Informativa sulla privacy
La presente informativa si applica ad Abundera QR Pro (il servizio a pagamento su pro.qr.abundera.ai). Per il Free Tool Abundera QR su qr.abundera.ai, consultare qr.abundera.ai/privacy/.
Come Abundera QR gestisce i dati: quasi nulla nello strumento gratuito; minimo ed esplicito nel Pro.
1. Riepilogo
Due prodotti, due quadri di dati diversi.
- Free Tool (qr.abundera.ai): nessun account, nessun cookie, nessuna analisi, nessuna richiesta ai nostri server per la generazione QR. Il contenuto non lascia mai il browser dell'utente.
- Pro Service (pro.qr.abundera.ai): basato su account. Conserviamo l'indirizzo email, l'ID cliente Stripe, i codici QR creati e i record di scansione minimi descritti nella Sezione 4. Non tracciamo gli utenti finali sul web; non vendiamo i dati; non utilizziamo tecnologie pubblicitarie.
2. Dati che trattiamo nel Pro Service
2.1 Dati dell'account
Quando si accede tramite abundera.ai, riceviamo l'indirizzo email e un identificatore utente tramite il nostro flusso di autenticazione delegato via JWKS. Conserviamo:
- Indirizzo email (per inviare avvisi di fatturazione, messaggi critici del servizio e conferme di cancellazione)
- ID cliente Stripe (per addebitare il metodo di pagamento fornito)
- Preferenze dell'account (piano tariffario, appartenenza ai team, metadati delle chiavi API)
- Timestamp (account creato, aggiornato, richiesta di eliminazione)
Non conserviamo password; l'autenticazione è delegata ad abundera.ai. Non raccogliamo dati demografici, preferenze di marketing o identificatori del dispositivo oltre a quanto già descritto.
2.2 Codici e URL
Quando si crea un codice QR dinamico, conserviamo l'URL di destinazione, un'etichetta opzionale impostata dall'utente, eventuali tag, lo shortcode di 7 caratteri e lo stato del ciclo di vita del codice. Questo è ciò che rende possibile la risoluzione dinamica dei codici QR.
2.3 Dati di pagamento
I pagamenti sono elaborati da Stripe, Inc. Non conserviamo numeri di carta, CVC o coordinate bancarie. Stripe restituisce un riferimento (l'ID cliente e l'ID abbonamento) che conserviamo per riconciliare i rinnovi e le fatture. I dettagli del metodo di pagamento rimangono con Stripe.
3. Analisi delle scansioni (cosa registriamo quando qualcuno scansiona uno dei codici)
È qui che la maggior parte dei fornitori commerciali di codici QR raccoglie un profilo comportamentale dettagliato. Noi facciamo il contrario.
Cosa registriamo per ogni scansione:
- La data del calendario UTC (aggregato giornaliero)
- Il paese derivato dall'intestazione di richiesta
CF-IPCountrydi Cloudflare - La classe del dispositivo (mobile / tablet / desktop / sconosciuto) classificata da un breve regex sull'User-Agent
- Lo shortcode del codice (per attribuire la scansione al codice corretto)
Per i piani Team e Agency, registriamo inoltre il bucket orario UTC fino a 7 giorni precedenti. I record giornalieri sono conservati per piano (cfr. Sezione 7).
Cosa non registriamo: indirizzo IP, geolocalizzazione precisa (nessuna città o coordinata geografica), URL referrer, stringa User-Agent grezza, timestamp sub-orario, cookie o identificatore di sessione del destinatario, o qualsiasi altra informazione. Dopo la classificazione della classe del dispositivo, la stringa User-Agent viene scartata e non viene mai scritta nel database.
I paesi con meno di cinque scansioni nella finestra di analisi selezionata vengono raggruppati come «Altro», in modo da non poter re-identificare i singoli destinatari da un campione ridotto.
4. Cookie e tracciamento
Free Tool: nessun cookie, nessun tracciamento, nessun fingerprinting.
Pro Service: un unico cookie strettamente necessario, __Secure-abundera_session, contiene il token di sessione firmato necessario per mantenere l'accesso. È impostato come HttpOnly, Secure e SameSite=Strict. Non utilizziamo cookie di marketing, cookie pubblicitari o tracker cross-site. Nessun Google Analytics, Meta Pixel o simili.
5. Responsabili del trattamento che utilizziamo
Per erogare il servizio è necessario avvalersi di alcune terze parti. L'elenco attuale:
| Responsabile del trattamento | Finalità | Dati trattati | Giurisdizione |
|---|---|---|---|
| Cloudflare, Inc. | Calcolo, caching edge, database (D1), key-value store (KV), DNS | Tutti i dati del Pro Service; intestazioni di scansione sull'edge | USA con edge globale |
| Stripe, Inc. | Elaborazione dei pagamenti e fatturazione | Email, dati di pagamento, record di abbonamento | USA |
| Zoho Corporation / ZeptoMail | Email transazionale (benvenuto, cancellazione, mancato pagamento) | Indirizzo email, corpo del messaggio | USA / India |
Un elenco aggiornato e datato dei responsabili del trattamento è disponibile su abundera.ai/legal/subprocessors/. La pagina verrà aggiornata prima dell'aggiunta di un nuovo responsabile e agli abbonati sarà concesso almeno trenta (30) giorni per opporsi ove richiesto dalla legge applicabile.
6. Per quanto tempo conserviamo i dati
Dati dell'account: conservati per tutta la durata dell'account. Quando si richiede l'eliminazione dell'account, l'account entra in un periodo di sospensione di 30 giorni, dopodiché tutti i dati personali vengono eliminati dai sistemi di produzione.
Codici QR dinamici: conservati per tutta la durata dell'abbonamento associato, attraverso l'eventuale periodo di grazia e il periodo di sospensione di 30 giorni per l'eliminazione dell'account. Successivamente, i codici e i relativi shortcode vengono eliminati.
Record di scansione: conservati per piano: 365 giorni per Solo, 730 giorni per Business, 1.095 giorni per Team e Agency, 30 giorni per Keep-Alive. Oltre tale finestra, i record di scansione più vecchi vengono eliminati su base continuativa dal cron giornaliero.
Documenti di pagamento e fiscali: i record delle transazioni Stripe e i documenti fiscali sono conservati per almeno sette (7) anni come richiesto dalla normativa fiscale USA; le giurisdizioni IVA dell'UE potrebbero richiedere una conservazione aggiuntiva. Questi dati non possono essere eliminati su richiesta durante tale periodo.
Log di sicurezza: i log applicativi strutturati (nessun dato personale al di là di quanto lo specifico handler scrive esplicitamente, come gli ID utente dei webhook Stripe) sono conservati da Cloudflare per un massimo di 30 giorni.
7. Base giuridica del trattamento (utenti GDPR / EEA)
Ove si applica il GDPR, ci basiamo sulle seguenti basi giuridiche:
- Esecuzione del contratto, per la creazione dell'account, la fatturazione dell'abbonamento, la risoluzione dei codici e il supporto tecnico. Questo copre sostanzialmente tutto il trattamento nel Pro Service.
- Legittimo interesse, per il monitoraggio della sicurezza, la prevenzione delle frodi e le analisi delle scansioni che i nostri clienti utilizzano per comprendere le prestazioni delle campagne, progettate per essere minime. Riteniamo che l'impatto sugli utenti che scansionano i codici sia minimo poiché non vengono conservati dati identificativi.
- Obbligo legale, per la conservazione dei documenti di pagamento e fiscali come descritto nella Sezione 7.
- Consenso, solo nei casi in cui lo richiediamo esplicitamente (ad es. future comunicazioni opzionali con opt-in). Al momento non ci basiamo sul consenso per alcun trattamento obbligatorio.
8. I diritti degli utenti
Fatti salvi la legge applicabile e le eccezioni di conservazione nella Sezione 7, l'utente ha i seguenti diritti:
- Accesso: scaricare un archivio ZIP dei dati dell'account (codici, scansioni, README) in qualsiasi momento da Account → Privacy → Esporta, oppure contattando support@abundera.ai.
- Rettifica: aggiornare i dati dell'account dalla pagina account o contattando il supporto.
- Cancellazione: richiedere l'eliminazione dell'account da Account → Privacy → Elimina. Periodo di sospensione di 30 giorni, poi eliminazione definitiva.
- Portabilità: l'archivio ZIP di esportazione è in formato CSV leggibile da macchina, con un README.
- Opposizione / limitazione del trattamento: contattare support@abundera.ai. Accoglieremo le richieste valide e ne daremo conferma per iscritto.
- Revoca del consenso: ove il trattamento si basi sul consenso, è possibile revocarlo in qualsiasi momento senza pregiudicare il trattamento effettuato prima della revoca.
- Reclamo: gli utenti dell'EEA possono presentare reclamo all'autorità di controllo locale. Utenti del Regno Unito: ICO. Altre giurisdizioni: l'autorità equivalente.
Tempi di risposta: accusare ricevuta entro 5 giorni lavorativi e adempiere entro 30 giorni dalla comunicazione, come richiesto dall'art. 12 GDPR. Le richieste complesse possono estendersi a 90 giorni con preavviso. I diritti in materia di privacy della California (CCPA), Colorado (CPA), Virginia (VCDPA) e degli altri stati USA sono rispettati con gli stessi tempi di 30 giorni.
9. «Non vendere né condividere le mie informazioni personali»
Non vendiamo i dati personali degli utenti. Non condividiamo le informazioni personali per la pubblicità comportamentale cross-context. Non utilizziamo né divulghiamo informazioni personali sensibili per scopi diversi dall'erogazione del servizio. Poiché non adottiamo tali pratiche, non è richiesto alcun opt-out; tuttavia, i residenti della California che desiderano una conferma scritta possono richiederla a support@abundera.ai.
10. Minori
Il Pro Service non è rivolto a minori di 16 anni. Non raccogliamo consapevolmente informazioni personali da minori di 16 anni. Se si ritiene che ciò sia avvenuto, contattare support@abundera.ai e provvederemo all'eliminazione.
11. Trasferimenti internazionali
Siamo un'azienda statunitense. I dati personali raccolti da residenti nello Spazio Economico Europeo, nel Regno Unito o in Svizzera vengono trasferiti negli USA. Per questi trasferimenti con i responsabili del trattamento (Cloudflare, Stripe, Zoho/ZeptoMail) ci avvaliamo delle Clausole Contrattuali Standard (SCC) dell'UE. L'elenco aggiornato dei responsabili su abundera.ai/legal/subprocessors/ documenta il meccanismo di trasferimento per ciascuno.
12. Sicurezza
Utilizziamo controlli standard del settore: TLS 1.3 in transito, archiviazione crittografata a riposo (Cloudflare D1, KV), chiavi API con scope, limitazione delle richieste, protezione CSRF (cookie SameSite=Strict e verifica dell'origine) e log di accesso strutturati. Non affermiamo che il servizio sia inviolabile. Per segnalare un problema di sicurezza, scrivere a security@abundera.ai.
13. Notifica in caso di violazione
Se veniamo a conoscenza di una violazione dei dati personali che riguarda l'account dell'utente, ne daremo comunicazione senza ingiustificato ritardo e comunque entro settantadue (72) ore dalla presa d'atto, come richiesto dall'art. 33 GDPR nel nostro ruolo di titolare del trattamento. Le notifiche includono: natura della violazione, categorie e numero approssimativo di record interessati, probabili conseguenze e misure adottate o proposte.
14. Modifiche alla presente informativa
Potremmo aggiornare la presente informativa sulla privacy. Le modifiche sostanziali saranno notificate via email all'indirizzo registrato degli abbonati Pro e tramite un avviso prominente su questa pagina. La data di entrata in vigore in cima alla pagina riflette la versione corrente. Le versioni precedenti sono disponibili nel changelog.
15. Contatto
Domande sulla privacy, richieste degli interessati o segnalazioni: privacy@abundera.ai (dedicata) o support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.