02 — Documento legale
Informativa sulla Privacy
Versione 1.0 — Conforme GDPR (Reg. UE 2016/679) — 18 maggio 2026
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti della piattaforma italiamedia.stream, ai sensi e per gli effetti del Regolamento UE 2016/679 (di seguito GDPR) e del D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali, come novellato dal D.Lgs. 101/2018).
1. Titolare del trattamento
Titolare del trattamento è italiamedia s.r.l., con sede legale in via Po 23, 10124 Torino (TO), P.IVA 12345678901, PEC italiamedia@pec.it.
Il Responsabile della Protezione dei Dati (DPO), nominato ai sensi dell'art. 37 GDPR, è contattabile all'indirizzo dpo@italiamedia.stream.
2. Categorie di dati trattati
Nell'erogazione del servizio italiamedia tratta le seguenti categorie di dati personali, distinte per finalità:
- Dati di account: indirizzo email, nome, cognome, password (conservata esclusivamente in forma cifrata tramite algoritmo Argon2id) e data di nascita per la verifica della maggiore età;
- Dati di pagamento: gestiti integralmente dal fornitore Stripe Payments Europe Limited. Il Titolare non memorizza in alcun modo i dati completi della carta di pagamento; riceve esclusivamente un identificativo di transazione (charge ID) e l'esito del pagamento;
- Dati di visione: cronologia dei contenuti fruiti, punto di ripresa (resume token), valutazioni, lista contenuti salvati, raccomandazioni personalizzate;
- Dati tecnici: indirizzo IP, user-agent, identificatori di dispositivo, fingerprint anonimo (browser + OS) raccolti per finalità di sicurezza, prevenzione frodi e ottimizzazione tecnica del servizio;
- Dati di caricamento (solo Director): file audiovisivi caricati, metadati associati (titolo, sinossi, credits), comunicazioni con la redazione editoriale.
3. Finalità del trattamento
I dati personali sono trattati per le seguenti finalità:
- erogazione del servizio richiesto (visione contenuti, caricamento UGC, gestione account);
- gestione del rapporto contrattuale, fatturazione e adempimento degli obblighi fiscali e contabili;
- prevenzione delle frodi, sicurezza della piattaforma e protezione dai tentativi di accesso non autorizzati;
- assistenza clienti e gestione delle richieste pervenute tramite i canali di supporto;
- comunicazioni di carattere commerciale e promozionale (newsletter, segnalazione nuovi contenuti), esclusivamente previo specifico consenso espresso in modalità opt-in;
- analisi statistiche aggregate sull'andamento del servizio, condotte in forma anonimizzata.
4. Base giuridica
Il trattamento si fonda sulle seguenti basi giuridiche, ai sensi dell'art. 6 GDPR:
- Art. 6.1.b — esecuzione del contratto di cui l'interessato è parte: per tutte le attività necessarie all'erogazione del servizio (finalità 1);
- Art. 6.1.c — adempimento di un obbligo legale (normativa fiscale, antiriciclaggio): per la fatturazione e la conservazione dei documenti contabili (finalità 2);
- Art. 6.1.f — legittimo interesse del Titolare alla sicurezza dei sistemi informativi e alla prevenzione delle frodi (finalità 3), bilanciato con i diritti dell'interessato come dettagliato nella valutazione di impatto interna;
- Art. 6.1.a — consenso libero, specifico, informato e revocabile: per l'invio di comunicazioni commerciali (finalità 5). Il consenso può essere revocato in qualsiasi momento dall'area personale o utilizzando il link di disiscrizione presente in ogni comunicazione.
