Informativa sulla Privacy

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

2. Definizioni

• Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile.
• Interessato: la persona fisica a cui si riferiscono i Dati Personali.
• Trattamento: qualsiasi operazione compiuta sui Dati Personali.
• Titolare del Trattamento: LODE SRLS, che determina le finalità e i mezzi del trattamento.
• Servizio: la piattaforma GelatoBalance accessibile tramite il sito web e l'applicazione.

3. Dati Personali Raccolti

3.1 Dati forniti volontariamente dall'Utente

Dati di registrazione (obbligatori):

• Nome e cognome
• Indirizzo email
• Password (conservata in forma crittografata con algoritmo bcrypt)

Dati aziendali (facoltativi):

I seguenti dati sono facoltativi e vengono utilizzati esclusivamente per la personalizzazione delle stampe PDF (manuale HACCP, libro degli ingredienti, ricette):

• Nome dell'azienda/attività
• Partita IVA
• Indirizzo aziendale
• Valuta preferita
• Percentuale IVA applicata

Dati di contenuto:

• Ricette create (ingredienti, grammature, note)
• Ingredienti personalizzati
• Registri HACCP (temperature, pulizie, formazione, non conformità, ecc.)
• Configurazione vetrina gelato
• Feedback e comunicazioni inviate

Dati di pagamento e fatturazione:

• Piano di abbonamento e stato dell'abbonamento
• Identificativo cliente Stripe (stripeCustomerId) — non conserviamo i dati della carta di credito, che sono gestiti esclusivamente da Stripe
• Storico dei pagamenti (importi, date, riferimenti fattura Stripe)
• Dati di fatturazione forniti dall'Utente (ragione sociale, P.IVA, indirizzo, codice SDI/PEC)
• Richieste di fattura e relative fatture PDF
• Date di inizio e fine del ciclo contrattuale

3.2 Dati raccolti automaticamente

Dati tecnici:

• Indirizzo IP
• Tipo e versione del browser
• Sistema operativo
• Data e ora di accesso
• Pagine visitate all'interno del Servizio

Dati dei dispositivi:

Per garantire la sicurezza dell'account e gestire l'accesso da più dispositivi, raccogliamo:

• Identificativo univoco del dispositivo (generato tramite fingerprinting del browser)
• Nome del dispositivo
• User Agent del browser
• Data e ora dell'ultimo accesso

Nota sul fingerprinting: Utilizziamo tecniche di fingerprinting del browser per generare un identificativo univoco del dispositivo. Questo ci permette di implementare il sistema di sicurezza che consente l'utilizzo attivo del Servizio da un solo dispositivo alla volta, pur permettendo la registrazione di più dispositivi. Il fingerprint viene calcolato localmente e solo l'hash risultante viene trasmesso ai nostri server.

4. Finalità del Trattamento

I Dati Personali sono trattati per le seguenti finalità:

4.1 Esecuzione del contratto

• Creazione e gestione dell'account utente
• Fornitura delle funzionalità del Servizio (gestione ricette, ingredienti, HACCP, vetrina)
• Gestione dei dispositivi autorizzati
• Generazione di documenti PDF personalizzati
• Elaborazione dei pagamenti e gestione degli abbonamenti tramite Stripe
• Emissione e gestione delle fatture su richiesta dell'Utente
• Assistenza clienti

4.2 Obblighi di legge

• Adempimento di obblighi fiscali e contabili
• Risposta a richieste dell'autorità giudiziaria

4.3 Legittimo interesse

• Prevenzione di frodi e abusi
• Sicurezza del Servizio e degli account
• Miglioramento del Servizio tramite analisi aggregate e anonime

5. Base Giuridica del Trattamento

Il trattamento dei Dati Personali si fonda sulle seguenti basi giuridiche:

• Esecuzione di un contratto (Art. 6.1.b GDPR): per la fornitura del Servizio richiesto dall'Utente.
• Obbligo legale (Art. 6.1.c GDPR): per adempiere a obblighi di legge.
• Legittimo interesse (Art. 6.1.f GDPR): per la sicurezza e il miglioramento del Servizio.
• Consenso (Art. 6.1.a GDPR): per l'utilizzo di cookie analitici (Google Analytics).

6. Destinatari dei Dati

I Dati Personali possono essere comunicati alle seguenti categorie di destinatari, tutti nominati Responsabili del trattamento ai sensi dell'Art. 28 GDPR:

6.1 Fornitori di servizi tecnologici

6.2 Altri destinatari

• Autorità pubbliche, se richiesto per legge
• Consulenti legali e fiscali, per la tutela dei diritti del Titolare

I Dati Personali non vengono venduti né ceduti a terzi per finalità di marketing.

7. Trasferimento dei Dati Extra-UE

I dati sono prevalentemente conservati su server ubicati in Germania (Unione Europea). Alcuni fornitori di servizi (Stripe, Google Analytics) hanno sede negli Stati Uniti. In questi casi, il trasferimento avviene sulla base di:

• Clausole Contrattuali Standard approvate dalla Commissione Europea
• Certificazione del fornitore nell'ambito del Data Privacy Framework UE-USA (ove applicabile)

L'Utente può richiedere copia delle garanzie adottate contattando il Titolare.

8. Periodo di Conservazione

I Dati Personali sono conservati per i seguenti periodi:

Cancellazione dell'account: Quando l'Utente richiede la cancellazione del proprio account, tutti i Dati Personali vengono eliminati immediatamente, ad eccezione di quelli che devono essere conservati per obblighi di legge.

9. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, l'Utente ha diritto di:

• Accesso (Art. 15): ottenere conferma del trattamento e accedere ai propri dati.
• Rettifica (Art. 16): correggere dati inesatti o incompleti.
• Cancellazione (Art. 17): richiedere la cancellazione dei propri dati ("diritto all'oblio").
• Limitazione (Art. 18): limitare il trattamento in determinati casi.
• Portabilità (Art. 20): ricevere i propri dati in formato strutturato.
• Opposizione (Art. 21): opporsi al trattamento basato sul legittimo interesse.
• Revoca del consenso : revocare in qualsiasi momento il consenso prestato.

Come esercitare i diritti

L'Utente può esercitare i propri diritti:

• Inviando una richiesta a lodesrls@gmail.com
• Per la cancellazione dell'account: direttamente dall'applicazione nella sezione Impostazioni

Garantiamo una risposta entro 7 giorni lavorativi dalla ricezione della richiesta e comunque entro 30 giorni come previsto dal GDPR.

Reclamo all'Autorità di Controllo

L'Utente ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:

10. Sicurezza dei Dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i Dati Personali, tra cui:

• Crittografia delle password con algoritmo bcrypt
• Connessioni protette tramite protocollo HTTPS/TLS
• Accesso ai dati limitato al personale autorizzato
• Backup giornalieri con conservazione per 5 giorni
• Server ubicati in data center certificati nell'Unione Europea
• Sistema di gestione dispositivi per prevenire accessi non autorizzati

11. Minori

Il Servizio è riservato a persone di età pari o superiore a 18 anni. Non raccogliamo consapevolmente Dati Personali di minori. Se venissimo a conoscenza di aver raccolto dati di un minore, provvederemo alla loro immediata cancellazione.

12. Cookie

Il Servizio utilizza cookie e tecnologie simili. Per informazioni dettagliate, consultare la nostra Cookie Policy.

13. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare questa Informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate con un preavviso di almeno 30 giorni tramite email e/o notifica nell'applicazione.

La data dell'ultimo aggiornamento è indicata all'inizio del documento. L'uso continuato del Servizio dopo le modifiche costituisce accettazione delle stesse.

14. Contatti

Per qualsiasi domanda relativa a questa Informativa o al trattamento dei Dati Personali: