Informativa sulla privacy
In vigore dal 22 aprile 2026
QuandoArriviamo ("noi", "l'app") è un'app per famiglie che trasforma i viaggi in auto in un'avventura per i bambini. Questa pagina descrive quali dati raccogliamo, perché, per quanto tempo li conserviamo, e come puoi esercitare i tuoi diritti ai sensi del Regolamento (UE) 2016/679 (GDPR).
1. Titolare del trattamento
Il titolare del trattamento è Marco Vergaini, attualmente operante come sviluppatore individuale durante la fase beta di QuandoArriviamo. Puoi contattare il titolare per qualsiasi richiesta relativa ai tuoi dati all'indirizzo [email protected].
2. Dati raccolti
L'app raccoglie soltanto i dati necessari al suo funzionamento:
| Categoria | Dati specifici |
|---|---|
| Account genitore | Email, password (hashata con BCrypt — non conserviamo la password in chiaro), nome visualizzato opzionale. |
| Dati del viaggio | Partenza e destinazione (testo inserito dal genitore), durata, veicolo, età del bambino (inserita dal genitore — il bambino non ha un account). |
| Attività in app | Progressi del viaggio, traguardi raggiunti, giochi selezionati, rating e nota opzionali a fine viaggio. |
| Audio microfono (opzionale) | Quando il riconoscimento vocale è attivo, l'audio delle risposte del bambino viene elaborato ma NON salvato sui nostri server. Il riconoscimento è disattivabile dal genitore in qualsiasi momento. |
| Log tecnici | Indirizzo IP, user-agent, timestamp e codice di risposta delle chiamate API, per diagnostica e rate-limiting. Non usati a fini di profilazione. |
| Acquisti in-app (Fase 3) | Token di validazione ricevuto da Apple o Google per verificare l'abbonamento o i crediti viaggio. Non raccogliamo direttamente i dati di pagamento — il pagamento avviene esclusivamente attraverso App Store o Google Play. |
3. Finalità del trattamento
Utilizziamo i dati raccolti esclusivamente per:
- Creare e gestire l'account genitore e autenticare gli accessi.
- Sincronizzare in tempo reale il viaggio tra dispositivo genitore e dispositivo bambino.
- Calcolare la durata stimata del viaggio tramite Google Maps Directions API.
- Generare contenuti di gioco personalizzati (storie AI, indovinelli) tramite Anthropic Claude.
- Prevenire abusi (rate-limiting sulle chiamate API) e rilevare problemi tecnici dai log.
- Migliorare il servizio sulla base dei feedback raccolti a fine viaggio.
4. Base giuridica
Base giuridica: esecuzione del contratto per la fornitura del servizio (art. 6(1)(b) GDPR) per gli aspetti essenziali dell'account e della sessione di viaggio; consenso dell'interessato (art. 6(1)(a) GDPR) per le funzionalità opzionali come il riconoscimento vocale; legittimo interesse (art. 6(1)(f) GDPR) per i log tecnici e la prevenzione degli abusi.
5. Fornitori terzi (data processors)
Per erogare il servizio ci avvaliamo dei seguenti fornitori, ciascuno nominato responsabile del trattamento ai sensi dell'art. 28 GDPR:
| Fornitore | Dati trasmessi | Scopo |
|---|---|---|
| Google Maps Platform | Testo di partenza e destinazione | Stima della durata del viaggio |
| Anthropic PBC (Claude) | Nome animale + luogo inseriti dal bambino, età del bambino | Generazione di storie AI personalizzate |
| OpenAI (Whisper) | Audio del microfono (solo se riconoscimento vocale attivo) | Trascrizione in tempo reale |
| Google Firebase Cloud Messaging | Token del dispositivo (Fase 2) | Invio di notifiche push |
| Cloudflare, Inc. | Indirizzo IP, user-agent | Tunnel di rete, protezione DDoS |
| Apple / Google Play (Fase 3) | Token di acquisto | Validazione abbonamento e crediti |
Alcuni di questi fornitori hanno sede al di fuori dell'UE (Stati Uniti). Il trasferimento avviene sulla base di clausole contrattuali standard approvate dalla Commissione Europea oppure di certificazioni DPF (EU-US Data Privacy Framework).
6. Periodo di conservazione
- Dati dell'account: conservati finché l'account è attivo; cancellati entro 30 giorni dalla richiesta di cancellazione.
- Sessioni di viaggio terminate: cancellate automaticamente entro 1 giorno dal termine del viaggio.
- Log tecnici: conservati al massimo per 90 giorni.
- Feedback di fine viaggio: conservati aggregati (senza legame diretto con l'account) per il miglioramento del servizio.
- Audio del microfono: NON conservato. Viene trascritto in tempo reale dal fornitore e scartato immediatamente.
7. Dati dei minori
Il dispositivo del bambino non ha un account. Non raccogliamo direttamente dati dal bambino. L'unica informazione relativa al minore che conserviamo è l'età (un numero intero) fornita dal genitore per selezionare giochi adatti alla fascia di età. L'app è progettata per la categoria "Famiglia" degli store (iOS Family, Google Play Families) ed è conforme alle relative linee guida per la protezione dei minori.
8. I tuoi diritti
Ai sensi del GDPR hai il diritto di:
- Accedere ai tuoi dati personali e ottenerne una copia (art. 15).
- Chiedere la rettifica di dati inesatti (art. 16).
- Chiedere la cancellazione dei tuoi dati (art. 17).
- Chiedere la limitazione del trattamento (art. 18).
- Ricevere i tuoi dati in formato strutturato e portabile (art. 20).
- Opporti al trattamento (art. 21).
- Revocare il consenso in qualsiasi momento (senza pregiudizio del trattamento precedente).
- Proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).
Per esercitare questi diritti scrivi a [email protected]. Rispondiamo entro 30 giorni.
9. Cookie e tecnologie simili
- L'app mobile non usa cookie. Per l'autenticazione utilizziamo token JWT salvati localmente sul dispositivo (via Hive).
- Il sito di presentazione (questa pagina) non usa cookie di analytics o marketing. Usiamo solo localStorage per ricordare la lingua selezionata.
- Il portale di amministrazione (non accessibile agli utenti finali) utilizza un cookie di sessione strettamente necessario per mantenere il login degli amministratori.
10. Sicurezza dei dati
Tutte le comunicazioni tra app e server avvengono tramite HTTPS (TLS). Le password sono protette con hash BCrypt. I token di sessione hanno una durata limitata (15 minuti per il token di accesso, con rinnovo automatico silenzioso). I servizi pubblici sono dietro un tunnel Cloudflare con protezione DDoS e limitazione della frequenza delle richieste.
11. Modifiche a questa informativa
Ci riserviamo il diritto di aggiornare questa informativa per riflettere evoluzioni del servizio o dei requisiti normativi. La data "In vigore dal" in alto indica sempre l'ultima versione. Per modifiche sostanziali, notificheremo gli utenti attraverso l'app o via email prima dell'entrata in vigore.
12. Contatti
Per domande su questa informativa o sul trattamento dei tuoi dati: [email protected].