Quicksy S.r.l.s. (Quicksy Società a responsabilità limitata semplificata)
Sede legale: Via Giuseppe Ferrari 2, 00195 Roma (RM)
P.IVA/C.F. 18529541007 · REA RM - 1790522
Email: info@quicksy.it · PEC: quicksy@legalmail.it · Tel: +39 351 463 3076

Per tutti gli utenti (consumatori, commercianti, rider):

• Nome, indirizzo email, numero di telefono — necessari per la creazione e gestione dell'account e per le comunicazioni operative.
• Storico degli ordini — necessario per l'erogazione del servizio, la gestione di dispute e gli obblighi di conservazione fiscale.
• Valutazioni e commenti lasciati sulla piattaforma.
• Endpoint di notifica push (chiave crittografica del dispositivo) — raccolto previo consenso esplicito per l'invio di notifiche sullo stato degli ordini. La sottoscrizione può essere revocata in qualsiasi momento dalle impostazioni del dispositivo o dall'area Account.

Solo per i consumatori:

• Indirizzi di consegna salvati — per facilitare gli ordini futuri. Conservati finché l'utente non li elimina o cancella l'account.
• Metodo di pagamento: nella fase attuale è disponibile unicamente il pagamento in contanti alla consegna. Nessun dato di strumenti di pagamento elettronico viene raccolto o conservato sulla piattaforma Quicksy.

Solo per i commercianti:

• Dati aziendali: ragione sociale, partita IVA, email aziendale, sito web — necessari per la fatturazione delle commissioni.
• Immagini dei prodotti caricate su Supabase Storage.
• Accesso alla fotocamera del dispositivo per la scansione di codici a barre (solo in-app, durante l'utilizzo attivo; nessuna immagine viene salvata sul server).

Solo per i rider:

• IBAN bancario — necessario per il pagamento dei compensi. Conservato su database con accesso protetto tramite Row Level Security (Supabase).
• Documenti di identità e assicurativi (patente di guida, polizza RC) — caricati obbligatoriamente per la verifica del profilo e conservati in uno spazio di archiviazione privato (Supabase Storage). Accessibili esclusivamente al team Quicksy per finalità di verifica.
• Posizione geografica (GPS) — raccolta esclusivamente durante le consegne attive e condivisa in tempo reale con il consumatore che ha effettuato l'ordine. Al termine della consegna la posizione viene eliminata automaticamente dalla piattaforma.

Il trattamento dei dati è necessario per l'esecuzione del contratto di servizio (art. 6, par. 1, lett. b, GDPR). Per i seguenti trattamenti la base giuridica è il consenso espresso dell'utente (art. 6, par. 1, lett. a, GDPR), revocabile in qualsiasi momento:

• GPS del rider durante le consegne
• Accesso alla fotocamera per il barcode scanner
• Notifiche push (la richiesta avviene tramite il browser/sistema operativo)

Il trattamento dei documenti del rider (patente, assicurazione RC) è basato sull'obbligo contrattuale e sul legittimo interesse di Quicksy a verificare l'idoneità dei rider (art. 6, par. 1, lett. b e f, GDPR).

Il caricamento delle mappe (Mapbox) è necessario per l'esecuzione del contratto di servizio nella fase di tracciamento della consegna (art. 6, par. 1, lett. b, GDPR). L'utilizzo di strumenti di analisi aggregata dell'utilizzo della piattaforma (Vercel Analytics) e di monitoraggio tecnico (Sentry, Upstash) si fonda sul legittimo interesse di Quicksy a garantire il corretto funzionamento e la sicurezza del servizio (art. 6, par. 1, lett. f, GDPR).

I dati non vengono venduti a terzi. Vengono condivisi solo con i fornitori tecnici strettamente necessari:

Supabase Inc. — database, autenticazione e archiviazione file, con infrastruttura nell'UE (Irlanda). Privacy Policy.

Resend Inc. — invio di email transazionali (conferma ordine, notifiche di stato, comunicazioni di servizio). Privacy Policy.

Vercel Inc. — hosting della piattaforma web e analisi aggregata dell'utilizzo tramite Vercel Analytics e Speed Insights (dati aggregati e anonimizzati, senza cookie di profilazione). Privacy Policy.

Mapbox Inc. — servizio di mappe interattive utilizzato per visualizzare la posizione del rider durante la consegna. A tal fine il browser effettua richieste verso i server di Mapbox (tile di mappa, API di geocoding). Queste richieste possono includere l'indirizzo IP del dispositivo dell'utente. Il trasferimento avviene nel rispetto delle clausole contrattuali standard (SCC). Privacy Policy.

Google LLC — i dati inseriti nei form di interesse (nome, email, numero di telefono) per commercianti e rider vengono registrati tramite Google Workspace, al solo scopo di raccolta e gestione delle candidature nella fase di pre-lancio. Il trasferimento avviene nel rispetto delle clausole contrattuali standard (SCC) e dell'EU-US Data Privacy Framework. Privacy Policy.

Sentry (Functional Software, Inc.) — monitoraggio degli errori tecnici della piattaforma. In caso di anomalie software, Sentry riceve informazioni diagnostiche (stack trace, tipo di errore, pagina coinvolta). La configurazione adottata esclude l'invio di dati personali identificativi (email, IP, cookie). La funzione di session replay (registrazione anonimizzata dell'interazione per la diagnostica degli errori, con mascheramento integrale del testo) viene attivata esclusivamente previo consenso esplicito dell'utente, con campionamento del 10% (100% in caso di errore critico). Il consenso può essere revocato in qualsiasi momento tramite "Preferenze cookie" nel piè di pagina. Il trattamento avviene su infrastruttura con sede nell'UE. Privacy Policy.

Upstash Inc. — sistema di rate limiting utilizzato per proteggere le API della piattaforma da abusi e accessi anomali. A tal fine viene trasmesso l'indirizzo IP del richiedente per il solo conteggio delle richieste. L'IP non viene conservato oltre la finestra temporale di controllo (60 secondi). Il trasferimento avviene nel rispetto delle clausole contrattuali standard (SCC). Privacy Policy.

Tra utenti della piattaforma: il numero di telefono del consumatore è visibile al rider assegnato alla consegna, al solo scopo di coordinare la consegna. Il nome del rider è visibile al consumatore durante la consegna.

I dati dell'account vengono conservati per tutta la durata del rapporto. Lo storico degli ordini viene conservato per 10 anni per obblighi fiscali (art. 22 D.P.R. 600/1973), anche dopo la cancellazione dell'account (in forma anonimizzata: il nominativo viene rimosso, rimane solo il dato economico aggregato). I dati GPS vengono eliminati al termine di ogni consegna. I documenti del rider (patente, assicurazione) vengono conservati per la durata del rapporto e cancellati entro 30 giorni dalla cessazione dello stesso. Gli endpoint di notifica push vengono eliminati alla disiscrizione o alla cancellazione dell'account. I dati inseriti nei form di interesse (nome, email, telefono) nella fase di pre-lancio vengono conservati in Google Workspace per il tempo necessario alla gestione delle candidature e comunque non oltre 12 mesi; l'interessato può richiederne la cancellazione anticipata scrivendo a info@quicksy.it.

Ai sensi degli artt. 15–22 GDPR, hai il diritto di:

• Accesso — ottenere copia dei dati che ti riguardano
• Rettifica — correggere dati inesatti
• Cancellazione — ottenere l'eliminazione dei dati ("diritto all'oblio")
• Limitazione — richiedere la sospensione del trattamento
• Portabilità — ricevere i tuoi dati in formato leggibile
• Opposizione — opporti a trattamenti basati sul legittimo interesse
• Revoca del consenso — in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente

Puoi esercitare questi diritti:

• Direttamente dalla piattaforma: sezione Account → Elimina account (cancellazione immediata dei dati personali).
• Via email: info@quicksy.it — risposta entro 30 giorni.

Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

I dati sono protetti con connessioni TLS, autenticazione con password cifrate (bcrypt) e controllo degli accessi basato su Row Level Security (Supabase). I file dei rider sono archiviati in uno spazio di storage privato non accessibile pubblicamente. Nella fase attuale il pagamento avviene esclusivamente in contanti alla consegna: nessun dato di strumenti di pagamento elettronico è raccolto, trattato o conservato da Quicksy.

Alcuni fornitori tecnici hanno sede negli Stati Uniti (Resend, Sentry, Vercel, Upstash, Mapbox, Google LLC). Il trasferimento avviene nel rispetto delle garanzie previste dal GDPR: clausole contrattuali standard (SCC) adottate dalla Commissione europea e, dove applicabile, framework EU-US Data Privacy Framework. Supabase utilizza esclusivamente infrastrutture UE (Irlanda).

Questa informativa può essere aggiornata. Modifiche sostanziali saranno comunicate con almeno 15 giorni di preavviso via email agli utenti registrati. La data dell'ultimo aggiornamento è indicata in cima al documento.