Privacy Policy

1. Introduzione

La presente Informativa sulla Privacy descrive come caard.me(di seguito "noi", "nostro", "ci") raccoglie, utilizza, conserva e protegge i dati personali degli utenti che visitano il sito web caard.mee utilizzano i nostri servizi.

Il Titolare del trattamento dei dati personali è Riccardo Murachelli, responsabile del progetto caard.me. Per qualsiasi domanda o richiesta relativa alla privacy, è possibile contattarci all'indirizzo email: info@caard.me

La presente informativa è resa ai sensi dell'art. 13 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy italiano).

2. Dati raccolti

Raccogliamo e trattiamo i seguenti tipi di dati personali:

2.1. Dati forniti direttamente dall'utente

• Dati anagrafici: Nome, cognome
• Dati di contatto: Indirizzo email, numero di telefono
• Dati professionali: Professione, ruolo lavorativo
• Dati di spedizione: Indirizzo completo (via, numero civico, CAP, città, provincia, paese)
• Dati di pagamento: I dati di pagamento (numero carta, CVV, ecc.) sono gestiti esclusivamente da Stripe, nostro fornitore di servizi di pagamento certificato PCI-DSS. Noi non conserviamo dati di pagamento sensibili sul nostro sistema.
• Credenziali di accesso: Email e password (criptate) per l'accesso all'account
• Contenuti personalizzati: Immagini personalizzate caricate dall'utente per la personalizzazione delle tessere

2.2. Dati raccolti automaticamente

• Dati di navigazione: Indirizzo IP, tipo di browser, sistema operativo, pagine visitate, tempo di permanenza, data e ora di accesso
• Cookie e tecnologie simili: Utilizziamo cookie tecnici necessari per il funzionamento del sito e cookie di preferenze per la gestione del tema (chiaro/scuro)
• Dati di utilizzo: Informazioni su come interagisci con il sito e i servizi

2.3. Dati di terze parti

• Stripe: Riceviamo informazioni sullo stato dei pagamenti e degli ordini tramite webhook sicuri
• Servizi di autenticazione: Se utilizzi login social (Google, Apple, ecc.), riceviamo i dati di base del profilo

3. Finalità e base giuridica del trattamento

Trattiamo i tuoi dati personali per le seguenti finalità:

3.1. Esecuzione del contratto (Art. 6, comma 1, lett. b GDPR)

• Elaborazione e gestione degli ordini di tessere NFC
• Produzione e personalizzazione delle tessere secondo le tue specifiche
• Gestione della spedizione e consegna
• Gestione dell'account utente e dei servizi associati
• Comunicazione relativa agli ordini (conferme, aggiornamenti, tracking)
• Gestione dei pagamenti tramite Stripe
• Fornitura del servizio di profilo personale online (caard.me/u/username)

3.2. Obblighi di legge (Art. 6, comma 1, lett. c GDPR)

• Adempimento degli obblighi contabili e fiscali
• Conservazione dei documenti di vendita per i termini di legge
• Rispetto degli obblighi di sicurezza e prevenzione delle frodi

3.3. Consenso (Art. 6, comma 1, lett. a GDPR)

• Invio di comunicazioni promozionali e newsletter (solo con consenso esplicito)
• Utilizzo di cookie non essenziali (se applicabile)

3.4. Legittimo interesse (Art. 6, comma 1, lett. f GDPR)

• Miglioramento dei servizi e dell'esperienza utente
• Analisi statistiche e di utilizzo del sito (dati aggregati e anonimi)
• Prevenzione di frodi e abusi
• Gestione di reclami e assistenza clienti
• Comunicazioni di servizio relative a modifiche importanti dei termini o della privacy policy

4. Modalità di trattamento

I dati personali sono trattati mediante strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

Adottiamo misure di sicurezza tecniche e organizzative appropriate per proteggere i dati personali da accessi non autorizzati, alterazioni, divulgazioni o distruzioni, incluse:

• Crittografia dei dati sensibili (password, token)
• Connessioni sicure (HTTPS/TLS)
• Accesso ai dati limitato al personale autorizzato
• Backup regolari e sistemi di recupero
• Monitoraggio continuo per rilevare violazioni di sicurezza

5. Conservazione dei dati

I dati personali sono conservati per i periodi necessari alle finalità per cui sono stati raccolti:

• Dati di account: Fino alla cancellazione dell'account da parte dell'utente o fino a 3 anni di inattività
• Dati degli ordini: 10 anni dalla data dell'ordine (obblighi contabili e fiscali)
• Dati di pagamento: Conservati da Stripe secondo i loro termini e le normative applicabili
• Dati di navigazione: Fino a 12 mesi (dati aggregati e anonimi possono essere conservati più a lungo)
• Comunicazioni email: Fino a 2 anni dall'ultima interazione

Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro o resi anonimi in modo irreversibile.

6. Comunicazione e diffusione dei dati

I tuoi dati personali non vengono venduti, affittati o ceduti a terzi per scopi commerciali. I dati possono essere comunicati a:

6.1. Fornitori di servizi (Responsabili del trattamento)

• Stripe: Per la gestione dei pagamenti (Stripe, Inc., con sede negli USA, conforme al Privacy Shield e Standard Contractual Clauses)
• Fornitori di hosting: Per l'hosting del sito web e del database
• Servizi di spedizione: Per la consegna delle tessere (Poste Italiane, corrieri)
• Fornitori di servizi email: Per l'invio di comunicazioni (se applicabile)
• Fornitori di servizi di autenticazione: Per login social (Google, Apple, ecc.)

Tutti i fornitori di servizi sono vincolati da contratti che garantiscono livelli di protezione dei dati equivalenti a quelli previsti dal GDPR.

6.2. Autorità pubbliche

I dati possono essere comunicati alle autorità competenti quando richiesto dalla legge o da un provvedimento dell'autorità giudiziaria.

6.3. Trasferimenti internazionali

Alcuni fornitori di servizi (come Stripe) possono avere server ubicati al di fuori dell'Unione Europea. In tali casi, garantiamo che i trasferimenti avvengano nel rispetto del GDPR mediante:

• Standard Contractual Clauses approvati dalla Commissione Europea
• Certificazioni Privacy Shield (ove applicabile)
• Altri meccanismi legali riconosciuti

7. Cookie e tecnologie di tracciamento

Il sito utilizza cookie e tecnologie simili per migliorare l'esperienza dell'utente e per analisi statistiche.

Utilizziamo principalmente:

• Cookie tecnici: Necessari per il funzionamento del sito (sessione, autenticazione)
• Cookie di preferenze: Per memorizzare le preferenze dell'utente (tema chiaro/scuro)

7.1. Servizio di analytics: GoatCounter

Utilizziamo GoatCounter (fornito da GoatCounter.com) per raccogliere statistiche anonime sull'utilizzo del sito web. GoatCounter è un servizio di analytics che rispetta la privacy e il GDPR:

• Non utilizza cookie: GoatCounter non imposta cookie sul tuo dispositivo
• Dati anonimi: Raccoglie solo dati aggregati e anonimi (pagine visitate, referrer, paese, browser, dispositivo)
• Nessun tracciamento cross-site: Non traccia gli utenti tra diversi siti web
• Nessun fingerprinting: Non crea profili degli utenti
• Dati minimi: Raccoglie solo le informazioni strettamente necessarie per le statistiche

I dati raccolti da GoatCounter includono:

• Pagine visitate (URL)
• Referrer (sito di provenienza)
• Paese di origine (basato su IP, ma l'IP non viene memorizzato)
• Tipo di browser e dispositivo (user agent)
• Data e ora della visita

Base giuridica: Il trattamento si basa sul nostro legittimo interesse (Art. 6, comma 1, lett. f GDPR) di migliorare il sito e comprendere come viene utilizzato. Poiché GoatCounter non utilizza cookie e raccoglie solo dati anonimi aggregati, non è richiesto il consenso esplicito ai sensi del GDPR.

I dati vengono conservati da GoatCounter secondo la loro Privacy Policy. Puoi disabilitare il tracciamento di GoatCounter utilizzando l'opzione "Do Not Track" del tuo browser o installando un'estensione che blocca i tracker.

Per maggiori informazioni su GoatCounter, visita: www.goatcounter.com

7.2. Gestione dei cookie

Puoi gestire le preferenze dei cookie attraverso le impostazioni del tuo browser. Tuttavia, tieni presente che la disabilitazione dei cookie tecnici potrebbe impedire il corretto funzionamento di alcune funzionalità del sito.

8. I tuoi diritti (Art. 15-22 GDPR)

Hai il diritto di esercitare i seguenti diritti in qualsiasi momento:

8.1. Diritto di accesso (Art. 15 GDPR)

Puoi richiedere informazioni sui dati personali che trattiamo e ottenere una copia dei dati.

8.2. Diritto di rettifica (Art. 16 GDPR)

Puoi richiedere la correzione di dati inesatti o incompleti.

8.3. Diritto alla cancellazione (Art. 17 GDPR - "diritto all'oblio")

Puoi richiedere la cancellazione dei tuoi dati personali quando:

• Non sono più necessari per le finalità per cui sono stati raccolti
• Ritiri il consenso e non vi sia altra base giuridica
• Ti opponi al trattamento e non vi siano motivi legittimi prevalenti
• I dati sono stati trattati illecitamente

Nota: La cancellazione può essere limitata se i dati sono necessari per adempimenti di legge (es. conservazione documenti contabili).

8.4. Diritto di limitazione del trattamento (Art. 18 GDPR)

Puoi richiedere la limitazione del trattamento quando contesti l'esattezza dei dati o ti opponi al trattamento.

8.5. Diritto alla portabilità dei dati (Art. 20 GDPR)

Puoi richiedere di ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento.

8.6. Diritto di opposizione (Art. 21 GDPR)

Puoi opporti al trattamento dei tuoi dati per motivi legati alla tua situazione particolare, quando il trattamento si basa su legittimo interesse.

8.7. Diritto di revoca del consenso

Quando il trattamento si basa sul consenso, puoi revocarlo in qualsiasi momento. La revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca.

8.8. Diritto di proporre reclamo

Hai il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (Garante Privacy) se ritieni che il trattamento dei tuoi dati violi il GDPR.

Garante Privacy:
Piazza di Monte Citorio, 121 - 00186 Roma
Tel: +39 06 696771
Email: garante@gpdp.it
Web: www.garanteprivacy.it

Come esercitare i tuoi diritti

Per esercitare i tuoi diritti, puoi contattarci:

• Email: info@caard.me
• Oggetto email: "Richiesta esercizio diritti GDPR"

Risponderemo alla tua richiesta entro 30 giorni (o 60 giorni in casi complessi, previa comunicazione).

9. Minori

I nostri servizi sono destinati a utenti maggiorenni o minori con il consenso di un genitore o tutore. Non raccogliamo consapevolmente dati personali di minori di 16 anni senza il consenso dei genitori. Se veniamo a conoscenza di aver raccolto dati di un minore senza consenso, provvederemo immediatamente alla cancellazione.

10. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare questa Privacy Policy in qualsiasi momento per riflettere cambiamenti nelle nostre pratiche, nei servizi o nella normativa. Le modifiche entreranno in vigore dalla pubblicazione su questa pagina.

Ti informeremo di modifiche sostanziali mediante:

• Notifica via email all'indirizzo registrato
• Banner di avviso sul sito web
• Aggiornamento della data "Ultimo aggiornamento"

Ti invitiamo a consultare periodicamente questa pagina per rimanere informato su come proteggiamo i tuoi dati.

11. Contatti

Per qualsiasi domanda, richiesta o reclamo relativo alla privacy e al trattamento dei dati personali, puoi contattarci: