Giffit ("il Servizio") è sviluppato e gestito da Michele Furgeri.
La presente Privacy Policy descrive come raccogliamo, utilizziamo e proteggiamo
i tuoi dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR) e del
D.Lgs. 196/2003 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018.
In sintesi: raccogliamo solo i dati necessari per farti usare Giffit. Non vendiamo i tuoi dati a terzi. Le funzionalità di personalizzazione avanzata basate sulla tua navigazione sono sempre opzionali e puoi revocarle in qualsiasi momento dalle impostazioni dell'app.
1. Titolare del Trattamento
Michele Furgeri
Email: info@giffit.me
Non è stato designato un Responsabile della Protezione dei Dati (DPO) in quanto il trattamento non rientra nei casi obbligatori previsti dall'Art. 37 del GDPR (nessun trattamento su larga scala di categorie particolari di dati né monitoraggio sistematico su larga scala di persone fisiche).
2. Dati Raccolti
Dati forniti direttamente dall'utente
- Dati di registrazione: indirizzo email, password (non conservata in chiaro — cifrata con bcrypt)
- Dati di profilo: username, nome visualizzato, foto profilo, genere, data di nascita, interessi, preferenze negative ("cose che non ti piacciono")
- Contenuti creati: wishlist, elementi della wishlist, eventi della vita, messaggi in chat
- Dati relazionali: connessioni con altri utenti, inviti inviati e ricevuti
Dati raccolti automaticamente
- Dati di utilizzo: timestamp degli accessi, preferenze di tema, log di sessione
- Push token: identificativo del dispositivo per l'invio di notifiche push
Dati raccolti previo consenso esplicito (opzionali)
- Dati di navigazione nel browser integrato: URL, titolo e descrizione dei prodotti visitati tramite il browser integrato di Giffit. Questi dati sono trattati esclusivamente per personalizzare i suggerimenti regalo AI. Non vengono mai ceduti a terzi. Puoi negare o revocare questo consenso in qualsiasi momento.
3. Finalità e Base Giuridica del Trattamento
| Finalità | Base giuridica (GDPR) | Dati coinvolti |
|---|---|---|
| Registrazione e gestione account | Art. 6(1)(b) — Esecuzione del contratto | Email, password, profilo |
| Erogazione del Servizio (wishlist, eventi, connessioni, chat) | Art. 6(1)(b) — Esecuzione del contratto | Tutti i dati di profilo e contenuti |
| Suggerimenti regalo AI basati sul profilo | Art. 6(1)(b) — Esecuzione del contratto | Interessi, preferenze, età , genere |
| Notifiche push e email transazionali | Art. 6(1)(b) — Esecuzione del contratto | Push token, email |
| Personalizzazione suggerimenti tramite dati di navigazione | Art. 6(1)(a) — Consenso (opzionale) | URL e descrizioni prodotti navigati |
| Sicurezza, prevenzione frodi e abusi | Art. 6(1)(f) — Interesse legittimo | Log di accesso, dati di utilizzo |
| Miglioramento del Servizio (analisi aggregate) | Art. 6(1)(f) — Interesse legittimo | Dati anonimi/aggregati |
| Adempimento obblighi di legge | Art. 6(1)(c) — Obbligo legale | Log di consenso, dati richiesti da autorità |
Il trattamento basato su interesse legittimo (Art. 6(1)(f)) è sempre bilanciato rispetto ai diritti dell'interessato. Puoi opporti a tale trattamento in qualsiasi momento contattando il Titolare.
4. Processo Decisionale Automatizzato e Profilazione AI
Il Servizio utilizza sistemi di intelligenza artificiale (Google Gemini, Groq, Cerebras) per generare suggerimenti regalo personalizzati sulla base dei dati del tuo profilo (interessi, preferenze negative, genere, età ) e — se hai prestato consenso — dei prodotti che esplori nel browser integrato.
Tali suggerimenti hanno carattere puramente indicativo e non producono effetti giuridici né incidono in modo significativo sulla tua persona ai sensi dell'Art. 22 del GDPR. Non viene adottata alcuna decisione automatizzata vincolante. Hai il diritto di contestare i risultati e richiedere revisione umana scrivendo a info@giffit.me.
5. Archiviazione Locale (AsyncStorage)
L'app utilizza AsyncStorage (archiviazione locale sul dispositivo) per conservare preferenze di sessione, token di autenticazione, impostazioni di tema e log di consenso. Questi dati risiedono esclusivamente sul tuo dispositivo e non vengono trasmessi a terzi. Vengono eliminati automaticamente al logout o alla disinstallazione dell'app.
