INFORMAZIONI GENERALI

La Privacy Policy fornisce le informazioni previste dagli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito "GDPR") relativamente al trattamento dei dati personali degli Utenti della Piattaforma Contempo - Banca del Tempo. Questa informativa è fornita al momento della registrazione e rimane disponibile permanentemente sulla Piattaforma. Per domande specifiche sul trattamento dei dati personali, è possibile contattare il Data Protection Officer (DPO) tramite le modalità indicate al termine del presente documento.

SEZIONE I – TITOLARI E RESPONSABILI DEL TRATTAMENTO

1. Titolari Principali del Trattamento

I titolari del trattamento dei dati personali sono:

Responsabilità Congiunta: I tre Titolari agiscono in responsabilità congiunta nella determinazione di finalità e modalità di trattamento. Gli Utenti possono rivolgersi indifferentemente a uno qualsiasi dei tre Titolari per esercitare i propri diritti GDPR.

2. Data Protection Officer (DPO)

È designato un Data Protection Officer per coadiuvare i Titolari nella conformità al GDPR:

• Nome: Michael Grimaldi
• Qualifica: Laurea
• Email: direttivo@archeoclubcaltagirone.it
• Telefono: 328 264 0444

Modalità di contatto: Email diretta a banca@contempoweb.it o posta ordinaria presso Comune di Caltagirone.

Gli Utenti possono rivolgersi al DPO per:

• Segnalare violazioni della privacy o violazioni GDPR
• Chiedere chiarimenti sul trattamento dei dati
• Esercitare i diritti previsti dal GDPR (accesso, rettifica, cancellazione, portabilità, opposizione)
• Sottoporre reclami relativi al trattamento dei dati

SEZIONE II – FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO

3. Finalità del Trattamento dei Dati Personali

I dati personali raccolti sono trattati per le seguenti finalità specifiche e di legge:

3.1 Finalità Essenziali (obbligatorie per l'utilizzo della Piattaforma)

• A) Registrazione e Identificazione Utenti:
  • Creazione e gestione del profilo Utente
  • Verifica dell'identità, della residenza e dei requisiti di accesso (Art. 4 T&C)
  • Prevenzione di registrazioni multiple, false o fraudolente
  • Comunicazione di credenziali di accesso e assistenza nel recupero password
  • Verifica della capacità giuridica (accertamento assenza di condanne per reati specifici)
• B) Gestione delle Transazioni e della Banca del Tempo:
  • Registrazione delle offerte e delle richieste di servizi
  • Monitoraggio e documentazione delle transazioni (scambi di servizi)
  • Contabilizzazione dei crediti temporali
  • Risoluzione delle controversie tra Utenti
  • Verifica del corretto funzionamento della Banca del Tempo e della non monetarietà degli scamb
• C) Comunicazioni Amministrative e Tecniche:
  • Invio di messaggi relativi alla gestione dell'account (conferma registrazione, notifiche di transazione, promemoria, avvertimenti)
  • Informazioni su modifiche dei Termini e Condizioni, Privacy Policy o Codice Etico
  • Assistenza tecnica e risoluzione di problemi
  • Notifiche di manutenzione della Piattaforma
• D) Conformità Normativa e Obblighi Legali:
  • Adempimento di obblighi legali (es., normativa antiriciclaggio, antiterrorismo, antitraffico)
  • Rispetto della normativa sulla protezione dei dati (GDPR)
  • Conservazione di tracciabilità per controlli e ispezioni
  • Cooperazione con autorità pubbliche competenti (Guardia di Finanza, Procura, Carabinieri) su ordine legale formale
  • Registrazione di dati per conformità a norme tributarie e amministrative
• E) Sicurezza e Prevenzione di Frodi:
  • Identificazione e prevenzione di attività illegali, frodi, abusi della Piattaforma
  • Protezione dei dati e della sicurezza informatica
  • Monitoraggio di comportamenti anomali o violazioni dei T&C (es., accumulo artificiale di crediti, registrazioni multiple)
  • Applicazione di sanzioni disciplinari (sospensione, disattivazione profilo)
  • Implementazione di sistemi di pattern recognition per rilevamento di anomalie (analisi comportamentale)

