Privacy Policy

La presente informativa descrive come VARCO (marchio gestito da SERVIZI DIRETTI SRLS, in seguito "noi") raccoglie, utilizza e protegge i dati personali degli artisti iscritti alla piattaforma e dei visitatori che interagiscono con i loro portfolio. L'informativa è redatta ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati è:

SERVIZI DIRETTI SRLS
Marchio operativo: VARCO — Gateway to Emerging Art
Sede legale: Viale Guglielmo Oberdan 12/D, 05100 Terni (TR), Italia
P.IVA: 01642550550
Email generale: info@varco.gallery
Email privacy e diritti GDPR: privacy@varco.gallery
PEC: servizidirettisrls@pec.it

Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali o per esercitare i diritti GDPR (vedi Sezione 7), puoi contattarci via email all'indirizzo privacy@varco.gallery.

2. Dati che Raccogliamo

2.1 Dati dell'artista registrato

Quando un artista crea un account su VARCO, raccogliamo:

Dati di registrazione: nome, email, password (memorizzata esclusivamente come hash scryptSync con salt — il valore in chiaro non è mai salvato).
Dati di contatto pubblici: telefono, numero WhatsApp, indirizzo/luogo, email pubblica, link social (Instagram, Facebook, TikTok, YouTube, LinkedIn, Pinterest, Behance, Twitter/X). Questi dati sono visualizzati sul portfolio pubblico dell'artista.
Contenuti caricati: immagini delle opere, titoli, descrizioni, biografia (IT/EN), dichiarazione artistica, foto profilo, storico delle mostre.
Preferenze di design: palette colori estratta automaticamente dalle opere, scelte di tema.

2.2 Dati dei visitatori del portfolio

Quando un visitatore invia una richiesta informazioni tramite il modulo "Richiedi informazioni" presente sui siti portfolio, raccogliamo:

Dati identificativi: nome, email, numero di telefono (facoltativo).
Contenuto della richiesta: testo del messaggio, opera a cui si riferisce la richiesta (se applicabile), lingua (IT/EN).
Consenso GDPR: checkbox obbligatoria di accettazione della presente informativa.
Dati tecnici pseudonimizzati: hash SHA-256 (troncato a 16 caratteri) dell'indirizzo IP e dello User-Agent del browser, combinati con un salt segreto. Questi hash non permettono di risalire all'IP o all'UA originali e sono utilizzati esclusivamente per il rate-limiting anti-abuso.
Origine della richiesta: l'URL del sito da cui proviene la richiesta (header HTTP Origin).

2.3 Dati di pagamento

Quando un artista acquista un servizio a pagamento (es. Custom Domain, hosting VARCO, Social AI, Marketplace Pro), raccogliamo:

Dati di fatturazione: ragione sociale o nome, indirizzo, CAP/città/provincia, codice fiscale, partita IVA, codice SDI, PEC (se applicabile).
Dati dell'ordine: prodotto, importo, stato, riferimenti esterni al pagamento (es. ID transazione SumUp o PayPal, causale bonifico).

Non trattiamo direttamente dati di carte di credito. I pagamenti con carta sono elaborati dai provider autorizzati (vedi Sezione 5) che operano come titolari autonomi del trattamento per la parte di pagamento.

2.4 Dati tecnici e di log

Il server registra automaticamente log tecnici (richieste HTTP, errori, tempi di risposta) per diagnostica e sicurezza. I log contengono IP e User-Agent; vengono ruotati e cancellati regolarmente dal provider di hosting.

3. Finalità del Trattamento e Base Giuridica

Trattiamo i tuoi dati solo per le finalità descritte di seguito e sulla base giuridica indicata, ai sensi dell'art. 6 GDPR:

Finalità	Base giuridica	Categoria dati
Fornitura del servizio VARCO (account artista, generazione sito, gestione opere)	Esecuzione del contratto (art. 6.1.b)	Account + contenuti artista
Ricezione e inoltro delle richieste dei visitatori all'artista (email + WhatsApp handoff)	Consenso esplicito del visitatore (art. 6.1.a) + legittimo interesse dell'artista al contatto commerciale (art. 6.1.f)	Dati visitatore inquiry
Sicurezza della piattaforma (rate-limiting, anti-abuso, monitoraggio)	Legittimo interesse (art. 6.1.f)	Hash IP/UA + log tecnici
Fatturazione e obblighi fiscali	Obbligo legale (art. 6.1.c) + esecuzione del contratto	Dati fatturazione + ordini
Generazione contenuti social assistita da AI (servizio Social AI, in roadmap)	Consenso esplicito dell'artista (art. 6.1.a)	Biografia, opere, dichiarazione artistica
Pubblicazione automatica su Meta (Facebook/Instagram) via Social AI (in roadmap)	Consenso esplicito dell'artista (art. 6.1.a) + autorizzazione OAuth di Meta	Contenuti generati + account social
Comunicazioni di servizio (conferme ordini, notifiche richieste visitatori, reset password)	Esecuzione del contratto (art. 6.1.b)	Email artista
Marketing e comunicazioni promozionali (newsletter, inviti Alpha)	Consenso esplicito (art. 6.1.a) revocabile in ogni momento	Email + nome

4. Categorie Particolari di Dati (art. 9 GDPR)

VARCO non raccoglie intenzionalmente categorie particolari di dati (origine razziale/etnica, opinioni politiche, convinzioni religiose, dati sanitari, orientamento sessuale). Se un artista dovesse volontariamente includere contenuti autobiografici che rivelano tali informazioni all'interno della propria biografia o opere, è responsabile della pubblicazione di tali contenuti e può rimuoverli in qualsiasi momento dal proprio profilo.

5. Destinatari e Sub-processor

Per erogare il servizio utilizziamo fornitori tecnici terzi che possono trattare i tuoi dati in qualità di responsabili del trattamento (art. 28 GDPR). L'elenco completo aggiornato:

Fornitore	Servizio	Dati trattati	Paese
IONOS (1&1 IONOS SE)	Hosting sito, database MySQL, invio email SMTP	Tutti i dati piattaforma	Germania (UE)
Anthropic PBC	API Claude per generazione testi e bio AI	Contenuti artista inviati come input (biografia, descrizioni opere, immagini)	Stati Uniti
Meta Platforms, Inc. (Facebook, Instagram)	Pubblicazione automatica Social AI (futura, subordinata a consenso esplicito)	Contenuti social generati, credenziali OAuth	Stati Uniti / Irlanda (UE)
SumUp Limited	Pagamenti con carta	Dati transazione pagamento	Regno Unito / UE
PayPal (Europe) S.à r.l. et Cie, S.C.A.	Pagamenti PayPal	Dati transazione pagamento	Lussemburgo (UE)
eBay Inc. / Catawiki / Etsy (futuri)	Integrazione marketplace (servizio Marketplace Pro, in roadmap)	Contenuti opere, dati spedizione	USA / NL / USA

Non vendiamo né cediamo i tuoi dati a terzi per finalità commerciali. Non effettuiamo profilazione automatizzata con effetti giuridici sui tuoi diritti.

6. Trasferimento Dati Extra-UE

Alcuni dei nostri fornitori (Anthropic, Meta, eBay) hanno sede negli Stati Uniti. I trasferimenti di dati personali verso paesi extra-UE avvengono sulla base di:

Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, incluse nei contratti di sub-processing con ciascun fornitore;
EU-U.S. Data Privacy Framework (DPF) per i fornitori USA che vi hanno aderito (Meta, Anthropic);
Misure tecniche aggiuntive ove applicabili (crittografia in transito TLS, pseudonimizzazione).

Una Transfer Impact Assessment (TIA) specifica è disponibile su richiesta per ciascun trasferimento.

7. I Tuoi Diritti (GDPR art. 15-22)

In qualsiasi momento puoi esercitare i seguenti diritti:

Accesso — ottenere conferma del trattamento e copia dei dati personali che trattiamo (art. 15).
Rettifica — correggere dati inesatti o completare dati incompleti (art. 16). Nella maggior parte dei casi puoi farlo autonomamente dall'area /my-site.
Cancellazione ("diritto all'oblio") — richiedere la cancellazione dei tuoi dati quando non più necessari (art. 17). Obblighi fiscali sugli ordini (vedi Sezione 8) costituiscono eccezione.
Limitazione del trattamento (art. 18).
Portabilità — ricevere i dati in formato strutturato e leggibile meccanicamente (es. ZIP del portfolio) (art. 20).
Opposizione al trattamento basato su legittimo interesse (art. 21).
Revoca del consenso — in qualsiasi momento senza effetto sulla liceità del trattamento anteriore (art. 7.3).
Reclamo all'Autorità di controllo: Garante per la Protezione dei Dati Personali (art. 77).

Per esercitare i diritti, scrivi a privacy@varco.gallery specificando nome, email dell'account e diritto esercitato. Rispondiamo entro 30 giorni.

8. Conservazione dei Dati

Categoria dati	Periodo di conservazione	Motivo
Account artista attivi (profilo, opere)	Fino alla cancellazione richiesta dall'artista	Esecuzione del contratto
Account artista inattivi	24 mesi dall'ultimo accesso, poi cancellazione o anonimizzazione	Legittimo interesse + principio di minimizzazione
Richieste visitatori (inquiry)	12 mesi dalla data della richiesta	Gestione contatto commerciale + anti-abuso
Hash IP/UA per rate-limiting	20 minuti (sliding window)	Sicurezza piattaforma
Dati fatturazione e ordini	10 anni (obbligo legale art. 2220 c.c.)	Obblighi di legge fiscale
Log tecnici del server	Massimo 90 giorni	Sicurezza e diagnostica
Email transazionali inviate	12 mesi	Tracciabilità comunicazioni

9. Sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio, in linea con l'art. 32 GDPR:

Trasmissione protetta: tutte le comunicazioni client-server avvengono su HTTPS/TLS.
Password cifrate: memorizzate come hash scrypt con salt unico per account. Il valore in chiaro non è mai salvato.
Pseudonimizzazione: IP e User-Agent dei visitatori sono salvati come hash SHA-256 troncato con salt segreto.
Isolamento dati: i dati sono archiviati su server IONOS certificati ISO 27001 in Germania (UE).
Rate limiting: limiti di frequenza per prevenire abusi sul modulo richieste (3 richieste / 10 minuti per IP, 50 richieste / 24 ore per artista).
Controllo accessi: area admin protetta da token; area artista protetta da sessione cookie HttpOnly, SameSite=Lax.

10. Cookie

VARCO utilizza un numero limitato di cookie, tutti strettamente funzionali (non richiedono consenso ai sensi dell'art. 122 del Codice Privacy):

varco_token — cookie di sessione artista (HttpOnly, SameSite=Lax, durata 24 ore). Usato per mantenere l'artista autenticato dopo il login.
varco_admin — cookie di sessione amministratore della piattaforma (HttpOnly, SameSite=Lax, durata 30 giorni).

Non utilizziamo attualmente cookie di tracciamento, cookie pubblicitari o pixel di terze parti (Google Analytics, Facebook Pixel, ecc.). Qualora introducessimo strumenti di analytics, aggiorneremo questa informativa e richiederemo il consenso esplicito.

11. Minori

VARCO è rivolto ad artisti maggiorenni. Non raccogliamo intenzionalmente dati di minori di 16 anni. Se un genitore o tutore ritiene che un minore abbia fornito dati personali senza autorizzazione, può contattarci a privacy@varco.gallery per la cancellazione immediata.

12. Modifiche alla Presente Informativa

Ci riserviamo il diritto di aggiornare questa informativa per riflettere cambiamenti alla piattaforma, ai fornitori o al quadro normativo. La data in cima alla pagina indica l'ultima modifica. Le modifiche sostanziali saranno comunicate via email agli artisti registrati. Ti invitiamo a consultare periodicamente questa pagina.

13. Contatti

Per qualsiasi domanda sul trattamento dei tuoi dati personali o per esercitare i diritti descritti nella Sezione 7:

Email privacy: privacy@varco.gallery

PEC: servizidirettisrls@pec.it

Rispondiamo entro 30 giorni dalla ricezione della richiesta.

Disclaimer — Questa informativa è stata redatta sulla base delle pratiche attuali di VARCO e delle informazioni in possesso del Titolare al momento della pubblicazione. Per conformità legale completa in materia di GDPR, fatturazione elettronica, e-commerce italiano e conformità Meta/Instagram Business, si consiglia di consultare un avvocato o commercialista specializzato prima di fare affidamento su questo documento per obblighi contrattuali o di legge.