6. Fornitori di Servizi (Sub-Responsabili del Trattamento)
I tuoi dati possono essere trattati dai seguenti fornitori, con cui abbiamo stipulato appositi accordi di trattamento dati (DPA) in conformità all'Art. 28 del GDPR:
| Fornitore | Sede | Finalità | Garanzia trasferimento |
|---|---|---|---|
| Supabase Inc. | USA | Database, autenticazione, storage | SCC (Art. 46(2)(c) GDPR) |
| Google LLC | USA | Suggerimenti AI (Gemini) | DPF + SCC |
| Groq Inc. | USA | Suggerimenti AI | SCC (Art. 46(2)(c) GDPR) |
| Cerebras Systems Inc. | USA | Suggerimenti AI | SCC (Art. 46(2)(c) GDPR) |
| Resend Inc. | USA | Email transazionali | SCC (Art. 46(2)(c) GDPR) |
| Expo / 650 Industries Inc. | USA | Distribuzione app, notifiche push | DPF + SCC |
| Render Services Inc. | USA | Hosting backend | SCC (Art. 46(2)(c) GDPR) |
| Cloudflare Inc. | USA | Hosting sito web statico (Cloudflare Pages), CDN e protezione DDoS | DPF + SCC |
EU-U.S. Data Privacy Framework (DPF): framework di adeguatezza approvato dalla
Commissione Europea con Decisione 2023/1795 del 10 luglio 2023.
Clausole Contrattuali Standard (SCC): modello approvato dalla Commissione Europea
con Decisione 2021/914 del 4 giugno 2021.
Per ulteriori informazioni sulle garanzie applicate, contatta il Titolare.
7. Conservazione dei Dati
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di account e profilo | Fino alla cancellazione dell'account, poi eliminati entro 30 giorni |
| Dati di navigazione browser integrato | Massimo 12 mesi dalla raccolta (o fino alla revoca del consenso) |
| Log di consenso (prova di accettazione T&C) | 5 anni dall'accettazione (obbligo legale di documentazione) |
| Log di sicurezza e accesso | 90 giorni |
| Messaggi in chat | Fino alla cancellazione dell'account o della conversazione |
Dopo la cancellazione dell'account, i dati personali sono eliminati o resi anonimi entro 30 giorni, ad eccezione dei log di consenso conservati per obbligo di legge.
8. I Tuoi Diritti
Ai sensi degli Artt. 15–21 del GDPR hai i seguenti diritti:
- Accesso (Art. 15): ottenere copia dei dati personali che ti riguardano e informazioni sul loro trattamento
- Rettifica (Art. 16): correggere dati inesatti o completare dati incompleti
- Cancellazione ("diritto all'oblio") (Art. 17): eliminare il tuo account e tutti i dati associati — disponibile direttamente in-app (Profilo → Impostazioni → Elimina account)
- Limitazione del trattamento (Art. 18): richiedere la sospensione del trattamento in determinati casi
- Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato, leggibile da dispositivo automatico (JSON/CSV)
- Opposizione (Art. 21): opporti al trattamento basato su interesse legittimo
- Revoca del consenso (Art. 7(3)): revocare in qualsiasi momento il consenso alla personalizzazione tramite dati di navigazione, senza che ciò pregiudichi la liceità del trattamento precedente alla revoca — disponibile direttamente in-app (Profilo → Impostazioni → Privacy)
Per esercitare i tuoi diritti, scrivi a info@giffit.me specificando la richiesta. Risponderemo entro 30 giorni dalla ricezione (termine prorogabile di ulteriori 60 giorni nei casi complessi, con comunicazione del motivo).
9. Età Minima
Il Servizio è destinato a utenti di almeno 16 anni, conformemente all'Art. 8 del GDPR e all'Art. 2-quinquies del D.Lgs. 196/2003. Non raccogliamo consapevolmente dati di minori di 16 anni. Qualora venissimo a conoscenza di aver raccolto dati di un minore senza il consenso del titolare della responsabilità genitoriale, provvederemo alla cancellazione immediata.
10. Sicurezza dei Dati
Adottiamo le seguenti misure tecniche e organizzative (Art. 32 GDPR):
- Cifratura delle password con bcrypt (salt factor ≥ 10)
- Trasmissioni cifrate via HTTPS/TLS 1.2+
- Autenticazione basata su JWT con scadenza
- Row-Level Security (RLS) sul database per isolare i dati per utente
- Accesso ai dati limitato al solo personale autorizzato
- Backup regolari con cifratura a riposo
In caso di violazione dei dati personali che possa comportare rischi per i tuoi diritti e libertà , ti notificheremo senza indebito ritardo conformemente all'Art. 34 GDPR. La notifica all'Autorità Garante (Art. 33 GDPR) sarà effettuata entro 72 ore dalla scoperta della violazione.
11. Reclami
Hai il diritto di proporre reclamo all'Autorità Garante per la Protezione
dei Dati Personali (Garante Privacy):
www.garanteprivacy.it
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma
Tel: +39 06.69677.1
Ti invitiamo comunque a contattarci prima di presentare un reclamo formale, in modo che possiamo risolvere il problema direttamente.
12. Modifiche alla Privacy Policy
Ci riserviamo il diritto di aggiornare questa Privacy Policy in caso di modifiche normative, tecnologiche o del Servizio. Le modifiche saranno classificate come:
- Modifiche sostanziali (nuove finalità , nuovi fornitori, nuove categorie di dati): notifica in-app e via email con almeno 15 giorni di preavviso. Il consenso sarà richiesto nuovamente se necessario.
- Modifiche non sostanziali (correzioni, chiarimenti): aggiornamento della versione senza preavviso specifico.
La versione aggiornata è sempre disponibile su giffit.me/privacy.html e nella sezione Profilo → Impostazioni dell'app.