Privacy Policy

La presente informativa descrive come Closet (di seguito "Closet", "noi") raccoglie, utilizza e protegge i dati personali degli utenti del sito web e dei servizi offerti, in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs. 196/2003 e successive modifiche.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

• Ragione sociale: [RAGIONE SOCIALE]
• Sede legale: [INDIRIZZO SEDE LEGALE]
• Partita IVA: [P.IVA]
• Codice Fiscale: [CODICE FISCALE]
• Email contatto privacy: [email protected]
• Email contatto generale: [email protected]

Il Responsabile della Protezione dei Dati (DPO), ove nominato, è contattabile all'indirizzo [email protected].

2. Tipologie di dati raccolti

Closet raccoglie diverse categorie di dati personali in base al rapporto con l'utente:

2.1 Dati forniti volontariamente dall'utente

• Email o numero di telefono — forniti solo se l'utente sceglie di registrarsi al servizio o ricevere comunicazioni;
• Dati di pagamento — gestiti direttamente dal nostro provider Stripe (PCI DSS); Closet non memorizza i dati della carta;
• Dati di contatto per richieste commerciali, partnership o supporto.

2.2 Dati raccolti automaticamente

• ID prenotazione — identificativo anonimo associato alla cella usata;
• Log tecnici — indirizzo IP, browser, sistema operativo, timestamp, per finalità di sicurezza e diagnostica;
• Storico aperture — registro delle aperture della cella prenotata, conservato per max 90 giorni;
• Dati di navigazione — pagine visitate, eventi sul sito, esclusivamente in forma aggregata e anonima.

2.3 Dati biometrici

Closet utilizza lo standard WebAuthn / passkey per l'autenticazione biometrica (FaceID, TouchID, impronta Android, Windows Hello). I dati biometrici (volto, impronta) non lasciano mai il dispositivo dell'utente: sono custoditi nel Secure Enclave del telefono o del computer. Closet riceve esclusivamente una conferma crittografata firmata dal dispositivo, attestante l'avvenuta autenticazione.

3. Finalità e basi giuridiche del trattamento

4. Modalità del trattamento

I dati sono trattati con strumenti elettronici, seguendo misure di sicurezza tecniche e organizzative adeguate, tra cui:

• Trasmissione protetta da protocollo TLS 1.3 end-to-end;
• Dati a riposo cifrati con algoritmi standard (AES-256);
• Accesso ai dati limitato al personale autorizzato e tracciato;
• Backup periodici crittografati;
• Monitoraggio continuo per rilevazione intrusioni;
• Politica di password e autenticazione a due fattori per tutti gli accessi amministrativi.

5. Periodo di conservazione

• Dati di prenotazione e storico aperture: 90 giorni, poi cancellazione automatica;
• Email/telefono utente: fino a revoca del consenso o richiesta cancellazione;
• Dati fiscali e contabili: 10 anni come previsto dalla normativa fiscale italiana;
• Log tecnici: 30 giorni;
• Dati relativi a contratti B2B con venue partner: per la durata del contratto + 10 anni.

6. Destinatari dei dati

I dati possono essere comunicati ai seguenti destinatari, in qualità di Responsabili del trattamento o autonomi titolari:

• Stripe Payments Europe Ltd. — gestione pagamenti (Irlanda, conformità PCI DSS);
• Railway Corp. — hosting infrastruttura applicativa (datacenter UE — Francoforte);
• Provider di posta elettronica transazionale per l'invio di ricevute e comunicazioni di servizio;
• Venue partner — limitatamente ai dati operativi necessari alla gestione dell'armadietto presso la loro struttura;
• Autorità competenti in caso di obblighi di legge o richieste motivate.

L'elenco completo e aggiornato dei Responsabili del trattamento è disponibile su richiesta all'indirizzo [email protected].

7. Trasferimento dei dati extra-UE

I dati sono prevalentemente trattati all'interno dell'Unione Europea (datacenter Railway, Francoforte). Eventuali trasferimenti extra-UE avvengono esclusivamente verso Paesi che garantiscono un livello di protezione adeguato secondo le decisioni della Commissione Europea, oppure sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

8. Diritti dell'interessato

Ai sensi degli articoli 15-22 del GDPR, l'utente ha diritto a:

• Accesso ai propri dati personali (Art. 15);
• Rettifica di dati inesatti o incompleti (Art. 16);
• Cancellazione ("diritto all'oblio", Art. 17) — disponibile con 1 click direttamente nell'app;
• Limitazione del trattamento (Art. 18);
• Portabilità dei dati in formato strutturato e leggibile (Art. 20);
• Opposizione al trattamento per legittimo interesse o marketing (Art. 21);
• Revoca del consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento precedente;
• Reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

Le richieste possono essere inoltrate a [email protected]. Closet risponde entro 30 giorni dalla ricezione della richiesta.

9. Dati biometrici e WebAuthn

L'autenticazione biometrica utilizzata da Closet è basata sullo standard WebAuthn (W3C), che garantisce per design:

• I dati biometrici (volto, impronta) non vengono mai trasmessi a Closet né a terzi;
• I dati restano custoditi esclusivamente nel Secure Enclave / TPM del dispositivo dell'utente;
• Closet riceve solo una conferma crittografata firmata dal dispositivo: "questo utente è autenticato";
• La passkey associata può essere revocata in qualsiasi momento dall'utente, dalle impostazioni del dispositivo o dell'app.

10. Cookie Policy

Il sito Closet utilizza cookie tecnici necessari al funzionamento del servizio e, solo previo consenso esplicito, cookie analytics di terze parti (cfr. § 10.2). Non vengono utilizzati cookie di profilazione o tracciamento senza il consenso esplicito dell'utente.

10.1 Cookie tecnici (necessari)

• Preferenze utente — memorizzazione del consenso cookie (localStorage closet_cookie_consent);
• Sessione — token di autenticazione temporanea durante l'uso dell'app.

Base giuridica: legittimo interesse (Art. 6.1.f GDPR), non richiede consenso.

10.2 Cookie analytics (opzionali, previo consenso)

Previo consenso esplicito prestato tramite il banner cookie ("Accetta tutti"), il sito utilizza Google Analytics 4 per statistiche aggregate sull'utilizzo del sito. Senza consenso questi cookie non vengono installati e nessun dato viene inviato a Google.

• _ga, _ga_87S7E1QHHP — Google Analytics, finalità statistica, durata fino a 24 mesi;
• Titolare terzo: Google Ireland Ltd. I dati possono essere trasferiti extra-UE (USA) con le garanzie del Data Privacy Framework e delle Clausole Contrattuali Standard. Informativa: policies.google.com/privacy.

L'IP è raccolto in forma anonimizzata (anonymize_ip). Il consenso è revocabile in qualsiasi momento da "Gestisci cookie".

10.3 Come gestire i cookie

L'utente può modificare in qualsiasi momento le proprie preferenze:

• Cliccando su "Gestisci cookie" in fondo a qualsiasi pagina;
• Cancellando i dati di navigazione del proprio browser;
• Modificando le impostazioni cookie del browser (la disabilitazione dei cookie tecnici potrebbe compromettere il funzionamento del sito).

11. Minori

I servizi Closet non sono destinati a minori di 16 anni. Closet non raccoglie consapevolmente dati personali di minori. Qualora un genitore o tutore ritenga che un minore abbia fornito dati personali senza consenso, può richiederne la cancellazione contattando [email protected].

12. Modifiche alla presente informativa

Closet si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche sostanziali saranno notificate agli utenti registrati via email e segnalate sul sito con almeno 30 giorni di preavviso. La data di ultimo aggiornamento è indicata in cima a questo documento.

13. Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali, contattare:

• Email privacy: [email protected]
• Email DPO: [email protected]
• PEC: [PEC]
• Indirizzo postale: [INDIRIZZO SEDE LEGALE]