Politica GDPR — Toveria
Versione 2.0 — Giugno 2026
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016
Marketplace europea BtoC, CtoC, CtoB e BtoB — Vendita dall'Europa verso il resto del mondo
1. Identità e contatti del titolare del trattamento
| |
|---|
| Titolare del trattamento | Kamel DOURA (ditta individuale Toveria) |
| Forma giuridica | Ditta individuale (DI) |
| Indirizzo | 12 Rue de la Part-Dieu, 69003 Lione, Francia |
| SIRET | 978 781 227 00019 |
| RCS | 978 781 227 R.C.S. Lione |
| Numero IVA | FR 45 978 781 227 |
| Email DPO | dpo@toveria.com |
| Email GDPR | dpo@toveria.com |
| Autorità di controllo | CNIL — 3 place de Fontenoy, 75007 Parigi — cnil.fr |
2. Responsabile della Protezione dei Dati (DPO)
Toveria ha designato un Responsabile della Protezione dei Dati (DPO) in conformità all'articolo 37 del GDPR.
Contatti DPO :
📧 dpo@toveria.com
📮 Toveria — DPO (Kamel DOURA), 12 Rue de la Part-Dieu, 69003 Lione, Francia
Il DPO è il vostro interlocutore privilegiato per qualsiasi domanda relativa alla protezione dei vostri dati personali. È inoltre l'interlocutore della CNIL.
3. Registro delle attività di trattamento (art. 30 GDPR)
3.1 Gestione degli account utenti
| Campo | Dettaglio |
|---|
| Finalità | Creazione, autenticazione e gestione degli account |
| Base legale | Esecuzione del contratto (art. 6.1.b) |
| Dati trattati | Nome, cognome, email, telefono, data di nascita, indirizzo, paese, pseudonimo, avatar |
| Destinatari | Supabase (hosting database), Twilio (verifica SMS) |
| Durata della conservazione | Durata della vita dell'account + 3 anni dopo la chiusura |
| Trasferimento fuori UE | Twilio (Stati Uniti) — SCC UE |
3.2 Verifica dell'identità telefonica (OTP)
| Campo | Dettaglio |
|---|
| Finalità | Verifica del numero di telefono durante l'iscrizione e la modifica del profilo |
| Base legale | Esecuzione del contratto (art. 6.1.b) + obbligo legale KYC parziale |
| Dati trattati | Numero di telefono (formato E.164), timestamp di verifica |
| Destinatari | Twilio Verify (Stati Uniti) |
| Durata della conservazione | Durata della vita dell'account |
| Trasferimento fuori UE | Twilio (Stati Uniti) — SCC UE |
3.3 Autenticazione a più fattori (2FA/TOTP)
| Campo | Dettaglio |
|---|
| Finalità | Rafforzamento della sicurezza dell'account |
| Base legale | Interesse legittimo — sicurezza (art. 6.1.f) |
| Dati trattati | Segreto TOTP (crittografato), codici di backup (hash SHA-256), timestamp di attivazione |
| Destinatari | Supabase (archiviazione crittografata) |
| Durata della conservazione | Durata della vita dell'account |
| Trasferimento fuori UE | No |
3.4 Pubblicazione e gestione degli annunci
| Campo | Dettaglio |
|---|
| Finalità | Pubblicazione online e gestione degli annunci di vendita |
| Base legale | Esecuzione del contratto (art. 6.1.b) |
| Dati trattati | Titolo, descrizione, prezzo, foto, video, categoria, localizzazione (città, paese), hashtag, stato dell'articolo |
| Destinatari | Supabase Storage (foto), CDN Supabase |
| Durata della conservazione | Durata della pubblicazione. Dopo l'eliminazione da parte del membro: media rimossi immediatamente, annuncio eliminato definitivamente a 180 giorni. Annuncio collegato a un ordine: conservato fino a 5 anni (prova di transazione). |
3.5 Trattamento delle transazioni e dei pagamenti
| Campo | Dettaglio |
|---|
| Finalità | Elaborazione sicura dei pagamenti, escrow, trasferimento ai venditori |
| Base legale | Esecuzione del contratto (art. 6.1.b) |
| Dati trattati | Importi (articolo, commissioni, spedizione), riferimento di pagamento, stato dell'ordine, indirizzo di consegna, nome dell'acquirente, paese |
| Destinatari | Stripe Inc. (pagamenti, KYC Connect venditori) |
| Durata della conservazione | 10 anni (Codice di commercio) |
| Trasferimento fuori UE | Stripe (Stati Uniti) — SCC UE + Privacy Shield 2.0 |
3.6 Verifica KYC dei venditori (Stripe Connect)
| Campo | Dettaglio |
|---|
| Finalità | Verifica dell'identità dei venditori per i trasferimenti (obbligo AML) |
| Base legale | Obbligo legale (art. 6.1.c) — Direttiva antiriciclaggio |
| Dati trattati | Documento di identità, IBAN, SIRET, dati fiscali — trattati esclusivamente da Stripe |
| Destinatari | Stripe Connect |
| Durata della conservazione | 5 anni dopo la chiusura dell'account Stripe Connect (obbligo Stripe) |
| Trasferimento fuori UE | Stripe (Stati Uniti) — SCC UE |
3.7 Messaggistica e conversazioni
| Campo | Dettaglio |
|---|
| Finalità | Messa in relazione tra acquirenti e venditori |
| Base legale | Esecuzione del contratto (art. 6.1.b) |
| Dati trattati | Messaggi di testo, foto condivise, offerte di prezzo, timestamp |
| Destinatari | Supabase Realtime |
| Durata della conservazione | Fase attiva di 6 mesi dopo l'ultimo messaggio, quindi archiviazione intermedia ad accesso limitato, quindi eliminazione: 24 mesi (senza ordine) o 5 anni (con ordine). |
| Trasferimento fuori UE | No (server UE) |
3.8 Notifiche email transazionali
| Campo | Dettaglio |
|---|
| Finalità | Invio di notifiche di ordine, spedizione, offerta, ecc. |
| Base legale | Esecuzione del contratto (art. 6.1.b) |
| Dati trattati | Email, nome, dati della transazione interessata |
| Destinatari | Resend Inc. (Stati Uniti) |
| Durata della conservazione | Log di invio: 30 giorni |
| Trasferimento fuori UE | Resend (Stati Uniti) — SCC UE |
3.9 Notifiche push
| Campo | Dettaglio |
|---|
| Finalità | Invio di notifiche push web |
| Base legale | Consenso (art. 6.1.a) — facoltativo, revocabile |
| Dati trattati | Identificativo del dispositivo (Player ID OneSignal), preferenze di notifica |
| Destinatari | OneSignal Inc. (Stati Uniti) |
| Durata della conservazione | Durata della vita dell'account |
| Trasferimento fuori UE | OneSignal (Stati Uniti) — SCC UE |
| Campo | Dettaglio |
|---|
| Finalità | Dichiarazione annuale all'Agenzia delle Entrate dei venditori che superano le soglie legali |
| Base legale | Obbligo legale (art. 6.1.c) — Direttiva (UE) 2021/514 |
| Dati trattati | Nome, cognome, indirizzo, data di nascita, NIF, SIRET, IVA, redditi annuali, numero di transazioni |
| Destinatari | Agenzia delle Entrate (Italia) |
| Durata della conservazione | 10 anni |
| Trasferimento fuori UE | No |
3.11 Verifica IVA (VIES)
| Campo | Dettaglio |
|---|
| Finalità | Verifica della validità del numero di IVA intracomunitario |
| Base legale | Obbligo legale (art. 6.1.c) |
| Dati trattati | Numero di IVA, risultato della verifica |
| Destinatari | API VIES — Commissione Europea |
| Durata della conservazione | Durata della vita dell'account professionale |
| Trasferimento fuori UE | No |
3.12 Gestione delle recensioni e delle valutazioni
| Campo | Dettaglio |
|---|
| Finalità | Sistema di fiducia tra i membri |
| Base legale | Interesse legittimo (art. 6.1.f) |
| Dati trattati | Valutazione (1-5), commento, riferimento della transazione, timestamp |
| Destinatari | Supabase |
| Durata della conservazione | Anonimizzazione dopo 5 anni (valutazione e commento conservati, identità dell'autore dissociata). |
| Trasferimento fuori UE | No |
3.13 Programma di referral
| Campo | Dettaglio |
|---|
| Finalità | Gestione dei premi di referral |
| Base legale | Esecuzione del contratto (art. 6.1.b) |
| Dati trattati | Codice di referral, identificativo referrer/referrato, cronologia dei premi |
| Destinatari | Supabase |
| Durata della conservazione | 3 anni |
| Trasferimento fuori UE | No |
3.14 Sistema di controversie
| Campo | Dettaglio |
|---|
| Finalità | Mediazione e risoluzione delle controversie tra acquirenti e venditori |
| Base legale | Esecuzione del contratto (art. 6.1.b) + interesse legittimo |
| Dati trattati | Motivo della controversia, messaggi scambiati, prove fornite, decisione di risoluzione |
| Destinatari | Supabase, team di moderazione Toveria |
| Durata della conservazione | 5 anni dopo la chiusura della controversia |
| Trasferimento fuori UE | No |
3.15 Verifica delle sanzioni internazionali
| Campo | Dettaglio |
|---|
| Finalità | Conformità agli embarghi e alle sanzioni OFAC/UE/ONU |
| Base legale | Obbligo legale (art. 6.1.c) |
| Dati trattati | Nome, cognome, paese (confronto con elenchi di sanzioni) |
| Destinatari | OpenSanctions API (Europa) |
| Durata della conservazione | Avvisi: 5 anni |
| Trasferimento fuori UE | No (API europea) |
3.16 Log di sicurezza e anti-frode
| Campo | Dettaglio |
|---|
| Finalità | Rilevamento di comportamenti fraudolenti e sicurezza della piattaforma |
| Base legale | Interesse legittimo (art. 6.1.f) |
| Dati trattati | Indirizzo IP, timestamp delle connessioni, azioni sospette, dati Stripe Radar |
| Destinatari | Supabase, Stripe Radar |
| Durata della conservazione | Log di errori tecnici: 90 giorni. Tentativi di pagamento (anti-frode): 7 giorni. Eliminazione automatica giornaliera. Altri log di sicurezza: 12 mesi. |
| Trasferimento fuori UE | Stripe (Stati Uniti) — SCC UE |
3.17 Cookie e tracciatori
| Campo | Dettaglio |
|---|
| Finalità | Funzionamento della piattaforma (obbligatori) + analisi del pubblico (facoltativi) |
| Base legale | Necessità tecnica (obbligatori) / Consenso (analitici) |
| Dati trattati | Sessione utente, preferenze, identificativo analytics |
| Destinatari | Supabase (sessione), servizio analytics (se attivato) |
| Durata della conservazione | Sessione (funzionali) / 13 mesi max (analitici) |
| Trasferimento fuori UE | A seconda del servizio analytics utilizzato |
3.18 Comunicazioni di marketing (facoltative)
| Campo | Dettaglio |
|---|
| Finalità | Invio di newsletter e comunicazioni promozionali |
| Base legale | Consenso (art. 6.1.a) — casella opt-in distinta all'iscrizione |
| Dati trattati | Email, nome, preferenze di comunicazione |
| Destinatari | Resend Inc. |
| Durata della conservazione | Fino alla cancellazione + 3 anni |
| Trasferimento fuori UE | Resend (Stati Uniti) — SCC UE |
4. Responsabili del trattamento (art. 28 GDPR)
Tutti i responsabili del trattamento hanno sottoscritto un accordo di trattamento dei dati conforme all'art. 28.
| Responsabile del trattamento | Ruolo | Paese | Garanzia |
|---|
| Supabase Inc. | Database, auth, archiviazione, realtime | 🇩🇪 Germania (eu-west-3) | DPA GDPR sottoscritto |
| Stripe Inc. | Pagamenti, Billing, Connect, Radar | 🇺🇸 Stati Uniti | SCC UE + Privacy Shield 2.0 |
| Resend Inc. | Email transazionali | 🇺🇸 Stati Uniti | SCC UE |
| OneSignal Inc. | Notifiche push | 🇺🇸 Stati Uniti | SCC UE |
| Vercel Inc. | Hosting applicazione web | 🇺🇸/🇪🇺 | SCC UE |
| Twilio Inc. | SMS OTP (Twilio Verify) | 🇺🇸 Stati Uniti | SCC UE |
| OpenSanctions | Verifica elenchi di sanzioni | 🇩🇪 Germania | GDPR nativo |
5. Trasferimenti fuori dall'Unione Europea (art. 44-49 GDPR)
I trasferimenti verso gli Stati Uniti sono disciplinati da:
- Clausole Contrattuali Tipo (SCC) — Decisione di esecuzione (UE) 2021/914 della Commissione Europea
- Quadro EU-US Data Privacy Framework — Decisione di adeguatezza del 10 luglio 2023
Per ogni trasferimento, Toveria si assicura che il responsabile del trattamento offra garanzie sufficienti di protezione.
6. Diritti degli interessati
6.1 Tabella dei diritti
| Diritto | Base legale | Condizioni | Termine |
|---|
| Accesso (art. 15) | — | Identificazione richiesta | 30 giorni |
| Rettifica (art. 16) | — | — | 30 giorni |
| Cancellazione (art. 17) | — | Salvo obblighi legali di conservazione | 30 giorni |
| Limitazione (art. 18) | — | Durante contestazione o reclamo | 30 giorni |
| Portabilità (art. 20) | Contratto o consenso | Formato JSON/CSV | 30 giorni |
| Opposizione (art. 21) | Interesse legittimo o missione di interesse pubblico | Motivi legittimi da far valere | 30 giorni |
| Ritiro del consenso | Consenso | In qualsiasi momento, senza effetto retroattivo | Immediato |
| Direttive post-mortem | Legge informatica e libertà (Francia) | — | — |
6.2 Come esercitare i vostri diritti
Per email: dpo@toveria.com
Oggetto consigliato: [Diritto GDPR] Vostro nome — Tipo di richiesta
Per posta:
Toveria — Servizio GDPR
12 Rue de la Part-Dieu, 69003 Lione, Francia
Documento di identità: una copia può essere richiesta per verificare la vostra identità (scansionata, senza numero di documento se preferito).
Termine di risposta: 30 giorni di calendario. Prorogabile di 60 giorni supplementari per richieste complesse, con informazione preventiva.
6.3 Diritto di reclamo presso la CNIL
Se ritenete che i vostri diritti non siano rispettati:
CNIL — Commission Nationale de l'Informatique et des Libertés
🌐 cnil.fr/fr/plaintes
📮 3 place de Fontenoy — TSA 80715 — 75334 Parigi Cedex 07
📞 +33 (0)1 53 73 22 22
7. Durate di conservazione
| Categoria | Durata | Base |
|---|
| Dati dell'account attivo | Durata della vita dell'account | Contratto |
| Dati dell'account (dopo la chiusura) | Eliminazione alla chiusura (dati soggetti a obbligo legale conservati separatamente) | Minimizzazione / obblighi legali |
| Dati delle transazioni | 10 anni | Codice di commercio (art. L.123-22) |
| Fatture BtoB | 10 anni | Codice generale delle imposte |
| Dati DAC7 e fiscali | 10 anni | Direttiva DAC7 |
| Dati doganali | 5 anni | Codice doganale dell'Unione |
| Annunci eliminati dal membro | 180 giorni (media rimossi immediatamente) | Minimizzazione |
| Annunci venduti / collegati a un ordine | Fino a 5 anni | Prova di transazione |
| Conversazioni tra i membri | 6 mesi attivi, quindi archiviazione intermedia limitata, quindi eliminazione a 24 mesi (senza ordine) / 5 anni (con ordine) | Minimizzazione / prescrizione civile |
| Recensioni e valutazioni | Anonimizzazione dopo 5 anni | Interesse legittimo |
| Controversie | 5 anni dopo la chiusura | Prescrizione legale |
| Log tecnici (errori API) | 90 giorni (eliminazione auto giornaliera) | Minimizzazione |
| Tentativi di pagamento (anti-frode) | 7 giorni (eliminazione auto giornaliera) | Minimizzazione |
| Altri log di sicurezza | 12 mesi | Raccomandazione CNIL |
| Documenti KYC (Stripe) | 5 anni | Obbligo Stripe / AML |
| Avvisi di sanzioni | 5 anni | Obbligo normativo |
| Cookie analitici | 13 mesi massimo | Raccomandazione CNIL |
| Consensi (opt-in marketing) | 3 anni dopo l'ultima interazione | Raccomandazione CNIL |
Archiviazione intermedia (CNIL): dopo la loro fase attiva, le conversazioni passano per un archivio ad accesso limitato (riservato agli obblighi legali / controversie) prima dell'eliminazione definitiva.
Legal hold: qualsiasi dato collegato a una controversia aperta, un obbligo legale o una richiesta di autorità è conservato fino alla fine di tale obbligo, per deroga alle durate di cui sopra.
8. Sicurezza dei dati (art. 32 GDPR)
8.1 Misure tecniche
| Misura | Implementazione |
|---|
| Crittografia in transito | HTTPS / TLS 1.3 su tutte le comunicazioni |
| Crittografia a riposo | Database Supabase crittografato (AES-256) |
| Controllo dell'accesso al database | Row Level Security (RLS) — accesso per riga secondo l'utente autenticato |
| Autenticazione | Email OTP + SMS OTP obbligatori all'iscrizione |
| Autenticazione a doppio fattore | TOTP (compatibile con Google Authenticator) — facoltativo per gli utenti |
| Codici di backup 2FA | Hash SHA-256 nel database |
| Dati bancari | Delegati a Stripe (PCI DSS Level 1) — mai archiviati da Toveria |
| Token JWT | Supabase Auth — durata di vita limitata |
| Pulizia della sessione | Eliminazione di 15 chiavi localStorage + cookie al logout |
| Verifica delle firme webhook | HMAC-SHA256 su tutti i webhook in ingresso (Stripe) |
8.2 Misure organizzative
| Misura | Dettaglio |
|---|
| Accesso ai dati personali | Limitato ai soli dipendenti autorizzati secondo il principio del minimo privilegio |
| Formazione | Sensibilizzazione GDPR di tutti i collaboratori che hanno accesso ai dati |
| Audit | Audit RLS Supabase previsto prima del lancio commerciale |
| Registrazione | Log di accesso ai dati sensibili conservati 12 mesi |
| Test di penetrazione | Pentest previsto prima del lancio (budget 3.000-10.000 €) |
| Bug bounty | Programma di segnalazione responsabile in corso di creazione |
8.3 Procedura di notifica in caso di violazione
In conformità all'art. 33 GDPR, Toveria si impegna a notificare la CNIL entro 72 ore dalla constatazione di una violazione di dati che possa comportare un rischio per i diritti e le libertà delle persone.
Se la violazione è suscettibile di comportare un rischio elevato, anche le persone interessate sono informate senza ingiustificato ritardo (art. 34 GDPR).
Procedura interna:
- Rilevamento → avviso immediato al DPO
- Qualificazione del rischio (< 4h)
- Notifica CNIL se necessaria (< 72h)
- Notifica delle persone se rischio elevato (< 72h)
- Documentazione dell'incidente (registro delle violazioni)
9. Analisi d'Impatto (DPIA — art. 35 GDPR)
Un'Analisi d'Impatto sulla Protezione dei Dati è richiesta per i trattamenti che presentano un rischio elevato.
| Trattamento | DPIA richiesta | Stato |
|---|
| Verifica sanzioni (scoring) | Sì — profilazione | ⏳ Da realizzare |
| Dati fiscali DAC7 | Sì — dati sensibili + grande scala | ⏳ Da realizzare |
| KYC venditori (documento di identità) | Sì — dati biometrici potenziali | ⏳ Delegato a Stripe |
| Tracciamento comportamentale (se analytics) | Sì — se distribuito | Da valutare |
10. Dati dei minori
La piattaforma Toveria è riservata esclusivamente alle persone di età pari o superiore a 18 anni.
La data di nascita è raccolta all'iscrizione per verificare la maggiore età. Qualsiasi iscrizione di un minore comporta l'eliminazione immediata dell'account e dei dati associati.
Segnalazione: dpo@toveria.com — Oggetto: [Minore]
11. Cookie e tracciatori
Cookie strettamente necessari (nessun consenso richiesto)
| Cookie | Finalità | Durata |
|---|
sb-auth-token | Sessione autenticazione Supabase | Sessione / 1 settimana |
toveria-ref | Link di referral | 30 giorni |
toveria-lang | Lingua di visualizzazione | 1 anno |
toveria-mr-rates | Tariffe vettori (localStorage) | Fino all'eliminazione |
Cookie analitici (con consenso preventivo)
Da attivare solo dopo l'implementazione di un banner cookie conforme CNIL (raccomandazione CNIL del 1° ottobre 2020).
12. Modifiche della presente politica
Le modifiche sostanziali sono notificate per email con un preavviso di 30 giorni.
La data dell'ultimo aggiornamento è riportata nell'intestazione. L'uso continuato della piattaforma dopo l'entrata in vigore equivale ad accettazione.
13. Contatti
Marketplace europea BtoC, CtoC, CtoB e BtoB — Vendita dall'Europa verso il resto del mondo
Vendita dall'Europa verso il resto del mondo
Numero di registrazione CNIL: [Da completare dopo la dichiarazione]
Ultimo aggiornamento: Giugno 2026
Versione francese — in caso di divergenza con una traduzione, la versione francese prevale.
