1. Titolare del trattamento
SAS Jalimani (sigla JLMN), SIREN 833 142 631, con sede legale in Normandia, Francia, tratta i dati personali tramite il servizio QronoPlay (qronoplay.fr).
Contatto: [email protected]
RPD designato: [email protected]
2. Finalità e basi giuridiche
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Creazione dell'account, gestione dell'abbonamento | Esecuzione del contratto (art. 6 c. 1 lett. b GDPR) | Durata del contratto + 3 anni |
| Gestione delle partecipazioni ai giochi | Esecuzione del contratto (art. 6 c. 1 lett. b) — raccomandazione CNIL IS001 | 6 mesi dopo la consegna del premio per i vincitori; cancellazione subito dopo l'estrazione finale per i non vincitori |
| Lotta alle frodi, sicurezza | Legittimo interesse (art. 6 c. 1 lett. f) | 12 mesi (log) |
| Prospezione B2B su indirizzi professionali generici | Legittimo interesse (art. 6 c. 1 lett. f) | 3 anni dall'ultimo contatto |
| Invio della newsletter | Consenso (art. 6 c. 1 lett. a) | Fino alla disiscrizione |
| Obblighi contabili e fiscali | Obbligo di legge (art. 6 c. 1 lett. c) | 10 anni |
3. Destinatari dei dati
I dati sono accessibili ai servizi interni di SAS Jalimani e ai nostri responsabili del trattamento vincolati contrattualmente:
- OVH SAS (hosting dei server, Francia) — 2 rue Kellermann, 59100 Roubaix
- Resend, Inc. (invio di e-mail transazionali) — Stati Uniti
- Mollie B.V. (elaborazione dei pagamenti) — Keizersgracht 313, 1016 EE Amsterdam, Paesi Bassi
- Stripe Payments Europe (elaborazione dei pagamenti) — 1 Grand Canal Street Lower, Grand Canal Dock, Dublino, Irlanda
4. Elenco dei sub-responsabili del trattamento (art. 28 GDPR)
Ai sensi dell'articolo 28 del GDPR, di seguito è riportato l'elenco esaustivo dei nostri sub-responsabili del trattamento. Ci impegniamo a notificare qualsiasi modifica 30 giorni prima della sua entrata in vigore.
| Sub-responsabile | Servizio | Paese | Dati trattati | Garanzie |
|---|---|---|---|---|
| OVH SAS | Hosting | Francia 🇫🇷 | Tutti i dati (database + storage) | Hosting UE — Roubaix / Strasburgo |
| Mollie B.V. | Pagamento | Paesi Bassi 🇳🇱 | Email + dati di pagamento | DPA + rigorosa conformità GDPR |
| Resend Inc. | Email transazionali | USA 🇺🇸 ⚠️ | Email + nome + contenuto delle email | CCT + TIA (Clausole Contrattuali Tipo 2021 + Transfer Impact Assessment) |
| Sentry.io | Monitoraggio errori | USA 🇺🇸 ⚠️ | Stack trace (anonimizzati) | CCT + TIA + configurazione IP scrubbing |
| Cloudflare Inc. | CDN + WAF | USA 🇺🇸 ⚠️ | IP + header HTTP | CCT + TIA + residenza dati UE opzionale |
| Trustpilot A/S | Recensioni clienti | Danimarca 🇩🇰 | Email + recensioni | Rigorosa conformità GDPR UE |
| Google LLC (reCAPTCHA) | Anti-bot | USA 🇺🇸 ⚠️ | IP + comportamento | CCT + TIA (alternativa hCaptcha in valutazione) |
⚠️ I sub-responsabili statunitensi sono soggetti a garanzie specifiche descritte nella sezione 5 di seguito.
5. Trasferimenti al di fuori dell'UE
I dati sono ospitati esclusivamente in Francia (OVH Roubaix). Per i sub-responsabili statunitensi contrassegnati con ⚠️, applichiamo le Clausole Contrattuali Tipo (CCT 2021) approvate dalla Commissione europea, accompagnate da una Transfer Impact Assessment conforme alla sentenza Schrems II (C-311/18). Tali misure garantiscono un livello di protezione equivalente a quello richiesto dal GDPR.
6. I Suoi diritti
In conformità al GDPR e alla normativa francese sulla protezione dei dati, Lei dispone dei seguenti diritti: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso e definizione di direttive post mortem.
Esercizio: [email protected] oppure per posta a SAS Jalimani, Normandia, Francia.
Tempo di risposta: 1 mese (prorogato di 2 mesi in caso di richieste complesse).
Reclamo all'autorità: per la Francia www.cnil.fr (CNIL); in Italia il Garante per la protezione dei dati personali.
Per revocare il Suo consenso al marketing dei partner, utilizzi il link «Annulla iscrizione» presente in ogni e-mail ricevuta, oppure contatti il RPD.
7. Cookie
Il sito utilizza cookie strettamente necessari (sessioni, sicurezza) senza consenso preventivo. I cookie di terze parti (misurazione del pubblico, marketing) vengono installati solo previo consenso esplicito tramite il gestore tarteaucitron. Nessun cookie pubblicitario. Durata massima: 13 mesi.
8. Sicurezza
Cifratura TLS in transito, base di dati cifrata a riposo, backup quotidiano, MFA per gli accessi amministrativi, isolamento degli ambienti.
9. Clienti B2B — Responsabile del trattamento (art. 28 GDPR)
Quando Lei utilizza QronoPlay per raccogliere e trattare i dati dei Suoi giocatori, QronoPlay agisce in qualità di responsabile del trattamento e Lei è il titolare del trattamento. Un contratto di nomina a responsabile (Data Processing Agreement) standard, conforme all'articolo 28 GDPR, è disponibile su qronoplay.fr/dpa.
10. Modifiche
La presente informativa può evolvere. Ogni modifica sostanziale sarà notificata via e-mail agli account attivi con un preavviso di 30 giorni rispetto alla sua applicazione.