Documento legale
Privacy Policy
Ultimo aggiornamento: 1 aprile 2026
1. Titolare del trattamento
LOUD S.R.L. Sede legale: Via Rossini Gioacchino 4, Milano (MI) 20122 Partita IVA / Codice fiscale: 11482750962 Email: supporto@yatra.guide PEC: loudagencysrl@pec.it
2. Dati personali raccolti
2.1 Dati di registrazione account (Supabase Auth)
Per accedere al servizio e acquistare le guide, l'utente deve creare un account. Al momento della registrazione vengono raccolti:
- Indirizzo email, identificativo dell'account e canale di comunicazione
- Password, conservata esclusivamente in forma hash non reversibile da Supabase Auth (mai accessibile a Yatra in chiaro)
- Display name (nome visualizzato, opzionale), fornito dall'utente in fase di registrazione
Questi dati alimentano la tabella auth.users gestita da Supabase e la tabella profiles del database Yatra.
2.2 Dati di acquisto e pagamento
Al momento dell'acquisto di una guida vengono raccolti e conservati nel database Yatra:
- user_id, UUID dell'account Supabase, collegato all'acquisto
- slug della guida acquistata, identificativo della guida
- stripe_checkout_session_id, ID univoco della sessione di pagamento Stripe
- amount_eur, importo pagato in centesimi
- status dell'acquisto (pending / completed / refunded)
- purchased_at, timestamp della conferma di pagamento
- stripe_customer_id, ID cliente generato da Stripe, conservato nel profilo per evitare duplicazioni in acquisti futuri
I dati della carta di pagamento (numero, CVV, ecc.) non vengono mai raccolti né conservati da Yatra. Sono gestiti interamente da Stripe Inc., certificato PCI DSS Level 1.
2.3 Dati di utilizzo del servizio
Al termine del pagamento l'Utente è reindirizzato automaticamente alla Guida sbloccata, il Servizio si avvia contestualmente. Il sistema registra esclusivamente lo stato dell'acquisto (purchased_at, status) per verificare che l'Utente abbia un accesso valido. Non vengono registrati log di sessione, contatori di visualizzazione né dati sul comportamento di consultazione.
Le Guide possono essere salvate per la consultazione offline tramite la funzione "Salva offline" (PWA). In questa modalità, i contenuti vengono memorizzati nella cache locale del browser sul dispositivo dell'Utente. Tali dati risiedono esclusivamente sul dispositivo e non sono trasmessi a Yatra.
2.5 Iscrizione alla newsletter
Chi si iscrive alla newsletter tramite i moduli presenti nel sito fornisce:
- Indirizzo email
- Source, pagina o contesto da cui è avvenuta l'iscrizione (es. "napoli-free"), a uso interno per misurare l'efficacia dei punti di raccolta
Questi dati sono conservati nella tabella newsletter_subscribers del database Yatra e sincronizzati con Resend Audiences (il servizio di invio email utilizzato).
2.6 Dati di navigazione tecnici
Durante la navigazione, i sistemi raccolgono automaticamente dati tecnici la cui trasmissione è implicita nell'uso di Internet:
- Indirizzo IP (anonimizzato da Google Analytics)
- Tipo di browser e sistema operativo
- Pagine visitate e durata della sessione
2.7 Dati da cookie e tecnologie di tracciamento
Consultare la Cookie Policy per il dettaglio completo.
3. Finalità e base giuridica del trattamento
| Finalità | Dati utilizzati | Base giuridica (GDPR) |
|---|---|---|
| Creazione e gestione dell'account utente | Email, password (hash), display name | Art. 6.1.b, Esecuzione del contratto di servizio |
| Attivazione e gestione del servizio di accesso alle guide | user_id, slug, stripe_customer_id, status acquisto | Art. 6.1.b, Esecuzione del contratto di servizio |
| Elaborazione del pagamento (tramite Stripe) | Email, stripe_customer_id | Art. 6.1.b, Esecuzione del contratto di servizio |
| Emissione di ricevuta/fattura | Email, importo, data acquisto | Art. 6.1.c, Obbligo legale (D.P.R. 633/72) |
| Invio email transazionale di conferma acquisto | Email, display name, nome guida | Art. 6.1.b, Esecuzione del contratto di servizio |
| Assistenza clienti e gestione rimborsi | Email, dettagli acquisto | Art. 6.1.b, Esecuzione del contratto di servizio |
| Prevenzione di frodi e sicurezza | Dati tecnici, IP, stripe_customer_id | Art. 6.1.f, Legittimo interesse |
| Invio newsletter e comunicazioni promozionali | Email (newsletter_subscribers) | Art. 6.1.a, Consenso esplicito (opt-in) |
| Analisi statistica del sito (analytics anonimizzati) | Dati tecnici anonimi | Art. 6.1.f, Legittimo interesse |
4. Conservazione dei dati
| Categoria | Durata |
|---|---|
| Dati account (email, display name) | Fino alla cancellazione dell'account da parte dell'utente, o su richiesta |
| Password (hash) | Gestita da Supabase Auth; cancellata con l'account |
| Dati di acquisto e fatturazione | 10 anni (obbligo fiscale, art. 2220 c.c.) |
| stripe_customer_id | Fino alla cancellazione del profilo, salvo obblighi Stripe |
| Iscrizioni newsletter | Fino alla revoca del consenso (disiscrizione) |
| Dati analytics anonimizzati | 26 mesi (impostazione GA4 standard) |
| Log di navigazione tecnici | 12 mesi, poi aggregati/cancellati |
5. Responsabili del trattamento (terze parti)
Yatra si avvale dei seguenti fornitori nominati come Responsabili del trattamento ai sensi dell'Art. 28 GDPR:
| Fornitore | Ruolo | Sede | Garanzie |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione utenti, storage | USA (server EU, Frankfurt) | SCCs; DPA firmato; infrastruttura AWS EU |
| Stripe Inc. | Elaborazione pagamenti (Visa, Mastercard, PayPal, Google Pay, Revolut, Satispay, Link, Klarna, Amazon Pay) | USA | SCCs; PCI DSS Level 1; DPA firmato |
| Resend Inc. | Invio email transazionali e newsletter, gestione Audiences | USA | SCCs; DPA firmato |
| Vercel Inc. | Hosting frontend e API Next.js, CDN | USA (edge globale) | SCCs; DPA firmato |
| Google LLC (Analytics) | Analisi statistica traffico | USA | SCCs; IP anonimizzato; DPA firmato |
5.1 Trasferimenti extra-UE
I fornitori sopra indicati con sede negli USA trasferiscono dati al di fuori dello Spazio Economico Europeo. Il trasferimento avviene in base alle Clausole Contrattuali Standard (SCC) della Commissione Europea (Decisione 2021/914) e alle rispettive garanzie tecniche e organizzative.
Il database Supabase è configurato sulla region EU (Frankfurt): i dati a riposo risiedono nell'Unione Europea, anche se Supabase Inc. è una società statunitense.
6. Diritti dell'interessato
Ai sensi degli artt. 15–22 GDPR hai il diritto di:
- Accesso (art. 15): Ottenere copia dei dati personali che ti riguardano
- Rettifica (art. 16): Correggere dati inesatti (es. display name) direttamente dal tuo profilo o richiedendolo a Yatra
- Cancellazione (art. 17): Richiedere la cancellazione del tuo account e dei dati associati, salvo obblighi di conservazione legale (es. dati fiscali)
- Limitazione (art. 18): Richiedere la sospensione del trattamento in determinati casi
- Portabilità (art. 20): Ricevere i tuoi dati in formato strutturato (JSON/CSV)
- Opposizione (art. 21): Opporti al trattamento basato su legittimo interesse
- Revoca del consenso (art. 7.3): Disiscriverti dalla newsletter in qualsiasi momento tramite il link in ogni email o scrivendo a supporto@yatra.guide
Come esercitare i diritti: invia una richiesta a supporto@yatra.guide. Risposta entro 30 giorni (prorogabili di 60 giorni per richieste complesse, con comunicazione motivata).
Reclamo: hai il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità di controllo del tuo Paese di residenza.
7. Sicurezza
Yatra adotta misure tecniche e organizzative adeguate ai sensi dell'Art. 32 GDPR:
- Comunicazioni cifrate via HTTPS/TLS su tutti gli endpoint
- Password conservate esclusivamente come hash bcrypt (Supabase Auth)
- Accesso al database con Row Level Security (RLS), ogni utente può vedere solo i propri dati
- Token JWT con scadenza breve per le sessioni di autenticazione
- Accesso amministrativo limitato e protetto da autenticazione forte
- Infrastruttura database su server EU (Supabase Frankfurt)
In caso di violazione dei dati personali che comporti un rischio elevato, gli interessati saranno notificati senza ingiustificato ritardo (art. 34 GDPR).
8. Minori
Il Servizio è rivolto a persone di età pari o superiore a 18 anni. Non raccogliamo consapevolmente dati di minori. Se ritieni che un minore abbia creato un account, contattaci a supporto@yatra.guide per la cancellazione immediata.
9. Modifiche alla privacy policy
Aggiornamenti sostanziali saranno comunicati agli utenti registrati via email almeno 15 giorni prima dell'entrata in vigore. La versione aggiornata sarà sempre disponibile su questa pagina con la data di ultimo aggiornamento.
10. Contatti
📧 supporto@yatra.guide 📮 Via Rossini Gioacchino 4, Milano (MI) 20122
Informativa redatta ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.