legale · gdpr
Informativa privacy
Chi siamo
Kora è un servizio di incontri e prenotazione di attività: trovi persone affini nelle vicinanze e prenoti un’attività reale presso un locale partner per il tuo appuntamento. La presente informativa illustra quali dati personali trattiamo quando utilizzi l’app mobile Kora, il portale dei commercianti o questo sito web, le basi giuridiche su cui ci fondiamo e i diritti che ti spettano sui tuoi dati. È redatta in conformità al Regolamento generale dell’Unione europea sulla protezione dei dati (GDPR).
Il titolare del trattamento responsabile dei tuoi dati personali è KORA DIGITAL S.R.L., la società rumena che gestisce Kora, con sede legale in Strada Episcopul Chesarie nr. 15, Tronson E, Etaj 4, Ap. 83, Sector 4, Bucarest, Romania. È iscritta al Registro del commercio rumeno con il n. J2026034113006, codice unico di registrazione (CUI) 54759299.
I dati societari completi — compresi EUID, capitale sociale e stato IVA — sono disponibili nelle Note legali.
Per qualsiasi domanda sulla privacy, o per esercitare i tuoi diritti, scrivi a privacy@koraexperiences.com. Qualora nominassimo un Responsabile della protezione dei dati, i suoi recapiti saranno pubblicati qui.
Dati che raccogliamo
Quando utilizzi Kora come utente di incontri, trattiamo:
- Account e accesso. Il tuo indirizzo email e la password, che sono gestiti dal nostro fornitore di autenticazione, Supabase. Non memorizziamo mai la tua password e non vediamo mai la tua password per intero. L’app per gli incontri ti consente di accedere con email e password (con un codice email monouso per confermare il tuo indirizzo); l’accesso con Google o Apple non è ancora disponibile nell’app.
- Profilo. Il tuo nome, la data di nascita (utilizzata per confermare che hai almeno 18 anni e per mostrare la tua età), il genere, l’orientamento sessuale, i generi delle persone che ti interessa conoscere, la tua altezza, le foto, una breve biografia, fino a tre tag di interesse e dettagli facoltativi sullo stile di vita (consumo di alcol, fumo, alimentazione, attività fisica, animali domestici, istruzione, stile di comunicazione, linguaggio dell’amore, uso dei social media e abitudini del sonno).
- Preferenze di scoperta. La distanza, la fascia d’età, i generi, la fascia di altezza e gli interessi che desideri visualizzare.
- Posizione. Quando lo consenti, la posizione del tuo dispositivo — raccolta come singolo rilevamento tramite l’autorizzazione di localizzazione “durante l’uso dell’app”, mai come tracciamento continuo. Le altre persone non vedono mai le tue coordinate; visualizzano soltanto una distanza approssimativa rispetto a te. La posizione è facoltativa: senza di essa, il filtro per distanza semplicemente non si applica.
- Match e messaggi. I tuoi “mi piace” e i “passa”, i tuoi match, i messaggi di testo che invii (la chat è solo testuale) e le proposte di appuntamento che fai o ricevi.
- Prenotazioni e pagamenti. Quale attività hai prenotato, con chi, l’importo, la modalità di pagamento (diviso o a carico dell’organizzatore) e lo stato del pagamento e del rimborso. Ogni prenotazione conserva inoltre un’istantanea dei dettagli dell’attività e del locale (compreso l’indirizzo del locale) al momento della prenotazione. I dati della carta vengono inseriti direttamente con Stripe — Kora non vede né memorizza mai il numero completo della tua carta.
- Segnalazioni per la sicurezza. Se segnali un’altra persona, conserviamo la segnalazione e l’eventuale motivazione fornita, affinché il nostro team possa intervenire. Le segnalazioni non vengono mai mostrate alla persona segnalata.
- Dati di attività e del dispositivo. Quando sei stato attivo l’ultima volta, il tipo e la piattaforma del tuo dispositivo (iOS/Android), la versione dell’app, il token per le notifiche push, i dati derivati dall’IP e i registri di crash e diagnostica che ci aiutano a mantenere il servizio funzionante.
