Informativa Privacy

1. Identità e Dati di Contatto del Titolare

1.1 Titolare del Trattamento

2. Finalità e Base Giuridica del Trattamento

2.1 Finalità del Trattamento

I tuoi dati personali sono trattati per le seguenti finalità:

• a) EROGAZIONE SERVIZIO AGENDA PERSONALE (Base giuridica: Art. 6.1.b GDPR - Esecuzione contratto)
  • Registrazione e gestione account personale
  • Erogazione funzionalità dell'agenda digitale
  • Rimozione pubblicità per utenti Premium (senza acquisti in-app)
  • Registrazione personale turni e straordinari
  • Generazione report individuali personalizzati
  • Sincronizzazione dati personali su cloud Firebase (server UE)
• b) AUTENTICAZIONE BIOMETRICA (Base giuridica: Art. 9.2.a GDPR - Consenso esplicito)
  • Utilizzo impronte digitali/Face ID per accesso sicuro all'app
  • I dati biometrici sono processati ESCLUSIVAMENTE sul dispositivo locale
  • NESSUNA trasmissione di dati biometrici a server esterni
  • Finalità: sicurezza accesso e protezione dati personali
• c) COMUNICAZIONI DI SERVIZIO (Base giuridica: Art. 6.1.b GDPR - Esecuzione contratto)
  • Notifiche push tecniche e di sicurezza
  • Comunicazioni su aggiornamenti dell'agenda
  • Assistenza tecnica e supporto personalizzato
  • Promemoria turni e scadenze personalizzate
• d) PUBBLICITÀ E ANNUNCI - Versione Gratuita (Base giuridica: Art. 6.1.a GDPR - Consenso)
  • Visualizzazione di annunci pubblicitari (inclusi video e interstitial) tramite Google AdMob
  • Raccolta dati tecnici minimi del dispositivo per gestire la frequenza degli annunci
  • Pubblicità basata su categoria app, non su dati personali dell'utente
  • Nessun targeting comportamentale o profilazione personalizzata
  • Consenso revocabile dalle impostazioni app
• e) ANALYTICS E PERFORMANCE (Base giuridica: Art. 6.1.f GDPR - Interesse legittimo)
  • Monitoraggio performance applicazione tramite Firebase Analytics
  • Rilevamento errori e crash tramite Firebase Crashlytics
  • Raccolta dati tecnici e di utilizzo pseudonimizzati per ottimizzazione
  • Analisi funzionalità più utilizzate per miglioramenti
  • Report aggregati per sviluppo nuove feature
• f) GESTIONE ACQUISTI IN-APP (Base giuridica: Art. 6.1.b GDPR - Esecuzione contratto)
  • Elaborazione acquisti Premium tramite Google Play
  • Verifica stato abbonamenti e licenze
  • Gestione rimborsi e fatturazione secondo policy store
  • Prevenzione frodi negli acquisti digitali
• g) ADEMPIMENTI LEGALI (Base giuridica: Art. 6.1.c GDPR - Obbligo legale)
  • Conservazione dati per finalità fiscali (se applicabile)
  • Risposta a richieste autorità competenti
  • Adempimento obblighi contrattuali
• h) SICUREZZA AGENDA PERSONALE (Base giuridica: Art. 6.1.f GDPR - Interesse legittimo)
  • Monitoraggio accessi all'account personale
  • Prevenzione utilizzi non autorizzati dell'agenda
  • Rate limiting per proteggere da attacchi brute force
  • Backup crittografati per protezione perdita dati
  • Rilevamento attività sospette
• i) CONDIVISIONE E EXPORT DATI (Base giuridica: Art. 6.1.a GDPR - Consenso)
  • Generazione PDF e CSV su richiesta utente
  • Funzionalità condivisione tramite email/social
  • Export completo dati per portabilità
  • Backup locali su dispositivo utente
• j) INTEGRAZIONE GOOGLE CALENDAR (Base giuridica: Art. 6.1.b GDPR - Esecuzione del servizio richiesto dall'utente)
  • Collegamento volontario del tuo account Google tramite autorizzazione OAuth
  • Accesso ai dati strettamente necessari per creare, aggiornare, sincronizzare o eliminare eventi nel calendario dedicato "FaticApp Calendar"
  • Trattamento dell'indirizzo email dell'account Google collegato, del calendarId e dei token tecnici necessari a mantenere attiva la connessione
  • Conservazione cifrata del refresh token lato backend per mantenere la sincronizzazione fino a revoca o disconnessione da parte dell'utente
  • Nessun utilizzo dei dati Google per pubblicità, profilazione o addestramento di modelli AI/ML

2.2 Trattamenti che Richiedono Consenso Esplicito

• Pubblicità in-app e annunci (revocabile dalle impostazioni nella versione gratuita)
• Autenticazione biometrica (configurabile dall'utente)
• Analytics avanzate (opt-out disponibile)
• Collegamento volontario di Google Calendar e autorizzazione OAuth per la sincronizzazione

2.3 Natura dei Dati Trattati

I dati inseriti sono ESCLUSIVAMENTE tuoi dati personali lavorativi. NON trattiamo dati di colleghi, dipendenti o terzi.

3. Categorie di Dati Personali Trattati

3.1 Dati Forniti Direttamente

• Dati anagrafici: nome, cognome, email
• Credenziali: password crittografata, preferenze accesso
• Dati professionali: turni, straordinari, note personali, configurazioni
• Dati Premium: informazioni acquisti, preferenze abbonamento

3.2 Dati Raccolti Automaticamente

• Dati tecnici: indirizzo IP, tipo dispositivo, sistema operativo, browser
• Identificatori: Firebase User ID, Device ID univoco crittografato
• Log accessi: timestamp, durata sessioni, IP di accesso
• Dati utilizzo: funzionalità utilizzate, frequenza accesso, errori
• Identificatori pubblicitari: per gestione annunci AdMob - solo versione gratuita

3.3 Dati Biometrici (Categoria Speciale - Art. 9 GDPR)

• Template impronte digitali: processati SOLO localmente su dispositivo
• Dati Face ID: gestiti dal Secure Enclave del dispositivo
• IMPORTANTE: nessun dato biometrico è trasmesso o archiviato sui nostri server
• Base giuridica: consenso esplicito revocabile in qualsiasi momento

3.4 Dati Derivati

• Statistiche utilizzo personalizzate
• Report aggregati di performance
• Calcoli automatici straordinari e presenze
• Metriche utilizzo anonime per miglioramenti

3.5 Cookie e Identificatori

• Cookie tecnici necessari: autenticazione, preferenze utente
• Cookie analytics: Google Analytics, Firebase Performance
• Identificatori pubblicitari: per conteggio video (solo versione gratuita)
• Local Storage: cache dati per performance offline

3.6 Dati Google dell'Utente per Google Calendar

• Indirizzo email dell'account Google collegato
• Identificativo del calendario dedicato (calendarId) creato o collegato per la sincronizzazione
• Refresh token cifrato e token tecnici temporanei necessari a mantenere la connessione OAuth
• Dati degli eventi sincronizzati da o verso Google Calendar nei limiti necessari a gestire i turni

4. Destinatari e Categorie di Destinatari

4.1 Personale Autorizzato

• Solo il titolare Sophie Louise Wain-Williams
• Eventuali collaboratori tecnici autorizzati (previa nomina a Responsabile)

4.2 Fornitori di Servizi (Responsabili del Trattamento)

• Google Firebase (database, autenticazione, storage) - Server UE (europe-west1)
• Google Calendar API e Google OAuth - integrazione calendario e autenticazione dell'account Google
• Google Analytics (statistiche aggregate) - Conformi a Google Analytics 4 GDPR
• Google AdMob (video pubblicitari) - Solo versione gratuita
• Google Play Store (gestione acquisti Premium)
• Servizi push notification: Google FCM per notifiche

4.3 Dati Google dell'Utente (Google User Data)

• I dati Google Calendar sono trattati esclusivamente per fornire la sincronizzazione richiesta dall'utente
• Tali dati possono essere comunicati solo a Google, Firebase e Google Cloud quali fornitori tecnici necessari all'erogazione del servizio
• I dati Google dell'utente non sono venduti, né condivisi con terze parti per finalità pubblicitarie, marketing, profilazione o addestramento di modelli AI/ML
• L'accesso ai dati Google è limitato al titolare e ad eventuali collaboratori tecnici autorizzati nei limiti strettamente necessari per assistenza, sicurezza e continuità del servizio

4.4 Partner Pubblicitari (Solo Versione Gratuita)

• Google AdMob per video pubblicitari
• Nessun partner pubblicitario aggiuntivo
• Conformi alle policy Google AdMob
• Elenco completo disponibile su: policies.google.com/privacy/google-partners

4.5 Soggetti Terzi

• Autorità giudiziarie o forze dell'ordine (solo se richiesto per legge)
• Organismi di vigilanza (Garante Privacy)
• Consulenti legali e tecnici vincolati da accordi di riservatezza

4.6 Nessuna Vendita Dati

I tuoi dati personali NON sono mai venduti a terzi per scopi commerciali.

5. Localizzazione e Trasferimenti Internazionali

5.1 Localizzazione Dati Principali

• Database principale: Firebase Firestore - Regione UE (europe-west1)
• Storage file: Firebase Storage - Localizzazione UE
• Autenticazione: Firebase Auth - Server europei
• Backup: i backup sono salvati in locale sul dispositivo dell'Utente

5.2 Servizi con Possibili Trasferimenti Extra-UE

• Google Calendar e Google OAuth: alcuni metadati e token tecnici potrebbero essere trattati su infrastrutture Google anche fuori dallo SEE → Garanzia: clausole contrattuali standard e/o Data Privacy Framework ove applicabile
• Google Analytics: dati aggregati potrebbero essere processati negli USA → Garanzia: Google aderisce al Data Privacy Framework UE-USA
• AdMob: video pubblicitari con server in vari paesi → Garanzia: Clausole contrattuali standard UE approvate

5.3 Garanzie per Trasferimenti

• Decisioni di adeguatezza della Commissione Europea
• Clausole contrattuali standard approvate (SCC 2021)
• Binding Corporate Rules per gruppi multinazionali
• Certificazioni Privacy Shield per partner USA (dove applicabili)

5.4 I Tuoi Diritti sui Trasferimenti

• Puoi richiedere copia delle garanzie utilizzate
• Puoi opporti a specifici trasferimenti (con possibili limitazioni funzionalità)
• Puoi scegliere la versione Premium per eliminare AdMob

6. Periodo di Conservazione

6.1 Criteri di Conservazione

• Dati account attivo: per tutta la durata del servizio
• Dati account cancellato: 12 mesi per recupero accidentale
• Log di sicurezza: 24 mesi per finalità di sicurezza
• Dati fatturazione Premium: 10 anni per obblighi fiscali

6.2 Conservazione per Categorie

• Dati anagrafici: fino a cancellazione account + 12 mesi
• Turni e straordinari: fino a cancellazione + 12 mesi
• Dati integrazione Google Calendar (email account collegato, calendarId, stato sync): fino a disconnessione dell'integrazione o cancellazione account + 12 mesi
• Refresh token Google Calendar cifrato: fino a revoca, disconnessione o cancellazione account, salvo tempi tecnici necessari alla rimozione sicura
• Log accessi: 24 mesi per sicurezza
• Analytics anonimi: 26 mesi (standard Google Analytics)
• Crash reports: 90 giorni per risoluzione problemi

6.3 Cancellazione Automatica

• Procedura automatica di pulizia dati scaduti ogni 30 giorni
• Notifica 30 giorni prima della cancellazione definitiva
• Possibilità di recupero entro i termini previsti

6.4 Account Inattivi

• Account inattivi oltre 3 anni: notifica via email
• Cancellazione automatica dopo 4 anni di inattività
• Possibilità di riattivazione tramite login prima della cancellazione

7. Diritti dell'Interessato (Art. 15-22 GDPR)

7.1 Diritto di Accesso (Art. 15)

• Richiesta copia completa dei tuoi dati personali
• Informazioni sulle finalità e destinatari del trattamento
• Export dati in formato strutturato disponibile dall'app

7.2 Diritto di Rettifica (Art. 16)

• Correzione dati inesatti direttamente dall'app
• Richiesta di completamento dati mancanti
• Aggiornamento informazioni profilo in tempo reale

7.3 Diritto alla Cancellazione - "Diritto all'Oblio" (Art. 17)

• Cancellazione immediata account dalle impostazioni app
• Richiesta cancellazione completa inclusi backup
• Mantenimento solo per obblighi legali specifici

7.4 Diritto di Limitazione (Art. 18)

• Sospensione temporanea di specifici trattamenti
• Mantenimento dati senza elaborazione ulteriore
• Riattivazione su tua richiesta

7.5 Diritto alla Portabilità (Art. 20)

• Export dati in formato JSON strutturato
• Trasferimento diretto verso altro fornitore (se tecnicamente possibile)
• Download completo disponibile dalle impostazioni

7.6 Diritto di Opposizione (Art. 21)

• Opposizione al trattamento per marketing diretto
• Opt-out da analytics e video pubblicitari
• Opposizione a decisioni automatizzate

7.7 Diritto di Revoca Consenso

• Revoca consenso video pubblicitari dalle impostazioni
• Disattivazione biometrica dalle impostazioni sicurezza
• Opt-out analytics dalle preferenze privacy

7.8 Diritto di Non Essere Sottoposto a Decisioni Automatizzate (Art. 22)

• L'app NON prende decisioni automatizzate con effetti giuridici
• Tutti i calcoli sono per finalità informative personali
• Nessun processo decisionale automatico che ti riguarda

8. Modalità di Esercizio dei Diritti

8.1 Come Esercitare i Diritti

Puoi esercitare i tuoi diritti in diversi modi:

• Email al titolare: support@faticapp.it
• Dalle impostazioni dell'app (per alcuni diritti)
• Tramite modulo contatti nel sito web

8.2 Informazioni Richieste per Identificazione

Per verificare la tua identità potrebbero essere richiesti:

• Indirizzo email dell'account
• Conferma tramite codice inviato via email
• Copia documento identità (per richieste particolarmente sensibili)

8.3 Tempi di Risposta

• Richieste standard: entro 30 giorni dal ricevimento
• Richieste complesse: fino a 60 giorni (con comunicazione)
• Export dati: disponibile immediatamente dall'app
• Cancellazione account: immediata dall'app

8.4 Gratuità

• Tutte le richieste sono gratuite
• In caso di richieste manifestamente infondate: possibile contributo spese
• Prima richiesta sempre gratuita

8.5 Diritto di Reclamo

Hai diritto di presentare reclamo presso:

• Garante per la Protezione dei Dati Personali
• Sito web: www.gpdp.it
• Email: garante@gpdp.it
• Telefono: 06.69677.1

9. Misure di Sicurezza Tecniche e Organizzative

9.1 Misure Tecniche Implementate

• Crittografia AES-256 per dati sensibili a riposo
• TLS 1.3 per trasmissioni in transito
• Autenticazione a due fattori disponibile
• Rate limiting per prevenire attacchi brute force
• Backup crittografati automatici giornalieri
• Firewall applicativo e monitoraggio 24/7

9.2 Misure Organizzative

• Accesso ai dati limitato al titolare e collaboratori autorizzati
• Formazione privacy per tutto il personale autorizzato
• Procedure documentate per gestione incidenti
• Audit periodici delle misure di sicurezza
• Contratti di responsabilità con tutti i fornitori

9.3 Sicurezza Mobile

• Crittografia locale del database app
• Secure Storage per credenziali sensibili
• Protezione contro reverse engineering
• Verifica integrità app al primo avvio
• Auto-logout per inattività prolungata

9.4 Gestione Data Breach

• Rilevamento automatico di potenziali violazioni
• Notifica al Garante entro 72 ore (se richiesto)
• Comunicazione agli utenti interessati entro 72 ore
• Piano di ripristino e mitigazione attivo
• Registro delle violazioni mantenuto aggiornato

9.5 Backup e Disaster Recovery

• Backup automatici ogni 24 ore su server geograficamente distribuiti (UE)
• Retention backup: 90 giorni per ripristino dati
• Recovery Time Objective (RTO): 4 ore lavorative
• Recovery Point Objective (RPO): massimo 24 ore di dati
• Test di ripristino mensili documentati

10. Cookie e Tecnologie di Tracciamento

10.1 Tipologie di Cookie Utilizzati

a) Cookie Tecnici (Strettamente Necessari)

• Cookie di autenticazione: per mantenere sessioni utente
• Cookie di preferenze: configurazioni app e impostazioni
• Cookie di sicurezza: protezione CSRF e validazione sessioni
• Durata: sessione o massimo 12 mesi
• Base giuridica: interesse legittimo (funzionamento app)

b) Cookie Analytics (Prestazioni)

• Google Analytics 4: statistiche utilizzo anonime
• Firebase Performance: monitoraggio performance app
• Heatmap e comportamenti utente aggregati
• Durata: fino a 26 mesi
• Base giuridica: consenso (revocabile dalle impostazioni)

c) Cookie Pubblicitari (Solo Versione Gratuita)

• Google AdMob: conteggio visualizzazioni video
• Identificatori pubblicitari: solo per statistiche AdMob
• Nessun targeting o profilazione utente
• Durata: fino a 12 mesi
• Base giuridica: consenso esplicito

10.2 Gestione Cookie e Consenso

• Banner di consenso al primo accesso
• Opzioni granulari per tipologia di cookie
• Revoca consenso disponibile dalle impostazioni
• Istruzioni per disattivazione da browser/sistema operativo

10.3 Cookie di Terze Parti

Utilizziamo servizi di terze parti che potrebbero installare cookie:

• Google Analytics: analytics.google.com/analytics/web/
• Google AdMob: policies.google.com/technologies/ads
• Firebase: firebase.google.com/support/privacy/

10.4 Disattivazione Cookie

Puoi disattivare i cookie:

• Dalle impostazioni dell'app (Privacy → Gestione Cookie)
• Dalle impostazioni del browser
• Dai controlli per gli annunci: adssettings.google.com
• Opt-out Google Analytics: tools.google.com/dlpage/gaoptout

10.5 Tecnologie Simili

• Local Storage: per cache offline e preferenze
• Session Storage: dati temporanei di sessione
• IndexedDB: database locale per funzionalità offline
• Push Notifications: token device per notifiche

11. Minori

11.1 Età Minima per l'Utilizzo

• L'app è destinata esclusivamente a persone maggiorenni (18+ anni)
• Verifica età durante registrazione

11.2 Protezione Dati Minori

• NON raccogliamo consapevolmente dati di persone sotto i 18 anni
• Meccanismi di verifica età durante onboarding
• Segnalazione immediata se rilevato uso da minori

11.3 Procedura per Dati di Minori

Se dovessimo accorgerci di aver raccolto dati di minori:

• Cancellazione immediata dell'account e dati associati
• Notifica ai genitori/tutori se identificabili
• Revisione procedure per prevenire futuri casi
• Segnalazione al Garante se richiesto

11.4 Segnalazione da Parte dei Genitori

I genitori possono segnalare:

• Email: support@faticapp.it con oggetto "MINORE"
• Indicare: nome/email account, età effettiva del minore
• Cancellazione immediata garantita entro 24 ore

12. Modifiche alla Privacy Policy

12.1 Diritto di Modifica

Il Titolare può modificare la presente Privacy Policy per:

• Adeguamenti normativi (es. nuove leggi UE)
• Modifiche tecniche dei servizi
• Introduzione nuove funzionalità
• Miglioramenti delle tutele privacy

12.2 Comunicazione Modifiche

Le modifiche saranno comunicate tramite:

• Notifica push nell'app con 30 giorni anticipo
• Email all'indirizzo registrato
• Banner informativo al primo accesso post-modifica
• Pubblicazione sul sito web con evidenza delle variazioni

12.3 Tipologie di Modifiche

• Modifiche minori (correzioni, chiarimenti): efficaci immediatamente
• Modifiche sostanziali: 30 giorni per valutazione e opt-out
• Nuove finalità trattamento: richiesto nuovo consenso esplicito

12.4 Accettazione e Diritto di Recesso

• L'uso continuato dell'app dopo 30 giorni implica accettazione
• Diritto di recesso e cancellazione account entro 30 giorni
• Conservazione dati secondo termini precedenti fino a cancellazione
• Download dati disponibile durante periodo di transizione

12.5 Storico Versioni

• Archivio versioni precedenti disponibile su richiesta
• Versioning semantico: Major.Minor.Patch (es. 2.1.3)
• Log delle modifiche consultabile dal supporto

13. Contatti e Informazioni

Per informazioni su questa Privacy Policy, esercizio dei diritti o questioni privacy: