Informativa sul Trattamento dei Dati Personali
ai sensi degli artt. 13–14 del Regolamento UE 2016/679 (GDPR)
Versione 1.1 — 11 aprile 2026
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali degli utenti dell'applicazione VibesOut è:
Danilo Mastropaolo
Persona fisica — Sviluppatore e gestore del servizio VibesOut
Email supporto: info@vibesout.com
PEC (comunicazioni legali): danilomastropaolo@pec.it
Telefono: +39 391 101 6506
Per richieste generali, supporto e domande sull'applicazione: info@vibesout.com
Per l'esercizio dei diritti GDPR, reclami formali e qualsiasi comunicazione con valore legale: danilomastropaolo@pec.it (specificare nell'oggetto: "Richiesta GDPR — VibesOut").
2. Definizioni
Ai fini della presente informativa si intende per:
- Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (Art. 4 n. 1 GDPR).
- Trattamento: qualsiasi operazione eseguita su dati personali (raccolta, registrazione, conservazione, consultazione, comunicazione, cancellazione, ecc.) — Art. 4 n. 2 GDPR.
- Interessato: la persona fisica a cui si riferiscono i dati personali, ovvero l'utente dell'applicazione VibesOut.
- Responsabile del Trattamento: soggetto terzo che tratta dati per conto del Titolare sulla base di un contratto scritto (Art. 28 GDPR).
- Terzo Paese: paese non appartenente all'Unione Europea o allo Spazio Economico Europeo.
3. Raccolta del Consenso e Modalità di Accettazione
3.0 Meccanismo di consenso — Sign-in Wrap
L'accettazione della presente informativa e dei Termini di Servizio avviene tramite il meccanismo del sign-in wrap (o clickwrap): procedendo con la registrazione (sia essa manuale tramite inserimento di nome, cognome ed email, sia tramite accesso con provider esterni come Google o Apple), l'utente dichiara di aver letto e accettato integralmente l'Informativa Privacy e i Termini di Servizio, così come pubblicati e accessibili nell'applicazione al momento dell'azione.
Questo meccanismo costituisce manifestazione di volontà valida e vincolante ai sensi dell'Art. 7 GDPR e dell'Art. 1326 del Codice Civile. Il Titolare conserva evidenza tecnica dell'avvenuta accettazione (timestamp, versione dei documenti accettati) per gli adempimenti di accountability di cui all'Art. 5.2 GDPR.
4. Tipologie di Dati Raccolti e Finalità del Trattamento
4.1 Dati forniti direttamente dall'utente
a) Dati di registrazione e autenticazione
- Nome e cognome o nome visualizzato
- Username univoco
- Indirizzo email
- Password (conservata in forma cifrata con algoritmo bcrypt — non accessibile al Titolare)
- Numero di telefono (per verifica identità e funzionalità di sicurezza)
- Data di nascita (per verifica dell'età minima richiesta, pari a 16 anni)
Base giuridica: Art. 6.1.b GDPR — esecuzione del contratto di servizio. Questi dati sono necessari per creare e gestire l'account utente. In assenza di tali dati non è possibile utilizzare il servizio.
b) Dati del profilo pubblico
- Foto del profilo
- Biografia (campo testuale libero, facoltativo)
- Interessi e preferenze (facoltativi)
Base giuridica: Art. 6.1.b GDPR — funzionalità del servizio. La foto profilo e la biografia sono facoltative ma necessarie per usufruire pienamente delle funzionalità social dell'applicazione.
c) Genere
Il campo relativo al genere è facoltativo: l'utente non è in alcun modo obbligato a fornire questa informazione per accedere al servizio o a qualsiasi sua funzionalità. La compilazione del campo avviene esclusivamente su iniziativa volontaria dell'utente.
