ONQR.AI Logo

ONQR.AI

Informativa sulla Privacy – ONQR.AI

Aggiornamento: 9 settembre 2025

La presente Informativa sulla privacy (“Informativa”) descrive in modo chiaro e trasparente come Software Solutions di G. Beligni (“Titolare”, “noi”, “nostro”) – raccoglie, utilizza, condivide e protegge i dati personali (“Dati”) degli utenti che visitano il sito web onqr.ai, utilizzano l’app ONQR.AI (“App”) o acquistano servizi digitali e prodotti fisici.

Novità importante: utilizziamo Aptabase (Sumbit Labs Limited, Irlanda) per analisi d’uso dell’App in modalità privacy‑first. Aptabase non impiega identificatori persistenti del dispositivo; elabora l’indirizzo IP in modo effimero per generare un identificatore pseudonimo che ruota ogni 24 ore e non è riutilizzabile tra giorni/app. I dati analitici sono conservati in Aptabase fino a 5 anni e vengono ospitati – salvo diversa indicazione – nella regione UE (Germania).

1. Sommario dei punti chiave

  • Trasparenza – specifichiamo quali dati raccogliamo durante la navigazione, l’uso dell’app e dei servizi, e per quali scopi.
  • Base giuridica – per ogni finalità indichiamo la base giuridica (ad esempio, contratto, obbligo legale, legittimo interesse o consenso) come richiesto dal Regolamento (UE) 2016/679 (“GDPR”).
  • Diritti dell’utente – l’utente può accedere, rettificare, cancellare o portare i propri dati, limitare/opporre il trattamento e revocare il consenso.
  • Trasferimenti internazionali – quando necessario trasferiamo i dati fuori dallo Spazio Economico Europeo sulla base di decisioni di adeguatezza o clausole contrattuali standard.
  • Uso dell’IA – utilizziamo algoritmi di intelligenza artificiale per suggerimenti, traduzioni e filtri immagine. Tali funzioni non producono decisioni automatizzate con effetti giuridici significativi.
  • Misure di sicurezza – adottiamo misure tecniche e organizzative in linea con l’art. 32 GDPR (es. crittografia, autenticazione a più fattori, rate limiting).
  • Analytics privacy‑first (Aptabase) – misurazione di eventi e sessioni dell’App senza identificatori persistenti, con identificatore giornaliero non riutilizzabile e data residency in UE.

2. Definizioni principali

  • Utente – la persona fisica che visita il sito, installa l’App o utilizza i nostri servizi.
  • Prodotti fisici – biglietti da visita smart (NFC/QR) e relativi accessori.
  • Servizi digitali – funzionalità erogate via app, come upgrade, crediti o abbonamenti.
  • Dati personali – qualsiasi informazione che identifica o rende identificabile un utente (es. nome, email, indirizzo IP, dati di pagamento).
  • Titolare – Software Solutions di G. Beligni, responsabile del trattamento dei dati.
  • Aptabase – piattaforma di app analytics privacy‑first fornita da Sumbit Labs Limited (Irlanda), utilizzata come responsabile del trattamento per analizzare in forma pseudonima l’uso dell’App.

3. Categorie di dati trattati

ContestoTipologie di datiDettagli
Navigazione sito/blogDati tecniciIndirizzo IP, tipo e versione del browser, fuso orario, pagine visitate, referrer, cookie e tecnologie simili.
Account (login social o email)Dati identificativiNome, cognome, email e, se previsto dal provider, immagine del profilo.
Funzione SenderContenuti delle cardTesti, immagini, video e posizione GPS facoltativa relativa al luogo di consegna della card.
Funzione ReceiverDati di interazioneMessaggi inviati, reazioni, preferenze salvate in local storage.
PagamentiDati finanziariID transazione, importo, valuta, metodo di pagamento; per i pagamenti ci avvaliamo di Stripe e degli store Apple/Google.
ComunicazioniDati di contattoToken per le push notification e indirizzi email (forniti o ricavati).
AI e analyticsDati derivatiLog di utilizzo, statistiche aggregate, suggerimenti di testo o immagine e traduzioni.
App analytics (Aptabase)Dati di utilizzo pseudonimiEventi e parametri di utilizzo dell’App (es. avvio/app start, schermate, feature taps, errori), sistema operativo e versione, versione dell’App, tipo di dispositivo; identificatore utente pseudonimo giornaliero generato da Aptabase mediante hash di IP + User Agent con salt che ruota ogni 24 ore; nessun identificatore persistente del dispositivo è raccolto dall’SDK.
Informazioni provenienti da terziDati forniti da partnerDati di fatturazione (banche/istituti di pagamento), dati di accesso social, e dati raccolti tramite strumenti di analisi (es. Google Analytics, Aptabase).

4. Finalità e basi giuridiche del trattamento

FinalitàBase giuridica (art. 6 GDPR)Descrizione
Erogazione del servizio (creazione e condivisione delle card, gestione dell’account)ContrattoNecessari per fornire l’app e le funzionalità richieste.
Elaborazione pagamenti e fatturazioneContratto / obbligo legaleGestione degli ordini, fatture e obblighi fiscali.
Notifiche e comunicazioni di servizioContrattoInvio di email e push notification relative all’uso dell’app e allo stato degli ordini.
Funzioni IA (traduzioni, suggerimenti, filtri immagine)Consenso (revocabile)L’utente può abilitare o disabilitare le funzioni IA. L’output è soggetto a verifica da parte dell’utente e non produce effetti giuridici significativi.
Analisi statistiche e miglioramento del prodotto (web)Consenso (per cookie/strumenti soggetti a ePrivacy)Per il sito pubblico usiamo Google Analytics solo dopo consenso (IP anonimizzato, Consent Mode).
**Analisi di utilizzo dell’**App (Aptabase)Legittimo interesse del Titolare (art. 6(1)(f))Misurazione di eventi e sessioni per migliorare sicurezza, stabilità e usabilità dell’App senza identificatori persistenti. Aptabase elabora l’IP in modo effimero per generare un identificatore pseudonimo a rotazione quotidiana, non riutilizzabile tra giorni o app, che non ci consente di identificare l’utente. Puoi opporti in qualsiasi momento (v. Diritti).
Prevenzione frodi e sicurezzaLegittimo interesseMonitoraggio per prevenire accessi fraudolenti o abusi.
Marketing diretto (newsletter e offerte)ConsensoL’utente può iscriversi e revocare liberamente l’iscrizione.

5. Cookie e local storage

Utilizziamo cookie tecnici e di funzionalità per garantire il funzionamento del sito (es. cookie di consenso cookieyes-consent e CookieConsent) e token di sessione (app_id_token, receiver_id_token) per la versione app. Inoltre, l’integrazione del sistema anti‑bot Cloudflare Turnstile può impostare cookie/archiviare token necessari per distinguere traffico legittimo da automatizzato. Il local storage conserva preferenze utente e token effimeri e non viene usato per tracciamento comportamentale. I cookie di performance (es. Google Analytics) vengono caricati solo dopo consenso esplicito.

Aptabase non utilizza cookie né fingerprinting per l’analisi dell’App; la misurazione si basa su eventi applicativi e su un identificatore pseudonimo giornaliero non persistente generato lato server. Non effettuiamo tracciamento cross‑sito o cross‑app tramite Aptabase.

Dettagli e gestione delle preferenze sono disponibili nella nostra Politica Cookie e nel banner di consenso.

6. Destinatari e trasferimenti di dati

I dati personali sono trattati dal personale autorizzato del Titolare e possono essere condivisi con:

  • Fornitori di infrastruttura e hosting: Amazon Web Services (ad es. S3 per l’archiviazione di file caricati, CloudFront come CDN, Lambda per l’elaborazione serverless – es. conversione video HLS – e DynamoDB per dati applicativi). Quando applicabile usiamo anche Cloudflare per CDN/DNS e protezione applicativa.

  • Sicurezza e anti‑bot: Cloudflare Turnstile per la validazione anti‑abuso su moduli e flussi sensibili (es. registrazioni e form). Può elaborare indirizzi IP e dati tecnici per rilevare traffico anomalo.

  • Autenticazione e Identity: AWS Cognito (OpenID Connect/OAuth 2.0) e provider di social login (Apple, TikTok, Amazon, Google, Facebook, GitHub). Dai provider riceviamo tipicamente nome ed email necessari all’accesso.

  • Processori di pagamento: Stripe per pagamenti online; per acquisti in‑app si applicano gli store Apple/Google. Non memorizziamo i numeri completi delle carte; i dati sensibili sono trattati direttamente dal processore di pagamento.

  • Notifiche: invio di notifiche push tramite l’ecosistema Expo/FCM/APNs e Web Push (VAPID). Vengono trattati gli identificativi tecnici (token dispositivo) necessari alla consegna.

  • Servizi IA: OpenAI per traduzioni e suggerimenti linguistici/di contenuto. I dati conferiti ai servizi IA sono limitati allo stretto necessario per l’erogazione della funzione.

  • Analytics:

    • Google Analytics per il sito pubblico, attivo solo dopo consenso, con IP anonimizzato e controlli di conservazione;
    • Aptabase (Sumbit Labs Limited, Irlanda) per l’analisi dell’uso dell’App in forma pseudonima senza identificatori persistenti. Salvo diversa indicazione nel nostro registro /sub-processors, i dati sono ospitati nella regione UE (Germania) messa a disposizione dalla piattaforma.

Quando trasferiamo dati al di fuori dello Spazio Economico Europeo ci assicuriamo che ciò avvenga nel rispetto degli artt. 44–49 GDPR mediante decisioni di adeguatezza o clausole contrattuali standard. In alcuni casi potremmo comunicare dati a enti pubblici o autorità giudiziarie per adempiere a obblighi di legge.

L’elenco operativo dei sub‑responsabili del trattamento, con le relative finalità e basi giuridiche, è disponibile in /sub-processors e può essere aggiornato periodicamente.

7. Conservazione dei dati

Conserviamo i dati per il tempo strettamente necessario alle finalità per cui sono raccolti:

  • Log tecnici e di sicurezza (inclusi eventi anti‑bot): 12 mesi;
  • Dati di pagamento: 10 anni per obblighi fiscali;
  • Contenuti delle card: fino a quando l’utente non li elimina o fino alla cancellazione dell’account;
  • Cookie: secondo le durate indicate nella sezione Cookie;
  • Account inattivi: cancellazione o anonimizzazione dopo 24 mesi;
  • Dati relativi al marketing: fino a revoca del consenso;
  • Token per notifiche push: fino a revoca/opt‑out o alla disattivazione del dispositivo, con pulizia periodica dei token inattivi;
  • Dati di App analytics in Aptabase: fino a 5 anni (periodo massimo previsto dalla piattaforma); i dati sono pseudonimi e non sono associabili all’identità reale dell’utente.

8. Minori

Il Servizio non è destinato a persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente dati di minori e, se dovessimo venirne a conoscenza, provvederemo a cancellarli.

9. Diritti dell’interessato

In qualità di interessato, puoi esercitare in qualsiasi momento i diritti previsti dagli artt. 15–22 GDPR:

  1. Accesso – ottenere conferma che sia in corso un trattamento e ricevere copia dei tuoi dati;
  2. Rettifica – correggere dati inesatti o incompleti;
  3. Cancellazione (diritto all’oblio) – richiedere la cancellazione dei dati nei casi previsti dall’art. 17 GDPR;
  4. Limitazione del trattamento – in presenza delle condizioni dell’art. 18 GDPR;
  5. Opposizione – opporti al trattamento basato su legittimo interesse, compresa la profilazione;
  6. Portabilità – ricevere i dati in formato strutturato e interoperabile per trasferirli a un altro titolare;
  7. Revoca del consenso – in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
  8. Reclamo all’autorità di controllo – presentare reclamo al Garante per la protezione dei dati personali.

Nota su Aptabase e diritto alla cancellazione: i dati di App analytics sono raccolti in forma pseudonima tramite un identificatore giornaliero non persistente che non consente (a noi né al fornitore) di ricondurre gli eventi a una persona identificata o identificabile nel tempo. Pertanto potremmo non essere tecnicamente in grado di eliminare selettivamente dati storici già aggregati presso Aptabase; in ogni caso, a seguito di opposizione interromperemo la raccolta per il futuro e adotteremo misure ragionevoli per escludere l’utente da ulteriori invii di eventi.

Per esercitare i tuoi diritti puoi inviare un’email a [email protected]. Potremmo richiedere ulteriori informazioni per verificare la tua identità e risponderemo entro 30 giorni.

10. Sicurezza delle informazioni

Adottiamo misure tecniche e organizzative adeguate (tra cui crittografia dei dati in transito e a riposo, autenticazione forte, firewall/WAF, rate limiting, sistemi anti‑bot come Cloudflare Turnstile e test di penetrazione periodici) per proteggere i dati da accessi non autorizzati, perdita o divulgazione.

11. Profilazione, IA e decisioni automatizzate

Le funzioni di intelligenza artificiale offerte dall’app (suggerimenti di testo, filtri immagine, traduzioni) analizzano i contenuti e le interazioni per fornire output personalizzati. Tuttavia, non producono decisioni automatizzate con effetti giuridici o impatti significativi ai sensi dell’art. 22 GDPR. L’utente è sempre responsabile di verificare l’accuratezza dei risultati e di non pubblicare contenuti che violino diritti di terzi o leggi in vigore.

12. Segnale “Do Not Track”

Il nostro sito non modifica le procedure di raccolta dati quando il browser invia un segnale “Do Not Track”.

13. Richiesta di cancellazione dei dati (Data Removal)

Per richiedere la rimozione dei tuoi dati, puoi utilizzare l’apposita procedura descritta nella pagina Data Removal: invia un’email a [email protected] con oggetto “Richiesta cancellazione dati personali (GDPR)” indicando il tuo nome, l’indirizzo email con cui sei registrato e eventuali riferimenti (ID utente, numero di telefono). Ti risponderemo entro 30 giorni e, nei casi complessi, potremmo estendere il termine fino a 3 mesi come previsto dall’art. 12 GDPR, informandoti dei motivi del ritardo.

14. Modifiche all’Informativa

Ci riserviamo il diritto di aggiornare la presente Informativa per adeguarla a evoluzioni normative o tecniche. In caso di modifiche sostanziali (ad esempio, cambiamento dei fornitori di analytics o del luogo di trattamento), informeremo gli utenti tramite email o notifica in app con almeno 30 giorni di preavviso. La versione più recente è sempre disponibile sul sito.

15. Contatti e Responsabile della Protezione dei Dati

Per qualsiasi domanda o richiesta relativa alla privacy, puoi contattarci all’indirizzo [email protected]. Abbiamo designato un Responsabile della Protezione dei Dati (DPO) contattabile allo stesso indirizzo, che risponderà a quesiti specifici in materia di protezione dei dati.

English summary (non‑binding)

This English section provides an informal summary of the Italian Privacy Policy for international users. In case of discrepancies, the Italian text prevails.

Key points

  • Controller – Software Solutions di G. Beligni, based in Italy, operates ONQR.AI.
  • Data collected – We collect technical data, account information, content you upload, payment and communication details, and derived analytics.
  • App Analytics (Aptabase) – We use Aptabase (Sumbit Labs Limited, Ireland) to measure App usage in a privacy‑first way: no persistent device identifiers; a daily‑rotated pseudonymous user ID derived from IP + User Agent is used only to count sessions and events. Analytics data may be stored for up to 5 years and, by default, is hosted in the EU (Germany) region.
  • Legal basis – Data are processed to perform our contract with you, to comply with legal obligations, based on legitimate interest or with your consent. App analytics relies on legitimate interest with opt‑out.
  • AI functions – Our AI provides suggestions and translations but does not make decisions with legal effects.
  • Transfers – Data may be transferred outside the EEA under appropriate safeguards.
  • Rights – You have the right to access, rectify, erase, restrict or object to processing, request portability, withdraw consent, and lodge a complaint.
  • Contact – For privacy queries or to exercise your rights, email [email protected].