Informativa sulla Privacy

Ultimo aggiornamento: 10 aprile 2026

INFORMATIVA SULLA PRIVACY

Piattaforma PORTIER — tonportier.com

ai sensi del Regolamento (UE) 2016/679 e del D.Lgs. 196/2003 s.m.i.


Ultimo aggiornamento: Aprile 2026



ART. 1 — TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma tonportier.com (di seguito, la “Piattaforma”) è:


Kurama Srl 

Sede legale: Piazzetta Umberto Giordano 2

Codice Fiscale e Partita IVA: 11147260969

PEC: kuramasrl@pec.it

Email dedicata privacy: privacy@tonportier.com


(di seguito, il “Titolare”)


Kurama Srl opera in qualità di organizzatore diretto delle Esperienze proposte sulla Piattaforma. Non agisce come intermediario né come marketplace per conto di organizzatori terzi.

1.1 Responsabile della Protezione dei Dati (DPO)

Il Titolare  non ha nominato un Responsabile della Protezione dei Dati ai sensi dell’Art. 37 GDPR.

 ART. 2 — CATEGORIE DI DATI PERSONALI RACCOLTI

2.1 Dati di navigazione

La Piattaforma raccoglie automaticamente, tramite i propri sistemi informatici e i cookie strettamente necessari, dati tecnici quali: indirizzo IP (anonimizzato ove tecnicamente possibile), tipo e versione del browser, sistema operativo, dispositivo, pagine visitate, URL di provenienza, data, ora e durata della sessione. Questi dati sono trattati in forma aggregata per finalità di funzionamento e sicurezza della Piattaforma.

2.2 Dati di registrazione

Per la creazione di un account, l’Utente fornisce volontariamente: nome, cognome, indirizzo email, numero di telefono. Per gli utenti che agiscono in qualità di professionisti o per conto di persone giuridiche: ragione sociale, partita IVA, codice fiscale, indirizzo di fatturazione.

2.3 Dati di acquisto

Al momento dell’acquisto di un’Esperienza vengono raccolti: dati necessari alla fatturazione, storico degli ordini, preferenze espresse dall’Utente. I dati relativi allo strumento di pagamento sono trattati come segue:

  • Pagamento con carta di credito/debito: i dati della carta (numero, scadenza, CVV) sono raccolti e trattati esclusivamente da Stripe, Inc. tramite il suo modulo di pagamento sicuro (Stripe Elements). Tali dati non transitano mai sui server del Titolare. Il Titolare riceve unicamente un token crittografato e le ultime 4 cifre della carta a fini di riconciliazione.
  • Pagamento via bonifico SEPA: per transazioni di importo elevato, il Titolare può accettare pagamenti via bonifico bancario. In tal caso vengono raccolti: IBAN del pagante, nome dell’intestatario del conto, BIC/SWIFT della banca, causale del bonifico. Questi dati sono conservati per il tempo strettamente necessario alla riconciliazione contabile e agli obblighi fiscali.

2.4 Dati relativi al QR Code

A ciascun acquisto completato viene associato un QR Code univoco contenente un identificativo crittografato (UUID). Il QR Code non contiene dati personali in chiaro. Al momento della scansione all’ingresso dell’evento, viene generato un log di accesso (timestamp, identificativo dell’operatore, esito della validazione) trattato per finalità di sicurezza e prevenzione delle frodi.

2.5 Dati da comunicazioni WhatsApp Business

Qualora l’Utente interagisca con il Titolare tramite il canale WhatsApp Business, vengono trattati: numero di telefono, nome del profilo WhatsApp, contenuto dei messaggi scambiati, data e ora delle comunicazioni, eventuali file o immagini condivisi dall’Utente. Il servizio WhatsApp Business API è fornito da Meta Platforms Ireland Ltd., che agisce in qualità di responsabile del trattamento limitatamente all’infrastruttura di messaggistica. L’Utente è invitato a consultare la Privacy Policy di WhatsApp per quanto riguarda i trattamenti effettuati da Meta per proprie finalità.

2.6 Dati non raccolti

La Piattaforma non raccoglie intenzionalmente categorie particolari di dati personali ai sensi dell’Art. 9 GDPR (dati relativi alla salute, all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose, all’orientamento sessuale). Qualora l’Utente comunichi spontaneamente tali informazioni (es. allergie alimentari in relazione a un evento con catering), il trattamento avverrà sulla base del consenso esplicito dell’Utente, limitatamente alla finalità specifica comunicata.