3.2 Finalità Secondarie (facoltative, basate su consenso esplicito)

• F) Comunicazioni Promozionali e di Marketing
  • Invio di newsletter informative sulla Piattaforma
  • Comunicazioni relative a nuove funzionalità, eventi locali, opportunità di partecipazione
  • Promozione di servizi, competenze di particolare interesse per la comunità
  • Statistiche aggregate e testimonianze (sempre anonime o con consenso esplicito)
• G) Miglioramento della Piattaforma e Ricerca
  • Analisi dell'utilizzo della Piattaforma per migliorare l'esperienza utente
  • Identificazione di trend nei servizi offerti e nelle esigenze della comunità
  • Ricerca accademica, studi sociali e reportistica (sempre in forma anonima e aggregata)
  • Sviluppo di nuove funzionalità e servizi
  • Analisi comportamentale per miglioramento algoritmi di ricerca e matching tra Utenti

4. Mancanza di Automatizzazione e Profilazione Discriminatoria

I Titolari non realizzano:

• Decisioni basate unicamente su trattamento automatizzato che producono effetti giuridici rilevanti o similmente significativi (Art. 22 GDPR)
• Profilazione o scoring degli Utenti basato su variabili sensibili (comportamento politico, orientamento sessuale, religiosità, origine etnica)
• Tracciamento granulare del comportamento online ai fini di profilazione commerciale

Eccezione per Prevenzione Illeciti: I Titolari si riservano il diritto di identificare Utenti a rischio di violazione dei T&C tramite analisi di pattern di comportamento. Tale analisi:

• Non è basata unicamente su trattamento automatico
• Implica revisione manuale da parte di un Gestore Operativo prima di applicare sanzioni
• È limitata a pattern chiaramente anomali (es., accumulo artificiale di crediti tramite bot, registrazioni multiple seriali)
• È comunicata all'Utente in forma intelligibile prima di applicare restrizioni
• Consente all'Utente di opporsi alle conclusioni

Informativa su Analisi Comportamentale: Gli Utenti sono informati che la Piattaforma implementa sistemi di rilevamento di pattern comportamentali anomali per scopi di sicurezza e prevenzione frodi. Nessuna sanzione è applicata esclusivamente sulla base di analisi automatica, salvo eccezioni per sicurezza informatica (blocco account compromesso).

SEZIONE III – DATI PERSONALI RACCOLTI

5. Categorie di Dati Raccolti

I dati personali raccolti dalla Piattaforma appartengono alle seguenti categorie:

• 5.1 Dati Identificativi (Obbligatori per Registrazione):
  • Nome e cognome completi
  • Data di nascita
  • Sesso/genere (eventuale, non obbligatorio)
  • Codice Fiscale (eventuale, per finalità amministrative, su richiesta)
  • Numero di Documento di Identità (Carta d'Identità, Passaporto, Permesso di Soggiorno)
  • Scansione/Foto del documento (per verifica identità tramite upload protetto)
• 5.2 Dati di Contatto (Obbligatori):
  • Indirizzo email verificabile
  • Numero di telefono mobile verificabile (per OTP/SMS di verifica)
  • Indirizzo di residenza (via, civico, CAP, comune, provincia)
  • Indirizzo di domicilio (se diverso da residenza)
  • Numero di telefono fisso (facoltativo)
• 5.3 Dati Relativi alla Registrazione e al Profilo:
  • Username e password (criptati con standard PBKDF2 o argon2)
  • Preferenze di lingua e zona geografica
  • Competenze dichiarate e aree di interesse
  • Biografia breve o descrizione personale (massimo 500 caratteri)
  • Foto di profilo (caricata volontariamente, rimossa su richiesta)
• 5.4 Dati Relativi alle Transazioni (Generati automaticamente):
  • Offerte di servizi pubblicate
  • Richieste di servizi sottomesse
  • Data, ora, durata e descrizione di ogni transazione completata
  • Crediti temporali accumulati, utilizzati e saldo corrente
  • Valutazioni ricevute da altri Utenti (rating da 1 a 5 stelle)
  • Commenti e feedback sulle prestazioni
  • Cronologia completa delle transazioni (log transazionale)
• 5.5 Dati Tecnici (Generati automaticamente):
  • Indirizzo IP da cui ci si connette
  • Informazioni sul browser e sistema operativo utilizzati
  • Timestamp di accesso e uscita dalla Piattaforma
  • Pagine visitate e funzioni utilizzate (navigazione generale, non tracciamento granulare)
  • Errori tecnici riscontrati
  • Cookie tecnici e di sessione (v. Cookie Policy separata per dettagli)
• 5.6 Dati Facoltativi e Aggiuntivi:
  • Numero IBAN/Conto Bancario (se l'Utente autorizza possibili rimborsi in caso di cessazione della Piattaforma, con forma scritta separata)
  • Certificazione di disabilità (se l'Utente desideri usufruire di servizi di accessibilità dedicati, con consenso esplicito separato)
  • Allergie, intolleranze, esigenze sanitarie particolari (comunicate volontariamente per coordinamento servizi di catering, baby-sitting, etc. - v. Art. 5.7 per base giuridica)
  • Certificato di assicurazione responsabilità civile (per servizi ad alto rischio, Art. 8.1.f T&C)
• 5.7 Dati Particolari (Art. 9 GDPR) - Eccezioni Limitate:

  Principio Generale: I Titolari non richiedono né trattano routinariamente categorie particolari di dati (dati sensibili), secondo Art. 9 GDPR.
  Eccezioni Specifiche:

  • a)Dati relativi a Disabilità:
    • Raccolta: Facoltativa, se l'Utente comunica volontariamente una disabilità
    • Finalità: Ottenere misure di accessibilità (es. versione sito con contrasto elevato, supporto per screen reader) oppure per identificare servizi compatibili con le proprie esigenze
    • Conservazione: Per tutto il periodo di utilizzo della Piattaforma; cancellabili su richiesta in qualsiasi momento
    • Raccolta: Facoltativa, se l'Utente comunica volontariamente una disabilità
  • b)Dati relativi a Salute (Allergie, Intolleranze):
    • Raccolta: Facoltativa, se l'Utente fornisce informazioni su allergie/intolleranze rilevanti per la sicurezza (es. allergia a frutti di mare per servizi di catering, allergia a lattice per servizi di pulizia)
    • Finalità: Prevenzione di danni fisici durante l'esecuzione di servizi; non è utilizzato per profilazione medica
    • Conservazione: Per tutto il periodo di utilizzo della Piattaforma; cancellabili su richiesta in qualsiasi momento
    • Raccolta: Facoltativa, se l'Utente comunica volontariamente una disabilità
    • IMPORTANTE: Per fornire informazioni su allergie/intolleranze, è richiesto un consenso esplicito separato rispetto al consenso generale di registrazione. L'Utente completa un modulo dedicato "Comunicazione Dati di Salute" con dichiarazione di consenso specifica
    • Conservazione: Per tutto il periodo di utilizzo; cancellabili su richiesta
    • Visibilità: Visibili SOLO all'altro Utente coinvolto nella transazione (es. chi prepara il cibo vede l'allergia), non pubblicamente
  • c)Dati relativi a Origine Razziale/Etnica/Religione:
    • Raccolta: Non sono mai richiesti di routine
    • Eccezione: Facoltativo se l'Utente comunica volontariamente tali informazioni per finalità di:
      • Inclusione comunitaria (es. "Cerco corso di lingua da madrelingua araba")
      • Identificazione di servizi culturali specifici (es. "Offro corsi di cucina tradizionale siciliana")
    • Conservazione e Trattamento: Cancellazione immediata dopo conclusione della finalità specifica; non sono archiviati nel profilo permanente
    • Procedura: L'Utente comunica tali dati tramite messaggistica transazionale, non tramite profilo; il dato è rimosso automaticamente al termine della transazione

SEZIONE IV – CONSERVAZIONE E GESTIONE DEI DATI

6. Periodi di Conservazione dei Dati

I dati personali sono conservati secondo i seguenti periodi, determinati in base alla finalità di trattamento:

• 6.1 Dati Identificativi e di contatto:
  • Utenti Attivi: Durante tutto il periodo di attività sulla Piattaforma
  • Utenti Disattivati Volontariamente: 1 anno dopo la richiesta di cancellazione, salvo obblighi legali tributari (es. conservazione per 5 anni per conformità antiriciclaggio)
  • Utenti Disattivati per Violazione: 5 anni dopo la disattivazione (per prevenire re-registrazione di soggetti condannati per reati specifici)
    • Procedura: Se l'Utente è reintegrato (appello accettato), il dato identificativo è anonimizzato (convertito a hash irreversibile) mentre rimane il record della disattivazione; se non è reintegrato, è conservato in forma identificabile per 5 anni
• 6.2 Dati di Transazione e Crediti Temporali:
  • Cronologia Transazioni: Per tutto il periodo di attività dell'Utente e per 7 anni dopo la disattivazione (conformità a obblighi tributari, antiriciclaggio, GDPR art. 6.1.c)
  • Saldo Crediti Temporali: Fino a definitiva chiusura del conto dell'Utente
  • Valutazioni e Feedback: Conservate per tutta la durata del profilo attivo; cancellabili su richiesta se conteste come inaccurate (procedura di contestazione: segnalazione tramite Gestore Operativo entro 30 giorni)
• 6.3 Dati Tecnici e Log di Accesso:
  • Log di Accesso: 90 giorni (per identificare accessi fraudolenti, reset password, troubleshooting tecnico)
  • Log di Attività sulla Piattaforma (click, pagine visitate): 12 mesi per analisi di miglioramento, successivamente anonimizzati (convertiti a statistiche aggregate non identificabili)
  • Cookie e Tracciamento: Secondo quanto indicato nella Cookie Policy separata (v. Cookie Policy Art. 4-8)
• 6.4 Dati Particolari (Sensibili):
  • Disabilità: Per tutto il periodo di utilizzo della Piattaforma; cancellabili su richiesta immediata
  • Allergie/Intolleranze: Per tutto il periodo di utilizzo; cancellabili su richiesta; conservati anche come meta-dato transazionale (es. "Utente X ha comunicato allergia a Y") per 7 anni in forma anonimizzata
  • Origine Razziale/Etnica/Religione: Cancellati immediatamente dopo la finalità specifica (massimo 24 ore dopo conclusione transazione); non sono archiviati nel profilo permanente
• 5 Dati Forniti per Conformità Legale:
  • Verifiche Identità e Antiriciclaggio (copia documento, OTP verificato): 5 anni (conformità a normative antiriciclaggio D.M. 25.11.2015, antiterrorismo)
  • Richieste di Autorità Pubbliche (es. ordine giudice, mandato procura): Conservati secondo le modalità indicate dall'autorità richiedente, comunque per un massimo di 10 anni

7. Cancellazione e Anonimizzazione

Procedura di Cancellazione Dati Personali:

• 1. L'Utente può richiedere cancellazione del profilo tramite modulo "Richiesta Cancellazione" sulla Piattaforma o email al DPO
• 2. Entro 7 giorni, i Titolari confermano ricezione e avviano processo di cancellazione
• 3. Dati Cancellabili Immediatamente: Foto profilo, biografia, numero di telefono, indirizzo email (sostituti con anonimizzazione)
• 4. Dati Soggetti a Conservazione Legale: Cronologia transazioni, crediti accumulati rimangono per 7 anni in forma anonimizzata (numero ID transazione, importo ore, data) - senza identificazione dell'Utente
• 5. Verifica di cancellazione è disponibile tramite report al DPO entro 30 giorni

Diritti Correlati:

• Accesso a dati archiviati prima della cancellazione (Art. 15 GDPR)
• Rettifica di dati imprecisi (Art. 16 GDPR)
• Limitazione di trattamento per dati contestati (Art. 18 GDPR)
• Portabilità dei dati (Art. 20 GDPR) - in formato strutturato (CSV, JSON)

SEZIONE V – DESTINATARI E TRASFERIMENTI DATI

8. Categorie di Destinatari

• 8.1 Destinatari Interni
  • Gestori Operativi (personale Archeoclub e Extopia APS designato): Accesso a dati Utenti per mediazione controversie, monitoraggio sicurezza, assistenza tecnica
  • Responsabili Amministrativi (Comune di Caltagirone): Accesso a dati aggregati per conformità tributaria e reportistica pubblica
• 8.2 Destinatari Esterni (Responsabili del Trattamento - Art. 28 GDPR)

  Fornitori di Servizi Tecnici sotto Data Processing Agreement (DPA) vincolante:

  • A) Provider di Hosting e Infrastruttura Cloud
    • Funzione: Storage e gestione database Piattaforma
    • Provider Specifico: [SPECIFICARE - es. Amazon AWS, Aruba Cloud, OVHcloud]
    • Ubicazione: [UE / paesi terzi con adeguate garanzie]
    • DPA in Vigore: Sì, con clausole GDPR art. 28
    • Sub-processor Autorizzati: [elenco se applicabile]
  • B) Provider di Hosting e Infrastruttura Cloud
    • Funzione: Invio email di conferma registrazione, notifiche transazioni, comunicazioni amministrative
    • Provider Specifico: [es. SendGrid, Mailgun, SES di Amazon]
    • DPA in Vigore: Sì
  • C) Provider SMS/OTP
    • Funzione: Invio codici OTP di verifica numero di telefono
    • Provider Specifico: [es. Twilio, AWS SNS, Telecom Italia]
    • Ubicazione: [UE / USA con Clausole Contrattuali Standard se extraUE]
    • DPA in Vigore: Sì
    • Conservazione Codice OTP: 5-15 minuti (non conservato dopo validazione)
  • D) Provider di Analitici Web (opzionale, secondo Cookie Policy)
    • Funzione: Analisi aggregata traffico e comportamento su Piattaforma
    • Provider Specifico: Matomo (self-hosted, dati rimangono in-house) oppure Google Analytics (con IP anonimizzazione)
    • Se Google Analytics: Clausole Contrattuali Standard (SCC) in vigore (transfer USA)

  8.3 Destinatari per Conformità Legale

  • Autorità Pubbliche Competenti: Guardia di Finanza, Procura, Carabinieri, GdF, ANAC
    • Modalità: Solo su ordine legale formale (mandato, decreto, sentenza)
    • Dati Comunicati: Identificativi Utente, cronologia transazioni, messaggistica interna
    • Diritto Utente: L'Utente è informato della comunicazione, salvo eccezione per indagini in corso (Art. 15.4 GDPR - limitazione del diritto di accesso per impedire investigazione)
  • Autorità Tributarie: Agenzia delle Entrate per conformità normativa (es. invio liste Utenti per verifica black economy)
  • Garante per la Protezione dei Dati Personali: Su reclamo Utente relativo al trattamento

9. Trasferimenti Internazionali di Dati

Regola Generale: I dati sono conservati all'interno del territorio dell'Unione Europea.
Eccezioni:

• 1. Se provider USA (es. Amazon AWS, Google, Twilio): Transfer soggetto a Clausole Contrattuali Standard (SCC) secondo Art. 46 GDPR
  • Clausole implementate nel DPA con provider
  • Supplementary Safeguards: Encryption end-to-end per dati sensibili, limitazione di accesso, notifica in caso di richieste governative USA
• 2. Se provider paesi terzi extra-UE: Verifica caso-per-caso di Decisione di Adeguatezza o implementazione SCC + Supplementary Measures
• 3. Diritto Utente: L'Utente può chiedere al DPO informazioni specifiche su localizzazione dati e garanzie applicate

SEZIONE VI – DIRITTI DEGLI INTERESSATI

10. Diritti Previsti dal GDPR

Gli Utenti hanno i seguenti diritti, esercitabili rivolgendosi al DPO o direttamente ai Titolari:

• Art. 15 GDPR – Diritto di Accesso
  • Richiedere accesso a tutti i dati personali trattati
  • Ricevere copia in formato leggibile e strutturato (CSV, JSON)
  • Termine: 30 giorni (estensibile di 60 giorni per complessità)
  • Eccezioni: Accesso limitato se potrebbe compromettere investigazioni penali in corso
• Art. 16 GDPR – Diritto di Rettifica
  • Correggere dati inesatti (es. cambio indirizzo, correzione nome)
  • Richiesta tramite "Impostazioni Profilo" sulla Piattaforma
  • Termine: 15 giorni
• Art. 17 GDPR – Diritto di Cancellazione ("Diritto all'Oblio")
  • Richiedere cancellazione di dati personali
  • Limitazioni: Non è ammesso per dati soggetti a conservazione legale (es. cronologia transazioni per 7 anni per conformità tributaria, identificativi per 5 anni contro frodi)
  • Procedura: Modulo "Richiesta Cancellazione" sulla Piattaforma o email al DPO
  • Termine: 30 giorni
• Art. 18 GDPR – Diritto di Limitazione
  • Richiedere di limitare il trattamento (es. dati non utilizzati ma conservati)
  • Effetto: Dati sono marcati e non utilizzati se non per conservazione legale
• Art. 20 GDPR – Diritto di Portabilità
  • Richiedere i propri dati in formato strutturato, leggibile, trasferibile
  • Formato: CSV, JSON
  • Cosa è incluso: Dati di registrazione, profilo, cronologia transazioni, valutazioni ricevute
  • Termine: 30 giorni
• Art. 21 GDPR – Diritto di Opposizione
  • Opporsi al trattamento per finalità di marketing (comunicazioni promozionali)
    • Effetto: Cessazione immediate di newsletter e comunicazioni promozionali
  • Opporsi al trattamento basato su interesse legittimo (es. pattern analysis per prevenzione frodi)
    • Limite: Opposizione al pattern analysis non impedisce monitoraggio per sicurezza informatica
• Art. 22 GDPR – Diritto a Non Essere Sottoposto a Decisioni Automatiche
  • Non essere sottoposto a decisioni automatiche che producono effetti giuridici significativi
  • Eccezione: Pattern analysis per prevenzione frodi NON è automatica (implicazione manuale di Gestore prima di sanzione)
  • Diritto: Richiedere revisione manuale di qualsiasi decisione basata su automazione
• Contatto per Esercizio Diritti

  Tutti i diritti sono esercitabili tramite:

  • Email al DPO: info@contempoweb.it
  • Posta ordinaria: [indirizzo DPO]
  • Telefono: [numero DPO]

  Termine di risposta: 30 giorni (estensibile di 60 giorni per complessità) secondo GDPR art. 12

11. Reclami presso l'Autorità di Controllo

Se gli Utenti ritengono che il trattamento dei loro dati violi il GDPR, hanno diritto a presentare reclamo presso l'Autorità Garante per la Protezione dei Dati Personali (Garante Privacy):

• Indirizzo: Piazza di Monte Citorio, 121 – 00186 Roma
• Email: garante@gpdp.it
• Sito: www.garanteprivacy.it
• Procedura: Reclamo cartaceo o telematico
• Diritto: Reclamo non esclude il ricorso in sede giudiziale

SEZIONE VII – SICUREZZA E PROTEZIONE DEI DATI

Misure Tecniche:

• Encryption HTTPS/TLS 1.2+ e AES-256
• Password criptata secondo standardSHA-2 (SHA-256 / SHA-512)

Misure Organizzative:

• Data Protection by Design: Privacy incorporata nello sviluppo di nuove funzionalità
• Formazione DPO: Personale che accede a dati è formato su GDPR e sicurezza
• Incident Response Plan: Procedura documentata per breach di dati (Art. 33 GDPR)
• Audit Securityn: Audit annuali di sicurezza informatica
• Conformità Direttiva NIS: Implementazione di misure secondo Direttiva NIS (2016/1148/UE) per protezione infrastruttura critica

In Caso di Data Breach

• I Titolari informano il Garante Privacy entro 72 ore dalla scoperta
• Gli Utenti interessati sono informati senza indebito ritardo se il breach pone rischio per diritti/libertà
• Documentazione e comunicazioni conservate per dimostranza

SEZIONE VIII – COOKIE E TRACCIAMENTO

Per informazioni complete su cookie, tracciamento e scopi analitici, si rimanda alla Cookie Policy separata.

• Cookie Tecnici: Installati senza consenso (strettamente necessari)
• Cookie Analitici: Richiedono consenso esplicito (v. Cookie Policy Art. 7)
• NO Cookie Advertising: La Piattaforma non utilizza cookie pubblicitari di terzi

SEZIONE IX – MODIFICHE DELLA PRIVACY POLICY

La Privacy Policy può essere modificata dai Titolari con preavviso di 30 giorni tramite:

• Comunicazione email all'indirizzo registrato
• Notifica sulla home page della Piattaforma
• Publicazione di versione aggiornata

Continuare ad utilizzare la Piattaforma dopo il termine del preavviso costituisce accettazione delle modifiche. Gli Utenti che non accettano le modifiche possono richiedere disattivazione del profilo.

SEZIONE X – CONTATTI