Informativa sul trattamento dei dati personali

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. Ultimo aggiornamento: 15 maggio 2026.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è Croce Rossa Italiana Comitato di Brugherio OdV, con sede legale in Via Guglielmo Oberdan 83 20861 Brugherio (MB), codice fiscale 08466290965, P.IVA 08466290965.

Legale rappresentante: Francesco De Filippo.

Contatto del titolare per le questioni relative alla privacy: brugherio@cri.it — tel. +39039884155.

Responsabile della protezione dei dati (DPO):la dimensione e la natura delle attività di trattamento non rendono obbligatoria la nomina di un DPO ai sensi dell'art. 37 GDPR. Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare direttamente il titolare all'indirizzo sopra indicato.

2. Oggetto e ambito di applicazione

La presente informativa descrive le modalità con cui Croce Rossa Italiana Comitato di Brugherio OdVraccoglie, utilizza, conserva e protegge i dati personali degli utenti che accedono alla piattaforma digitale di gestione eventi, ordinazioni e donazioni (di seguito "Piattaforma"). La Piattaforma è accessibile tramite browser web e consente di: consultare il menu degli eventi, effettuare ordinazioni durante gli eventi, effettuare o registrare donazioni volontarie, richiedere ricevute fiscali.

La presente informativa non riguarda i trattamenti effettuati da terze parti eventualmente raggiungibili tramite link presenti sulla Piattaforma.

3. Definizioni essenziali

Ai fini della presente informativa si intende per: «dati personali»qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4 n. 1 GDPR); «trattamento» qualsiasi operazione o insieme di operazioni compiute su dati personali (art. 4 n. 2 GDPR); «interessato» la persona fisica cui si riferiscono i dati; «responsabile del trattamento» il soggetto che tratta i dati per conto del titolare (art. 4 n. 8 GDPR); «base giuridica»la condizione che legittima il trattamento ai sensi dell'art. 6 GDPR.

4. Categorie di dati trattati, finalità, basi giuridiche e periodi di conservazione

4.1 Dati di navigazione e log di sistema

Dati raccolti: indirizzi IP, tipo e versione del browser, sistema operativo, URL di provenienza, pagine visitate, orario delle richieste.

Finalità:funzionamento tecnico della Piattaforma, sicurezza informatica, prevenzione di accessi non autorizzati e attività fraudolente, produzione di statistiche aggregate e anonime sull'utilizzo del servizio.

Base giuridica: legittimo interesse del titolare (art. 6.1.f GDPR) alla sicurezza e alla corretta operatività della Piattaforma.

Periodo di conservazione:30 giorni, salvo necessità di conservazione prolungata in caso di incidenti di sicurezza o richieste dell'autorità giudiziaria.

4.2 Ordinazioni e pagamenti in contanti o POS (QR self-service)

Dati raccolti:indirizzo email (facoltativo), numero dell'ordine, articoli ordinati, importo totale, eventuale arrotondamento donazione, tipologia di consegna (tavolo/asporto), numero tavolo.

Finalità:esecuzione dell'ordine, invio della conferma d'ordine all'indirizzo email fornito, gestione operativa dell'evento.

Base giuridica:esecuzione di misure precontrattuali e del contratto di cui l'interessato è parte (art. 6.1.b GDPR). La comunicazione dell'indirizzo email è facoltativa; la mancata indicazione non pregiudica la possibilità di effettuare l'ordine, ma impedisce l'invio della conferma.

Periodo di conservazione:24 mesi dalla data dell'ordine, necessari per la gestione di eventuali contestazioni; per gli obblighi contabili si applica il termine decennale di cui al punto 4.5.

4.3 Pagamenti online tramite Stripe

Dati raccolti:indirizzo email del cliente, importo della transazione, numero d'ordine di riferimento. I dati della carta di pagamento (numero, scadenza, CVV) non transitano né vengono conservati sui server del titolare, ma sono trattati direttamente da Stripe Inc. in qualità di responsabile autonomo del trattamento.

Finalità: elaborazione del pagamento online, prevenzione delle frodi, gestione di rimborsi tecnici.

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).

Periodo di conservazione: 24 mesi dalla data della transazione, fatta salva la conservazione decennale per obblighi fiscali.

Per informazioni sul trattamento dei dati da parte di Stripe, consultare: stripe.com/it/privacy.

4.4 Donazioni volontarie (dirette e arrotondamenti su ordini)

Dati raccolti: importo donato, canale di raccolta (carta online, contanti, POS, arrotondamento su ordine), indirizzo email se fornito, data e ora della transazione.

Finalità:registrazione della donazione, invio della conferma via email, trasparenza nella rendicontazione della campagna, adempimento degli obblighi contabili dell'organizzazione.

Base giuridica: esecuzione di misure precontrattuali e del contratto (art. 6.1.b GDPR); per gli adempimenti contabili, obbligo legale (art. 6.1.c GDPR).

Periodo di conservazione: 10 anni dalla data della donazione, in ottemperanza agli obblighi fiscali e contabili previsti dal D.P.R. 600/1973 e dal D.Lgs. 117/2017 (Codice del Terzo Settore).

4.5 Richiesta di ricevuta fiscale

Dati raccolti: nome, cognome, codice fiscale o partita IVA, indirizzo postale completo (via, numero civico, CAP, comune, provincia), indirizzo email per la consegna del documento.

Finalità: emissione e trasmissione della ricevuta fiscale ai sensi delle normative tributarie applicabili; adempimento degli obblighi di registrazione contabile ai sensi del D.Lgs. 117/2017 e della normativa fiscale vigente.

Base giuridica:adempimento di un obbligo legale (art. 6.1.c GDPR); esecuzione del contratto (art. 6.1.b GDPR) per l'invio del documento via email. Il conferimento dei dati è obbligatorioper ottenere la ricevuta fiscale: in mancanza non è possibile procedere all'emissione del documento.

Periodo di conservazione:10 anni dalla data di emissione della ricevuta, in conformità all'art. 22 del D.P.R. 600/1973 e all'art. 2220 del codice civile.

4.6 Autenticazione del personale e dello staff

Dati raccolti: indirizzo email, hash della password, nome visualizzato, log degli accessi, indirizzo IP di accesso.

Finalità: controllo degli accessi alle funzionalità riservate allo staff (pannello cassa, gestione ordini, pannello amministrativo), sicurezza informatica.

Base giuridica: legittimo interesse del titolare (art. 6.1.f GDPR) alla sicurezza della Piattaforma e dei dati in essa contenuti; esecuzione del contratto di lavoro/collaborazione ove applicabile (art. 6.1.b GDPR).

Periodo di conservazione:per tutta la durata del rapporto di collaborazione e per i 12 mesi successivi alla cessazione dell'accesso, salvo obblighi di legge che richiedano conservazione prolungata.

5. Responsabili del trattamento e destinatari dei dati

I dati personali non vengono venduti né ceduti a terzi per finalità di marketing o profilazione. Possono essere comunicati esclusivamente ai seguenti soggetti che operano come responsabili del trattamento ai sensi dell'art. 28 GDPR, sulla base di appositi accordi contrattuali che garantiscono adeguate misure di sicurezza:

  • Supabase Inc.(San Francisco, USA) — fornitore della piattaforma di database, autenticazione e archiviazione. Dati conservati su server ubicati nell'Unione Europea (regione eu-west). Il trasferimento verso gli USA è disciplinato da clausole contrattuali standard (SCC) ai sensi dell'art. 46.2.c GDPR.
  • Stripe Inc.(San Francisco, USA) — processore di pagamenti online. Tratta i dati della transazione per conto del titolare. Il trasferimento verso gli USA è disciplinato da SCC ai sensi dell'art. 46.2.c GDPR e da meccanismi di adeguatezza riconosciuti dalla Commissione europea.
  • Provider di posta elettronica (SMTP)— fornitore utilizzato per l'invio di email transazionali (conferma ordine, ricevuta fiscale, conferma donazione). Il titolare utilizza un server SMTP configurato nel rispetto delle normative applicabili. Su richiesta è possibile ottenere il nome del fornitore specifico.
  • Autorità pubbliche— dati comunicati su richiesta legittima dell'autorità giudiziaria, tributaria o di pubblica sicurezza, nei limiti previsti dalla legge.

I dati non vengono diffusi pubblicamente, né trasferiti verso organizzazioni internazionali al di fuori dei responsabili sopra elencati.

6. Trasferimenti verso paesi terzi

Come indicato alla sezione 5, alcuni dati sono trattati da responsabili del trattamento stabiliti negli Stati Uniti d'America. Tali trasferimenti sono effettuati nel rispetto degli artt. 44-49 GDPR, mediante clausole contrattuali standard adottate dalla Commissione europea. L'interessato ha il diritto di ottenere copia delle garanzie adottate inviando richiesta al titolare.

7. Profilazione e processo decisionale automatizzato

Croce Rossa Italiana Comitato di Brugherio OdVnon effettua attività di profilazione degli utenti né prende decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici o significativamente analoghi sull'interessato (art. 22 GDPR).

8. Diritti dell'interessato

Ai sensi degli artt. 15–22 del GDPR, l'interessato ha il diritto di:

  • Accesso (art. 15): ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, accedere ai dati e alle informazioni relative al trattamento.
  • Rettifica (art. 16):ottenere la rettifica dei dati inesatti o l'integrazione dei dati incompleti.
  • Cancellazione / "diritto all'oblio" (art. 17): ottenere la cancellazione dei propri dati personali, salvo che il trattamento sia necessario per adempiere a un obbligo legale o per accertare, esercitare o difendere un diritto in sede giudiziaria.
  • Limitazione del trattamento (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla norma (es. dati contestati, trattamento illecito, opposizione in corso).
  • Portabilità dei dati (art. 20): ricevere in formato strutturato, leggibile da dispositivo automatico e di uso comune i dati forniti al titolare, qualora il trattamento sia basato su consenso o contratto e avvenga con mezzi automatizzati.
  • Opposizione (art. 21):opporsi in qualsiasi momento al trattamento basato sul legittimo interesse del titolare, salvo che il titolare dimostri l'esistenza di motivi legittimi cogenti che prevalgano sugli interessi dell'interessato.
  • Revoca del consenso: ove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Per esercitare i propri diritti, l'interessato può inviare richiesta scritta a brugherio@cri.it. Il titolare risponderà entro 30 giorni dal ricevimento della richiesta; tale termine può essere prorogato di ulteriori 60 giorni, previa comunicazione motivata, in caso di particolare complessità o elevato numero di richieste (art. 12.3 GDPR). La risposta è gratuita, salvo il caso di richieste manifestamente infondate, eccessive o ripetitive.

9. Diritto di reclamo all'Autorità di controllo

Fermo restando il diritto di adire qualsiasi altra sede giurisdizionale, l'interessato ha il diritto di proporre reclamo all'autorità di controllo competente. In Italia, l'autorità di controllo è il Garante per la protezione dei dati personali, Piazza Venezia 11 — 00187 Roma, tel. +39 06 69677 1, www.garanteprivacy.it.

10. Sicurezza dei dati

Il titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'art. 32 GDPR. In particolare: trasmissione dei dati cifrata mediante protocollo TLS/HTTPS; conservazione su infrastruttura cloud con accesso controllato e autenticazione a più fattori per lo staff; separazione dei dati per contesto (RLS — Row Level Security) a livello di database; password conservate esclusivamente sotto forma di hash non reversibile. In caso di violazione dei dati (data breach) che possa comportare un rischio per i diritti e le libertà degli interessati, il titolare procederà alla notifica all'autorità di controllo entro 72 ore e, ove necessario, alla comunicazione agli interessati, ai sensi degli artt. 33 e 34 GDPR.

11. Assistente AI conversazionale «Keo»

La pagina pubblica dei menu evento include un assistente conversazionale «Keo, il volontario AI», basato sul modello linguistico Claude di Anthropic, PBC(1 Letterman Drive, San Francisco, CA 94129, USA), che ti aiuta a scegliere piatti e a conoscere l'organizzazione. L'uso dell'assistente è facoltativo: la piattaforma funziona pienamente anche senza interagire con Keo.

Dati raccolti durante la conversazione:

  • metriche aggregate anonime: numero di messaggi scambiati, lingua usata, eventuali azioni successive (es. ordine effettuato, donazione effettuata), costo computazionale stimato della conversazione;
  • i testi dei tuoi messaggi vengono inviati ad Anthropic come provider del modello linguistico, esclusivamente per generare la risposta in tempo reale.

Dati NON raccolti:

  • il contenuto testuale dei messaggi o delle risposte non viene memorizzato nei nostri server;
  • nessun identificativo personale (email, numero telefono, account utente) viene associato alla conversazione.

Conservazione:la cronologia della tua chat con Keo è salvata nel browser (localStorage) e si elimina svuotando la cache o chiudendo definitivamente la sessione. Le metriche aggregate vengono conservate per analisi statistiche del servizio.

Provider AI — Anthropic:i messaggi inviati al modello sono soggetti alla policy «zero data retention» attiva sull'API che usiamo, il che significa che Anthropic non utilizza i contenuti delle conversazioni per addestrare i propri modelli. Maggiori informazioni: www.anthropic.com/privacy.

Base giuridica: esecuzione di un servizio richiesto (art. 6.1.b GDPR). Diritto di opposizione:puoi semplicemente non utilizzare la chat con Keo; chiudere o ignorare l'assistente non ha alcuna conseguenza sulla navigazione e sull'ordinazione.

12. Aggiornamenti alla presente informativa

Il titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, in particolare a seguito di modifiche normative o di variazioni nei servizi offerti. Le modifiche saranno pubblicate su questa pagina con indicazione della data di aggiornamento. In caso di modifiche sostanziali, il titolare adotterà misure idonee a informare gli interessati, ove possibile (es. avviso in evidenza sulla Piattaforma). Si raccomanda di consultare periodicamente questa pagina.

Contatti

Per qualsiasi richiesta relativa alla presente informativa: brugherio@cri.it