Documento legale
Privacy Policy
Informativa sul trattamento dei dati personali in GigFlow.
Ultimo aggiornamento: 19 giugno 2026
Titolare, contatti e ambito
Il Titolare del trattamento per i dati trattati direttamente da GigFlow è Biasuzzi Davide. Per richieste privacy puoi scrivere a biasuzzi.davide@gmail.com.
GigFlow è una piattaforma web per DJ e professionisti dello spettacolo che consente di gestire profilo pubblico, richieste, clienti, preventivi, contratti, agenda, pagamenti registrati manualmente, servizi, attrezzatura e impostazioni dell'account.
Questa informativa riguarda l'uso della piattaforma, delle pagine pubbliche, dei form cliente, delle email transazionali e dei flussi di autenticazione. Se sei cliente finale di un DJ che usa GigFlow, il DJ resta il primo referente per il trattamento dei dati che inserisce o raccoglie tramite il servizio.
Ruoli GDPR
Per i dati dell'account, i dati tecnici, la sicurezza, le comunicazioni di servizio e la gestione della piattaforma, GigFlow agisce come titolare del trattamento.
Per i dati dei clienti, degli eventi, delle richieste di preventivo, dei contratti e dei pagamenti che l'utente inserisce o raccoglie per la propria attività, GigFlow tratta tali dati come responsabile del trattamento per conto dell'utente, secondo le istruzioni contenute nell'Accordo sul trattamento dei dati.
Categorie di dati trattati
- Dati account e autenticazione: nome d'arte, email, password protetta tramite hashing, token di sessione, metadati di sicurezza e, se attivato, dati relativi alla verifica in due passaggi.
- Dati profilo e fiscali: nome completo o ragione sociale, telefono, indirizzo, città, provincia, CAP, Partita IVA, codice fiscale, sito web, logo, copertina e preferenze di branding.
- Dati operativi: clienti, contatti, venue, indirizzi evento, date, orari, note, servizi, attrezzatura, prezzi, stati preventivo, stati pagamento, contratti, clausole, firme e PDF generati.
- Dati delle richieste pubbliche: nome, email, telefono, tipo evento, luogo, data, note musicali, hospitality e informazioni inserite dal cliente nel form.
- Dati tecnici e di sicurezza: log applicativi, eventi di autenticazione, rate limit, identificativi di sessione, user-agent, informazioni di errore e dati necessari a prevenire abusi o accessi non autorizzati.
- Comunicazioni: messaggi inviati tramite form contatto, email di conferma account, recupero password, notifiche transazionali e richieste di assistenza.
Finalità e basi giuridiche
| Finalità | Base giuridica | Dati principali |
|---|---|---|
| Creazione account, login, onboarding e gestione sessioni | Contratto o misure precontrattuali, art. 6(1)(b) GDPR | Account, email, password hash, sessioni |
| Erogazione del servizio: clienti, preventivi, contratti, agenda, PDF, profilo pubblico e richieste | Contratto, art. 6(1)(b) GDPR; per dati dei clienti dell'utente, trattamento per conto dell'utente ai sensi dell'art. 28 GDPR | Dati profilo, clienti, eventi, preventivi, contratti |
| Invio di email transazionali e comunicazioni operative | Contratto e legittimo interesse, art. 6(1)(b) e 6(1)(f) GDPR | Email, contenuto comunicazioni, stato invio |
| Sicurezza, prevenzione abusi, audit tecnico, rate limit e tutela del servizio | Legittimo interesse, art. 6(1)(f) GDPR; obblighi legali quando applicabili | Log, sessioni, identificativi tecnici |
| Gestione richieste di supporto, contatto e reclami | Misure precontrattuali, contratto o legittimo interesse | Contatti, contenuto richiesta, dati necessari alla risposta |
| Adempimenti fiscali, contabili o legali relativi a eventuali servizi a pagamento | Obbligo legale, art. 6(1)(c) GDPR | Dati di fatturazione e dati amministrativi |
Conferimento dei dati
I dati richiesti per registrazione, autenticazione ed erogazione del servizio sono necessari: senza tali dati non è possibile creare o usare l'account.
I dati di profilo, branding, clienti, eventi, clausole e richieste sono forniti dall'utente in base alle funzionalità che decide di usare. L'utente deve inserire solo dati pertinenti e non eccedenti rispetto alla propria attività.
Destinatari e fornitori
I dati possono essere trattati da fornitori tecnici che supportano l'erogazione del servizio, vincolati da accordi contrattuali e misure di sicurezza adeguate. L'elenco deve essere aggiornato quando cambiano infrastruttura o servizi integrati.
- Supabase: database PostgreSQL, autenticazione, storage file e funzionalità di backend.
- Resend: invio di email transazionali, se la chiave API è configurata nell'ambiente di produzione.
- Provider di hosting e distribuzione dell'applicazione, ad esempio Vercel se usato per il deploy di produzione.
- Consulenti, autorità o soggetti pubblici quando necessario per obblighi di legge, difesa di diritti o richieste legittime.
Trasferimenti fuori dallo Spazio Economico Europeo
Alcuni fornitori possono trattare dati in Paesi extra SEE. Quando ciò avviene, il trasferimento è fondato su garanzie previste dal GDPR, come decisioni di adeguatezza, Clausole Contrattuali Standard, misure supplementari o adesione a framework riconosciuti quando applicabili.
Per i trasferimenti verso società statunitensi aderenti al Data Privacy Framework, può trovare applicazione la decisione di adeguatezza della Commissione europea. In assenza di adeguatezza, vengono usate garanzie contrattuali idonee.
Conservazione
- Dati account e profilo: per tutta la durata dell'account e fino alla cancellazione richiesta dall'utente, salvo obblighi di legge.
- Clienti, preventivi, eventi, contratti, firme, pagamenti registrati e richieste: per la durata dell'account o finché l'utente li elimina, compatibilmente con funzioni di cestino, recupero e backup tecnico.
- Dati eliminati dall'account: cancellazione dai sistemi applicativi di norma entro 30 giorni; eventuali copie di backup seguono i cicli tecnici del fornitore e non sono usate per finalità ordinarie.
- Log tecnici e sicurezza: per il tempo proporzionato a diagnosi, sicurezza e prevenzione abusi, di norma fino a 12 mesi salvo necessità di indagine o tutela di diritti.
- Dati amministrativi o fiscali relativi a servizi a pagamento: per i termini previsti dalla normativa applicabile, di norma fino a 10 anni.
Diritti degli interessati
Nei limiti previsti dal GDPR, puoi chiedere accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso quando il trattamento si basa sul consenso. Puoi anche proporre reclamo al Garante per la protezione dei dati personali.
Per esercitare i diritti scrivi a biasuzzi.davide@gmail.com. Se la richiesta riguarda dati inseriti da un DJ su un proprio cliente, GigFlow potrà indirizzare la richiesta al relativo utente titolare o assisterlo nella gestione.
Sicurezza
GigFlow usa misure tecniche e organizzative coerenti con il rischio: HTTPS/TLS, autenticazione, hashing delle password, token di sessione con scadenza, isolamento dei dati per utente tramite policy database, ruoli amministrativi limitati, rate limit, validazione input e possibilità di attivare MFA.
Nessun sistema è sicuro al 100%. In caso di violazione dei dati personali, saranno adottate le misure richieste dalla normativa, incluse eventuali comunicazioni agli interessati o all'autorità quando dovute.
Cookie, minori e decisioni automatizzate
GigFlow usa cookie e tecnologie simili necessarie al funzionamento del servizio. Non risultano usati cookie pubblicitari o di profilazione nelle funzionalità attuali.
Il servizio non è destinato a minori di 18 anni. GigFlow non effettua processi decisionali automatizzati che producano effetti giuridici o analogamente significativi sugli utenti.
Modifiche
Questa informativa può essere aggiornata per riflettere modifiche del servizio, dei fornitori o della normativa. La data di ultimo aggiornamento indica la versione in vigore.