Informativa sulla Privacy
La presente Informativa sulla Privacy spiega in che modo Greystone B.V., operante con il marchio Victaura (di seguito, "Victaura", "noi", "ci"), raccoglie, utilizza, conserva e condivide i suoi dati personali quando visita victaura.com (il "Sito"), compila un modulo o interagisce in altro modo con noi. Trattiamo i dati personali in conformità al Regolamento (UE) 2016/679 ("GDPR") e alla legge di attuazione olandese (UAVG). Per qualsiasi domanda relativa alla presente Informativa, scriva a [email protected].
Titolare del Trattamento
Il titolare del trattamento è Greystone B.V., una società a responsabilità limitata di diritto olandese (besloten vennootschap met beperkte aansprakelijkheid) costituita nei Paesi Bassi e operante con il marchio Victaura. I dati di registrazione statutaria (numero KvK / Camera di Commercio olandese, numero di partita IVA, direttore statutario e sede legale) sono disponibili su richiesta agli interessati che esercitano i propri diritti e agli investitori qualificati. Il punto di contatto primario per le questioni relative alla protezione dei dati è [email protected].
Abbiamo valutato le nostre attività di trattamento e determinato che la nomina di un Responsabile della Protezione dei Dati (RPD / DPO) non è obbligatoria ai sensi dell'art. 37 GDPR, in quanto le nostre attività principali non consistono in operazioni di trattamento che, per loro natura, portata o finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala.
Dati Personali Raccolti
Raccogliamo le seguenti categorie di dati personali:
(i) Dati forniti direttamente tramite il modulo di contatto: nome, cognome, indirizzo e-mail, messaggio facoltativo.
(ii) Dati forniti tramite il modulo di richiesta investitori: nome, cognome, indirizzo e-mail, ubicazione, profilo investitore, area di interesse, fascia di investimento, messaggio facoltativo, registro del consenso GDPR (gdprConsent) e, se prestato, registro del consenso marketing (marketingConsent).
(iii) Dati raccolti automaticamente dal browser: indirizzo IP, stringa user-agent, preferenza linguistica memorizzata tramite il cookie tecnico NEXT_LOCALE.
(iv) Dati ricevuti dai fornitori di servizi terzi che utilizziamo per erogare il Sito e le nostre comunicazioni.
Finalità e Basi Giuridiche del Trattamento
Trattiamo i suoi dati per le seguenti finalità e sulle seguenti basi giuridiche ai sensi dell'art. 6 GDPR:
(a) Risposta alle richieste generali inviate tramite il modulo di contatto: base giuridica art. 6(1)(f) GDPR, legittimo interesse al rispondere a persone che ci contattano volontariamente. Abbiamo ponderato tale interesse rispetto ai suoi diritti e determinato che non li prevarica.
(b) Trattamento dei moduli di richiesta investitori: base giuridica art. 6(1)(b) GDPR, trattamento necessario per l'esecuzione di misure precontrattuali adottate su sua richiesta.
(c) Valutazione dell'idoneità degli investitori: base giuridica art. 6(1)(f) GDPR, legittimo interesse a valutare l'adeguatezza degli investitori qualificati prima di condividere materiali riservati.
(d) Invio di comunicazioni informative su progetti Victaura previo suo consenso: base giuridica art. 6(1)(a) GDPR, consenso esplicito, revocabile in qualsiasi momento scrivendo a [email protected].
(e) Adempimento degli obblighi antiriciclaggio: base giuridica art. 6(1)(c) GDPR.
(f) Mantenimento della sicurezza del Sito: base giuridica art. 6(1)(f) GDPR.
(g) Registro audit dei consensi: base giuridica art. 6(1)(c) e art. 6(1)(f) GDPR (responsabilizzazione ai sensi dell'art. 5(2) GDPR).
Periodo di Conservazione
Dati di contatto e richieste: conservati per 24 mesi dall'ultimo invio di modulo o scambio di e-mail.
Dati di qualificazione investitore: conservati per la durata della fase precontrattuale più 24 mesi dall'ultimo contatto.
Documenti KYC/AML (ove raccolti): conservati per 5 anni dalla fine del rapporto d'affari.
Registro audit dei consensi: conservato per 3 anni dalla data di invio.
Log tecnici e di sicurezza: conservati per un massimo di 12 mesi.
Stato del rate-limiting lato server: conservato in memoria volatile per la finestra di 60 secondi applicabile.
Sub-Responsabili e Destinatari
Ci avvaliamo di un numero limitato di sub-responsabili del trattamento, accuratamente selezionati per erogare il Sito e le nostre comunicazioni. Ciascun sub-responsabile è vincolato da un accordo sul trattamento dei dati che obbliga contrattualmente a trattare i dati personali esclusivamente sulla base delle nostre istruzioni documentate.
