BROCO

Informativa sulla privacy

La presente informativa descrive le modalità con cui BROCO raccoglie, utilizza, condivide e protegge i dati personali degli utenti della propria piattaforma. È redatta in conformità alla Legge federale svizzera sulla protezione dei dati (nLPD, in vigore dal 1° settembre 2023) e al Regolamento generale sulla protezione dei dati (GDPR, UE 2016/679) per gli utenti stabiliti nell'Unione europea.

1. Identità del titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite la Piattaforma è BROCO.

Nessun responsabile della protezione dei dati (DPO) è stato formalmente designato. Qualsiasi richiesta relativa ai dati personali o alla presente informativa può essere inviata a: jeremie@broco-app.com.

2. Dati che raccogliamo

Raccogliamo diverse categorie di dati, esclusivamente per le finalità descritte all'articolo 3.

2.1 Dati di account e di autenticazione

Indirizzo email, password (memorizzata come hash scrypt e mai in chiaro), data di creazione dell'account, statuto dell'account (Iscritto / Produttore), locale (lingua preferita).

Quando l'utente si iscrive o si connette tramite Google OAuth, riceviamo i dati strettamente necessari forniti da Google (identificativo Google, indirizzo email, nome, foto del profilo se del caso).

2.2 Dati di profilo

Nome o pseudonimo, avatar (immagine ospitata su Cloudinary), biografia o breve descrizione, lingua preferita.

2.3 Dati specifici dei Produttori

Descrizione del produttore, indirizzo postale, coordinate geografiche (latitudine / longitudine), numero di telefono, sito web, settori di attività, fotografie dei locali o delle produzioni.

2.4 Consensi

All'atto dell'iscrizione, raccogliamo tre consensi distinti il cui stato viene conservato: `geoConsent` (utilizzo della geolocalizzazione), `marketingConsent` (ricezione di comunicazioni di marketing) e `notificationConsent` (invio di notifiche push). Ciascun consenso può essere revocato in qualsiasi momento dalle impostazioni dell'Account.

2.5 Contenuti pubblicati dall'utente

Pubblicazioni, messaggi scambiati con altri utenti, commenti, fotografie, recensioni e valutazioni, manifestazioni di interesse per Attività, relazioni di sottoscrizione (follow / unfollow).

2.6 Dati relativi all'Abbonamento Pro

Identificativo cliente Stripe, identificativo di abbonamento Stripe, statuto dell'abbonamento, date dei periodi, cronologia di fatturazione. BROCO non memorizza né ha accesso ai dati della carta di credito, gestiti esclusivamente da Stripe.

2.7 Dati tecnici

Indirizzo IP, tipo di browser, sistema operativo, identificativo di sessione, identificativo OneSignal (player ID) per le notifiche push, log tecnici (timestamp, URL chiamate, codici di risposta).

2.8 Cookie e tracciatori

Cookie essenziali (sessione, autenticazione, preferenza di lingua, consensi); cookie di misurazione di audience (PostHog EU). Si veda l'articolo 9 per il dettaglio.

3. Finalità e basi legali

Ciascun trattamento si fonda su una finalità precisa e su una base legale identificata ai sensi del GDPR e della nLPD. La tabella seguente riassume i principali trattamenti:

  • Creazione e gestione dell'Account → esecuzione del contratto (art. 6.1.b GDPR; art. 31 cpv. 2 lett. a nLPD).
  • Messa in relazione Iscritto ↔ Produttore → esecuzione del contratto.
  • Hosting e pubblicazione dei Contenuti → esecuzione del contratto.
  • Gestione dell'Abbonamento Pro e fatturazione → esecuzione del contratto.
  • Invio di notifiche push → consenso (art. 6.1.a GDPR).
  • Geolocalizzazione per suggerimenti di Attività nelle vicinanze → consenso.
  • Comunicazioni di marketing (newsletter, promozioni BROCO) → consenso.
  • Misurazione di audience e analisi di prodotto (PostHog EU) → interesse legittimo, miglioramento del servizio (vedi art. 9).
  • Sicurezza, prevenzione delle frodi e risoluzione delle controversie → legittimo interesse.
  • Rispetto degli obblighi legali (contabilità, richieste delle autorità) → obbligo legale.

4. Destinatari e responsabili del trattamento

BROCO ricorre a prestatori tecnici (responsabili del trattamento ai sensi del GDPR / mandatari ai sensi della nLPD) per garantire il funzionamento della Piattaforma. Ciascuno è vincolato da un contratto di trattamento che assicura un adeguato livello di protezione dei dati personali.

  • Vercel Inc. — hosting dell'applicazione web (Next.js) — regione di Francoforte, Unione europea.
  • Railway Corporation — hosting del server API e della banca dati PostgreSQL — regione Unione europea.
  • Stripe Payments Europe Ltd. — trattamento dei pagamenti dell'Abbonamento Pro — Dublino, Irlanda (UE).
  • Cloudinary — CDN per immagini, fotografie e avatar — Stati Uniti (trasferimento extra-UE, si veda l'articolo 5).
  • OneSignal — diffusione delle notifiche push — Stati Uniti (trasferimento extra-UE, si veda l'articolo 5).
  • PostHog EU — misurazione di audience e analytics di prodotto — Francoforte, Unione europea.
  • Brevo — sincronizzazione dei consensi di marketing e invio delle email di marketing — Francia, Unione europea.
  • Google LLC — autenticazione OAuth e servizi Google Places (completamento automatico di indirizzi) — Stati Uniti (trasferimento extra-UE, si veda l'articolo 5).

5. Trasferimenti extra-UE / Svizzera

Alcuni dei nostri responsabili del trattamento sono stabiliti al di fuori dello Spazio economico europeo e al di fuori della Svizzera, in particolare Cloudinary, OneSignal e Google LLC (Stati Uniti).

Tali trasferimenti sono disciplinati da Clausole Contrattuali Tipo (CCT) adottate dalla Commissione europea ai sensi dell'articolo 46 GDPR, integrate se del caso da misure tecniche e organizzative supplementari. Per i trasferimenti dalla Svizzera, tali clausole sono riconosciute dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) come idonee a offrire un livello adeguato di protezione, conformemente ai requisiti della nLPD (art. 16 nLPD).

È possibile ottenere copia delle garanzie messe in atto scrivendo a jeremie@broco-app.com.

6. Tempi di conservazione

I tempi di conservazione applicati da BROCO sono i seguenti:

  • Dati di Account: per tutta la durata di attività dell'Account. Alla cancellazione dell'Account, i dati identificativi sono cancellati o anonimizzati entro trenta (30) giorni, ad eccezione delle informazioni necessarie al rispetto di obblighi legali (in particolare contabili) che sono conservate fino a tre (3) anni dopo la cancellazione.
  • Dati di fatturazione e abbonamento: dieci (10) anni a decorrere dall'emissione, conformemente agli obblighi contabili svizzeri (art. 958f CO).
  • Log tecnici: dodici (12) mesi a decorrere dalla loro generazione.
  • Messaggi scambiati tra Utenti: ventiquattro (24) mesi a decorrere dall'ultima attività sul thread di messaggi.
  • Consensi: fino alla revoca; lo storico delle revoche è conservato a titolo probatorio per tre (3) anni.
  • Dati di misurazione di audience (PostHog): tredici (13) mesi al massimo.

7. I Suoi diritti

Conformemente alla nLPD e al GDPR, Lei dispone dei seguenti diritti sui Suoi dati personali:

  • Diritto di accesso: ottenere conferma che dati che La riguardano sono trattati e ottenerne copia (art. 25 nLPD, art. 15 GDPR).
  • Diritto di rettifica: ottenere la correzione di dati inesatti (art. 32 cpv. 1 nLPD, art. 16 GDPR).
  • Diritto di cancellazione (« diritto all'oblio »): ottenere la cancellazione dei Suoi dati, fatti salvi gli obblighi legali applicabili (art. 32 cpv. 2 nLPD, art. 17 GDPR).
  • Diritto alla limitazione del trattamento (art. 18 GDPR).
  • Diritto alla portabilità dei Suoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 28 nLPD, art. 20 GDPR).
  • Diritto di opposizione al trattamento, in particolare alla profilazione e al marketing diretto (art. 30 nLPD, art. 21 GDPR).
  • Diritto di revocare il Suo consenso in qualsiasi momento, senza che ciò pregiudichi la liceità dei trattamenti effettuati prima della revoca (art. 7 GDPR).
  • Diritto di proporre reclamo presso un'autorità di controllo: l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT, www.edoeb.admin.ch) per la Svizzera, o l'autorità di controllo competente del Suo luogo di residenza per l'UE (Garante per la protezione dei dati personali in Italia, CNIL in Francia, ecc.).

Esercizio dei diritti

Per esercitare tali diritti, invii la Sua richiesta a jeremie@broco-app.com precisando l'identificativo dell'Account interessato. BROCO si impegna a rispondere entro trenta (30) giorni dal ricevimento della richiesta, prorogabili di sessanta (60) giorni supplementari in caso di richiesta complessa (art. 12.3 GDPR).

BROCO potrà chiederLe un documento d'identità in caso di ragionevole dubbio sull'identità del richiedente, al fine di evitare qualsiasi comunicazione abusiva di dati personali a terzi.

8. Sicurezza

BROCO attua misure tecniche e organizzative ragionevoli per proteggere i dati personali, in particolare:

  • Cifratura TLS (HTTPS) per tutte le comunicazioni tra la Piattaforma e gli utenti;
  • Hashing crittografico delle password tramite l'algoritmo scrypt (le password non sono mai memorizzate in chiaro);
  • Controllo degli accessi basato su ruoli lato server (autorizzazioni differenziate Iscritto / Produttore / amministrazione);
  • Backup regolari e cifrati della banca dati;
  • Aggiornamento regolare delle dipendenze software e delle patch di sicurezza.

9. Cookie e tracciatori

La Piattaforma utilizza un numero limitato di cookie e identificativi tecnici per funzionare e migliorare l'esperienza utente.

  • Cookie essenziali (sessione, autenticazione, preferenza di lingua): indispensabili al funzionamento della Piattaforma, non richiedono il consenso.
  • Cookie e identificativi di misurazione di audience (PostHog EU): utilizzati per comprendere l'utilizzo della Piattaforma e migliorarlo. Tali dati sono ospitati a Francoforte (UE).

Trasparenza tecnica

La strumentazione PostHog è attivata per ogni utente della Piattaforma, dall'accettazione delle Condizioni generali e della presente Informativa. I dati raccolti (eventi di utilizzo, registrazioni di sessione) sono utilizzati esclusivamente per comprendere l'uso del servizio, migliorarne la qualità e correggere i difetti. Non sono mai utilizzati per finalità di marketing né trasmessi a terzi per finalità commerciali.

Puoi opporti alla misurazione di audience disattivando i cookie di terze parti nel tuo browser o inviandoci una richiesta a jeremie@broco-app.com.

10. Minori

La Piattaforma è accessibile alle persone di almeno sedici (16) anni. BROCO non raccoglie consapevolmente dati personali relativi a bambini di età inferiore a 16 anni. Qualora venissimo a conoscenza del fatto che un Account è stato creato da un minore di 16 anni, procederemo alla sua cancellazione nel più breve tempo possibile.

11. Decisioni automatizzate

BROCO non attua alcuna decisione automatizzata, ai sensi dell'articolo 22 GDPR e dell'articolo 21 nLPD, che produca effetti giuridici nei confronti degli utenti o che li incida in modo significativo in modo analogo.

12. Modifiche della presente informativa

BROCO si riserva il diritto di modificare la presente informativa sulla privacy in qualsiasi momento, in particolare per tener conto delle evoluzioni legislative, giurisprudenziali o tecniche.

Qualsiasi modifica sostanziale sarà notificata agli utenti con qualsiasi mezzo utile (notifica nella Piattaforma, email) prima della sua entrata in vigore.

13. Contatti

Per qualsiasi domanda relativa al trattamento dei Suoi dati personali o alla presente informativa, può scriverci a: jeremie@broco-app.com.

Ultimo aggiornamento: 15 maggio 2026