Base giuridica: Art. 9.2.a GDPR — consenso esplicito manifestato mediante atto volontario positivo. In conformità con la Linea Guida WP29 Opinion 15/2011 e la prassi dell'EDPB, la deliberata compilazione di un campo facoltativo chiaramente descritto nella presente informativa costituisce atto positivo inequivocabile di consenso esplicito al trattamento del dato ai sensi dell'Art. 9 GDPR. L'utente può in qualsiasi momento eliminare il dato dal proprio profilo nelle impostazioni dell'applicazione, senza che ciò comporti conseguenze sull'accesso al servizio o su qualsiasi altra funzionalità. La cancellazione del dato equivale a revoca del consenso ai sensi dell'Art. 7.3 GDPR.
d) Contenuti pubblicati
- Fotografie e video caricati all'interno di eventi e stories
- Testi e descrizioni degli eventi creati
- Messaggi privati scambiati con altri utenti nella chat diretta
Base giuridica: Art. 6.1.b GDPR — erogazione della funzionalità richiesta dall'utente. I messaggi privati sono trattati esclusivamente per la consegna al destinatario e non vengono letti, analizzati o elaborati dal Titolare se non nei casi strettamente necessari per garantire la sicurezza della piattaforma (es. segnalazioni di abuso).
4.2 Dati raccolti automaticamente
e) Dati di geolocalizzazione
L'applicazione raccoglie le coordinate GPS del dispositivo dell'utente per abilitare le funzionalità di prossimità. In particolare:
- Spotlight: funzionalità che consente all'utente di visualizzare e interagire con altri utenti fisicamente presenti nelle immediate vicinanze, condividendo la stessa area geografica (es. stesso evento, stesso luogo). Lo Spotlight non è un sistema di raccomandazione di contenuti o eventi: è uno strumento di interazione sociale in tempo reale basato esclusivamente sulla co-presenza fisica degli utenti.
- Contenuti geolocalizzati: pubblicazione di eventi e stories associati a una posizione geografica.
L'accesso alla posizione del dispositivo è gestito esclusivamente dal sistema operativo (iOS/Android). L'utente può revocare l'autorizzazione alla geolocalizzazione in qualsiasi momento tramite le impostazioni del proprio dispositivo (Impostazioni → Privacy → Localizzazione su iOS; Impostazioni → App → VibesOut → Autorizzazioni su Android). La revoca comporta la disabilitazione automatica di tutte le funzionalità che richiedono la posizione, senza possibilità di utilizzo parziale delle stesse.
Base giuridica: Art. 6.1.b GDPR — le funzionalità di prossimità costituiscono la funzione core del servizio; in assenza di accesso alla posizione, Spotlight e la pubblicazione di contenuti geolocalizzati non sono tecnicamente utilizzabili.
f) Token del dispositivo per notifiche push
Al momento del consenso alle notifiche da parte del sistema operativo (iOS/Android), l'applicazione raccoglie il token univoco del dispositivo per l'invio di notifiche push (aggiornamenti sull'app, messaggi, eventi nelle vicinanze).
Base giuridica: Art. 6.1.b GDPR — erogazione del servizio di notifica. La raccolta del token è condizionata al consenso alle notifiche espresso dall'utente a livello di sistema operativo.
g) Dati tecnici e di sessione
- Token di sessione (JWT) conservati in forma cifrata, con scadenza automatica
- Token di refresh per il mantenimento della sessione (con TTL definito)
- Dati tecnici del dispositivo necessari per il corretto funzionamento dell'app (non associati a identificativi pubblicitari)
Base giuridica: Art. 6.1.b GDPR — necessari per l'autenticazione e la sicurezza della sessione.