ART. 3 — FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO

Il Titolare tratta i dati personali dell’Utente per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell’Art. 6, par. 1, GDPR:


Finalità

Base giuridica

Dati trattati

Gestione dell’account e autenticazione

Art. 6.1.b — Esecuzione del contratto

Nome, cognome, email, telefono, password (hash)

Elaborazione ordini, emissione QR Code, erogazione del servizio

Art. 6.1.b — Esecuzione del contratto

Dati di registrazione, dati di acquisto, QR Code UUID

Comunicazioni transazionali (conferme, aggiornamenti evento)

Art. 6.1.b — Esecuzione del contratto

Email, telefono (WhatsApp)

Adempimenti fiscali, contabili e normativi

Art. 6.1.c — Obbligo legale

Dati di fatturazione, IBAN (SEPA), storico transazioni

Prevenzione frodi, sicurezza, validazione QR Code

Art. 6.1.f — Legittimo interesse

IP, log accesso, dati QR Code, device fingerprint

Analisi statistiche aggregate e miglioramento del servizio

Art. 6.1.f — Legittimo interesse

Dati di navigazione (anonimizzati)

Marketing diretto via email

Art. 6.1.a — Consenso

Email, nome, preferenze

Marketing diretto via WhatsApp

Art. 6.1.a — Consenso (separato)

Numero di telefono, nome

Profilazione per personalizzazione dell’offerta

Art. 6.1.a — Consenso (separato)

Storico acquisti, navigazione, preferenze


Il consenso per il marketing via email, il consenso per il marketing via WhatsApp e il consenso per la profilazione sono raccolti separatamente, mediante checkbox dedicate non pre-selezionate. La mancata prestazione di uno o più consensi non pregiudica l’accesso ai servizi della Piattaforma.

ART. 4 — RESPONSABILI DEL TRATTAMENTO

Il Titolare si avvale dei seguenti soggetti in qualità di Responsabili del trattamento ai sensi dell’Art. 28 GDPR, con i quali sono stati stipulati appositi accordi sul trattamento dei dati (DPA):


Fornitore

Servizio

Sede

Stripe Payments Europe, Ltd.

Processamento pagamenti carta

Dublino, Irlanda

Stripe, Inc.

Infrastruttura pagamenti (sub-processor)

San Francisco, USA

Meta Platforms Ireland Ltd.

WhatsApp Business API

Dublino, Irlanda

Vercel Inc.

Hosting / CDN / Infrastruttura cloud

San Francisco, USA

Resend, Inc.

Email transazionale (SMTP)

San Francisco, USA

Google Ireland Ltd. (sub-processor: Google LLC)

Google Analytics 4 — Analisi traffico e comportamento utenti

Dublino, Irlanda (sub-processor: USA)


Il Titolare si impegna a mantenere aggiornato l’elenco dei Responsabili del trattamento e a renderlo disponibile su richiesta dell’interessato. Ogni modifica sostanziale sarà comunicata tramite aggiornamento della presente Informativa.

ART. 5 — TRASFERIMENTO DEI DATI AL DI FUORI DELL’UE/SEE

Alcuni fornitori di servizi del Titolare hanno sede negli Stati Uniti d’America. Il trasferimento dei dati verso tali soggetti avviene sulla base del EU-U.S. Data Privacy Framework (DPF), verificata l’adesione del destinatario al framework. In subordine, e in caso di invalidazione del DPF, il trasferimento avverrà sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea con Decisione di esecuzione (UE) 2021/914.


In particolare:

  • Stripe, Inc. — aderente al DPF (verificabile su dataprivacyframework.gov). SCC in essere come garanzia supplementare.
  • Meta Platforms, Inc. — aderente al DPF. Trasferimento relativo ai soli dati necessari al funzionamento di WhatsApp Business API.
  • Vercel Inc. — aderente al DPF (verificabile su dataprivacyframework.gov). SCC in essere come garanzia supplementare. Trasferimento relativo ai dati di navigazione e ai contenuti della Piattaforma nell’ambito del servizio di hosting e CDN.
  • Resend, Inc. — aderente al DPF (verificare su dataprivacyframework.gov). SCC in essere come garanzia supplementare. Trasferimento relativo ai dati necessari all’invio di email transazionali (indirizzo email, nome del destinatario, contenuto del messaggio).
  • Google LLC — sub-processor di Google Ireland Ltd., aderente al DPF. Trasferimento relativo ai dati raccolti tramite Google Analytics 4, attivato esclusivamente previo consenso dell’Utente tramite il cookie banner (Google Consent Mode v2).


Il Titolare ha effettuato una valutazione d’impatto del trasferimento (Transfer Impact Assessment) per ciascun fornitore extra-UE, disponibile su richiesta.

ART. 6 — COOKIE E TECNOLOGIE DI TRACCIAMENTO

La Piattaforma utilizza cookie e tecnologie analoghe. La presente sezione fornisce un’informativa sintetica; la Cookie Policy completa è accessibile dal banner cookie e dal footer della Piattaforma.


Categoria

Esempio

Consenso richiesto

Durata max.