I nostri sub-responsabili attuali sono:
Vercel Inc. (Stati Uniti) — hosting ed erogazione del Sito. Base: EU-U.S. Data Privacy Framework (DPF).
Cloudflare, Inc. (Stati Uniti) — DNS e content delivery. Base: Clausole Contrattuali Standard (SCC).
Resend (Stati Uniti / Paesi Bassi) — invio e-mail transazionali. Base: SCC con misure tecniche supplementari.
GitHub, Inc. (Stati Uniti) — hosting del codice sorgente. Base: DPF. Nessun dato personale degli utenti finali nel repository.
Trasferimenti Internazionali
Alcuni dei nostri sub-responsabili sono stabiliti al di fuori dello Spazio Economico Europeo. Quando i dati personali sono trasferiti verso un paese terzo, ci basiamo sulle Clausole Contrattuali Standard della Commissione Europea (Decisione di esecuzione (UE) 2021/914, "SCC") o, ove applicabile, su una decisione di adeguatezza (incluso l'EU-U.S. Data Privacy Framework qualora il destinatario sia auto-certificato in tale quadro).
Abbiamo valutato il livello di protezione assicurato in ciascun paese di destinazione alla luce della sentenza della Corte di Giustizia dell'Unione Europea Data Protection Commissioner c. Facebook Ireland Ltd, Maximillian Schrems (C-311/18, "Schrems II"). Laddove le SCC da sole non garantiscano un livello di protezione sostanzialmente equivalente, applichiamo misure tecniche supplementari, che possono includere la cifratura dei dati in transito e a riposo, la pseudonimizzazione, la minimizzazione dei dati trasferiti e impegni contrattuali a notificarci eventuali richieste di accesso da parte di autorità governative prima di conformarvisi, nei limiti consentiti dalla legge.
Una copia delle garanzie di trasferimento applicabili (SCC o certificato DPF) è disponibile su richiesta a [email protected].
I Suoi Diritti
Può esercitare i seguenti diritti scrivendo a [email protected].
Diritto di accesso (art. 15). Può chiederci una copia dei dati che la riguardano.
Diritto di rettifica (art. 16). Può chiederci di correggere dati inesatti.
Diritto alla cancellazione (art. 17). Può chiederci di cancellare i suoi dati in determinate circostanze.
Diritto di limitazione (art. 18). Può chiederci di sospendere il trattamento in determinate circostanze.
Diritto alla portabilità (art. 20). Può chiederci di trasmettere i dati in formato strutturato.
Diritto di opposizione (art. 21). Può opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto.
Diritti relativi a decisioni automatizzate (art. 22). Non adottiamo decisioni basate unicamente su trattamenti automatizzati.
Revoca del consenso (art. 7(3)). Può revocare il consenso in qualsiasi momento.
Risponderemo entro un mese (art. 12(3) GDPR). L'autorità di controllo principale è l'Autoriteit Persoonsgegevens (Paesi Bassi), Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl. Può rivolgersi anche al Garante per la protezione dei dati personali (Italia) su garanteprivacy.it.
Sicurezza e Violazioni dei Dati
Adottiamo misure tecniche e organizzative adeguate per proteggere i suoi dati personali da accessi non autorizzati, alterazioni, divulgazioni e distruzione, inclusi HTTPS in transito, cifratura a riposo ove supportata dai nostri sub-responsabili, validazione lato server degli input, rate-limiting sugli endpoint dei moduli e una Content Security Policy rigorosa sul Sito.
In caso di violazione di dati personali che presenti un rischio per i suoi diritti e libertà, notificheremo l'Autoriteit Persoonsgegevens entro 72 ore dalla conoscenza dell'evento, come richiesto dall'art. 33 GDPR. Qualora la violazione presenti un rischio elevato per i suoi diritti e libertà, notificheremo anche lei senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR.
Registro Audit dei Consensi
Al momento dell'invio di un modulo registriamo: data e ora (UTC), hash pseudonimizzato dell'IP, user-agent, versione dell'Informativa, lingua, flag di consenso GDPR e marketing, classificazione investitore, tipo di modulo. Questo registro consente di dimostrare la conformità al principio di responsabilizzazione (art. 5(2) GDPR).
Modifiche alla Presente Informativa
Potremmo aggiornare periodicamente la presente Informativa. La data "Ultimo aggiornamento" in cima alla pagina indica la revisione più recente. Le modifiche sostanziali saranno rese evidenti sul Sito.
Contatti
Per qualsiasi domanda, richiesta o reclamo in materia di privacy, scriva a [email protected]. Il nostro indirizzo postale nei Paesi Bassi è disponibile su richiesta.