Level Security) su tutte le tabelle con dati utente
  • Rate limiting su endpoint autenticazione
  • Audit log immutabile per azioni admin
  • CSP, X-Frame-Options DENY, Permissions-Policy restrittiva
  • Watermark per-utente sui contenuti video

9. Cookie

Utilizziamo esclusivamente cookie tecnici essenziali (session, language, CSRF). Non utilizziamo cookie di profilazione o di terze parti per pubblicità. Dettaglio completo nella Cookie Policy.

10. Decisioni automatizzate

La verifica età tramite Google OAuth costituisce un trattamento automatizzato ex art. 22 GDPR. In caso di rifiuto, l'utente può richiedere verifica manuale inserendo la data di nascita in /onboarding, oppure contattando il supporto.

11. Data breach

In caso di violazione di dati personali con rischio per i diritti e le libertà degli interessati, notifichiamo al Garante entro 72 ore (art. 33 GDPR) e agli interessati senza ritardo quando il rischio è elevato (art. 34 GDPR).

12. Utenti California (CCPA/CPRA)

Residents di California hanno diritto a: sapere quali dati raccogliamo, cancellare, correggere, opt-out dalla "vendita" o "condivisione" di dati. Non vendiamo dati personali. Per esercitare i diritti: privacy@drowsyclub.com. Non discriminiamo chi esercita diritti CCPA.

13. Modifiche all'informativa

Aggiornamenti materiali sono notificati via email con 30 giorni di anticipo. La data dell'ultimo aggiornamento è riportata in fondo a questa pagina.

Ultimo aggiornamento: 18/04/2026