Tecnici / necessari

Sessione, CSRF token, preferenze cookie

No

Sessione / 12 mesi

Analitici (con consenso)

Google Analytics 4 (_ga, _ga_*, _gid). Attivati esclusivamente previo consenso dell’Utente tramite Google Consent Mode v2.

Sì (opt-in preventivo)

Fino a 14 mesi

Marketing / profilazione

Nessuno al lancio. In caso di futura attivazione di pixel di tracciamento (es. Meta Pixel, Google Ads), la presente tabella sarà aggiornata.

Sì (esplicito)


L’Utente può gestire le proprie preferenze in qualsiasi momento tramite il pannello di gestione cookie accessibile dal link permanente nel footer della Piattaforma. Il rifiuto dei cookie non necessari non impedisce la navigazione sul sito.

ART. 7 — DIRITTI DELL’INTERESSATO

L’Utente può esercitare in qualsiasi momento i seguenti diritti rivolgendosi al Titolare all’indirizzo privacy@tonportier.com, allegando copia di un documento di identità ove necessario per l’identificazione:


  • Diritto di accesso (Art. 15 GDPR): ottenere conferma del trattamento e copia dei propri dati.
  • Diritto di rettifica (Art. 16 GDPR): correggere dati inesatti o integrare dati incompleti.
  • Diritto alla cancellazione (Art. 17 GDPR): ottenere la cancellazione dei propri dati, nei limiti degli obblighi legali di conservazione.
  • Diritto alla limitazione (Art. 18 GDPR): limitare il trattamento in caso di contestazione dell’esattezza dei dati o di trattamento illecito.
  • Diritto alla portabilità (Art. 20 GDPR): ricevere i dati forniti al Titolare in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON o CSV).
  • Diritto di opposizione (Art. 21 GDPR): opporsi al trattamento per legittimo interesse del Titolare, o al trattamento per finalità di marketing diretto (in quest’ultimo caso, l’opposizione è sempre accolta senza bilanciamento).
  • Diritto di revoca del consenso: il consenso prestato può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca.


Il Titolare risponde alle richieste entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 giorni in caso di complessità o numerosità delle richieste, previa comunicazione motivata all’interessato.

L’Utente ha il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it). Per gli Utenti residenti in Francia: CNIL (www.cnil.fr). Per gli Utenti residenti nel Principato di Monaco: CCIN (www.ccin.mc).

ART. 8 — PERIODO DI CONSERVAZIONE DEI DATI

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità dichiarate, nel rispetto del principio di minimizzazione (Art. 5.1.e GDPR):


Categoria di dati

Periodo di conservazione

Base giuridica

Dati dell’account

Durata dell’account + 12 mesi dalla cancellazione

Legittimo interesse (gestione contenziosi)

Dati di fatturazione e transazioni

10 anni dalla data della transazione

Obbligo legale (Art. 2220 c.c.; DPR 600/73; DPR 633/72)

Dati IBAN/SEPA

Fino a riconciliazione + 10 anni

Obbligo legale (normativa fiscale e antiriciclaggio)

Log QR Code e accesso eventi

24 mesi dall’evento

Legittimo interesse (antifrode, tutela in giudizio)

Dati di marketing (email)

Fino a revoca del consenso + 6 mesi

Consenso; gestione della revoca

Dati di marketing (WhatsApp)

Fino a revoca del consenso + 6 mesi

Consenso; gestione della revoca

Cookie analitici/marketing

Massimo 13 mesi dal rilascio

Linee Guida Garante 2021; raccomandazioni CNIL

Dati di navigazione (log server)

6 mesi

Legittimo interesse (sicurezza informatica)

Messaggi WhatsApp (contenuto)

12 mesi dall’ultima interazione

Esecuzione del contratto; legittimo interesse


Alla scadenza del periodo di conservazione, i dati vengono cancellati in modo irreversibile o anonimizzati in modo tale da non consentire più l’identificazione dell’interessato.

ART. 9 — DECISIONI AUTOMATIZZATE E PROFILAZIONE

La Piattaforma non adotta processi decisionali interamente automatizzati che producano effetti giuridici significativi sull’Utente ai sensi dell’Art. 22 GDPR.

Con il consenso dell’Utente, la Piattaforma può effettuare attività di profilazione non automatizzata (analisi dello storico acquisti e delle preferenze) al solo fine di personalizzare le comunicazioni commerciali e suggerire Esperienze pertinenti. Tale profilazione non comporta effetti giuridici e non limita in alcun modo l’accesso ai servizi della Piattaforma. L’Utente può opporsi alla profilazione in qualsiasi momento.

