Privacy Policy (o “Il Contratto di Non Tradimento Digitale”)

La tua privacy è importante per noi. Anzi, è sacra. È il nostro tesoro. È il motivo per cui esistiamo. È la ragione per cui ci svegliamo alle 3:27 di notte in preda al panico pensando a un data breach. È il motivo per cui abbiamo assunto 47 avvocati, 12 DPO, 9 stagisti, 3 gatti e un parente del CEO che “sa di GDPR”. È il motivo per cui questo documento è lungo 312 paragrafi, 18 allegati, 9 annessi, 3 appendici, 1 prefazione, 1 postfazione, 1 bibliografia, 1 sitografia, 1 glossa, 1 errata corrige, e zero cruciverba (perché la privacy è una cosa seria, non un gioco).

Indice (clicca per saltare, ma poi torni indietro lo stesso)

Prefazione (leggi o muori di noia)

Benvenuto nella Privacy Policy di Upshifts. Questo non è un semplice documento. È un manifesto. È un giuramento. È un patto di sangue digitale tra te (l’Utente, il Visitatore, il Curioso, il Troll, il Bot, l’IA in incognito, il gatto che cammina sulla tastiera) e noi (il Titolare, il Responsabile, il DPO, il CEO, lo stagista che ha scritto questo alle 4:12 del mattino dopo 47 caffè).

Questa policy è stata redatta con ansia, passione, paranoia, 47 revisioni legali, 12 pareri di DPO, 9 riunioni di 4 ore in cui si è discusso se “dato personale” include anche il tuo segno zodiacale (spoiler: sì, se lo usiamo per profilarti).

Ultimo aggiornamento: 28 ottobre 2025, ore 14:47:32.156 (ora di Greenwich, fuso Zulu, con correzione per il salto quantico e per l’effetto farfalla causato da un battito d’ali di una farfalla in Amazzonia nel 1987, che ha fatto cadere un server in Irlanda).

1. Chi siamo (e perché ti teniamo d’occhio)

1.1 Identità del Titolare

Il Titolare del trattamento dei dati personali è Upshifts S.r.l., con sede legale in Via dei Dati 47, 00100 Roma, Italia, P.IVA 12345678901, codice fiscale 12345678901, REA RM-1234567, capitale sociale €47.000 i.v., rappresentata legalmente dal Sig. Mario Rossi (che non esiste, ma suona bene).

1.2 Contatti del DPO

Il Data Protection Officer (DPO) è raggiungibile via:

  • Email: dpo@upshifts.it (risponde entro 47 giorni lavorativi)
  • Posta certificata: upshifts@pec.it
  • Piccione viaggiatore (solo per emergenze)
  • Telegramma (se hai ancora il numero)
  • Sogno premonitore (se sei sensitivo)

1.3 Base giuridica

Trattiamo i tuoi dati in base a:

  • Art. 6(1)(a) GDPR – Consenso (quando clicchi “Accetto”)
  • Art. 6(1)(b) GDPR – Esecuzione contratto (quando usi il servizio)
  • Art. 6(1)(c) GDPR – Obbligo legale (quando ci obbliga la legge)
  • Art. 6(1)(f) GDPR – Legittimo interesse (quando ci serve per non fallire)
  • Art. 47 del Codice della Strada – Perché sì

2. Cosa raccogliamo (spoiler: tutto quello che puoi immaginare)

2.1 Dati forniti volontariamente

Quando ti iscrivi, compili form, scrivi email, o parli con il nostro chatbot, raccogliamo:

  • Nome, cognome, nome del gatto
  • Email, numero di telefono, numero di scarpe
  • Indirizzo, CAP, città, nazione, pianeta
  • Data di nascita, segno zodiacale, ascendente
  • Curriculum, portfolio, link al tuo SoundCloud
  • Password (hashata, ma la sappiamo lo stesso)
  • Preferenze (dark mode, font size, vibrazione aptica)

2.2 Dati raccolti automaticamente

Quando usi il sito, raccogliamo (senza chiedere):

  • Indirizzo IP (anche se usi VPN, lo sappiamo)
  • User-Agent (browser, OS, versione, plugin)
  • Risoluzione schermo, orientamento, batteria
  • Posizione (approssimativa, precisa, esatta)
  • Tempo di permanenza, scroll depth, click heatmaps
  • Eventi (click, hover, rage click, form abandonment)
  • Cookie (tutti, anche quelli che non esistono)
  • Fingerprinting (sì, ti riconosciamo lo stesso)

2.3 Dati di terze parti

Riceviamo dati da:

  • Google (Analytics, Ads, reCAPTCHA)
  • Meta (Pixel, Instagram, WhatsApp)
  • Stripe, PayPal, Satispay
  • Cloudflare, AWS, Vercel
  • Il tuo vicino di casa (se ci scrive)

2.4 Dati che non raccogliamo (ma vorremmo)

Non raccogliamo:

  • Il tuo DNA (per ora)
  • Le tue impronte digitali (a meno che non usi Touch ID)
  • Il tuo umore (ma ci stiamo lavorando)
  • Il contenuto delle tue chat private (a meno che non ce le mandi tu)

3. Perché lo facciamo (non per cattiveria, giuro)

3.1 Finalità principali

Usiamo i tuoi dati per:

  • Fornire il servizio (senza dati, non funziona)
  • Personalizzare l’esperienza (dark mode, lingua, font)
  • Inviare comunicazioni (newsletter, promozioni, auguri)
  • Migliorare il prodotto (analytics, A/B test, rage click)
  • Prevenire frodi (sì, anche tu potresti essere un bot)
  • Adempiere obblighi legali (tasse, antiriciclaggio, ecc.)

3.2 Finalità secondarie (ma importanti)

E anche per:

  • Profilazione (sì, ti mostriamo ads rilevanti)
  • Remarketing (sì, ti seguiamo su Facebook)
  • Ricerche di mercato (sì, ti chiediamo feedback)
  • Statistiche interne (sì, contiamo tutto)

3.3 Durata della conservazione

Conserviamo i dati per il tempo necessario. Ovvero:

  • Dati di contratto: fino a 10 anni dopo la cessazione
  • Dati fiscali: 10 anni
  • Dati di marketing: fino a revoca del consenso
  • Dati di analytics: 26 mesi (Google Analytics)
  • Dati di backup: 47 giorni
  • Dati che ci piacciono: per sempre

4. Con chi condividiamo i tuoi dati (spoiler: quasi nessuno)

4.1 Responsabili del trattamento

Condividiamo con:

  • Hosting provider (Vercel, AWS)
  • CDN (Cloudflare)
  • Payment gateway (Stripe, PayPal)
  • Email provider (SendGrid, Mailgun)
  • Analytics (Google, Hotjar)
  • Supporto (Zendesk, Intercom)

4.2 Autorità competenti

Condividiamo solo se obbligati da legge, ordine giudiziario, o se ci minacciano con un mandato.

4.3 Non vendiamo i tuoi dati

Mai. Nemmeno per 47 milioni di euro. Nemmeno se ci offrono un’isola privata.

5. Come proteggiamo i tuoi dati (con 47 strati di crittografia)

5.1 Misure tecniche

Usiamo:

  • Crittografia TLS 1.3 in transito
  • Crittografia AES-256 a riposo
  • Hashing bcrypt per le password
  • Firewall, WAF, DDoS protection
  • Accesso con 2FA, SSO, biometria
  • Backup giornalieri, ridondati, criptati

5.2 Misure organizzative

Abbiamo:

  • Policy interne (47 pagine)
  • Formazione annuale (obbligatoria)
  • Audit periodici (esterni)
  • Data Protection Impact Assessment (DPIA)
  • Registro dei trattamenti (Art. 30 GDPR)

5.3 Data Breach

In caso di breach, notifichiamo il Garante entro 72 ore e te entro 47 giorni (se necessario).

6. I tuoi diritti (tutti, anche quelli che non sapevi di avere)

6.1 Diritti GDPR (Art. 15–22)

Hai diritto a:

  • Accedere ai tuoi dati (Art. 15)
  • Rettificarli (Art. 16)
  • Cancellarli (“diritto all’oblio”, Art. 17)
  • Limitarne il trattamento (Art. 18)
  • Opporti (Art. 21)
  • Portabilità (Art. 20)
  • Revocare il consenso (senza effetto retroattivo)
  • Presentare reclamo al Garante (www.garanteprivacy.it)

6.2 Come esercitarli

Invia una email a supporto@upshifts.it con oggetto “ESERCIZIO DIRITTI GDPR”. Rispondiamo entro 30 giorni (prorogabili a 60 se sei complicato).

7. Modifiche (sì, cambieremo tutto. Sempre.)

7.1 Diritto di modifica

Ci riserviamo il diritto di modificare questa policy in qualsiasi momento, per qualsiasi motivo, senza preavviso.

7.2 Notifica

Ti notificheremo tramite email, popup, fumogeno, piccione, sogno premonitore.

7.3 Accettazione tacita

L’uso continuato del servizio = accettazione. Anche se eri in coma. Anche se eri su Marte.

8. Contattaci (ma non troppo)

8.1 Indirizzi

Email: supporto@upshifts.it
PEC: upshifts@pec.it
Sede: Via dei Dati 47, 00100 Roma
Telefono: +39 06 1234567 (solo emergenze)
Fax: ancora esiste?

Fine. Davvero.

Hai letto tutto. Sei ufficialmente un eroe della privacy.

Ultimo aggiornamento: 28 ottobre 2025.