Torna alla Home

PUNTIFY

Informativa sul Trattamento dei Dati Personali

Privacy Policy — ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy)

Versione 1.0 In vigore dal 1° Marzo 2025
📌

La presente Privacy Policy si rivolge a due categorie distinte di interessati: (1) i Clienti Finali che utilizzano l'app Puntify per accumulare punti, e (2) i Commercianti che si abbonano alla piattaforma. Le sezioni applicabili a ciascuna categoria sono indicate chiaramente nel testo.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Puntify (app mobile, sito web puntify.it e pannello di gestione commercianti) è:

Puntify S.R.L.
Sede legale: Via Giuseppe Pascaletti, Cosenza, Italia
Codice Fiscale / P.IVA: 12345678912
Email: info@puntify.it
DPO (Responsabile Protezione Dati): [●] — dpo@puntify.it

Puntify e i Commercianti aderenti rivestono la qualifica di contitolari del trattamento ai sensi dell'art. 26 GDPR per i dati dei Clienti Finali trattati nell'ambito del programma fedeltà. I Commercianti sono identificati nel pannello di gestione della piattaforma. L'interessato può esercitare i propri diritti nei confronti di Puntify indipendentemente dal Commerciante, e viceversa.

2. Categorie di Interessati e Dati Raccolti

SEZIONE A — Clienti Finali (utenti dell'app Puntify)

2.1 Dati forniti direttamente dall'utente in fase di registrazione

  • Nome e cognome;
  • Indirizzo email;
  • Numero di telefono (opzionale, per notifiche SMS);
  • Data di nascita (opzionale, per promozioni compleanno);
  • Password (conservata in forma hashata e non reversibile).

2.2 Dati generati dall'utilizzo della piattaforma

  • Cronologia delle transazioni fedeltà (accumulo punti, riscatto premi, data, ora, esercente);
  • Identificativo univoco del dispositivo (per notifiche push via Firebase Cloud Messaging);
  • Token FCM (Firebase Cloud Messaging) per l'invio di notifiche push;
  • Data e ora di accesso all'app, sessioni di utilizzo;
  • Preferenze di comunicazione e consensi espressi.

2.3 Dati raccolti automaticamente

  • Indirizzo IP;
  • Tipo di dispositivo, sistema operativo, versione dell'app;
  • Dati di navigazione e interazione con l'app (log tecnici);
  • Cookie e tecnologie analoghe (v. Cookie Policy separata).

Puntify NON raccoglie dati di geolocalizzazione in tempo reale dei Clienti Finali. NON raccoglie dati relativi a carte di credito o dati bancari (i pagamenti verso i Commercianti avvengono in contanti o tramite sistemi di terzi). NON tratta categorie particolari di dati (salute, etnia, religione, ecc.) ai sensi dell'art. 9 GDPR.

SEZIONE B — Commercianti (titolari di account business)

2.4 Dati del Commerciante e del suo rappresentante

  • Ragione sociale / nome dell'esercizio commerciale;
  • Codice Fiscale e Partita IVA;
  • Indirizzo della sede legale e degli esercizi aderenti;
  • Nome, cognome e indirizzo email del referente (titolare o delegato);
  • Numero di telefono del referente;
  • Dati di pagamento (gestiti tramite provider di pagamento terzo — Puntify non conserva i dati della carta);
  • Dati del referrer (se la sottoscrizione è avvenuta tramite programma referral).

2.5 Dati generati dall'utilizzo della piattaforma

  • Statistiche aggregate del programma fedeltà (tessere emesse, punti erogati, premi riscattati);
  • Log di accesso al pannello di gestione (IP, data, ora);
  • Comunicazioni con il supporto tecnico Puntify.

3. Finalità del Trattamento e Basi Giuridiche

SEZIONE A — Clienti Finali

3.1 Esecuzione del contratto / erogazione del servizio (art. 6.1.b GDPR)

La base giuridica primaria è l'esecuzione del contratto tra il Cliente Finale e Puntify (accettazione dei Termini di Servizio). Il trattamento dei dati è necessario per:

  • Creare e gestire l'account del Cliente Finale;
  • Tracciare l'accumulo e il riscatto dei punti presso i Commercianti aderenti;
  • Inviare comunicazioni tecniche relative al servizio (conferma transazioni, avvisi account);
  • Gestire le richieste di supporto e assistenza.

3.2 Consenso (art. 6.1.a GDPR e art. 130 D.Lgs. 196/2003)

Previo consenso esplicito e facoltativo dell'utente (opt-in non preselezionato), i dati potranno essere trattati per:

  • Invio di notifiche push promozionali da parte di Puntify;
  • Invio di comunicazioni promozionali da parte dei Commercianti aderenti tramite la piattaforma;
  • Profilazione per la personalizzazione delle offerte fedeltà;
  • Invio di newsletter e comunicazioni di marketing di Puntify.

Il consenso è sempre revocabile in qualsiasi momento, senza pregiudizio per la legittimità del trattamento effettuato prima della revoca. La revoca del consenso marketing non pregiudica l'accesso al servizio. Caselle pre-selezionate o consensi bundled costituiscono violazione del GDPR (EDPB Guidelines 05/2020).

3.3 Legittimo interesse (art. 6.1.f GDPR)

Per le seguenti finalità, la base giuridica è il legittimo interesse di Puntify, bilanciato con i diritti degli interessati:

  • Prevenzione di frodi e abusi del programma fedeltà;
  • Sicurezza informatica e integrità della piattaforma;
  • Analisi statistiche aggregate per il miglioramento del servizio;
  • Difesa in giudizio in caso di controversie.

3.4 Obbligo legale (art. 6.1.c GDPR)

  • Adempimento di obblighi fiscali, contabili e normativi applicabili;
  • Risposta a richieste delle autorità giudiziarie o amministrative competenti.
SEZIONE B — Commercianti

3.5 Finalità del trattamento dati dei Commercianti

  • Gestione del rapporto contrattuale (abbonamento, fatturazione, supporto tecnico) — base: esecuzione del contratto;
  • Comunicazioni relative al servizio (aggiornamenti, manutenzione, modifiche contrattuali) — base: esecuzione del contratto;
  • Gestione del programma referral e dei crediti maturati — base: esecuzione del contratto;
  • Analisi aggregate per il miglioramento della piattaforma — base: legittimo interesse;
  • Invio di comunicazioni commerciali su nuove funzionalità o offerte Puntify — base: consenso o legittimo interesse (B2B, art. 130 c. 4 Codice Privacy).

4. Contitolarità del Trattamento (art. 26 GDPR)

Per i dati dei Clienti Finali trattati nell'ambito del programma fedeltà, Puntify e ciascun Commerciante rivestono la qualifica di contitolari del trattamento ai sensi dell'art. 26 GDPR.

4.1 Responsabilità di Puntify (in qualità di contitolare)

  • Gestione dell'infrastruttura tecnologica e della sicurezza della piattaforma;
  • Raccolta e gestione dei consensi degli utenti in fase di registrazione all'app;
  • Nomina e supervisione dei sub-responsabili del trattamento (art. 28 GDPR);
  • Gestione delle richieste di esercizio dei diritti degli interessati ricevute direttamente da Puntify;
  • Notifica delle violazioni di dati personali al Garante (art. 33 GDPR) e agli interessati (art. 34 GDPR);
  • Mantenimento del Registro dei Trattamenti (art. 30 GDPR).

4.2 Responsabilità dei Commercianti (in qualità di contitolari)

  • Informare adeguatamente i propri clienti del programma fedeltà e del trattamento dati;
  • Non accedere o scaricare dati dei Clienti Finali oltre quanto necessario per la gestione del programma;
  • Conservare eventuali copie locali di dati in modo sicuro e per i soli fini leciti;
  • Segnalare a Puntify (info@puntify.it) qualsiasi violazione o sospetta violazione entro 24 ore;
  • Non trasferire dati dei Clienti Finali a terzi senza idonea base giuridica.

Il Cliente Finale può esercitare i propri diritti (v. art. 9) indifferentemente nei confronti di Puntify o del Commerciante. Entrambi sono tenuti a rispondere. Puntify funge da punto di contatto principale per l'esercizio dei diritti e trasmetterà senza ritardo le richieste al Commerciante interessato.

5. Sub-Responsabili del Trattamento (art. 28 GDPR)

Per erogare i propri servizi, Puntify si avvale di fornitori terzi nominati responsabili del trattamento ai sensi dell'art. 28 GDPR, con i quali sono stipulati specifici accordi di Data Processing Agreement (DPA). I principali sub-responsabili sono:

  • Supabase Inc. (USA) — Trasferimento extra-UE coperto da Standard Contractual Clauses (SCC) ex art. 46 GDPR;
  • Google LLC — Firebase Cloud Messaging (notifiche push) e Google Cloud Platform. Trasferimento extra-UE coperto da SCC e, ove applicabile, da adeguatezza;
  • Provider di hosting server Aruba — Infrastruttura server ubicata in Italia;
  • Provider di pagamento (es. Stripe Inc.) — Gestione pagamenti e fatturazione. I dati della carta non transitano per i server Puntify;
  • Provider email transazionale (es. Resend, SendGrid) — Invio email di servizio;
  • Apple Inc. / Google LLC — Distribuzione app tramite App Store / Google Play (dati di download e crash report gestiti autonomamente dai marketplace).

L'elenco aggiornato dei sub-responsabili è disponibile su richiesta scrivendo a info@puntify.it. Puntify notificherà agli interessati eventuali variazioni significative dei sub-responsabili con adeguato preavviso.

6. Trasferimento di Dati verso Paesi Terzi

Alcuni sub-responsabili di cui all'art. 5 hanno sede o trattano dati in paesi al di fuori dello Spazio Economico Europeo (SEE), in particolare negli Stati Uniti d'America.
Puntify garantisce che tali trasferimenti avvengono esclusivamente in presenza di adeguate garanzie ai sensi degli artt. 44-49 GDPR, tra cui:

  • Clausole Contrattuali Standard (Standard Contractual Clauses — SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE);
  • Decisioni di adeguatezza della Commissione Europea, ove applicabili;
  • Certificazioni ai sensi del Data Privacy Framework (DPF) UE-USA, ove pertinente.

La documentazione relativa alle garanzie adottate per i trasferimenti extra-UE (incluse le SCC) è disponibile su richiesta scrivendo a info@puntify.it.

7. Periodo di Conservazione dei Dati

7.1 Dati dei Clienti Finali

  • Dati di account e transazioni fedeltà: conservati per tutta la durata dell'account attivo e per 24 mesi dalla disattivazione volontaria o d'ufficio;
  • Token FCM (notifiche push): aggiornati ad ogni accesso; eliminati entro 30 giorni dall'inattività dell'account;
  • Log tecnici e di accesso: conservati per 12 mesi;
  • Dati di backup: conservati per 90 giorni, con sovrascrittura progressiva;
  • Dati relativi a richieste di esercizio dei diritti: conservati 5 anni a fini di documentazione degli adempimenti.

7.2 Dati dei Commercianti

  • Dati contrattuali e di fatturazione: conservati per 10 anni dall'ultima transazione (obbligo fiscale ex D.P.R. 633/1972 e D.P.R. 600/1973);
  • Dati di accesso al pannello: conservati per 12 mesi;
  • Dati relativi al programma referral e ai crediti: conservati per la durata del contratto e 24 mesi successivi;
  • Dati post-cancellazione account: anonimizzati o cancellati entro 90 giorni dalla risoluzione del contratto, salvo obblighi di legge.

Al termine del periodo di conservazione, i dati vengono eliminati in modo sicuro (data wiping) o anonimizzati irreversibilmente, in modo che non sia più possibile risalire all'identità dell'interessato.