ART. 10 — VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)

In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, il Titolare:


  1. Notificherà la violazione all’Autorità Garante competente entro 72 ore dal momento in cui ne è venuto a conoscenza, ai sensi dell’Art. 33 GDPR.
  2. Qualora la violazione sia suscettibile di comportare un rischio elevato per i diritti e le libertà degli interessati, comunicherà la violazione anche agli Utenti interessati senza ingiustificato ritardo, ai sensi dell’Art. 34 GDPR, indicando la natura della violazione, le probabili conseguenze e le misure adottate o proposte.
  3. Documenterà ogni violazione nel registro interno delle violazioni, indipendentemente dall’obbligo di notifica.

ART. 11 — MISURE DI SICUREZZA

Il Titolare adotta le seguenti misure tecniche e organizzative ai sensi dell’Art. 32 GDPR, proporzionate alla natura, all’ambito, al contesto e alle finalità del trattamento:


  • Crittografia: comunicazioni cifrate via TLS 1.2+ per tutti i dati in transito; crittografia AES-256 per i dati a riposo contenenti informazioni sensibili.
  • Autenticazione: password con requisiti minimi di complessità, conservate in formato hash (bcrypt o equivalente); autenticazione a due fattori (2FA) per l’accesso al pannello amministrativo.
  • Controllo degli accessi: principio del minimo privilegio; accesso ai dati personali limitato al personale autorizzato e formato.
  • Backup: backup periodici cifrati con procedura documentata di ripristino (disaster recovery).
  • Tokenizzazione pagamenti: i dati delle carte non transitano sui server del Titolare; Stripe opera come vault PCI DSS Level 1.
  • Monitoraggio: log degli accessi ai sistemi conservati per 6 mesi; controlli periodici di integrità.
  • Formazione: il personale autorizzato al trattamento riceve formazione periodica in materia di protezione dei dati.

ART. 12 — VALUTAZIONE D’IMPATTO (DPIA)

Il Titolare ha valutato la necessità di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’Art. 35 GDPR. Allo stato attuale, considerati i volumi e l’assenza di trattamento su larga scala di categorie particolari di dati, la DPIA non è obbligatoria. Il Titolare si impegna a effettuare la DPIA qualora:

  • il numero di utenti registrati superi le 10.000 unità annue;
  • vengano introdotte attività di profilazione sistematica o scoring automatizzato;
  • vengano trattati dati di categoria particolare su base regolare;
  • il Garante Privacy aggiorni l’elenco delle tipologie di trattamento soggette a DPIA obbligatoria.

ART. 13 — DISPOSIZIONI SPECIFICHE PER IL PRINCIPATO DI MONACO

Per i trattamenti relativi a eventi che si svolgono nel Principato di Monaco e/o a Utenti ivi residenti, il Titolare si conforma anche alla Loi n° 1.165 del 23 dicembre 1993 e successive modifiche, che prevede in particolare:

  • l’obbligo di dichiarazione preventiva dei trattamenti alla CCIN (Commission de Contrôle des Informations Nominatives), salvo esenzioni applicabili;
  • il diritto di accesso, rettifica e cancellazione esercitabile presso la CCIN (www.ccin.mc);
  • specifici obblighi di sicurezza e di conservazione dei dati proporzionati alla natura dei trattamenti.

ART. 14 — MARKETING DIRETTO E COMUNICAZIONI COMMERCIALI

Con il consenso esplicito, libero, specifico, informato e inequivocabile dell’Utente, il Titolare potrà inviare comunicazioni a carattere commerciale e promozionale relative a nuove Esperienze, promozioni, eventi e iniziative di PORTIER.


Il consenso è raccolto tramite:

  • Per le comunicazioni via email: checkbox dedicata, non pre-selezionata (“Acconsento a ricevere comunicazioni commerciali via email da PORTIER”).
  • Per le comunicazioni via WhatsApp: checkbox separata dalla precedente (“Acconsento a ricevere comunicazioni commerciali via WhatsApp da PORTIER”).


La mancata prestazione del consenso non pregiudica l’accesso ai servizi della Piattaforma. Il consenso è revocabile in qualsiasi momento con effetto immediato tramite:

  • il link di disiscrizione (unsubscribe) presente in ogni comunicazione email;
  • la risposta “STOP” a qualsiasi messaggio WhatsApp commerciale;
  • le impostazioni dell’account sulla Piattaforma;
  • richiesta scritta a privacy@tonportier.com.

ART. 15 — MODIFICHE ALLA PRESENTE INFORMATIVA

Il Titolare si riserva di modificare o aggiornare la presente Informativa per adeguarla a variazioni normative, organizzative o tecnologiche. In caso di modifiche sostanziali, l’Utente sarà informato tramite avviso ben visibile sulla Piattaforma e, per gli Utenti registrati, tramite comunicazione all’indirizzo email associato all’account. La versione aggiornata è sempre consultabile su tonportier.com/privacy.



Versione principale: italiano. Traduzioni in inglese e francese saranno rese disponibili. In caso di discordanza tra le versioni, prevale il testo italiano.