4.3 Dati non raccolti e trattamenti non effettuati
VibesOut non raccoglie e non effettua i seguenti trattamenti:
Dati non raccolti:
- Dati biometrici identificativi (impronte digitali, scansione dell'iride)
- Dati sanitari o relativi alla salute
- Dati genetici
- Informazioni su opinioni politiche, credenze religiose o affiliazioni sindacali
- Identificativi pubblicitari del dispositivo (IDFA su iOS, GAID su Android)
- Dati per finalità pubblicitarie profilate o comportamentali
Riconoscimento facciale — dichiarazione esplicita (Art. 9 GDPR)
VibesOut non utilizza e non ha mai utilizzato tecnologie di riconoscimento facciale, identificazione biometrica o analisi delle caratteristiche fisiche sulle fotografie caricate dagli utenti. Le immagini sono trattate esclusivamente come file multimediali da visualizzare e non vengono elaborate da sistemi di analisi biometrica. Qualora in futuro venissero integrate funzionalità che implicano trattamento biometrico, il Titolare aggiornerà la presente informativa con congruo preavviso e raccoglierà il consenso esplicito richiesto dall'Art. 9.2.a GDPR.
Pubblicità comportamentale — dichiarazione esplicita
VibesOut non mostra pubblicità di alcun tipo agli utenti, né profilata né contestuale. La piattaforma non trasmette dati degli utenti a reti pubblicitarie, broker di dati o piattaforme di advertising (es. Google Ads, Meta Ads, TikTok Ads). Nessun dato personale viene utilizzato per finalità di marketing verso terzi. Qualora in futuro venisse introdotta pubblicità, il Titolare provvederà ad aggiornare la presente informativa e a raccogliere il consenso specifico richiesto dalla normativa applicabile (GDPR + ePrivacy).
Profilazione comportamentale da geolocalizzazione — dichiarazione esplicita (EDPB Guidelines 4/2019)
VibesOut non costruisce profili comportamentali dagli spostamenti geografici degli utenti. Le coordinate GPS vengono utilizzate esclusivamente per le funzionalità real-time (Spotlight — prossimità sociale in tempo reale; ricerca eventi nelle vicinanze) e non vengono archiviate storicamente né analizzate per inferire abitudini, luoghi di residenza, luoghi di lavoro, strutture mediche frequentate, luoghi di culto o qualsiasi altro pattern comportamentale. Il Titolare è consapevole che tale tipo di profilazione costituirebbe trattamento ad alto rischio ai sensi dell'Art. 35 GDPR e delle Linee Guida EDPB 4/2019, e si impegna a non introdurla senza previa Valutazione d'Impatto (DPIA) e aggiornamento dell'informativa.
5. Modalità di Registrazione e Autenticazione
L'utente può registrarsi o accedere a VibesOut tramite le seguenti modalità:
a) Registrazione manuale
L'utente può creare un account fornendo direttamente all'applicazione i propri dati (nome, cognome, indirizzo email e password). Questi dati vengono trattati direttamente e unicamente dal Titolare per le finalità descritte nella sezione 4.1.
b) Google (Sign in with Google)
Google LLC agisce come Titolare autonomo del trattamento per i dati dell'account Google dell'utente. L'applicazione riceve esclusivamente i dati che l'utente ha espressamente autorizzato (email, nome, identificativo Google). L'utente è invitato a consultare l'informativa privacy di Google: https://policies.google.com/privacy
c) Apple (Sign in with Apple)
Apple Inc. agisce come Titolare autonomo del trattamento per i dati dell'account Apple dell'utente. Apple offre la possibilità di mascherare l'email reale con un indirizzo relay. L'applicazione riceve esclusivamente il token di autenticazione e, se autorizzato, l'email. L'utente è invitato a consultare l'informativa privacy di Apple: https://www.apple.com/legal/privacy/
I dati ricevuti da questi servizi vengono trattati da VibesOut esclusivamente per la creazione e la gestione dell'account utente.
6. Destinatari dei Dati — Responsabili del Trattamento
I dati personali degli utenti sono condivisi con i seguenti soggetti terzi, in qualità di Responsabili del Trattamento ai sensi dell'Art. 28 GDPR, sulla base di specifici contratti di trattamento dati (DPA):
| Fornitore | Servizio | Sede | DPA | Trasferimento Extra-UE |
|---|---|---|---|---|
| Hetzner GmbH | Hosting server e database | Germania 🇩🇪 | Firmata | Nessuno — dati in UE |
| Google LLC (Firebase Auth) | Autenticazione utenti | USA 🇺🇸 | Google Cloud DPA | SCCs + EU-U.S. DPF |
| Google LLC (Maps Platform) | Geocodifica e mappe | USA 🇺🇸 | Google Cloud DPA | SCCs + EU-U.S. DPF |
| Google LLC (Vertex AI / Cloud AI) | Elaborazione contenuti con AI | USA/EU 🇺🇸/🇪🇺 | Google Cloud DPA | Vertex AI su regione EU |
| Cloudflare Inc. | Archiviazione file media | USA / Storage EU 🇺🇸/🇪🇺 | DPA Cloudflare | SCCs + EU-U.S. DPF — storage EU |
| Functional Software Inc. (Sentry) | Monitoraggio errori tecnici (app mobile e sito web) | USA / EU Region 🇺🇸/🇩🇪 | Sentry DPA | SCCs + DPF — regione EU attiva |
| Amplitude Inc. | Analisi del comportamento degli utenti sul sito web (analytics di prodotto) | USA 🇺🇸 | Amplitude DPA | SCCs + EU-U.S. DPF |
| Google LLC (Google Analytics 4) | Misurazione del traffico e delle sorgenti di acquisizione sul sito web vibesout.com | USA 🇺🇸 | Google Cloud DPA | SCCs + EU-U.S. DPF |
Nessun dato personale viene venduto a terzi. Nessun dato personale viene condiviso con partner commerciali per finalità pubblicitarie.
6-bis. Cookie e Analytics del Sito Web (vibesout.com)
Tipologie di cookie utilizzati
Il sito web vibesout.com utilizza cookie e tecnologie di tracciamento analoghe. Alla prima visita, viene mostrato un banner informativo che consente all'utente di prestare o rifiutare il consenso all'uso di cookie analytics. La preferenza espressa è memorizzata localmente nel browser (localStorage) e rispettata nelle visite successive.
I cookie utilizzati si suddividono nelle seguenti categorie:
| Categoria | Fornitore | Finalità | Durata |
|---|---|---|---|
| Tecnici / Necessari | VibesOut | Memorizzazione della preferenza cookie espressa dall'utente (cookie-consent) | Persistente (localStorage) |
| Analytics | Google Analytics 4 (Google LLC) | Misurazione del traffico, sorgenti di acquisizione, pagine visitate, eventi di interazione (es. click su "Scarica App"). Dati pseudonimizzati e aggregati. | Fino a 2 anni |
| Analytics di Prodotto | Amplitude Inc. | Analisi del comportamento degli visitatori sul sito (pagine visualizzate, click, sessioni, sorgenti di traffico). Include Session Replay per la riproduzione anonimizzata delle sessioni utente al fine di identificare problemi di usabilità. Dati pseudonimizzati. | Fino a 1 anno |
| Monitoraggio Errori | Functional Software Inc. (Sentry) | Rilevamento automatico di errori JavaScript e problemi tecnici sul sito web. I dati raccolti (stack trace, URL, browser) sono tecnici e non contengono informazioni identificative dell'utente. | 90 giorni |
Base giuridica per i cookie analytics
Cookie tecnici e necessari: Art. 6.1.b GDPR — necessari per il funzionamento del banner di consenso. Non richiedono consenso ai sensi dell'Art. 5.3 Direttiva ePrivacy.
Cookie analytics e di prodotto (Google Analytics 4 e Amplitude): Art. 6.1.a GDPR — consenso dell'utente espresso tramite il banner cookie. L'utente può rifiutare il consenso senza che ciò comporti alcuna limitazione nell'accesso al sito. Il consenso può essere revocato in qualsiasi momento cancellando i dati del browser o contattando il Titolare.
Cookie di monitoraggio errori (Sentry): Art. 6.1.f GDPR — interesse legittimo del Titolare a garantire il corretto funzionamento tecnico del sito web. I dati sono esclusivamente tecnici e non permettono l'identificazione dell'utente.
