Privacy Policy

Ultimo aggiornamento: 17 ottobre 2025

1. Introduzione

Klipcard ("noi", "nostro/a") rispetta la tua privacy e si impegna a proteggere i dati personali degli utenti. Questa Privacy Policy spiega quali dati raccogliamo, come li utilizziamo, e quali diritti hai in relazione ai tuoi dati personali, in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679).

2. Titolare del Trattamento

Ragione sociale: Klipcard
Email: diblaproduction@gmail.com
Sito web: https://klipcard.app

3. Dati Personali Raccolti

3.1 Dati forniti dall'utente

Quando ti registri e utilizzi Klipcard, raccogliamo:

Dati account negoziante: email, password (criptata), data di registrazione
Dati clienti finali (inseriti dal negoziante): nome, cognome, email (opzionale), telefono (opzionale), data di nascita (opzionale)
Dati card fidelity: prodotto/servizio, numero bollini, stato avanzamento

3.2 Dati raccolti automaticamente

Dati dispositivo: tipo dispositivo, sistema operativo, versione app, ID dispositivo (per limite 3 dispositivi per account)
Dati utilizzo: timestamp scansioni QR, azioni nell'app (creazione card, clienti)
Dati tecnici: indirizzo IP, log errori, performance app

3.3 Dati NON raccolti

Non raccogliamo:

Dati di pagamento (gestiti direttamente da Stripe)
Posizione GPS precisa
Contatti del telefono
Foto o file multimediali (eccetto QR code generati dall'app)

4. Finalità del Trattamento e Base Giuridica

4.1 Fornitura del servizio (Base giuridica: Contratto)

Creazione e gestione account utente
Generazione card fidelity digitali
Scansione QR code e aggiornamento bollini
Invio email card ai clienti finali
Sincronizzazione dati tra dispositivi

4.2 Google Wallet Integration (Base giuridica: Contratto)

Generazione link "Save to Google Wallet"
Aggiornamento automatico bollini nel wallet Google
I dati vengono condivisi con Google LLC secondo la loro privacy policy

4.3 Sicurezza e anti-frode (Base giuridica: Legittimo interesse)

Limite 3 dispositivi per account (prevenzione abusi)
Log accessi e attività sospette
Backup dati per disaster recovery

4.4 Miglioramento servizio (Base giuridica: Legittimo interesse)

Analisi statistiche aggregate (es. "quante card vengono create in media")
Fix bug e ottimizzazioni performance
Nessuna profilazione o targeting pubblicitario

4.5 Comunicazioni (Base giuridica: Contratto o Consenso)

Email transazionali (es. "Hai completato la card"): sempre inviate
Email marketing (novità, offerte): solo con tuo consenso esplicito

5. Condivisione Dati con Terze Parti

5.1 Provider di servizi

Firebase (Google LLC): hosting database, autenticazione, cloud functions. Server: Europa (europe-west1). Privacy Policy Firebase
Stripe: gestione pagamenti (Pro/Business). Non conserviamo dati carte di credito. Privacy Policy Stripe
Hetzner: hosting sito web (Germania). Privacy Policy Hetzner

5.2 Google Wallet API Integration

Klipcard utilizza la Google Wallet API (Passes API) per consentire ai clienti finali di salvare card fidelity digitali in Google Wallet.

Quando utilizzi la funzione "Aggiungi a Google Wallet":

Dati inviati a Google LLC tramite API:

Issuer Name: "Klipcard"
Program Name: "Klipcard Loyalty Program"
Account Name: Nome prodotto/servizio (es. "Caffè", "Taglio Capelli")
Account ID: ID cliente interno Klipcard
Barcode: QR code univoco con payload JSON contenente ID card e token di sicurezza
Text Modules: Testo "X/Y bollini" aggiornato in tempo reale
State: Stato card ("active", "completed", "redeemed")
Class ID: Identificativo classe loyalty Klipcard
Object ID: Identificativo univoco oggetto wallet

Signals automatici che Google potrebbe ricevere:

Come developer che utilizza la Google Wallet API, potremmo ricevere informazioni relative agli utenti finali (che possono includere dati personali) attraverso l'API, come "signals" che indicano quando un cliente:

Ha aggiunto la card a Google Wallet (evento "add")
Ha attivato o visualizzato la card (evento "activate")
Ha utilizzato la card mostrando il QR code (evento "use")
Ha rimosso la card dal wallet (evento "remove")

Questi signals vengono utilizzati esclusivamente per migliorare il servizio e fornire statistiche aggregate al negoziante (es. "quanti clienti hanno salvato la card nel wallet").

