Privacy Policy
Ultimo aggiornamento: 21 maggio 2026
La presente informativa è resa ai sensi dell'Art. 13 del Regolamento UE 2016/679 (GDPR) nei confronti degli utenti che accedono e utilizzano la piattaforma gestionale Aura (app.vitruvians.it).
1. Titolare del Trattamento
Il Titolare del Trattamento è l'Associazione di Promozione Sociale Vitruvians Performing Arts.
- Sede Legale: Via Monsignor di Zonno 20, Triggiano (BA)
- Email: [email protected]
- PEC: [email protected]
L'Associazione non ha nominato un DPO, non rientrando nelle casistiche di obbligatorietà previste dall'Art. 37 GDPR.
2. Ambito di Applicazione
La presente informativa si applica esclusivamente alla piattaforma gestionale interna accessibile all'indirizzo app.vitruvians.it, riservata ai soci e ai collaboratori autorizzati dell'Associazione di Promozione Sociale "Vitruvians Performing Arts". Non si applica al sito pubblico vitruvians.it, che è soggetto a una informativa separata.
3. Dati Trattati, Finalità e Basi Giuridiche
A. Gestione dell'account e autenticazione
Dati: nome, indirizzo email, password (in forma hashata), avatar (opzionale).
Finalità: creazione e gestione dell'account personale, autenticazione sicura alla piattaforma.
Base giuridica: esecuzione di un contratto / rapporto associativo (Art. 6.1.b GDPR).
B. Calendario e disponibilità
Dati: eventi inseriti nella piattaforma, indisponibilità personali (date e orari), ruolo nelle produzioni.
Finalità: pianificazione delle attività associative, coordinamento prove e spettacoli.
Base giuridica: esecuzione del rapporto associativo (Art. 6.1.b GDPR).
C. Integrazione con Google Calendar
La piattaforma offre la possibilità (completamente facoltativa) di collegare il proprio Google Calendar per una sincronizzazione bidirezionale delle attività. L'integrazione richiede due scope OAuth:
calendar.events— lettura e scrittura degli eventi sul calendario scelto dall'utente.calendar— lettura della lista dei calendari dell'utente e, facoltativamente, creazione di un calendario dedicato a Aura.
Di seguito è descritto nel dettaglio ogni utilizzo concreto di questi scope.
C.1 — Lettura delle indisponibilità (Google → Aura)
Quando il calendario è collegato, la piattaforma legge periodicamente gli eventi presenti nel Google Calendar dell'utente per i 90 giorni successivi. La richiesta alle API è limitata ai soli campi id, start e end tramite il parametro fields: titolo, descrizione, partecipanti e qualsiasi altro dettaglio non vengono mai trasmessi né ricevuti dal server. I blocchi orari vengono salvati come record di "indisponibilità generica" nel calendario interno di Aura, senza alcuna informazione sul contenuto dell'evento. Viene conservato l'identificativo Google dell'evento (external_event_id) esclusivamente per evitare duplicati e per eliminare i record corrispondenti se l'evento viene rimosso da Google Calendar.
C.2 — Ricezione di notifiche in tempo reale (webhook)
Per evitare polling continuo, la piattaforma registra un canale di notifica (webhook) presso le API Google. Google invia una notifica HTTP al server di Aura ogni volta che il calendario dell'utente subisce una modifica; la notifica contiene solo l'identificativo del canale, senza dati dell'evento. A quel punto la piattaforma esegue una nuova lettura secondo le modalità descritte al punto C.1. Il canale di notifica viene automaticamente rinnovato prima della scadenza e cancellato alla disconnessione dell'integrazione.
C.3 — Scrittura degli eventi Aura sul Google Calendar (Aura → Google)
Quando un socio viene aggiunto come partecipante a un evento Aura (prova, spettacolo, assemblea, ecc.), l'evento viene automaticamente creato nel suo Google Calendar. I dati inviati alle API Google sono: titolo dell'evento, descrizione, luogo e orari. Se l'evento viene successivamente modificato, i dati aggiornati vengono trasmessi a Google; se l'evento viene cancellato o il socio rimosso dai partecipanti, l'evento corrispondente viene eliminato dal suo Google Calendar. Nessuno di questi dati viene trasmesso a terzi diversi da Google LLC.
C.4 — Gestione dei calendari
La piattaforma legge la lista dei calendari Google dell'utente (nome e identificativo) per permettergli di scegliere su quale calendario sincronizzare gli eventi Aura. Su richiesta esplicita dell'utente, la piattaforma può creare un nuovo calendario Google dedicato (es. "Vitruvians"). La lista dei calendari non viene salvata nel database.
Dati conservati nel database relativi all'integrazione Google:
- Token OAuth2 (access token e refresh token), cifrati prima del salvataggio.
- Identificativo del calendario Google scelto dall'utente.
- Identificativi degli eventi Google creati da Aura (per aggiornamenti e cancellazioni).
- Identificativo e scadenza del canale webhook.
- Blocchi orari di indisponibilità (solo
starteend, senza titolo o descrizione).
Base giuridica: consenso dell'interessato (Art. 6.1.a GDPR), espresso attivando la funzione nella sezione Profilo → Integrazioni.
Revoca del consenso: è possibile disconnettere Google Calendar in qualsiasi momento dalla sezione Profilo → Integrazioni. La revoca comporta: eliminazione dei token OAuth dal database, cancellazione del canale webhook presso Google, e interruzione di ogni sincronizzazione futura. È possibile revocare l'accesso anche direttamente dalla pagina Account Google – Sicurezza.
Conformità alle norme Google API: l'utilizzo dei dati ottenuti tramite Google API è strettamente limitato alle finalità descritte nei punti C.1–C.4 e rispetta le Google API Services User Data Policy, inclusi i requisiti di Uso Limitato (Limited Use). I dati Google non vengono utilizzati per finalità pubblicitarie, di profilazione o ceduti a terzi.
D. Dati associativi
Dati: anagrafica soci (nome, cognome, codice fiscale, dati di contatto), storico quote, presenze assemblee, verbali.
Finalità: tenuta del libro soci, gestione assemblee, adempimenti statutari e di legge.
Base giuridica: obbligo legale (Art. 6.1.c GDPR) e legittimo interesse associativo (Art. 6.1.f GDPR).
E. Contabilità
Dati: movimenti contabili, documenti fiscali.
Finalità: tenuta della contabilità associativa, adempimenti fiscali (L. 398/91).
Base giuridica: obbligo legale (Art. 6.1.c GDPR).
F. Log di sistema e sicurezza
Dati: indirizzi IP, timestamp degli accessi, log di attività (audit log).
Finalità: sicurezza della piattaforma, prevenzione di accessi non autorizzati, risoluzione di problemi tecnici.
Base giuridica: legittimo interesse del Titolare (Art. 6.1.f GDPR).
4. Destinatari dei Dati
I dati possono essere comunicati, esclusivamente per le finalità descritte, a:
- Fornitori di infrastruttura cloud (hosting del server, storage file su Cloudflare R2) che operano come Responsabili del Trattamento ex Art. 28 GDPR.
- Google LLC — limitatamente all'integrazione con Google Calendar, tramite le Google Calendar API, con trasferimento dei dati negli USA in presenza di adeguate garanzie (Standard Contractual Clauses).
- Consulenti professionali (es. commercialista) per adempimenti di legge.
I dati non vengono ceduti né venduti a terzi per finalità commerciali o di profilazione.
5. Trasferimento di Dati Extra-UE
Il trasferimento di dati verso paesi terzi (in particolare gli USA, per i servizi Google e Cloudflare) avviene in presenza di adeguate garanzie ai sensi del Capo V GDPR (Decisioni di adeguatezza della Commissione o Clausole Contrattuali Standard).
6. Misure di Sicurezza e Protezione dei Dati
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali trattati dalla piattaforma, e in particolare i dati sensibili acquisiti tramite API di terze parti.
6.1 — Cifratura in transito
Tutte le comunicazioni tra il browser dell'utente e il server, nonché tra il server e le API di Google, avvengono esclusivamente su canale cifrato HTTPS/TLS. Non è possibile accedere alla piattaforma tramite connessione non cifrata.
6.2 — Cifratura a riposo
I token OAuth2 di Google Calendar (access token e refresh token) vengono cifrati prima del salvataggio nel database tramite la funzione di cifratura simmetrica dell'applicazione (AES-256-CBC). Le password degli utenti sono memorizzate esclusivamente come hash bcrypt e non sono mai recuperabili in chiaro.
6.3 — Controllo degli accessi
L'accesso ai dati di integrazione Google (token, identificativo del calendario, blocchi di indisponibilità) è tecnicamente limitato all'utente proprietario dell'integrazione. Nessun altro utente della piattaforma, inclusi gli amministratori, può visualizzare i token OAuth o i dati di calendario di altri utenti.
6.4 — Minimizzazione dei dati Google
In conformità al principio di minimizzazione (Art. 5.1.c GDPR) e ai requisiti di Uso Limitato delle Google API Services (Limited Use), la piattaforma:
- richiede esclusivamente gli scope OAuth strettamente necessari alle funzionalità descritte nella sezione C, senza richiedere accessi superflui;
- utilizza il parametro
fieldsnelle chiamate API per richiedere unicamente i campiid,startedend, escludendo titolo, descrizione, partecipanti e qualsiasi altro dettaglio degli eventi Google; - non conserva dati Google oltre il tempo strettamente necessario alle finalità dichiarate;
- non trasferisce, condivide o cede dati Google a soggetti terzi diversi da quelli indicati alla sezione 4.
6.5 — Assenza di revisione umana
I dati ottenuti tramite Google API non sono mai soggetti a revisione, lettura o analisi manuale da parte di dipendenti, collaboratori o terzi, salvo il caso in cui l'utente interessato richieda esplicitamente assistenza tecnica e fornisca consenso specifico.
6.6 — Nessuna integrazione con intelligenza artificiale
La piattaforma non integra e non utilizza modelli di intelligenza artificiale (AI), modelli linguistici di grandi dimensioni (LLM) o servizi di machine learning di terze parti di alcun tipo. I dati personali trattati dalla piattaforma, inclusi quelli ottenuti tramite Google API, non vengono mai utilizzati per addestrare, affinare o valutare sistemi di AI o ML, né trasmessi a fornitori di servizi di intelligenza artificiale.
7. Periodo di Conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati account utente | Per tutta la durata del rapporto associativo + 5 anni |
| Token OAuth Google Calendar | Fino alla disconnessione dell'integrazione |
| ID eventi Google (per aggiornamento/cancellazione) | Fino alla disconnessione o alla rimozione del partecipante dall'evento |
| Dati di indisponibilità importati da Google | Fino all'eliminazione da parte dell'utente o alla disconnessione |
| Dati contabili | 10 anni (obbligo di legge) |
| Dati assembleari / verbali | 10 anni (obbligo statutario) |
| Log di accesso | 12 mesi |
8. Diritti dell'Interessato (Artt. 15–22 GDPR)
L'interessato ha il diritto di richiedere in qualsiasi momento:
- Accesso (Art. 15): conferma del trattamento e copia dei dati.
- Rettifica (Art. 16): correzione di dati inesatti.
- Cancellazione (Art. 17): eliminazione dei dati, salvo obblighi di legge.
- Limitazione (Art. 18): restrizione del trattamento in casi specifici.
- Portabilità (Art. 20): ricezione dei dati in formato strutturato e leggibile da macchina.
- Opposizione (Art. 21): opposizione al trattamento per legittimo interesse.
- Revoca del consenso (Art. 7.3): la revoca non pregiudica la liceità del trattamento svolto prima della revoca.
Per esercitare i diritti, scrivere a [email protected].
9. Reclamo all'Autorità di Controllo
L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali qualora ritenga che il trattamento avvenga in violazione del GDPR: www.garanteprivacy.it.