← Torna al sito

Privacy Policy

La presente Privacy Policy è redatta ai sensi del Reg. UE 2016/679 (GDPR), del D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) e successive modifiche, come adeguati dal D.Lgs. 101/2018.

Ultimo aggiornamento: Maggio 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali e' Cristian Uva, libero professionista con sede in Italia, operante tramite il sito web cristianuva.me e la piattaforma Fiverr (@crissenpai).

P.IVA: 04864350402 · C.F.: VUACST06B09H294S — Via Sandro Pertini 132, 47832 San Clemente (RN), Italia

Regime forfettario L. 190/2014 (art. 1 c. 67) — IVA non addebitata in via di rivalsa ai sensi dell'art. 1 c. 67 L. 190/2014. PEC: cristianuva@pec.it

Per qualsiasi richiesta relativa alla privacy puoi contattarmi a: privacy@cristianuva.me

2. Dati personali raccolti

A seconda del servizio utilizzato, posso raccogliere i seguenti dati:

Dati identificativi: nome, indirizzo email
Dati di comunicazione: messaggi inviati tramite form di contatto, chat e prenotazioni
Dati di pagamento: elaborati da Stripe (non memorizzo dati di carta di credito)
Dati di autenticazione: account Firebase (email, nome, foto profilo, UID)
Dati di navigazione: dati tecnici raccolti tramite cookie (vedi Cookie Policy)
Conversazioni chatbot: messaggi inviati al chatbot AI (Gaia) e relative risposte, registrati per migliorare il servizio
Dati di fatturazione: indirizzo postale completo (via, città, CAP, provincia, paese ISO), codice fiscale (clienti italiani persone fisiche), partita IVA (aziende italiane e UE), VAT/Tax ID (aziende estere), codice destinatario SDI o PEC, lingua fattura preferita. Raccolti solo quando si acquista un servizio, obbligatori per emissione fattura elettronica SDI conforme al Provvedimento AdE prot. 89757/2018.

3. Finalita' e base giuridica del trattamento

3.1 Esecuzione del contratto (Art. 6(1)(b) GDPR)

Gestione ordini, offerte e pagamenti
Prenotazione chiamate e creazione eventi Google Calendar/Meet
Comunicazioni relative ai servizi richiesti
Emissione fatture e adempimenti fiscali

3.2 Consenso (Art. 6(1)(a) GDPR)

Invio di email promozionali e codici sconto
Cookie analitici e funzionali
Registrazione account sul sito

3.3 Legittimo interesse (Art. 6(1)(f) GDPR)

Sicurezza del sito (protezione anti-bot tramite honeypot)
Assistenza tramite chatbot AI (Google Gemini) e live chat — le conversazioni sono registrate per 12 mesi
Notifiche interne all'amministratore (Telegram) — i dati non vengono condivisi con gli utenti Telegram, solo con l'amministratore del sito

3.4 Trattamento dati per fatturazione elettronica (SDI)

Titolare del trattamento: Cristian Uva, P.IVA 04864350402, Via Sandro Pertini 132, 47832 San Clemente (RN) — PEC: cristianuva@pec.it

Finalita': Emissione di fattura elettronica obbligatoria tramite il Sistema di Interscambio (SDI) dell'Agenzia delle Entrate e conservazione sostitutiva dei documenti fiscali.

Base giuridica:

Art. 6.1.b GDPR: esecuzione del contratto di cui l'interessato e' parte (o misure precontrattuali su richiesta);
Art. 6.1.c GDPR: adempimento di obbligo legale cui e' soggetto il titolare (DPR 633/72 artt. 21-22; D.Lgs. 127/2015; DM 17/06/2014).

Categorie di dati trattati: nome e cognome o ragione sociale, codice fiscale e/o partita IVA, indirizzo di residenza/sede, codice destinatario SDI o indirizzo PEC per recapito fattura, dati relativi alla prestazione (descrizione servizio, importo, data).

Destinatari: i dati sono trasmessi al Sistema di Interscambio (SDI) gestito dall'Agenzia delle Entrate (soggetto pubblico italiano). Non e' previsto alcun trasferimento verso Paesi terzi extra-UE.

Periodo di conservazione: le fatture elettroniche e la relativa documentazione fiscale sono conservate per 10 anni dalla chiusura dell'esercizio di riferimento, in adempimento dell'art. 2220 c.c. e dell'art. 39 DPR 600/73.

Diritti dell'interessato: l'interessato puo' esercitare i diritti di accesso, rettifica, portabilita' e opposizione ai sensi degli artt. 15-21 GDPR. Il diritto alla cancellazione (art. 17 GDPR) e' limitato per i dati la cui conservazione e' imposta da obbligo legale (art. 17.3.b GDPR) — le fatture fiscali non possono essere eliminate prima dei 10 anni.

Per esercitare i propri diritti: PEC cristianuva@pec.it o email cristian.uva.business@gmail.com.

4. Destinatari e responsabili del trattamento

I tuoi dati possono essere condivisi con i seguenti fornitori di servizi (data processor):

Servizio	Fornitore	Finalita'	Sede
Firebase Authentication	Google LLC	Autenticazione utenti, gestione account	USA (SCC)
Postgres (Database)	Self-hosted (VPS Europa, post-migrazione 21/04/2026)	Archiviazione ordini, offerte, prenotazioni, conversazioni chat e log chatbot AI	UE
Hosting VPS (Infrastruttura)	DigitalOcean LLC (pre-migrazione) / Hetzner Online GmbH (post-migrazione target fine maggio 2026)	Hosting applicazione web, database e workflow n8n — responsabile del trattamento art. 28 GDPR. Trasferimento dati DigitalOcean coperto da Standard Contractual Clauses (SCC) Commissione UE; Hetzner è soggetto UE	USA / Germania (SCC per DO)
Google Calendar / Meet	Google LLC	Pianificazione chiamate prenotate	USA (SCC)
Google Gemini AI	Google LLC	Chatbot AI (Gaia) — elaborazione messaggi utente e generazione risposte	USA (SCC)
Brevo (Sendinblue)	Brevo SAS	Invio email transazionali e promozionali	Francia / UE
Stripe	Stripe Inc.	Elaborazione pagamenti e abbonamenti	USA (SCC)
PayPal	PayPal Inc.	Elaborazione pagamenti alternativi	USA (SCC)
n8n	Self-hosted (VPS Europa)	Automazione workflow interni	UE
Telegram Bot API	Telegram FZ-LLC	Notifiche interne all'amministratore	Dubai / UE
Agenzia delle Entrate (SDI)	AdE / SOGEI (Italian government)	Trasmissione fattura elettronica FatturaPA	Italia
Aruba S.p.A.	Aruba S.p.A. (sede Arezzo, Italia)	Gestione PEC certificata e fatture passive SDI. Certificazioni AgID Conservatore Accreditato + Gestore PEC accreditato (DPCM 22/02/2013) + ISO/IEC 27001:2022 + ISO 27017/27018. Responsabile del trattamento art. 28 GDPR ai sensi delle Condizioni Generali del Servizio PEC accettate dal cliente	Italia
Photon (Komoot)	Komoot GmbH (sede Schönefeld, Germania)	Servizio di autocomplete indirizzo (geocoding tipo-mentre-digiti) sul modulo di fatturazione elettronica. Trasmessi: stringa di ricerca, IP, User-Agent, header Origin cristianuva.me. Nessun cookie persistente, nessuna profilazione (Provv. Garante n. 231 del 10 giugno 2021 — docweb 9677876 — N/A). Software Photon Apache 2.0 + dati OSM ODbL. Privacy policy: komoot.com/legal/privacy · contatto privacy: help@komoot.de	Germania / UE
Nominatim (OSM)	OpenStreetMap Foundation (sede St Albans, Regno Unito; mirror infrastruttura UK + NL)	Validazione strutturata indirizzo on-blur/on-submit (coerenza CAP + via + comune + codice paese). NON utilizzato per autocomplete keystroke (Usage Policy OSMF). User-Agent identificativo trasmesso. Privacy policy: osmfoundation.org · contatto privacy: privacy@osmfoundation.org	UK (decisione adeguatezza C(2021) 4800)

4-bis. Sub-responsabili e Data Processing Agreement

I fornitori di servizi tecnici (Google Firebase, Stripe Payments Europe Ltd, PayPal Europe S.à r.l., Brevo SAS, Aruba S.p.A., DigitalOcean LLC, Hetzner Online GmbH) trattano i dati personali in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR, in base a Data Processing Agreement (DPA) sottoscritti che impongono adeguate misure di sicurezza tecniche e organizzative.

DPA pubblicati (consultabili dai relativi siti):

Google Cloud DPA (Firebase Authentication)
Stripe DPA
PayPal Europe DPA
Brevo (Sendinblue) DPA
DigitalOcean DPA
Hetzner Online DPA
Aruba S.p.A. — Condizioni Generali del Servizio PEC + certificazioni AgID/ISO (vedi riga tabella §4)

4-ter. Servizi di completamento indirizzo (modulo fatturazione)

Per agevolare la compilazione del modulo di fatturazione elettronica (campi CAP, città, indirizzo, paese), il sito utilizza due servizi geografici terzi:

Komoot GmbH (Schönefeld, Germania, photon.komoot.io) — fornitore del servizio di geocoding Photon per suggerimenti d'indirizzo in tempo reale durante la digitazione (autocomplete typeahead).
OpenStreetMap Foundation (St Albans, Regno Unito, nominatim.openstreetmap.org) — fornitore del servizio Nominatim per la validazione strutturata dell'indirizzo al momento del salvataggio.

