Privacy Policy

Ultimo aggiornamento: 2 giugno 2026

Questa informativa descrive come lasciarecensioni.it (di seguito, "il Servizio") tratta i dati personali dei merchant che utilizzano la piattaforma e dei clienti finali coinvolti nei sondaggi, ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

1. Titolare del trattamento

Il Titolare del trattamento è Ivan Longo, residente a Bari (BA), Codice Fiscale LNGVNI98L22A662R, contattabile all'indirizzo email lasciarecensioni@gmail.com.

Per richieste relative al funzionamento della piattaforma e per l'esercizio dei diritti GDPR (sezione 8) è inoltre disponibile il canale di assistenza dedicato lasciarecensioni@gmail.com.

2. Categorie di dati raccolti

2.1 Dati del merchant

In fase di registrazione e durante l'utilizzo del Servizio raccogliamo, in funzione del tipo di account scelto (privato, professionista, azienda, società):

dati identificativi: nome, cognome, eventuale ragione sociale e forma giuridica;
dati fiscali quando applicabili: partita IVA, codice fiscale, codice destinatario SDI, indirizzo PEC;
dati di contatto: indirizzo email, indirizzo della sede, CAP e provincia;
credenziali di accesso (password memorizzata in forma hashata e mai in chiaro) e dati tecnici di sessione necessari ad autenticare il merchant e proteggere l'account;
configurazioni del Servizio (logo caricato, testi dei messaggi, domande del sondaggio, omaggi previsti).

2.2 Dati dei clienti finali del merchant

Il merchant può inserire o far inserire al cliente finale: nome, cognome, numero di telefono, città. Quando il cliente compila il sondaggio, vengono raccolti voti numerici (scala 1–10), e facoltativamente un feedback testuale privato. Vengono inoltre memorizzati l'origine del contatto (link diretto via WhatsApp oppure scansione di un QR code in negozio) e la data del sondaggio.

Per i dati dei clienti finali il merchant è autonomo Titolare del trattamento e il fornitore del Servizio agisce come Responsabile del trattamentoai sensi dell'art. 28 GDPR (vedi sezione 4).

2.3 Dati di navigazione

I server di hosting (Vercel) registrano automaticamente, per finalità di sicurezza, prevenzione abusi e diagnostica tecnica, alcuni dati di connessione come l'indirizzo IP, il tipo di browser, il sistema operativo e le pagine richieste. Tali dati sono conservati per il tempo strettamente necessario al rispetto degli obblighi tecnico-legali e non sono utilizzati per profilare gli utenti.

2.4 Categorie particolari di dati (art. 9 GDPR)

Il Servizio non richiede il trattamento di categorie particolari di dati personali (origine razziale o etnica, opinioni politiche, convinzioni religiose, dati sanitari, ecc.). Il merchant è invitato a non inserire tali dati nei campi di testo libero (feedback, note cliente, configurazione messaggi).

3. Finalità del trattamento

I dati sono trattati per le seguenti finalità:

erogazione del Servizio (gestione account, raccolta sondaggi, generazione voucher, dashboard);
comunicazioni operative al merchant (conferma email, recupero password, avvisi di sistema);
sicurezza, prevenzione frodi e abusi del Servizio (incluso il blocco di sondaggi duplicati o tentativi di manipolazione);
misurazione anonima e aggregata del traffico del sito (solo previo consenso, vedi sezione 9);
adempimenti di legge fiscale e amministrativa quando applicabili.

I dati non sono utilizzati per profilazione, né ceduti a terzi per finalità di marketing, né sottoposti a processi decisionali automatizzati con effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR.

In ossequio al principio di minimizzazione (art. 5.1.c GDPR), raccogliamo solo i dati strettamente necessari alle finalità sopra indicate. Il merchant decide se compilare i campi facoltativi (es. città del cliente finale, feedback testuale).

4. Base giuridica

Il trattamento dei dati del merchant si basa su:

esecuzione del contratto di cui il merchant è parte (art. 6.1.b GDPR), per la fornitura del Servizio;
adempimento di obblighi legali (art. 6.1.c GDPR), in particolare di natura fiscale e contabile;
legittimo interesse (art. 6.1.f GDPR) per la sicurezza della piattaforma, la prevenzione di abusi e la difesa in giudizio;
consenso (art. 6.1.a GDPR) per l'utilizzo di strumenti di misurazione del traffico (vedi sezione 9), revocabile in qualsiasi momento.

Rapporto con il merchant per i dati dei clienti finali. Per i dati dei clienti finali (numero di telefono, voti, feedback) il merchant agisce come autonomo Titolare del trattamento: a lui compete individuare la base giuridica adeguata, fornire l'informativa privacy ai propri clienti e raccoglierne, ove necessario, il consenso. Di norma la base giuridica è il legittimo interesse ex art. 6.1.f GDPR per la richiesta di feedback ai propri clienti, oppure il consenso esplicito ex art. 6.1.a.

Il fornitore del Servizio agisce nei confronti dei dati dei clienti finali come Responsabile del trattamento ai sensi dell'art. 28 GDPR. L'accettazione dei Termini di servizioda parte del merchant vale anche come accordo di nomina a Responsabile (DPA): il fornitore tratta tali dati esclusivamente sulla base delle istruzioni documentate del merchant, garantisce la riservatezza, adotta misure tecniche e organizzative adeguate e collabora con il merchant nell'evasione delle richieste degli interessati.

5. Categorie di destinatari (Responsabili esterni e sub-processor)

I dati possono essere trattati dai seguenti fornitori di servizi tecnici, nominati Responsabili esterni / sub-processor:

Fornitore	Servizio	Sede / Trasferimento
Supabase Inc.	Database PostgreSQL, autenticazione, storage logo	USA — SCC art. 46 GDPR
Vercel Inc.	Hosting applicazione, log accesso, Web Analytics cookieless (solo previo consenso)	USA — SCC art. 46 GDPR
Resend	Invio email transazionali (conferma, reset password)	USA — SCC art. 46 GDPR
Twilio Ireland Ltd.	Invio SMS di consegna del codice omaggio al numero di telefono del cliente finale	Irlanda (UE), failover infrastruttura USA — SCC art. 46 GDPR
Upstash Inc. (QStash)	Scheduling del job ritardato che innesca l'invio SMS al completamento del sondaggio (delay 3 minuti). Trasmette solo l'identificativo capability del voucher, nessun dato personale.	USA — SCC art. 46 GDPR
Plausible Analytics (opzionale, solo previo consenso)	Misurazione anonima e aggregata del traffico, senza cookie	UE (Germania)

Ognuno di questi fornitori tratta i dati secondo le proprie informative privacy e standard di sicurezza, ed è vincolato contrattualmente al rispetto del GDPR. L'elenco aggiornato dei sub-processor è messo a disposizione su richiesta.

I dati possono inoltre essere comunicati ad autorità pubbliche (es. autorità giudiziaria, organi di vigilanza) quando richiesto da obblighi di legge o per la difesa di diritti del Titolare.

6. Trasferimento dati extra-UE

Alcuni dei fornitori sopra elencati possono trattare i dati su server situati negli Stati Uniti. In tali casi il trasferimento avviene sulla base delle Standard Contractual Clauses(SCC) approvate dalla Commissione Europea con Decisione 2021/914, come misura di salvaguardia ai sensi dell'art. 46 GDPR.

7. Conservazione dei dati

I tempi di conservazione variano in funzione della categoria di dato:

Categoria	Tempo di conservazione
Account merchant e configurazione	Per tutta la durata del rapporto contrattuale; cancellazione entro 30 giorni dalla disattivazione
Sondaggi, voti e feedback testuali	Fino alla cancellazione del cliente da parte del merchant o alla disattivazione dell'account
Voucher emessi	Fino alla scadenza definita dal merchant + ulteriori 12 mesi a fini di difesa in giudizio
Log accesso e dati di sicurezza	Massimo 12 mesi (gestiti dai provider di hosting)
Documenti fiscali (quando attivi i piani a pagamento)	10 anni ai sensi della normativa civilistica e fiscale
Registri di consenso (cookie, comunicazioni)	Fino alla revoca o per il tempo necessario a dimostrarne la prestazione

Decorsi i termini sopra indicati, i dati vengono cancellati o resi anonimi in modo irreversibile. Su richiesta dell'interessato, i dati possono essere cancellati anche prima del termine, salvo obblighi di legge che ne impongano la conservazione.

8. Diritti dell’interessato

Ai sensi degli artt. 15-22 GDPR, hai diritto a:

accedere ai tuoi dati e ottenerne una copia;
rettificare i dati inesatti o integrarli;
cancellare i dati ("diritto all'oblio") se non sussiste obbligo di conservazione;
limitare o opporti al trattamento;
ricevere i tuoi dati in formato strutturato (portabilità);
revocare il consenso in qualsiasi momento, ove il trattamento sia basato sul consenso;
proporre reclamo al Garante per la protezione dei dati personali.

Per esercitare questi diritti scrivi al Titolare a lasciarecensioni@gmail.com oppure al canale di assistenza lasciarecensioni@gmail.com. Risponderemo entro 30 giorni.

9. Cookie e strumenti di tracciamento

lasciarecensioni.it utilizza cookie e tecnologie di archiviazione locale strettamente tecnici, necessari al funzionamento del Servizio e non soggetti a consenso preventivo ai sensi dell'art. 122 del Codice Privacy. Non sono utilizzati cookie di profilazione, di marketing né cookie di terze parti.

Per la sola misurazione anonima del traffico sono disponibili strumenti di analytics cookieless (Vercel Web Analytics ed eventualmente Plausible Analytics), che non utilizzano cookiee non raccolgono dati personali identificativi: vengono attivati solo se l'utente fornisce il consenso tramite il banner cookie ("Accetta tutti"). Il consenso è revocabile in qualsiasi momento dal link "Preferenze cookie" presente nel footer del sito.

9.1 Tabella delle tecnologie in uso

Nome	Finalità	Durata	Tipo
`sb-access-token`	Autenticazione utente (Supabase Auth)	1 ora	Tecnico
`sb-refresh-token`	Rinnovo sessione (Supabase Auth)	30 giorni	Tecnico
`cookie-consent`	Memorizza la scelta sul banner cookie	Persistente (localStorage)	Tecnico
`cookie-consent-date`	Data di prestazione del consenso (registro consensi)	Persistente (localStorage)	Tecnico
`pw_recovery`	Flag di flusso reset password	Sessione (httpOnly)	Tecnico
`sq_*`	Idempotenza scansione QR (anti doppio conteggio)	30 secondi (httpOnly)	Tecnico
Vercel Web Analytics (solo se acconsentito)	Conteggio anonimo di visite e pagine viste, dati aggregati	Nessun cookie persistente	Analytics — opt-in
Plausible Analytics (solo se acconsentito)	Conteggio anonimo delle visite, fonti di traffico aggregate	Nessun cookie persistente	Analytics — opt-in

9.2 Come gestire o revocare il consenso

Puoi modificare in qualsiasi momento le tue preferenze cookie utilizzando il link "Preferenze cookie" in fondo a ciascuna pagina pubblica del sito. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prestato prima della revoca.

9.3 Come gestire i cookie dal browser

Puoi configurare il browser per accettare, rifiutare o eliminare i cookie. La disattivazione dei cookie tecnici può compromettere il funzionamento del Servizio (es. impossibilità di mantenere la sessione di login). Istruzioni per i principali browser:

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate a proteggere i dati ai sensi dell'art. 32 GDPR, tra cui:

trasmissione cifrata via TLS su tutto il dominio;
password memorizzate esclusivamente in forma hashata (bcrypt) e mai trasmesse né registrate in chiaro;
Row Level Security sul database PostgreSQL: ogni merchant accede solo ai propri dati;
regole di accesso amministrativo limitato, tracciato e basato su email autorizzate;
protezione anti-escalation a livello database (trigger che impediscono modifiche client a campi sensibili come ruolo amministrativo, stato attivo, piano);
generazione lato server delle scelte casuali (ruota della fortuna) per impedire manipolazione dal browser;
requisiti minimi di robustezza password (almeno 8 caratteri, lettere maiuscole e minuscole, cifre).

Nessun sistema informatico può garantire sicurezza assoluta. Invitiamo gli utenti a usare password robuste e univoche, a non condividere le proprie credenziali e a segnalare tempestivamente qualsiasi accesso sospetto al canale di assistenza.

11. Violazioni dei dati personali (data breach)

In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, il Titolare provvederà alla notifica al Garante per la protezione dei dati personali entro 72 oredalla conoscenza del fatto, ai sensi dell'art. 33 GDPR. Qualora la violazione presenti un rischio elevato, sarà data comunicazione anche agli interessati senza ingiustificato ritardo (art. 34 GDPR).

12. Responsabile della Protezione dei Dati (DPO)

La nomina di un Responsabile della Protezione dei Dati (DPO) non è obbligatoria per il Titolare ai sensi dell'art. 37 GDPR, in considerazione della natura e della scala del trattamento. Per qualsiasi questione relativa alla protezione dei dati è possibile contattare direttamente il Titolare ai recapiti indicati nella sezione 1.

13. Decisioni automatizzate e profilazione

Il Servizio non effettua processi decisionali interamente automatizzati che producano effetti giuridici sull'interessato o che incidano significativamente sulla sua persona, ai sensi dell'art. 22 GDPR. La selezione casuale dell'omaggio nella ruota della fortuna è una funzionalità ludica priva di tali effetti.

14. Modifiche dell’informativa

Possiamo aggiornare la presente informativa per riflettere modifiche del Servizio o della normativa. Le modifiche sostanziali saranno comunicate al merchant via email con almeno 30 giorni di preavviso e, ove necessario, sarà richiesto un nuovo consenso. La data dell'ultimo aggiornamento è indicata in alto.