8. Misure di Sicurezza

Puntify adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita, distruzione o divulgazione, conformemente all'art. 32 GDPR. Le principali misure adottate includono:

  • Crittografia in transito tramite protocollo TLS/HTTPS su tutti i canali di comunicazione;
  • Crittografia delle password con algoritmo bcrypt (non reversibile);
  • Row-Level Security (RLS) su database PostgreSQL/Supabase per l'isolamento dei dati per tenant;
  • Autenticazione API tramite chiavi sicure con rotazione periodica;
  • Accesso ai dati ristretto al personale autorizzato tramite controllo degli accessi basato su ruoli;
  • Backup automatici con cifratura a riposo;
  • Monitoraggio attivo dei log di sistema per rilevazione anomalie;
  • Certificati SSL gestiti tramite Let's Encrypt con rinnovo automatico;
  • Server ubicati in data center conformi agli standard ISO 27001.

In caso di violazione di dati (data breach), Puntify procederà alla notifica al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta (art. 33 GDPR) e, ove necessario, comunicherà la violazione agli interessati senza ingiustificato ritardo (art. 34 GDPR).

9. Diritti degli Interessati (artt. 15-22 GDPR)

Ogni interessato (Cliente Finale o Commerciante) ha il diritto di:

  1. Diritto di accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei propri dati personali;
  2. Diritto di rettifica (art. 16 GDPR): richiedere la correzione di dati inesatti o incompleti;
  3. Diritto alla cancellazione / "diritto all'oblio" (art. 17 GDPR): richiedere la cancellazione dei dati, salvo obblighi di legge o difesa in giudizio;
  4. Diritto di limitazione del trattamento (art. 18 GDPR): richiedere la sospensione del trattamento in determinati casi;
  5. Diritto alla portabilità dei dati (art. 20 GDPR): ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico (applicabile ai trattamenti basati su consenso o contratto);
  6. Diritto di opposizione (art. 21 GDPR): opporsi al trattamento per finalità di marketing diretto o basato su legittimo interesse;
  7. Diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR): non essere soggetto a decisioni basate unicamente su trattamento automatizzato con effetti significativi;
  8. Diritto di revocare il consenso (art. 7.3 GDPR): revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento precedente.

9.1 Come esercitare i diritti

Le richieste possono essere inviate:

  • Via email: info@puntify.it (con oggetto: "Esercizio diritti GDPR");
  • Tramite l'apposita sezione "Privacy" nell'app Puntify o nel pannello di gestione (quando disponibile);
  • Via posta raccomandata A/R all'indirizzo della sede legale indicato all'art. 1.

Puntify risponderà alle richieste entro 30 giorni dal ricevimento. In caso di complessità o elevato numero di richieste, il termine può essere prorogato di ulteriori 60 giorni, con comunicazione delle ragioni all'interessato.

L'esercizio dei diritti è gratuito. Puntify non addebita costi per rispondere alle richieste, salvo il caso di richieste manifestamente infondate, eccessive o ripetitive (art. 12.5 GDPR), in cui potrà addebitare un contributo spese ragionevole o rifiutare di soddisfare la richiesta, motivandolo.

9.2 Reclamo all'Autorità di controllo

L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), o all'autorità di controllo del Paese UE in cui risiede abitualmente o lavora, qualora ritenga che il trattamento dei propri dati personali violi il GDPR.

10. Minori

La piattaforma Puntify è destinata esclusivamente a persone che abbiano compiuto 16 anni di età (art. 8 GDPR e art. 2-quinquies D.Lgs. 196/2003). Puntify non raccoglie consapevolmente dati di minori di 16 anni. Qualora Puntify venga a conoscenza di aver inavvertitamente raccolto dati di un minore, provvederà alla cancellazione immediata dei dati e alla chiusura dell'account.

11. Cookie e Tecnologie di Tracciamento

Il sito web puntify.it e l'app Puntify utilizzano cookie e tecnologie analoghe. I dettagli sui tipi di cookie utilizzati, le finalità, le terze parti coinvolte e le modalità di gestione sono descritti nella Cookie Policy separata, disponibile su puntify.it/cookie-policy.

I cookie strettamente necessari al funzionamento tecnico del servizio vengono installati senza necessità di consenso. Per i cookie analitici, di profilazione e di marketing è richiesto il consenso esplicito tramite il banner Cookie presente sul sito.

12. Marketing Diretto e Profilazione

12.1 Comunicazioni promozionali

Previo consenso esplicito (art. 130 D.Lgs. 196/2003), Puntify potrà inviare comunicazioni commerciali tramite:

  • Email;
  • Notifiche push sull'app;
  • SMS (se il numero di telefono è stato fornito e il consenso specifico è stato prestato).

12.2 Comunicazioni promozionali dei Commercianti

I Commercianti aderenti possono inviare comunicazioni promozionali ai propri Clienti Finali tramite la piattaforma Puntify esclusivamente per i clienti che hanno espresso consenso specifico a ricevere comunicazioni da quel Commerciante. Puntify non condivide i dati di contatto dei Clienti Finali con i Commercianti al di fuori della piattaforma.

12.3 Opt-out

L'utente può revocare il consenso al marketing in qualsiasi momento:

  • Cliccando sul link "Annulla iscrizione" presente in ogni email commerciale;
  • Dalle impostazioni di notifica nell'app Puntify;
  • Inviando richiesta a info@puntify.it.

La revoca del consenso al marketing non comporta la cancellazione dell'account né la perdita dei punti accumulati.

13. Modifiche alla Privacy Policy

Puntify si riserva il diritto di aggiornare la presente Privacy Policy per adeguarsi a modifiche normative, decisioni delle autorità di controllo o evoluzioni del servizio. Le modifiche sostanziali saranno comunicate tramite:

  • Email all'indirizzo registrato;
  • Notifica in-app al primo accesso successivo all'entrata in vigore;
  • Pubblicazione della versione aggiornata su puntify.it/privacy con indicazione della data di aggiornamento.

L'uso continuato della piattaforma successivamente alla data di efficacia delle modifiche costituisce accettazione della nuova versione. In caso di modifiche che richiedano nuovo consenso, Puntify lo richiederà esplicitamente.

14. Contatti per la Privacy

Per qualsiasi domanda relativa al trattamento dei dati personali, per esercitare i propri diritti o per segnalare presunte violazioni, è possibile contattare Puntify ai seguenti recapiti:

Email Privacy (richieste GDPR)

info@puntify.it

Posta

Puntify S.R.L. — Ufficio Privacy
Via Giuseppe Pascaletti, Cosenza

Garante Privacy

www.garanteprivacy.it

Tel. 06.69677.1

Riferimenti Normativi Applicabili

  • Regolamento (UE) 2016/679 — GDPR (General Data Protection Regulation);
  • D.Lgs. 196/2003 — Codice in materia di protezione dei dati personali (come modificato dal D.Lgs. 101/2018);
  • Linee Guida EDPB 05/2020 sul consenso ai sensi del Regolamento 2016/679;
  • Linee Guida EDPB 01/2022 sui diritti degli interessati;
  • Provvedimento del Garante Privacy italiano su notifiche push e marketing (Provv. n. 231/2021);
  • Art. 130 D.Lgs. 196/2003 — Comunicazioni indesiderate (spam);
  • Standard Contractual Clauses — Decisione UE 2021/914;
  • Data Privacy Framework UE-USA (ove applicabile).

Puntify S.R.L. | puntify.it | info@puntify.it | P.IVA 12345678912

Privacy Policy v1.0 — Marzo 2025 — Tutti i diritti riservati

Domande sulla Privacy?

Il nostro team è a disposizione per qualsiasi chiarimento sul trattamento dei tuoi dati.

Scrivici a info@puntify.it

Risposta garantita entro 30 giorni (art. 12 GDPR)