Informativa sulla privacy.
Ultimo aggiornamento: 10 luglio 2026 · versione 1.0
La presente traduzione è fornita a titolo informativo. In caso di divergenza, prevale la versione francese.
01Chi siamo?
Il servizio ROSTER (roster.ag e app.roster.ag) è edito da NYWAL, SAS di diritto francese con capitale sociale di 100 €, RCS Nanterre 990 053 654, 6 Square de l’Hippodrome, 92210 Saint-Cloud, Francia. Per qualsiasi domanda relativa ai dati personali: [email protected].
La presente informativa descrive i trattamenti di dati personali effettuati nell’ambito del sito vetrina e del servizio, nonché i vostri diritti.
02Due ruoli distinti: titolare e responsabile del trattamento
NYWAL è titolare del trattamento per i dati che decide di trattare per proprio conto: account utente, relazione con i clienti e fatturazione, prospezione commerciale (lista d’attesa), assistenza, sicurezza e log tecnici del servizio.
NYWAL è responsabile del trattamento (articolo 28 GDPR) per i dati che ciascuna organizzazione cliente (agenzia o artista indipendente) importa e gestisce nel proprio spazio: schede artisti, contatti di organizzatori e produttori, date, contratti, fatture, dati finanziari e logistici, documenti. Per tali dati, il cliente è il titolare del trattamento: gli interessati sono invitati a esercitare i propri diritti in primo luogo presso l’organizzazione interessata; inoltriamo senza indugio qualsiasi richiesta ricevuta direttamente.
03Dati trattati in qualità di titolare, finalità e basi giuridiche
Nessun dato viene venduto. Non viene effettuata alcuna pubblicità mirata né profilazione pubblicitaria. Nessuna decisione che produca effetti giuridici viene adottata in modo esclusivamente automatizzato.
- Account e autenticazione — identità (nome, cognome), email, password (in forma hash), preferenze (lingua, tema), dispositivi e sessioni, log di connessione (indirizzo IP, marca temporale, user agent). Finalità: fornitura del servizio, sicurezza degli account, prevenzione delle frodi. Basi giuridiche: esecuzione del contratto; legittimo interesse (sicurezza).
- Fatturazione e abbonamento — identità di fatturazione, cronologia dell’abbonamento e dei pagamenti (tramite Stripe; non memorizziamo i numeri completi delle carte). Finalità: fatturazione, contabilità, obblighi legali. Basi: esecuzione del contratto; obbligo legale.
- Lista d’attesa e contatto — email, ruolo dichiarato, lingua, scambi con l’assistenza. Finalità: informazione sull’apertura del servizio, risposta alle richieste. Basi: consenso (lista d’attesa); legittimo interesse o misure precontrattuali (assistenza).
- Log tecnici — eventi applicativi e di sicurezza. Finalità: continuità e sicurezza del servizio. Base: legittimo interesse.
04Periodi di conservazione
- Dati dell’account: durata del contratto, poi cancellazione o anonimizzazione entro 30 giorni dalla cessazione effettiva del contratto (si vedano i Termini e condizioni), fatti salvi gli obblighi legali.
- Documenti contabili e fatture: 10 anni (Codice di commercio francese).
- Log di connessione e di sicurezza: 12 mesi al massimo.
- Lista d’attesa: fino alla revoca del consenso o 3 anni dopo l’ultimo contatto.
- Backup cifrati: ciclo di rotazione breve; i dati cancellati scompaiono dai backup al termine del ciclo.
05Sub-responsabili del trattamento e destinatari
Ricorriamo ai seguenti fornitori, nei limiti delle finalità indicate. Questo elenco è tenuto aggiornato su questa pagina; qualsiasi aggiunta o sostituzione è annunciata ai clienti con almeno 30 giorni di anticipo.
06Localizzazione e trasferimenti al di fuori dell’UE
I dati applicativi sono ospitati in Francia (Unione europea). Alcuni fornitori (Cloudflare, Stripe, ScrapeCreators) possono comportare trasferimenti verso paesi terzi, in particolare gli Stati Uniti; tali trasferimenti sono disciplinati da una decisione di adeguatezza (EU-US Data Privacy Framework per le entità certificate) e/o dalle clausole contrattuali tipo della Commissione europea, integrate se del caso da misure supplementari.
07Sicurezza
Principali misure attuate: isolamento rigoroso dei dati per organizzazione applicato fino al database (row-level security forzata); cifratura TLS di tutte le connessioni; cifratura a riposo dei segreti sensibili (IBAN, token di integrazione) con chiave dedicata e versionata; backup automatici cifrati conservati nell’UE; autenticazione a due fattori e passkey; blocco dell’applicazione tramite codice; sessioni revocabili e cronologia delle connessioni; registrazione in sola aggiunta delle azioni sensibili; accessi di produzione limitati secondo il privilegio minimo; test di isolamento automatizzati bloccanti a ogni messa in produzione.
Qualsiasi violazione di dati suscettibile di generare un rischio è notificata alla CNIL entro 72 ore e ai clienti interessati senza ingiustificato ritardo.
08I vostri diritti
Disponete dei diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione, nonché del diritto di impartire direttive post mortem. Per esercitarli: [email protected]. Rispondiamo entro un mese (prorogabile di due mesi per le richieste complesse). Potete presentare un reclamo alla CNIL (cnil.fr), l’autorità di controllo francese.
Promemoria: per i dati gestiti da un’organizzazione cliente nel proprio spazio ROSTER (ad esempio la vostra scheda nella rubrica di un’agenzia), rivolgetevi in primo luogo a tale organizzazione, titolare del trattamento.
I clienti dispongono inoltre, in self-service nell’applicazione, dell’esportazione completa dei propri dati e di backup ripristinabili.
10Pubblico interessato
Il servizio si rivolge esclusivamente a professionisti. Non è destinato ai minori di 15 anni e non raccogliamo consapevolmente dati che li riguardano.
11Evoluzione della presente informativa
La presente informativa può essere aggiornata, in particolare in caso di evoluzione del servizio o della normativa; fa fede la data riportata in cima alla pagina. Le modifiche sostanziali sono notificate ai clienti. In caso di divergenza tra versioni linguistiche, prevale la versione francese.