Informativa sulla Privacy e Termini di Servizio

La presente informativa descrive come FrontFi raccoglie, utilizza e protegge i dati personali, in conformità al Regolamento (UE) 2016/679 (GDPR). Il testo si applica a due categorie distinte di utenti: i merchant (commercianti che utilizzano FrontFi per il proprio negozio) e i clienti finali (utenti che usufruiscono dei servizi offerti dai merchant tramite la nostra piattaforma).

1. Ruoli e Titolarità del Trattamento

Il GDPR distingue due ruoli: Titolare del Trattamento (chi decide finalità e mezzi) e Responsabile del Trattamento (chi tratta i dati per conto del titolare). In FrontFi questi ruoli sono così ripartiti:

• Dati del merchant (email, nome, telefono, indirizzo del negozio, dati di fatturazione, dati dell'abbonamento):
  • Titolare: FrontFi
  • Finalità: erogazione del servizio SaaS, fatturazione, supporto
• Dati dei clienti finali (email, nome, telefono, data di nascita opzionale, carte fedeltà, timbri, recensioni, messaggi):
  • Titolare: il singolo merchant del negozio presso cui il cliente si è registrato (è il merchant a decidere quali campagne inviare, a conservare la relazione commerciale)
  • Responsabile: FrontFi (trattiamo i dati solo per conto del merchant, nei limiti del DPA firmato al signup)
  • Per esercitare i diritti GDPR (accesso, rettifica, cancellazione, portabilità, opposizione) il cliente può rivolgersi direttamente al merchant oppure, in subordine, a FrontFi che inoltrerà la richiesta al titolare competente

Email di contatto FrontFi: info@frontfi.com

2. Dati Raccolti

Dati merchant raccolti al signup e durante l'uso:

• Email, nome, cognome, telefono del titolare
• Nome del negozio, tipologia di attività, indirizzo fisico
• Dati di pagamento (gestiti da Stripe, non archiviati da FrontFi — PCI DSS a carico di Stripe)
• Foto negozio, logo, foto operatori (se caricate)
• Configurazione vetrina (colori, orari, servizi, testi personalizzati)

Dati cliente finale raccolti se il cliente si registra alla carta fedeltà di un merchant:

• Email, nome, cognome, telefono
• Data di nascita (opzionale, solo per regali compleanno feature Pro)
• Token FCM del dispositivo (per notifiche push)
• Storico timbri e premi della propria carta fedeltà
• Recensioni scritte e messaggi
• Preferenze di comunicazione (opt-out email)

3. Finalità del Trattamento

I dati merchant vengono utilizzati per:

• Erogare il servizio SaaS di vetrina pubblica e gestione carta fedeltà
• Gestire abbonamenti e fatturazione (tramite Stripe)
• Fornire assistenza tecnica e comunicazioni di servizio

I dati cliente finale vengono trattati da FrontFi per conto del merchant per:

• Erogare la carta fedeltà digitale e calcolare timbri/livelli/premi
• Inviare notifiche push e (se il merchant ha il piano Pro) email marketing
• Consentire la ricerca del cliente da parte del merchant per timbrare
• Fornire statistiche aggregate al merchant

4. Base Giuridica

Il trattamento dei dati si basa su:

• Consenso dell'utente — fornito al momento della registrazione
• Esecuzione del contratto — necessario per l'erogazione del servizio richiesto

5. Conservazione dei Dati — Policy dettagliata

In conformità al principio di limitazione della conservazione (GDPR art. 5(1)(e)) applichiamo tempi di retention specifici per ciascuna categoria di dato. Ogni categoria è soggetta a cancellazione automatica o manuale nei tempi indicati.

Dati merchant (account commerciante)

• Profilo, dati di contatto, configurazione vetrina: per tutta la durata dell'abbonamento
• Dopo disdetta: 30 giorni di grace period (i dati restano disponibili per riattivazione) → eliminazione automatica entro 60 giorni dalla disdetta
• Fatture e documenti fiscali: 10 anni (obbligo art. 2220 Codice Civile)
• Credenziali accesso (hash password, token): 30 giorni dopo l'ultimo login se l'account è disdetto

Dati cliente finale (carta fedeltà)

• Profilo cliente (nome, email, telefono): fino alla cancellazione volontaria dell'account (via pulsante in "my-card" o richiesta scritta)
• Carta fedeltà con timbri attivi: per tutta la permanenza presso il merchant; alla cancellazione account, le carte storiche vengono anonimizzate (nome → "Cliente anonimizzato", email/telefono → null, UID → hash)
• Storico timbri: anonimizzato insieme alla carta, conservato senza limiti per analytics merchant (privo di PII)
• Storico premi riscattati: anonimizzato, conservato come sopra
• Recensioni: conservate con nome pubblico, se l'utente cancella l'account il nome viene sostituito con "Utente anonimo" ma il testo resta (public interest del merchant verso altri clienti)
• Token FCM dispositivo: rimosso immediatamente al logout o dopo 90 giorni di inattività
• Preferenze opt-out email: conservate a vita (serve a prevenire reinvio marketing se l'utente dovesse ricreare account)

Dati tecnici e operativi

• Log accessi e audit log: 2 anni per investigazioni di sicurezza
• Backup database Firebase: rotazione 30 giorni (daily, retention policy Google Cloud)
• Webhook Stripe (eventi pagamento): 5 anni per ricostruzione contabile
• Statistiche aggregate anonime (numero visite storefront, tempi di risposta): senza limiti di tempo, non contengono PII

Dati marketing

• Email inviate via provider (Resend/SMTP): log metadata (chi a chi, quando, stato delivery) conservati 6 mesi. Contenuto del messaggio non archiviato da noi (visibile nel log provider)
• Token di unsubscribe HMAC: rigenerati ad ogni invio, non persistiti

Come esercitare i diritti di retention

• Cancellazione anticipata: dal profilo "my-card" (cliente) o email a info@frontfi.com (merchant)
• Export completo dei dati prima della cancellazione: funzione "Scarica i miei dati" in "my-card" (cliente) o "Scarica backup completo" in Impostazioni (merchant)
• Conservazione più breve: puoi richiedere cancellazione immediata di campi non necessari (es. numero di telefono) mantenendo l'account attivo

6. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, ogni utente ha diritto di:

• Accesso — ottenere conferma del trattamento e copia dei dati
• Rettifica — richiedere la correzione di dati inesatti
• Cancellazione — richiedere l'eliminazione dei propri dati
• Portabilità — ricevere i propri dati in formato strutturato e leggibile (JSON)
• Opposizione — opporsi al trattamento per motivi legittimi
• Limitazione — richiedere la limitazione del trattamento
• Revoca del consenso — per comunicazioni marketing, in qualsiasi momento tramite link "Disiscrivimi" presente in ogni email, oppure dal profilo "my-card"

Come esercitare i diritti:

• Se sei un cliente finale: rivolgiti direttamente al merchant (titolare). In my-card puoi: scaricare i tuoi dati (pulsante "Scarica i miei dati"), eliminare l'account (pulsante "Elimina account"), disiscriverti dalle email (toggle o link nelle email). Se il merchant non risponde entro 30 giorni, puoi scrivere a FrontFi: info@frontfi.com e inoltriamo noi.
• Se sei un merchant: scrivici a info@frontfi.com oppure usa il customer portal Stripe per gestire l'abbonamento.

Hai inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

7. Cookie e Tecnologie di Archiviazione

FrontFi utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio. In particolare vengono utilizzati:

• localStorage del browser per salvare la preferenza del tema (chiaro/scuro) e dati di sessione
• Firebase Authentication — gestione dell'autenticazione tramite token sicuri gestiti automaticamente da Google Firebase
• IndexedDB — utilizzato internamente da Firebase SDK per la persistenza dell'autenticazione

Non vengono utilizzati cookie di profilazione o di terze parti per finalita' pubblicitarie.

Puoi modificare le tue preferenze sui cookie in qualsiasi momento cliccando sul pulsante qui sotto:

Gestisci preferenze cookie

8. Servizi di Terze Parti

FrontFi si avvale dei seguenti servizi di terze parti per il funzionamento del servizio:

• Google Firebase (Authentication) — gestione dell'autenticazione utenti. I dati di accesso (email, password crittografata) sono archiviati nei server Google in conformita' al GDPR. Informativa Firebase
• Google Firebase (Cloud Firestore) — database per i dati del servizio (profilo negozio, carte fedelta', recensioni). I dati sono archiviati in data center europei (europe-west1). DPA Google Cloud
• Cloudflare — hosting e distribuzione dei contenuti (CDN)
• Google Fonts — caricamento dei font tipografici

Google e' conforme al GDPR e aderisce alle clausole contrattuali standard (SCC) per il trasferimento dei dati. Ciascun servizio tratta i dati secondo le proprie informative sulla privacy.

9. Termini di Servizio

9.1 Registrazione

Per utilizzare FrontFi è necessario registrarsi fornendo dati veritieri e completi. L'utente è responsabile della riservatezza delle proprie credenziali di accesso.

9.2 Obblighi del Merchant

I merchant (titolari di negozio) che utilizzano FrontFi si impegnano a:

• Fornire informazioni accurate sulla propria attività
• Utilizzare il servizio in conformità alla normativa vigente
• Non utilizzare la piattaforma per attività illecite o ingannevoli
• Rispettare i diritti dei propri clienti

9.3 Uso Corretto

L'utente si impegna a utilizzare il servizio in modo corretto e lecito, evitando qualsiasi comportamento che possa danneggiare la piattaforma, gli altri utenti o terzi.

9.4 Limitazioni di Responsabilità

FrontFi si impegna a garantire la continuità del servizio ma non è responsabile per interruzioni temporanee dovute a manutenzione, aggiornamenti o cause di forza maggiore. Il servizio viene fornito "così com'è" senza garanzie esplicite o implicite.

10. Contatto DPO

Per qualsiasi domanda relativa al trattamento dei dati personali o ai presenti termini, è possibile contattare il responsabile della protezione dei dati all'indirizzo: info@frontfi.com