Se sei un commerciante (locale partner), trattiamo:
- Dati aziendali e di contatto. L’email aziendale e la modalità di accesso, la denominazione legale dell’attività, il nome commerciale (visualizzato), un numero di telefono di contatto, la categoria dell’attività, nonché i nomi, gli indirizzi, gli orari di apertura e le descrizioni dei tuoi locali.
- Pagamenti e verifica (tramite Stripe). Per corrisponderti i pagamenti, Stripe raccoglie le coordinate bancarie/IBAN e i documenti di verifica dell’identità richiesti da Stripe Connect. Questi sono gestiti interamente da Stripe — Kora non riceve né memorizza mai i tuoi dati bancari o i documenti di identità. Conserviamo l’identificativo del tuo account Stripe e il tuo stato di verifica, e inviamo a Stripe il nome della tua attività, i recapiti e l’indirizzo di un locale per aprire il tuo account di pagamento.
Dati di categorie particolari
Poiché Kora è un servizio di incontri, alcuni dei dati che scegli di condividere costituiscono dati di categorie particolari ai sensi dell’Articolo 9 del GDPR — in particolare il tuo orientamento sessuale e i generi delle persone che ti interessa conoscere. Anche alcuni dettagli facoltativi possono rivelare dati di categorie particolari: ad esempio un’alimentazione halal può indicare una convinzione religiosa, e le tue foto possono rivelare caratteristiche quali l’origine etnica. Decidi tu cosa aggiungere e puoi omettere qualsiasi di queste informazioni.
Trattiamo questi dati per un’unica finalità: gestire le funzionalità essenziali di incontri e mostrarti persone pertinenti. La nostra base giuridica è il tuo consenso esplicito (Articolo 9(2)(a)), che fornisci quando completi il tuo profilo. Puoi revocarlo in qualsiasi momento modificando o eliminando tali informazioni, oppure eliminando il tuo account — tieni presente che la loro rimozione potrebbe impedire il funzionamento delle funzionalità di matching.
Non vendiamo mai questi dati e non li utilizziamo mai a fini pubblicitari.
Finalità e basi giuridiche
Trattiamo i tuoi dati solo quando la legge ci fornisce una base per farlo. In particolare:
- Gestire il tuo account e fornire il servizio (profili, matching, chat, prenotazioni) — esecuzione del nostro contratto con te (Art. 6(1)(b)); per i dati di categorie particolari, il tuo consenso esplicito (Art. 9(2)(a)).
- Incassare i pagamenti ed emettere rimborsi — esecuzione del nostro contratto (Art. 6(1)(b)).
- Mantenere il servizio sicuro — gestione delle segnalazioni di abuso, prevenzione delle frodi e rimozione degli account che violano le nostre regole — il nostro legittimo interesse a una comunità sicura (Art. 6(1)(f)).
- Comprendere e migliorare il prodotto — con il tuo consenso per le analitiche ove il consenso si applichi (vedi “Cookie e analitiche”), altrimenti il nostro legittimo interesse a metriche d’uso aggregate e non identificative (Art. 6(1)(f)).
- Adempiere agli obblighi di legge — obblighi contabili, fiscali e antifrode (Art. 6(1)(c)).
- Comunicare con te — messaggi di servizio quali conferme dell’account, aggiornamenti sulle prenotazioni e avvisi di sicurezza, che fanno parte della fornitura del servizio (contratto). Ad oggi non inviamo email di marketing o newsletter; qualora lo facessimo, sarebbe facoltativo e solo con il tuo consenso, che potresti revocare in qualsiasi momento.
Laddove ci fondiamo sul legittimo interesse, lo abbiamo bilanciato rispetto ai tuoi diritti e alle tue libertà, e puoi opporti a tale trattamento in qualsiasi momento (vedi “I tuoi diritti”).
Matching e trattamento automatizzato
Kora sceglie quali profili mostrarti utilizzando le preferenze che imposti — distanza, fascia d’età, altezza, i generi delle persone che desideri conoscere e i tuoi interessi — insieme a segnali di base sulla recente attività. Si tratta di un processo automatizzato, ma non produce effetti giuridici o analogamente significativi nei tuoi confronti ai sensi dell’Articolo 22 del GDPR: si limita a decidere quale profilo ti viene mostrato. Resti tu a controllare a chi mettere “mi piace”, con chi fare match, chi contattare e chi incontrare.
Non adottiamo decisioni automatizzate che producano effetti giuridici o analogamente significativi e non ti profiliamo a fini pubblicitari. L’età mostrata sul tuo profilo è un numero calcolato a partire dalla tua data di nascita — la tua data di nascita esatta non viene mai mostrata agli altri utenti.
Chi riceve i tuoi dati
Ci avvaliamo di un numero ristretto di fornitori fidati per gestire Kora. Essi trattano i tuoi dati esclusivamente in base alle nostre istruzioni, nell’ambito di un accordo sul trattamento dei dati. L’elenco aggiornato, con il ruolo di ciascun fornitore e la regione di hosting, è mantenuto nel nostro elenco dei sub-responsabili. In sintesi:
- Supabase — il nostro database, l’autenticazione (compresi la tua email e la password), l’archiviazione dei file per le tue foto (conservate in storage privato e servite tramite link a breve durata) e la consegna della chat in tempo reale. Ospitato nell’UE (Irlanda).
- Stripe — pagamenti, rimborsi e onboarding dei pagamenti per i commercianti e verifica dell’identità (Stripe Connect).
- Resend — email transazionali e relative all’account (come avvisi di benvenuto, di prenotazione e di account).
- Expo — consegna delle notifiche push mobili. Il contenuto delle notifiche push può includere il nome di un match o di un mittente e una breve anteprima del messaggio.
- Mapbox — conversione dell’indirizzo del locale di un commerciante in coordinate cartografiche.
- Amplitude — analitiche di prodotto, utilizzate solo ove tu abbia prestato il consenso, con dati trattati nella sua zona server UE.
- Sentry — monitoraggio di errori e crash, configurato per ridurre al minimo i dati personali.
- Vercel (sito web e portali) e Google Cloud (la nostra API, ospitata nell’UE — Belgio) — i nostri fornitori di hosting.
Quando tocchi “indicazioni” verso un locale prenotato, il tuo dispositivo apre la tua app di mappe (Apple o Google Maps) con la posizione del locale — si tratta della tua app di mappe, non di un trasferimento da parte di Kora.
Trasferimenti internazionali
Il nostro obiettivo è mantenere i tuoi dati nell’UE/SEE: il nostro database, l’archiviazione dei file e l’API sono ospitati nell’UE, e il nostro fornitore di analitiche è configurato per la sua zona server UE. Alcuni fornitori hanno sede, o trattano dati, negli Stati Uniti — in particolare Stripe, Vercel, Sentry ed Expo. Quando i dati escono dal SEE, il trasferimento è coperto dalle Clausole contrattuali tipo della Commissione europea, dal Data Privacy Framework UE-USA o da un’altra garanzia legale, e mettiamo a disposizione le relative informazioni su richiesta.
Per quanto tempo conserviamo i tuoi dati
Conserviamo i tuoi dati personali per tutto il tempo in cui il tuo account è attivo. Puoi eliminare il tuo account in qualsiasi momento:
- Gli utenti di incontri possono effettuare l’eliminazione dall’app immediatamente. Quando lo fai, anonimizziamo subito il tuo profilo: il tuo nome, la biografia, la posizione, le foto e i messaggi che hai inviato vengono rimossi dalla visualizzazione e il tuo indirizzo email viene sostituito con un hash unidirezionale, in modo che l’account non possa più essere ricollegato a te.
- I commercianti richiedono l’eliminazione dal portale; esaminiamo la richiesta (affinché eventuali prenotazioni e pagamenti in corso vengano regolati), quindi anonimizziamo l’account e chiudiamo l’account di pagamento Stripe.
Alcuni dati, per loro natura o per legge, vengono conservati oltre l’eliminazione: una prenotazione conserva il nome e il riferimento alla foto di ciascun partecipante come parte del proprio registro, e conserviamo i registri di prenotazioni, pagamenti e rimborsi per adempiere agli obblighi contabili e fiscali rumeni (generalmente fino a dieci anni). Conserviamo inoltre registri limitati relativi alla sicurezza (ad esempio relativi a una rimozione di account o a una segnalazione di abuso) per tutto il tempo necessario a tutelare la sicurezza degli altri utenti, nonché un registro interno delle azioni amministrative. I file residui e il registro di accesso sottostante vengono quindi cancellati su base programmata.
