Informativa sulla privacy

SurgeTix AG considera la protezione dei dati personali una priorità. La presente Informativa sulla privacy spiega come raccogliamo, utilizziamo, conserviamo e proteggiamo i dati personali quando gli organizzatori di festival utilizzano la nostra piattaforma e quando i partecipanti acquistano biglietti tramite la nostra infrastruttura.

1. Il nostro duplice ruolo nel trattamento dei dati

SurgeTix opera in due distinte vesti a seconda dei dati interessati. Per i dati di account degli organizzatori di festival, agiamo come Titolare del trattamento. Ciò comprende le informazioni fornite al momento della creazione dell'account, i dati di contatto della vostra organizzazione, le informazioni di fatturazione e pagamento e i dati di utilizzo della piattaforma.

Per i dati dei partecipanti (acquirenti dei biglietti), SurgeTix agisce esclusivamente come Responsabile del trattamento per conto dell'organizzatore del festival, che rimane il Titolare del trattamento. Trattiamo i dati dei partecipanti unicamente secondo le istruzioni dell'organizzatore del festival e ai fini dell'erogazione dei servizi di ticketing. Non utilizziamo i dati dei partecipanti per le nostre finalità di marketing.

2. Dati raccolti

Dagli organizzatori di festival raccogliamo: nome e dati di contatto, dettagli dell'organizzazione, indirizzo di fatturazione, dettagli del metodo di pagamento (gestiti dall'acquirer scelto dall'organizzatore – Stripe o Datatrans – mai memorizzati sui sistemi SurgeTix) e dati analitici sull'utilizzo della piattaforma.

Dai partecipanti (per conto degli organizzatori di festival) trattiamo: nome e indirizzo e-mail, dettagli dell'acquisto del biglietto, token di pagamento (emessi dall'acquirer dell'organizzatore – Stripe o Datatrans; i dati sensibili delle carte non transitano mai sui server SurgeTix) e identificativi dei wallet pass. Non raccogliamo né conserviamo numeri di carta di credito completi, codici CVV o altre credenziali di pagamento sensibili.

3. Conservazione e sicurezza dei dati

Tutti i dati sono conservati in data center sicuri ubicati nell'UE, con misure di sicurezza di livello enterprise tra cui crittografia a riposo e in transito, audit di sicurezza regolari e rigorosi controlli degli accessi. La nostra infrastruttura è progettata per soddisfare i requisiti sia del GDPR sia della legge svizzera sulla protezione dei dati (LPD/nLPD).

4. Condivisione dei dati con terze parti

Condividiamo i dati esclusivamente con i fornitori di servizi essenziali alla fornitura della nostra piattaforma, incluso il provider di hosting e il servizio di e-mail transazionali. L'elaborazione delle carte è effettuata dall'acquirer scelto dall'organizzatore del festival (Stripe o Datatrans) sulla base del contratto di esercente dell'organizzatore stesso, e non come sub-responsabile di SurgeTix. Abbiamo accordi sul trattamento dei dati con tutti i sub-responsabili di SurgeTix.

Non vendiamo dati. Non facciamo marketing verso i vostri partecipanti. Il vostro pubblico è vostro.

5. Cookie e tracciamento

La nostra piattaforma utilizza cookie essenziali necessari all'autenticazione e alla gestione delle sessioni. Utilizziamo strumenti di analytics rispettosi della privacy per comprendere l'uso della piattaforma. Non utilizziamo cookie pubblicitari di terze parti né tecnologie di tracciamento cross-site.

6. I vostri diritti

Ai sensi del GDPR e della legge svizzera, avete il diritto di accedere ai vostri dati personali, rettificare dati inesatti, richiedere la cancellazione dei vostri dati, limitare il trattamento, ottenere la portabilità dei dati e opporvi al trattamento. Gli organizzatori di festival possono esercitare tali diritti tramite le impostazioni dell'account o contattandoci. I partecipanti devono rivolgersi all'organizzatore del festival che controlla i loro dati, il quale si coordinerà poi con noi se necessario.

7. Conservazione dei dati

Conserviamo i dati degli organizzatori di festival per tutto il tempo in cui il vostro account è attivo e per il periodo successivo richiesto dalla legge applicabile (in genere sette anni per le registrazioni finanziarie). I dati dei partecipanti sono conservati secondo le istruzioni dell'organizzatore del festival e i requisiti di legge applicabili.

8. Misure di sicurezza

Implementiamo misure tecniche e organizzative adeguate per la protezione dei dati personali, tra cui crittografia TLS per tutti i dati in transito, crittografia AES-256 per i dati a riposo, regolari penetration test e audit di sicurezza, controlli degli accessi basati sui ruoli e procedure di risposta agli incidenti.

9. App mobile SurgeTix Gatekeeper

L'app iOS SurgeTix Gatekeeper è utilizzata dal personale d'ingresso degli organizzatori di festival per scansionare i codici QR dei partecipanti all'entrata della venue. L'app si autentica verso il tenant SurgeTix dell'organizzatore ed eredita le relazioni di trattamento dati descritte sopra.

L'accesso alla fotocamera è richiesto unicamente per decodificare codici QR mostrati dai partecipanti su carta o in Apple Wallet. Nessun fotogramma, immagine o video viene mai memorizzato, trasmesso o caricato. Il decodificatore QR funziona interamente sul dispositivo; solo il payload decodificato del biglietto raggiunge i nostri server per la convalida.

I token di autenticazione sono memorizzati nel portachiavi iOS tramite l'API Secure Store di Apple e sono limitati al dispositivo. I codici di autenticazione multifattore vengono convalidati sui nostri server rispetto al segreto TOTP dell'organizzatore; nessun dato biometrico lascia il dispositivo. L'app non include SDK di terze parti per analisi, pubblicità o tracciamento.

10. Modifiche alla presente informativa

Potremmo aggiornare la presente Informativa sulla privacy di tanto in tanto. La versione aggiornata sarà pubblicata sul nostro sito web con la data di revisione.