Quando l'utente compila il modulo, la stringa digitata e l'indirizzo IP del visitatore vengono trasmessi temporaneamente ai server di Komoot/OSMF al solo scopo di restituire suggerimenti d'indirizzo e validare la coerenza tra CAP, via, comune e codice postale. Nessun cookie persistente, nessun tracking di sessione, nessuna profilazione ai sensi del Provvedimento del Garante n. 231 del 10 giugno 2021 (docweb 9677876).

Base giuridica: legittimo interesse del titolare ai sensi dell'art. 6.1.f Reg. UE 2016/679 (GDPR) — finalizzato all'esecuzione degli obblighi fiscali di fatturazione elettronica SDI ai sensi del D.M. 17/06/2014 e del Provv. AdE 89757/2018.

Trasferimento dei dati: il trattamento avviene su server situati in Germania (Komoot) e Regno Unito (OSMF). Entrambe le giurisdizioni sono coperte da decisione di adeguatezza della Commissione Europea (UK: Decisione C(2021) 4800 del 28/06/2021), pertanto non sono necessarie clausole contrattuali tipo (SCC).

Diritti dell'interessato: l'utente può opporsi al trattamento per legittimo interesse ai sensi dell'art. 21 GDPR; in tal caso il modulo di fatturazione richiederà compilazione manuale completa dei campi indirizzo. Le funzionalità di salvataggio fattura e trasmissione SDI restano comunque garantite.

5. Trasferimento internazionale dei dati

Alcuni dei fornitori sopra elencati (Google, Stripe, PayPal, DigitalOcean) hanno sede o trattano dati negli Stati Uniti. Il trasferimento dei dati avviene sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914), in conformità con il Capo V del GDPR (artt. 44-49).

5-bis. Notifica violazioni dati personali (data breach)

In caso di violazione dei dati personali (data breach) che presenti un rischio elevato per i diritti e le libertà degli interessati, il titolare provvederà alla comunicazione agli interessati ai sensi dell'art. 34 GDPR, entro tempi compatibili con la valutazione del rischio. Tutte le violazioni saranno notificate al Garante per la protezione dei dati personali entro 72 ore dalla conoscenza del fatto, ai sensi dell'art. 33 GDPR.

6. Periodi di conservazione

Tipo di dato	Periodo	Motivo
Ordini e fatture	10 anni	Obbligo fiscale italiano
Messaggi chat (AI e Live)	12 mesi	Assistenza e miglioramento servizio
Dati account	Fino a cancellazione	Esecuzione del servizio
Prenotazioni	24 mesi	Gestione appuntamenti e follow-up
Contatti form	24 mesi	Gestione richieste
Cookie analitici	26 mesi	Reportistica aggregata

7. I tuoi diritti

In conformita' al GDPR (Articoli 15-22), hai il diritto di:

Accesso (Art. 15): ottenere copia dei tuoi dati personali
Rettifica (Art. 16): correggere dati inesatti o incompleti
Cancellazione (Art. 17): richiedere l'eliminazione dei tuoi dati ("diritto all'oblio")
Limitazione (Art. 18): limitare il trattamento in determinate circostanze
Portabilita' (Art. 20): ricevere i tuoi dati in formato strutturato e leggibile da dispositivo
Opposizione (Art. 21): opporti al trattamento basato su legittimo interesse
Revoca del consenso: revocare il consenso in qualsiasi momento senza pregiudizio
Reclamo: presentare reclamo al Garante per la protezione dei dati personali

Per esercitare i tuoi diritti, scrivi a privacy@cristianuva.me. Rispondo entro 30 giorni.

8. Cancellazione dell'account

Puoi eliminare il tuo account direttamente dal sito tramite il pulsante "Elimina account" nel menu utente. Questa azione cancella il tuo account Firebase e i dati associati. Per la rimozione completa dei dati dal database interno (Postgres su VPS) e altri sistemi, contatta privacy@cristianuva.me.

9. Misure di sicurezza

Adotto misure tecniche e organizzative appropriate per proteggere i tuoi dati, tra cui:

Crittografia HTTPS su tutti gli endpoint
Autenticazione Firebase con verifica email obbligatoria
Protezione anti-bot tramite campo honeypot (nessun dato utente raccolto)
Verifica HMAC per link sensibili (offerte, pagamenti)
Server VPS con accesso SSH protetto da chiave

10. Aggiornamenti della Privacy Policy

Questa Privacy Policy puo' essere aggiornata periodicamente. La data dell'ultimo aggiornamento e' indicata in cima alla pagina. In caso di modifiche sostanziali, ti informero' tramite il sito.

11. Contatti

Per qualsiasi domanda relativa a questa Privacy Policy o al trattamento dei tuoi dati personali: