Informativa sulla privacy

Data di entrata in vigore: 29 aprile 2026 - Versione 2026-04-29-v1

La presente informativa spiega come QR-Verse tratta i tuoi dati personali, le basi giuridiche su cui ci basiamo, i responsabili del trattamento che impieghiamo, i tempi di conservazione applicati e i diritti che ti spettano ai sensi del Regolamento generale sulla protezione dei dati (GDPR/RGPD). Hostiamo nell'UE, conserviamo solo lo stretto necessario e non vendiamo mai le tue informazioni.

Gestisci la privacy ora

Scarica i miei dati Elimina il mio account Preferenze cookie

Sintesi

Siamo il titolare del trattamento. Stabiliti nell'UE, senza casa madre statunitense. Contatto: support@qr-verse.com.
Trattiamo l'email del tuo account, i dati di abbonamento, i QR code che crei, le statistiche di scansione anonimizzate e la cronologia AI Art.
Utilizziamo Supabase (Francoforte), Stripe, Resend, Cloudflare, Hetzner e Sentry. L'elenco completo con le ubicazioni è alla sezione 5.
I cookie di marketing e analitici sono disattivati per impostazione predefinita. I cookie di affiliazione si caricano solo se ne dai esplicito consenso.
Puoi scaricare o eliminare i tuoi dati in qualsiasi momento da Impostazioni -> Privacy. La cancellazione prevede un periodo di tolleranza di 30 giorni.

1. Titolare del trattamento e contatti

Il titolare del trattamento descritto nella presente informativa è:

QR-Verse
Operativi dall'Unione Europea
support@qr-verse.com
Responsabile della protezione dei dati (DPO): support@qr-verse.com - indica "DPO" nell'oggetto per un corretto inoltro.
Rappresentante UE: Non designato separatamente - il titolare è stabilito nell'Unione Europea, quindi non è richiesto il rappresentante ai sensi dell'articolo 27.
Autorità di controllo capofila: Autoriteit Persoonsgegevens (AP), l'autorità olandese per la protezione dei dati - https://autoriteitpersoonsgegevens.nl. In Italia, puoi rivolgerti anche al Garante per la protezione dei dati personali: https://www.garanteprivacy.it.

2. Categorie di dati personali trattati

Raccogliamo solo ciò che è necessario per erogare il servizio. Ogni categoria sotto descrive cosa conserviamo e perché.

Dati di account
Indirizzo email, nome visualizzato, preferenza di lingua, hash della password (in assenza di OAuth) e identificativi OAuth di Google o Apple, se accedi tramite essi.
Dati di abbonamento e fatturazione
ID cliente Stripe, piano, stato dell'abbonamento, storico fatture, paese ai fini IVA e ultime 4 cifre della carta. Non vediamo né conserviamo i numeri completi - lo gestisce Stripe.
Metadati dei QR code
I QR code che crei, le loro URL di destinazione (codici dinamici), i nomi assegnati, il tipo (URL, vCard, Wi-Fi, ecc.) e i parametri di stile scelti.
Statistiche di scansione
Marca temporale di ogni scansione, paese dedotto dall'IP del lettore (l'IP non viene mai conservato), classe di dispositivo (mobile/desktop/tablet) e famiglia approssimativa di OS. Tutte le righe sono pseudonimizzate - non riconducibili a una persona.
Generazioni AI Art
Il prompt che invii, i parametri usati (stile, intensità ControlNet, seed) e l'immagine risultante. Conservati per consentire ridownload o rigenerazione. Non utilizzati per addestrare modelli di terzi.
Log delle email
Eventi di consegna, bounce, apertura e clic per email transazionali e di marketing, restituiti dal nostro provider Resend. Usati per monitoraggio della deliverability e soppressione degli indirizzi che fanno bounce.
Log dei consensi cookie
Quando accetti, rifiuti o modifichi le preferenze dei cookie, registriamo le categorie scelte, la consent_version attiva e l'ora. È la traccia di audit richiesta dall'articolo 7(1) del GDPR.

3. Basi giuridiche (articolo 6 del GDPR)

Ci basiamo sulle seguenti basi giuridiche, abbinate alle categorie sopra:

Esecuzione di un contratto (articolo 6(1)(b))
Dati di account, abbonamento e fatturazione, metadati QR - senza di essi non possiamo erogare il servizio.
Legittimo interesse (articolo 6(1)(f))
Statistiche di scansione aggregate (sicurezza, prevenzione frodi, capacity planning), log degli errori e tracce di audit. Abbiamo bilanciato i tuoi interessi rispetto ai nostri e documentato l'analisi internamente.
Consenso (articolo 6(1)(a))
Email di marketing, cookie non essenziali (analitici, marketing, affiliazione) e cronologia dei prompt AI Art oltre le sessioni attive. Puoi revocare il consenso in qualsiasi momento, con la stessa facilità con cui lo concedi.
Obbligo legale (articolo 6(1)(c))
Fatture e dati di abbonamento conservati per 7 anni per adempiere alla normativa fiscale (Belastingdienst olandese, articolo 2220 del Codice Civile italiano e norme equivalenti degli Stati membri).

4. Destinatari e responsabili del trattamento

Lavoriamo con un piccolo gruppo di responsabili attentamente selezionati. Trattano i dati solo su nostre istruzioni scritte tramite un Accordo di Trattamento dei Dati (DPA).

Fornitore	Finalità	Ubicazione	DPA
Supabase	Database, autenticazione, archiviazione file	UE - Francoforte (eu-central-1)	DPA
Stripe	Elaborazione pagamenti, fatturazione abbonamenti	Irlanda (UE) con fallback USA tramite SCC	DPA
Resend	Invio di email transazionali e di marketing	UE + USA con SCC	DPA
Cloudflare	CDN, protezione DDoS, edge caching	Rete edge globale	DPA
Hetzner Online	Hosting applicativo, infrastruttura container	Solo UE - Germania	DPA
Sentry	Tracciamento errori e monitoraggio performance	Regione UE (de.sentry.io)	DPA
Impact (pxf.io)	Cookie di tracciamento affiliazione - caricati solo se accetti i cookie di Affiliazione	USA con SCC	DPA
Affiliazione NordVPN	Attribuzione partner - caricata solo se accetti i cookie di Affiliazione	Panama con SCC UE	DPA

Elenco completo dei responsabili: /legal/subprocessors

5. Trasferimenti internazionali di dati

La maggior parte dei tuoi dati resta nell'UE. Alcuni responsabili operano dagli Stati Uniti. Per ogni trasferimento USA ci basiamo sulle Clausole Contrattuali Standard (SCC, 2021/914) della Commissione Europea, sottoscritte nel relativo DPA.

Stripe (parte dei dati di pagamento) - SCC + misure supplementari di Stripe.
Resend (metadati email) - SCC + EU-US Data Privacy Framework (ove applicabile).
Sentry (stack trace di errore, ripuliti dai dati personali) - SCC + regione UE per default.
Impact / pxf.io (cookie di affiliazione, solo previo consenso) - SCC.
Cloudflare (transito edge) - SCC.

Non trasferiamo dati personali a responsabili in paesi privi di decisione di adeguatezza, salvo copertura tramite SCC e misure tecniche supplementari (cifratura in transito e a riposo).

6. Tempi di conservazione

Conserviamo i dati personali solo per il tempo necessario. Tempi specifici:

Account attivo
Indeterminato finché il tuo abbonamento o account gratuito è attivo.
Account eliminato
Periodo di tolleranza di 30 giorni dopo la richiesta. Durante tale periodo l'account è sospeso e ripristinabile. Trascorsi 30 giorni viene eseguita la cancellazione definitiva e gli identificatori vengono rimossi.
Dati di abbonamento e fatture
7 anni dalla data della fattura. Imposto dalla normativa fiscale (Belastingdienst olandese, articolo 2220 del Codice Civile italiano e norme equivalenti degli Stati membri).
Statistiche di scansione
Righe grezze: 90 giorni. Successivamente aggregate per giorno/paese e i record di dettaglio vengono eliminati.
Log dei consensi cookie
12 mesi dalla data del consenso. Conforme alle linee guida CNIL e EDPB.
Log delle email
24 mesi. Usati per il monitoraggio della deliverability e la soppressione dei bounce.
Backup
Backup cifrati con retention rolling di 35 giorni. In caso di richiesta di cancellazione, non ripristineremo i tuoi dati dai backup salvo obbligo di legge.

7. I tuoi diritti ai sensi del GDPR

Ti spettano i seguenti diritti sui tuoi dati. La maggior parte si esercita direttamente dall'account; per gli altri, scrivi a support@qr-verse.com - rispondiamo entro 30 giorni.

Diritto di accesso (articolo 15)
Scarica una copia completa dei tuoi dati come archivio ZIP.
Esporta i miei dati->
Diritto di rettifica (articolo 16)
Correggi dati personali errati.
Modifica profilo->
Diritto alla cancellazione (articolo 17)
Cancella in modo definitivo account e dati personali. La cancellazione prevede 30 giorni di tolleranza durante i quali puoi annullarla.
Elimina il mio account->
Diritto di limitazione (articolo 18)
Chiedici di limitare il trattamento mentre è pendente un reclamo o una correzione.
Scrivi a support@qr-verse.com->
Diritto alla portabilità (articolo 20)
Ricevi i tuoi dati in formato strutturato e leggibile da macchina (JSON in ZIP) e trasmettili a un altro titolare.
Esporta i miei dati->
Diritto di opposizione (articolo 21)
Opponiti al trattamento per finalità di marketing o basato sul legittimo interesse. Puoi disiscriverti dalle email di marketing direttamente.
Preferenze email->
Diritto di revocare il consenso (articolo 7(3))
Revoca il consenso ai cookie o al marketing in qualsiasi momento. Facile come concederlo.
Preferenze cookie->
Diritto di reclamo (articolo 77)
Presenta reclamo all'autorità di controllo del tuo Stato membro. La nostra autorità capofila è l'AP olandese. In Italia, contatta il Garante.
Trova la tua autorità->

8. Cookie e tecnologie analoghe

Usiamo quattro categorie di cookie. Solo i Necessari sono attivi per default; tutto il resto è strettamente opt-in.

Necessari

Sempre attivi

Sessione, autenticazione, protezione CSRF, preferenza di lingua e il cookie geo_country che indica al banner quale regime giuridico applicare. Non disattivabili - senza di essi il sito non funziona.

Analitici

Disattivati per default

Attualmente disattivati - non utilizziamo analitiche di terze parti. Se in futuro li attiveremo (ad es. Vercel Analytics o PostHog) incrementeremo consent_version e il banner chiederà di nuovo il consenso.

Marketing

Disattivati per default

Pixel di misurazione delle campagne email e personalizzazione dell'onboarding. Non utilizziamo network pubblicitari di terze parti.

Affiliazione

Disattivati per default

Impact (pxf.io) e il cookie di affiliazione NordVPN. Caricati solo quando clicchi su un link di affiliazione E hai accettato questa categoria.

Se aggiungiamo un nuovo fornitore o modifichiamo la descrizione di una categoria, incrementiamo CONSENT_VERSION (vedi audit log su /api/account/cookie-consent) e il banner ripropone la richiesta a tutti i visitatori.

9. Misure di sicurezza

Seguiamo le pratiche standard di sicurezza per SaaS europeo:

TLS 1.2+ per tutto il traffico tra te e il nostro edge (Cloudflare).
Cifratura a riposo per il database Supabase Postgres e i bucket di storage.
Row-Level Security (RLS) su ogni tabella utente - ciascuno legge solo i propri dati.
Segreti memorizzati in variabili d'ambiente, mai nel controllo versione.
Avvisi Sentry sugli errori a runtime, con scrubbing automatico dei dati personali.
Revisione di pentest sui rilasci principali; programma bug bounty disponibile - scrivi a support@qr-verse.com.
Backup cifrati con AES-256, retention rolling di 35 giorni, esclusivamente UE.
Autenticazione a due fattori obbligatoria per gli account fondatori e disponibile per tutti gli utenti.

10. Minori

QR-Verse non è rivolto a minori di 16 anni. Non raccogliamo consapevolmente dati personali di chi ha meno di 16 anni. Se sei genitore o tutore e ritieni che il tuo bambino abbia creato un account, scrivi a support@qr-verse.com - elimineremo l'account entro 5 giorni lavorativi. Dove la legge locale fissa un'età superiore (es. 16 in NL/DE, 14 in IT secondo il D.lgs. 101/2018), prevale l'età superiore.

11. Modifiche all'informativa

In caso di modifiche sostanziali:

Aggiorniamo versione e data di entrata in vigore in cima a questa pagina.
Inviamo email a tutti gli utenti almeno 30 giorni prima dell'efficacia.
Se la modifica riguarda le categorie cookie, incrementiamo CONSENT_VERSION costringendo il banner a richiedere nuovamente il consenso a tutti.
Manteniamo un archivio delle versioni precedenti, linkato in cima a questa pagina.

12. Contatti

Per domande sulla privacy, richieste degli interessati o tematiche DPO:

support@qr-verse.com

Diamo riscontro alle richieste entro 72 ore e le risolviamo entro 30 giorni, come richiesto dall'articolo 12(3) del GDPR.

Data di entrata in vigore: 29 aprile 2026 - Versione 2026-04-29-v1

Cookie banner consent_version: 2026-04-29-v1