Questa policy spiega in modo semplice quali dati personali Casy raccoglie, perché li usa e quali sono i tuoi diritti. È redatta ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 aggiornato dal D.Lgs. 101/2018.
1. Chi siamo (Titolare del Trattamento)
Titolare del trattamento dei dati è [DA COMPLETARE — nome titolare], con sede in [DA COMPLETARE — indirizzo], P.IVA [DA COMPLETARE].
Email dedicata privacy: info@casyapp.it
Nota: Casy in fase beta è gestita da persona fisica. L'apertura della società è prevista entro [DA COMPLETARE]. Questa policy verrà aggiornata di conseguenza.
2. Quali dati raccogliamo e perché
| Categoria dati | Finalità | Base giuridica | Conservazione |
|---|---|---|---|
| Dati di registrazione (email, nome) | Creazione account | Contratto (art. 6.1.b) | Durata dell'account |
| Indirizzo e dati immobile | Funzionamento servizio | Contratto (art. 6.1.b) | Durata dell'account |
| Documenti caricati (PDF, foto) | Archiviazione personale | Contratto (art. 6.1.b) | Durata dell'account |
| Dati fiscali e spese | Calcoli e promemoria personalizzati | Contratto (art. 6.1.b) | Durata dell'account |
| Dati bollette e consumi | Confronto tariffe e analisi | Contratto (art. 6.1.b) | 36 mesi dall'inserimento |
| Log di accesso e IP | Sicurezza e prevenzione frodi | Legittimo interesse (art. 6.1.f) | 12 mesi |
| Email marketing | Comunicazioni commerciali | Consenso (art. 6.1.a) | Fino a revoca consenso |
| Dati aggregati anonimi interventi | Miglioramento benchmark | Legittimo interesse (art. 6.1.f) | Indeterminato (anonimi) |
3. Con chi condividiamo i dati (Responsabili)
- Supabase Inc. (USA, dati su server EU Frankfurt) — database, autenticazione, storage. DPA firmato.
- Google LLC / Anthropic PBC (USA) — elaborazione AI per OCR bollette e assistente conversazionale (tramite Lovable AI Gateway). I dati inviati sono ridotti al minimo necessario.
- [Stripe Inc.] — gestione pagamenti (quando attivo).
- Provider email transazionali — invio notifiche (quando attivo).
Nota CLOUD Act
Alcuni dei nostri fornitori tecnologici (Supabase, Anthropic, Google) sono società con sede negli USA soggette al CLOUD Act americano. I dati sono conservati su server in Europa (Frankfurt), ma in teoria potrebbero essere soggetti a richieste da autorità USA. Abbiamo stipulato DPA con tutti i fornitori e adottato Clausole Contrattuali Standard (SCC, Decisione 2021/914/UE) come garanzia.
4. I tuoi diritti (artt. 15–21 GDPR)
- Accesso: ricevere copia dei tuoi dati → esporta in app oppure scrivici a info@casyapp.it
- Rettifica: correggere dati inesatti → modifica direttamente in app o via email
- Cancellazione (diritto all'oblio): eliminare account e dati → sezione Account → Privacy → Elimina account
- Portabilità: esportare i tuoi dati in formato leggibile (JSON) → sezione Account → Privacy → Esporta i tuoi dati
- Opposizione: opporti al trattamento per legittimo interesse → info@casyapp.it
- Revoca consenso: per dati trattati su base consenso (marketing) → Account → Privacy
- Reclamo: hai diritto di presentare reclamo al Garante Privacy italiano (www.garanteprivacy.it)
5. Sicurezza dei dati
- Crittografia in transito (HTTPS / TLS 1.3)
- Crittografia a riposo (AES-256 su Supabase Storage)
- Row Level Security su tutto il database
- Password hashata via Supabase Auth (bcrypt)
- Accesso ai dati limitato al solo utente proprietario
6. Trasferimenti internazionali
- Server database e storage: EU (Frankfurt)
- Elaborazione AI: USA, protetta da SCC
- Base legale trasferimento: Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914/UE)
7. Conservazione e cancellazione
- Account attivo: dati conservati per tutta la durata
- Account cancellato: eliminazione effettiva entro 30 giorni
- Backup tecnici: eliminazione entro 90 giorni dalla cancellazione
- Log di sicurezza: 12 mesi, poi eliminazione automatica
8. Minori
Casy non è destinata a minori di 18 anni. Non raccogliamo consapevolmente dati di minori. Se sei genitore e ritieni che tuo figlio abbia creato un account, scrivici subito a info@casyapp.it.
9. Modifiche alla policy
Comunicheremo modifiche significative via email e con banner in app. La versione aggiornata sarà sempre disponibile su questa pagina con data di aggiornamento.
10. Contatti
Email: info@casyapp.it
Risposta garantita entro 30 giorni (termine legale GDPR).