5. Destinatari dei dati
Per le finalità sopra indicate, i dati possono essere comunicati ai seguenti soggetti, tutti formalmente nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR:
- Stripe Payments Europe Limited (Irlanda) — elaborazione dei pagamenti;
- Cloudflare Inc. (Irlanda per il trattamento europeo) — distribuzione CDN, storage R2 dei contenuti audiovisivi, protezione anti-DDoS;
- Sendinblue SAS (Brevo) (Francia) — invio di comunicazioni email transazionali (conferma registrazione, ricevuta pagamento, reset password);
- Koyeb Inc. (Francia) — pipeline di transcodifica video, limitatamente ai contenuti UGC caricati dai Director;
- Contabo GmbH (Germania) — hosting dell'infrastruttura backend e del database principale.
6. Trasferimenti extra-UE
Tutti i fornitori indicati al punto 5 trattano i dati all'interno dello Spazio Economico Europeo. Per eventuali trasferimenti di backup o di supporto tecnico verso paesi terzi, sono applicate le Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione europea con Decisione 2021/914, ovvero le ulteriori misure di garanzia previste dal Capo V del GDPR.
7. Periodo di conservazione
I dati sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono raccolti, secondo i seguenti criteri:
- Dati di account: per tutta la durata del rapporto contrattuale e per i trenta giorni successivi alla chiusura dell'account, periodo durante il quale i dati permangono nei backup cifrati;
- Dati di fatturazione: dieci anni dalla data di emissione del documento, in ottemperanza all'art. 2220 del Codice Civile e alla normativa fiscale italiana;
- Log tecnici e di sicurezza: dodici mesi dalla raccolta, salvo specifiche esigenze investigative;
- Cronologia di visione: per tutta la durata dell'account, cancellabile dall'interessato in qualsiasi momento dall'area personale.
8. Diritti dell'interessato
L'interessato ha facoltà di esercitare in qualsiasi momento i diritti riconosciuti dagli articoli da 15 a 22 del GDPR, ovvero:
- diritto di accesso ai propri dati e alle informazioni sul trattamento (art. 15);
- diritto di rettifica dei dati inesatti o incompleti (art. 16);
- diritto alla cancellazione (cosiddetto diritto all'oblio, art. 17) nei casi previsti;
- diritto di limitazione del trattamento (art. 18);
- diritto alla portabilità dei dati in un formato strutturato di uso comune (art. 20);
- diritto di opposizione al trattamento svolto su base di legittimo interesse o per finalità di marketing (art. 21);
- diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (art. 22).
Per esercitare tali diritti è sufficiente scrivere all'indirizzo privacy@italiamedia.stream. Il Titolare risponde entro trenta giorni dal ricevimento della richiesta, eventualmente prorogabili di altri sessanta giorni nei casi di particolare complessità, con motivata comunicazione.
9. Reclamo all'Autorità di controllo
Ferma la possibilità di adire l'autorità giudiziaria, l'interessato che ritenga che il trattamento dei propri dati avvenga in violazione del GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia n. 11, 00187 Roma (www.garanteprivacy.it) ovvero all'autorità di controllo dello Stato membro UE di residenza abituale.
10. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate al rischio del trattamento, ai sensi dell'art. 32 GDPR. In particolare:
- trasmissione dei dati protetta da cifratura TLS 1.3 con cipher suite a forward secrecy;
- conservazione delle password mediante algoritmo Argon2id con parametri di costo elevati;
- sessioni autenticate via JSON Web Token (JWT) a vita breve (quindici minuti) con refresh token cifrati;
- audit log immutabile per ogni operazione rilevante sui dati;
- accesso ai sistemi limitato a personale autorizzato, con principio del minimo privilegio e autenticazione a due fattori obbligatoria;
- procedura formale di gestione delle violazioni dei dati (data breach) con notifica al Garante entro le settantadue ore previste dall'art. 33 GDPR.
11. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente informativa per riflettere modifiche normative, organizzative o tecniche. Ogni revisione sarà pubblicata su questa pagina con indicazione della data di aggiornamento e, in caso di modifiche sostanziali, notificata agli interessati mediante posta elettronica.
12. Data di ultima revisione
La presente informativa è stata aggiornata il 18 maggio 2026.