L’“eliminazione” di un account costituisce pertanto un’anonimizzazione: rimangono un identificativo sottoposto a hashing e i registri sopra indicati, ma l’account non è più identificabile come tuo.
Sicurezza
Proteggiamo i tuoi dati con una serie di controlli stratificati:
- Cifratura in transito (HTTPS/TLS) per tutto il traffico verso il nostro sito web, l’app e l’API.
- Controlli di accesso a livello di database (sicurezza a livello di riga) in modo che ciascuna persona possa raggiungere soltanto i propri dati, e richieste firmate verificate a ogni chiamata API.
- Sessioni di accesso con ambiti separati per l’app degli incontri, il portale dei commercianti e l’area amministrativa, in modo che una sessione in una non possa essere utilizzata in un’altra. Su mobile, la tua sessione è custodita nel keystore sicuro del dispositivo.
- Password e credenziali gestite da Supabase — non memorizziamo mai le password in chiaro — e password, token e segreti analoghi rimossi dai nostri registri di errore e diagnostica.
- Limitazione della frequenza e protezioni anti-abuso sull’accesso e su altre azioni sensibili, e un flusso di reimpostazione della password concepito per non rivelare se un indirizzo email corrisponda a un account.
Nessun servizio può essere perfettamente sicuro, ma lavoriamo per proteggere i tuoi dati e notificheremo all’autorità di controllo competente entro 72 ore ove richiesto (Art. 33), e ti informeremo senza ingiustificato ritardo qualora una violazione sia suscettibile di presentare un rischio elevato per te (Art. 34).
I tuoi diritti
Ai sensi del GDPR hai il diritto di:
- accedere ai dati personali che deteniamo su di te e ottenerne una copia;
- rettificare i dati errati o non aggiornati;
- eliminare i tuoi dati (“diritto all’oblio”);
- ricevere i tuoi dati in un formato portabile, oppure farli trasmettere a un altro servizio;
- limitare o opporti a determinati trattamenti, compreso il trattamento basato sui nostri legittimi interessi; e
- revocare qualsiasi consenso prestato, senza pregiudicare i trattamenti pregressi.
La maggior parte di queste operazioni puoi compierle autonomamente nell’app — modificare il tuo profilo, oppure eliminare il tuo account dalle Impostazioni. In caso contrario, scrivi a privacy@koraexperiences.com oppure utilizza il modulo all’indirizzo /contact alla voce “Legale / Privacy”. Rispondiamo entro un mese. L’eliminazione dell’account di un commerciante viene esaminata dal nostro team prima di essere eseguita, affinché le prenotazioni e i pagamenti in corso vengano regolati.
Limite di età (18+)
Kora è riservato esclusivamente agli adulti. Devi avere almeno 18 anni per creare un account: chiediamo la tua data di nascita e blocchiamo gli account quando essa indica che hai meno di 18 anni. Non effettuiamo verifiche dell’identità o dell’età oltre a questa, pertanto non possiamo garantire l’età dichiarata da ogni utente — incontrati con prudenza. Non raccogliamo consapevolmente dati da chiunque abbia meno di 18 anni. Se ritieni che un minore si sia registrato, contattaci all’indirizzo privacy@koraexperiences.com e rimuoveremo l’account.
Modifiche alla presente informativa
Aggiorniamo la presente informativa quando le nostre pratiche di trattamento dei dati cambiano — non solo secondo una cadenza prestabilita. Se una modifica è sostanziale, te lo comunicheremo nell’app o via email prima che abbia effetto. La data di “ultimo aggiornamento” in alto riflette sempre la versione corrente, e le versioni precedenti sono archiviate.
Reclami
Se ritieni che abbiamo gestito in modo improprio i tuoi dati, ti preghiamo di contattarci innanzitutto affinché possiamo porvi rimedio. Hai inoltre il diritto di presentare reclamo a un’autorità per la protezione dei dati. Poiché Kora opera dalla Romania, la nostra autorità capofila è l’autorità rumena ANSPDCP. Se risiedi altrove nell’UE, puoi rivolgerti anche all’autorità di controllo del tuo paese di residenza.