Come disabilitare i cookie
Oltre al banner presente sul sito, l'utente può gestire o disabilitare i cookie direttamente dalle impostazioni del proprio browser. Si avverte che la disabilitazione di determinati cookie potrebbe influire sulla corretta visualizzazione di alcune funzionalità del sito. Per maggiori informazioni, consultare la guida del proprio browser.
7. Trasferimenti verso Paesi Terzi (Art. 44–49 GDPR)
Alcuni Responsabili del Trattamento sopra elencati hanno sede negli Stati Uniti d'America, paese non appartenente allo Spazio Economico Europeo. I trasferimenti avvengono nel rispetto delle seguenti garanzie:
- Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021 (Modulo 2 — da Titolare a Responsabile del Trattamento).
- EU-U.S. Data Privacy Framework (DPF), ove i fornitori sono certificati ai sensi della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
Ove tecnicamente possibile, i dati degli utenti UE sono elaborati preferenzialmente su infrastrutture con sede nell'Unione Europea (es. Hetzner DE, Vertex AI con regione EU, Sentry con regione EU — Frankfurt GCP, Cloudflare R2 con bucket EU).
8. Trasferimento del Servizio a Società Terza
I dati personali degli utenti potranno essere trasferiti a una società controllata o partecipata dal Titolare, ovvero a una società che subentrerà nella gestione del servizio VibesOut, mantenendo le medesime finalità di trattamento indicate nella presente informativa.
In tal caso, la società subentrante diventerà nuovo Titolare del trattamento e subentrerà nei rapporti contrattuali con gli interessati. Al momento del trasferimento, la società fornirà agli interessati un'informativa aggiornata con i propri dati di contatto e le modalità di esercizio dei diritti, nel rispetto dell'Art. 13 GDPR.
Il Titolare garantisce che qualsiasi trasferimento avverrà esclusivamente verso soggetti che offrano garanzie adeguate in materia di protezione dei dati personali e che mantengano il medesimo livello di tutela previsto dalla presente informativa e dal GDPR.
9. Periodo di Conservazione dei Dati (Art. 5.1.e GDPR)
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:
| Categoria di dato | Periodo di conservazione |
|---|---|
| Dati dell'account (email, nome, username) | Per tutta la durata dell'account. Dopo la cancellazione: anonimizzati entro 30 giorni, salvo obblighi legali |
| Password (hash) | Per tutta la durata dell'account; cancellata alla cancellazione account |
| Numero di telefono | Per tutta la durata dell'account |
| Data di nascita | Per tutta la durata dell'account |
| Genere (se fornito con consenso) | Fino a revoca del consenso o cancellazione account |
| Foto profilo e media pubblicati | Fino a cancellazione da parte dell'utente o cancellazione account |
| Messaggi privati | Conservati in forma cifrata nel database per tutta la durata della conversazione. Cancellati definitivamente su richiesta dell'utente tramite eliminazione dalla propria interfaccia in-app. Non esiste un termine automatico di scadenza: la conservazione cessa esclusivamente per atto volontario dell'utente o in seguito alla cancellazione dell'account. |
| Coordinate GPS | Non conservate permanentemente — aggiornate in tempo reale e non archiviate storicamente |
| Token di sessione (JWT) | Scadenza automatica dopo [X ore] di inattività |
| Token di refresh | 30 giorni dalla creazione, rinnovabili con l'uso |
| Token verifica telefono | 10 minuti dalla generazione |
| Token reset password | 1 ora dalla generazione |
| Log tecnici di errore (Sentry — app mobile e sito web) | 90 giorni |
| Dati analytics sito web (Google Analytics 4) | Fino a 2 anni (configurazione GA4 standard) |
| Dati analytics di prodotto sito web (Amplitude) | Fino a 1 anno |
| Dati tecnici di sessione | 30 giorni |
Alla scadenza dei periodi di conservazione, i dati sono cancellati in modo sicuro o anonimizzati in modo irreversibile.
10. Diritti dell'Interessato (Art. 15–22 GDPR)
L'utente ha il diritto di esercitare, in qualsiasi momento, i seguenti diritti:
Art. 15 — Diritto di accesso: ottenere conferma che siano trattati dati che lo riguardano e riceverne copia in formato strutturato, tramite la funzione "Scarica i miei dati" disponibile nelle impostazioni dell'applicazione.
Art. 16 — Diritto di rettifica: richiedere la correzione di dati personali inesatti o incompleti, direttamente dalle impostazioni del profilo o contattando il Titolare.
Art. 17 — Diritto alla cancellazione ("diritto all'oblio"): richiedere la cancellazione di tutti i dati personali tramite la funzione "Elimina account" nelle impostazioni dell'applicazione. La cancellazione avviene in cascata su tutti i dati associati (messaggi, contenuti, token, log). I dati sono anonimizzati entro 30 giorni dalla richiesta.
Art. 18 — Diritto di limitazione del trattamento: richiedere che il trattamento dei propri dati sia limitato nei casi previsti dalla norma (es. contestazione dell'esattezza dei dati, opposizione al trattamento durante la verifica dell'interesse legittimo).
Art. 20 — Diritto alla portabilità: ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON), tramite la funzione "Scarica i miei dati" nelle impostazioni.
Art. 21 — Diritto di opposizione: opporsi al trattamento dei propri dati nei casi in cui la base giuridica è l'interesse legittimo del Titolare.
Art. 7.3 — Revoca del consenso: revocare in qualsiasi momento il consenso prestato (es. per il campo genere, per le notifiche push) senza che ciò pregiudichi la liceità del trattamento precedente alla revoca.
Per esercitare i propri diritti, l'utente può:
- Utilizzare le funzioni integrate nell'applicazione (impostazioni → privacy)
- Inviare richiesta formale alla PEC del Titolare: danilomastropaolo@pec.it (canale con valore legale certificato, raccomandato per le richieste formali)
- Inviare richiesta via email ordinaria: info@vibesout.com (per richieste informali o di supporto — senza valore legale probatorio certificato)
Il Titolare risponde alle richieste entro 30 giorni dalla ricezione. In caso di richieste particolarmente complesse o numerose, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione all'interessato.
Diritto di reclamo: l'utente ha il diritto di proporre reclamo all'Autorità di controllo competente. Per gli utenti italiani: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it
11. Profilazione, Algoritmi e Decisioni Automatizzate (Art. 22 GDPR — Reg. UE 2024/1689)
11.1 Sistemi automatizzati in uso
L'applicazione VibesOut utilizza sistemi automatizzati per le seguenti finalità:
- Spotlight — prossimità sociale in tempo reale: funzionalità che consente all'utente di visualizzare altri utenti fisicamente presenti nella medesima area geografica e di interagire con loro. Il sistema non effettua raccomandazioni di contenuti né suggerisce eventi: mostra esclusivamente gli utenti co-presenti nell'immediata vicinanza fisica, ordinati per distanza geografica in tempo reale. Il parametro di ordinamento è unico: la distanza geografica tra l'utente e gli altri utenti presenti. Questo sistema non produce effetti giuridici o decisioni significative sull'utente — si tratta di una visualizzazione di prossimità che l'utente è libero di ignorare.
- Analisi AI per organizzatori: elaborazione di dati aggregati relativi agli eventi per generare insight statistici destinati all'organizzatore. I dati individuali degli utenti vengono aggregati e anonimizzati prima dell'elaborazione AI ove possibile.
- Moderazione assistita: rilevamento automatico di contenuti potenzialmente violanti le linee guida della comunità. La decisione finale è sempre soggetta a revisione umana prima di qualsiasi azione sull'account dell'utente.
11.2 Assenza di decisioni automatizzate vincolanti
VibesOut non adotta decisioni automatizzate che producano effetti giuridicamente vincolanti o significativi sull'utente senza intervento umano, ai sensi dell'Art. 22 GDPR. L'utente non è soggetto a decisioni basate unicamente su trattamento automatizzato che producano effetti sulla sua persona.
11.3 Diritto di contestazione
Qualora l'utente ritenga di essere stato soggetto a una decisione automatizzata che ha prodotto effetti significativi sul suo account (es. sospensione, rimozione contenuto), ha il diritto di richiedere revisione umana della decisione scrivendo a danilomastropaolo@pec.it con oggetto "Revisione decisione automatizzata — [username]". Il Titolare risponde entro 30 giorni.
12. Sicurezza dei Dati e Accountability (Art. 32 e Art. 5.2 GDPR)
12.1 Misure tecniche e organizzative (Art. 32)
Il Titolare adotta misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, tra cui:
- Cifratura delle comunicazioni in transito (TLS/HTTPS)
- Hashing delle password con algoritmo bcrypt
- Hashing dei token sensibili prima della persistenza nel database
- Scadenza automatica (TTL) di tutti i token di sessione e verifica
- Accesso al database limitato al personale autorizzato
- Monitoraggio tecnico degli errori tramite sistema dedicato (Sentry, con regione EU e filtri PII attivi)
- Server database ospitati su infrastruttura certificata ISO 27001 (Hetzner, Germania)
In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà degli utenti, il Titolare notificherà l'evento al Garante entro 72 ore dalla scoperta (Art. 33 GDPR) e, se la violazione è di elevata gravità, ne informerà tempestivamente gli utenti interessati (Art. 34 GDPR).
12.2 Documentazione di accountability (Art. 5.2 e Art. 30 GDPR)
In conformità al principio di accountability (Art. 5.2 GDPR), il Titolare mantiene e aggiorna un Registro delle Attività di Trattamento (Art. 30 GDPR), documento interno che elenca tutte le attività di trattamento, le relative finalità, basi giuridiche, categorie di dati e misure di sicurezza adottate. Tale registro non è pubblico ma il Titolare si impegna a esibirlo all'Autorità di controllo su richiesta, nel rispetto dell'Art. 31 GDPR.
13. App Store — Dichiarazioni di Conformità
La presente informativa costituisce la documentazione ufficiale sul trattamento dei dati ai fini delle dichiarazioni richieste dagli store di distribuzione dell'applicazione:
- Apple App Store (Privacy Nutrition Labels): le categorie di dati dichiarate nella scheda dell'applicazione sull'App Store rispecchiano quanto descritto nella presente informativa. In caso di discrepanza tra la scheda App Store e questa informativa, prevale quest'ultima come documento legalmente vincolante.
- Google Play Store (Data Safety Section): le informazioni fornite nella sezione "Sicurezza dei dati" della scheda Google Play rispecchiano quanto descritto nella presente informativa. L'utente è invitato a consultare entrambe le fonti per una visione completa.
Il Titolare si impegna ad aggiornare le dichiarazioni sugli store contestualmente a ogni modifica sostanziale della presente informativa.
14. Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di aggiornare la presente informativa in qualsiasi momento, in particolare in caso di:
- Modifiche normative o nuove linee guida del Garante o dell'EDPB
- Introduzione di nuove funzionalità, nuovi fornitori o nuove finalità di trattamento
- Introduzione di servizi a pagamento (che comportano nuovi trattamenti per la gestione dei pagamenti)
- Trasferimento del servizio a nuova società
Le modifiche sostanziali saranno comunicate agli utenti tramite notifica in-app o via email con un preavviso di almeno 15 giorni prima dell'entrata in vigore. L'uso continuato del servizio successivo alla notifica implica accettazione dell'informativa aggiornata.
La versione vigente è sempre disponibile nell'applicazione alla sezione Impostazioni → Privacy e Termini.
Informativa Privacy VibesOut — Versione 1.1 — 11 aprile 2026
Aggiornamento: aggiunta sezione cookie sito web (Amplitude, Google Analytics 4, Sentry web), aggiornata tabella fornitori.
Titolare: Danilo Mastropaolo — info@vibesout.com | PEC: danilomastropaolo@pec.it