Base giuridica e consenso:

L'invio dati a Google Wallet avviene su tua esplicita richiesta (clic su "Aggiungi a Google Wallet")
Base giuridica: Contratto (necessario per fornire la funzionalità richiesta)
Puoi revocare in qualsiasi momento rimuovendo la card da Google Wallet

Trattamento dati da parte di Google:

Google LLC tratterà i dati ricevuti secondo:

Dati NON condivisi con Google:

Email cliente finale
Telefono cliente
Indirizzo o dati sensibili
Cronologia acquisti dettagliata
Dati di pagamento

Sicurezza integrazione:

Utilizziamo OAuth 2.0 JWT bearer token per autenticazione sicura
Service Account Google Cloud con permessi minimi necessari
Chiavi private RSA crittografate salvate in Firebase Secret Manager
Comunicazioni via HTTPS/TLS

Server e trasferimento dati:

Google Wallet API è ospitata su server Google LLC, che potrebbero trovarsi negli Stati Uniti o in altre giurisdizioni. Google garantisce conformità GDPR tramite Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.

5.3 Autorità e obblighi legali

Possiamo condividere dati se richiesto per legge (es. ordine tribunale, indagini forze dell'ordine).

6. Conservazione Dati

Account attivi: dati conservati fino alla cancellazione account
Account cancellati: dati eliminati entro 30 giorni (backup entro 90 giorni)
Log tecnici: conservati max 12 mesi
Dati fatturazione: conservati 10 anni (obbligo fiscale italiano)

7. Diritti dell'Utente (GDPR)

Hai il diritto di:

Accesso: richiedere copia dei tuoi dati personali
Rettifica: correggere dati errati o obsoleti
Cancellazione: eliminare il tuo account e dati (tranne obblighi legali)
Portabilità: ricevere dati in formato JSON esportabile
Opposizione: opporti a trattamenti specifici (es. email marketing)
Limitazione: limitare il trattamento in casi specifici
Reclamo: presentare reclamo al Garante Privacy (www.garanteprivacy.it)

Per esercitare i tuoi diritti: invia email a diblaproduction@gmail.com con oggetto "GDPR - [tuo diritto]". Risponderemo entro 30 giorni.

8. Sicurezza Dati

Adottiamo misure di sicurezza appropriate:

Password crittografate con algoritmi standard (Firebase Auth)
Connessioni HTTPS/TLS per tutte le comunicazioni
Firestore security rules per limitare accesso dati
Backup automatici giornalieri
Monitoraggio anomalie e tentativi accesso non autorizzato

9. Cookie e Tracking

Sito web (klipcard.app):

Cookie strettamente necessari: sessione, preferenze lingua
Cookie analytics (Google Analytics): solo con tuo consenso
Nessun cookie pubblicitario o di profilazione

App mobile: non utilizza cookie. I dati sono salvati localmente con AsyncStorage (equivalente localStorage).

10. Trasferimento Dati Extra-UE

I dati vengono conservati principalmente in server europei (Firebase europe-west1). Alcuni sub-processori potrebbero essere negli USA (es. Google Cloud, Stripe) ma garantiscono:

Standard Contractual Clauses (SCC) approvate dalla Commissione UE
Certificazioni di conformità (es. Privacy Shield)

11. Minori

Klipcard non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se scopriamo dati di minori, li cancelliamo immediatamente. Se sei genitore e credi che tuo figlio abbia fornito dati, contattaci.

12. Modifiche alla Privacy Policy

Possiamo aggiornare questa Privacy Policy. Ti notificheremo modifiche sostanziali via email o notifica in-app. Continua utilizzo dopo modifiche = accettazione nuova policy.

13. Contatti

Per domande su questa Privacy Policy o esercizio diritti GDPR:

Email: diblaproduction@gmail.com
Oggetto email: "Privacy Policy - [tua richiesta]"

Questa Privacy Policy è conforme al GDPR (Regolamento UE 2016/679) e al D.Lgs. 196/2003 (Codice Privacy italiano).