1. Chi siamo (Titolare del trattamento)
QualeSpiaggia è un servizio di CAPITA srl, con sede in Lecce, Italia. Per domande sulla privacy scrivi a privacy@qualespiaggia.com.
Aggiornata: 25 aprile 2026.
2. Dati che raccogliamo
Raccogliamo solo i dati strettamente necessari al servizio. Nessun profilo pubblicitario.
- Email. Quando ti iscrivi alla newsletter, attivi il trial Pro o accedi via magic link. Salvata in DB Supabase (server EU).
- Identità Google (opzionale). Se accedi con "Continua con Google", riceviamo email + nome dal tuo account Google. Nessun altro dato.
- Dati di pagamento. Nome, email, indirizzo, Partita IVA (per fattura) sono trattati direttamente da Stripe. Non vediamo né archiviamo i dati della carta. Vediamo solo: ID cliente Stripe + stato dell'abbonamento.
- Posizione (opzionale). Se la autorizzi nel browser/app, per mostrarti le spiagge vicine. Resta sul tuo device, mai inviata ai nostri server.
- Preferiti spiagge. Salvati localmente sul tuo dispositivo (localStorage). Mai inviati ai nostri server.
- Analytics anonimi. Google Analytics 4 in modalità Consent Mode v2 con analytics_storage: denied di default — quindi senza cookie, senza ID utente, IP anonimo. Misuriamo solo metriche aggregate (pagina vista, durata).
- Conteggi anonimi viste spiagge. Per il badge "X persone l'hanno vista oggi" salviamo solo il numero aggregato di viste per slug per giorno. Nessun IP, nessun cookie, nessun identificatore.
3. Responsabili esterni del trattamento
Per fornire il servizio ci avvaliamo di questi processor (tutti GDPR-compliant):
- Vercel Inc. — hosting + edge runtime (USA, copertura GDPR via SCC).
- Supabase Inc. — database email subscriber (server EU Francoforte).
- Resend Inc. — invio email transazionali (USA, copertura GDPR).
- Stripe, Inc. / Stripe Payments Europe Ltd. — pagamenti (Irlanda, GDPR diretto).
- Google Ireland Ltd. — Analytics 4 (Consent Mode v2, analytics_storage denied) + login OAuth opzionale.
- OpenStreetMap Foundation — tile della mappa (UK).
4. Cookie e storage
| Nome | Scopo | Durata |
|---|
| qs_session | Sessione autenticata (JWT firmato) | 30 giorni |
| qs_consent | Consenso cookie | 6 mesi |
| qs_oauth_state | CSRF token Google OAuth | 10 minuti |
| salento_lang | Lingua preferita | 1 anno (localStorage) |
| salento_favorites | Preferiti spiagge | persistente (localStorage) |
5. Base giuridica e finalità
- Esecuzione del contratto (art. 6.1.b GDPR) — per gestire iscrizione, trial, abbonamenti Pro.
- Consenso (art. 6.1.a GDPR) — per la newsletter (single/double opt-in con conferma email) e gli analytics quando autorizzati.
- Legittimo interesse (art. 6.1.f GDPR) — per misure aggregate anonime (conteggi viste spiagge, prevenzione abuso).
6. Conservazione dei dati
- Email subscribers: fino alla disiscrizione (link in ogni email) o richiesta di cancellazione.
- Eventi Stripe (idempotency): 12 mesi.
- Conteggi viste anonimi: 30 giorni (eliminati automaticamente).
- Magic link tokens: 15 minuti (eliminati dopo l'uso o lo scadere).
7. I tuoi diritti (GDPR)
Hai diritto a: accesso, rettifica, cancellazione, portabilità, opposizione, limitazione del trattamento. Per esercitarli scrivi a privacy@qualespiaggia.com — rispondiamo entro 30 giorni. Hai diritto a reclamare al Garante Privacy italiano (www.garanteprivacy.it).
Self-service cancellazione (diritto all'oblio): ogni email di QualeSpiaggia contiene un link "Cancella i miei dati" che porta a /api/v1/erase — anonimizza immediatamente l'account senza necessità di scriverci. Per richieste più complesse (portabilità dati, rettifica, opposizione), continua a scrivere a privacy@qualespiaggia.com.
Per cancellare il tuo abbonamento Pro, usa il Stripe Customer Portal raggiungibile dalle email di Stripe oppure scrivendoci a privacy@qualespiaggia.com.
8. Modifiche
Se cambiamo qualcosa di rilevante, te lo comunichiamo con un banner in home per 30 giorni e via email a chi è iscritto alla newsletter.