Privacy Policy
Ultimo aggiornamento: 18 maggio 2026
Questa Privacy Policy descrive come Spesetta ("noi", "l'app") raccoglie, utilizza e protegge i tuoi dati personali quando usi la nostra applicazione mobile e il sito spesetta.it. Spesetta è gestita da Nicola Ugrcic, sviluppatore indipendente con sede in Italia. Email di contatto per la privacy: privacy@spesetta.com.
La normativa di riferimento è il Regolamento (UE) 2016/679 (GDPR) e il D.Lgs. 196/2003 e successive modifiche (Codice Privacy italiano).
1. Titolare del trattamento
Nicola Ugrcic — sviluppatore di Spesetta. Per ogni questione legata ai tuoi dati personali puoi contattarci a privacy@spesetta.com.
2. Dati che raccogliamo
Dati che fornisci direttamente
- Apple ID e nome visualizzato (tramite Sign in with Apple). Apple ti consente di nascondere la tua email reale e usare un alias
@privaterelay.appleid.com: lo rispettiamo. - Profilo famiglia: numero di componenti, ruoli (adulto, bambino, anziano), preferenze alimentari (vegetariano, halal, intolleranze), animali domestici. Sono dati che tu inserisci nell'app.
- Contenuti che generi: menu della settimana, lista spesa, prodotti in dispensa, scontrini scansionati, ricette personalizzate.
- Foto degli scontrini: vengono processate per estrarre i prodotti, poi la foto è cancellata dai nostri server entro 24 ore. La trascrizione strutturata resta associata al tuo profilo.
Dati raccolti automaticamente
- Identificatori tecnici: un ID dispositivo anonimo (UUID generato sul tuo iPhone) per associare le tue sessioni. Non è l'IDFA. Non è collegato ad altre app.
- Dati di utilizzo aggregati: conteggio menu generati, numero di scontrini scansionati. Servono per il sistema punti contributo e per migliorare l'app. Non includono il contenuto di ciò che fai.
- Dati tecnici: versione iOS, modello iPhone, versione app. Servono per supporto e debug.
Dati che NON raccogliamo
- Niente IDFA, niente Apple Advertising Identifier. Spesetta non chiede di tracciarti.
- Niente posizione GPS.
- Niente rubrica contatti, calendario o foto (eccetto le foto scontrini che selezioni tu).
- Niente dati bancari o numeri di carta: i pagamenti degli abbonamenti passano esclusivamente da Apple StoreKit e non vediamo i tuoi dati di pagamento.
3. Come usiamo i tuoi dati
| Finalità | Base giuridica (GDPR) | Periodo di conservazione |
|---|---|---|
| Far funzionare l'app (autenticazione, generazione menu, sync famiglia) | Esecuzione del contratto (art. 6.1.b) | Finché mantieni l'account |
| Generare menu e liste personalizzate | Esecuzione del contratto | Le richieste non sono salvate permanentemente; i contenuti generati sì |
| Inviare notifiche scadenze e promemoria | Consenso (art. 6.1.a) — revocabile dalle impostazioni iOS | Finché mantieni l'app installata |
| Sicurezza e prevenzione abusi (rate limiting, anti-fraud) | Interesse legittimo (art. 6.1.f) | 30 giorni |
| Supporto clienti | Esecuzione del contratto | 2 anni dalla chiusura ticket |
| Adempimenti fiscali (ricevute IAP) | Obbligo legale (art. 6.1.c) | 10 anni come da normativa italiana |
4. Con chi condividiamo i dati
Spesetta condivide i dati solo con i seguenti fornitori, tutti necessari per il funzionamento del servizio:
| Fornitore | Cosa riceve | Dove | Garanzie |
|---|---|---|---|
| Apple Inc. | Sign in with Apple, iCloud sync, StoreKit pagamenti, App Store distribution | UE/USA | Apple Data Protection Addendum, SCC |
| OpenAI Ireland Ltd | Sub-processor utilizzato da Spesetta per elaborare le richieste di menu personalizzati. Non riceve dati personali identificabili: i contenuti delle richieste sono anonimizzati prima dell'invio. | UE/USA | OpenAI Data Processing Addendum, SCC, zero data retention sui dati API |
| Vercel Inc. | Hosting backend API | Frankfurt (UE) | Vercel DPA, region UE |
| Neon Inc. | Database PostgreSQL (contenuti app, dispensa, scontrini) | Frankfurt (UE) | Neon DPA, SCC |
Nessuno di questi fornitori usa i tuoi dati per profilazione pubblicitaria. Non condividiamo dati con broker, social network, motori di ricerca o piattaforme analytics.
5. Trasferimenti extra-UE
Alcuni fornitori (Apple, OpenAI) hanno infrastruttura sia in UE che negli Stati Uniti. I trasferimenti sono coperti da Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e da garanzie aggiuntive previste dai rispettivi DPA. Stiamo lavorando per portare tutto il dato in UE entro 2027.
6. I tuoi diritti
Ai sensi del GDPR hai diritto a:
- Accesso: chiedere copia dei tuoi dati.
- Rettifica: correggere dati inesatti.
- Cancellazione: chiedere la rimozione dei dati ("diritto all'oblio"). Cancellando l'account, eliminiamo tutto entro 30 giorni, salvo dati che dobbiamo conservare per obblighi legali (ricevute IAP).
- Portabilità: ricevere i tuoi dati in formato JSON.
- Opposizione: opporti a trattamenti basati su interesse legittimo.
- Limitazione: chiedere di sospendere il trattamento in determinate circostanze.
- Reclamo: rivolgerti al Garante per la Protezione dei Dati Personali italiano.
Per esercitare un diritto scrivici a privacy@spesetta.com dall'email associata al tuo account. Rispondiamo entro 30 giorni.
7. Sicurezza
- Tutte le comunicazioni tra app e server avvengono via HTTPS (TLS 1.3).
- Le password Apple non transitano mai dai nostri server — usiamo Sign in with Apple.
- Il JWT di sessione è firmato e scade dopo 30 giorni.
- Il database è cifrato a riposo (AES-256).
- I codici di invito famiglia sono hashati con SHA-256 + pepper prima di essere salvati.
- Rate limiting su tutti gli endpoint sensibili per prevenire brute force.
8. Bambini
Spesetta non è progettata per minori di 13 anni. Non raccogliamo consapevolmente dati di bambini sotto i 13 anni. Se sei un genitore e scopri che tuo figlio ha creato un account, scrivici a privacy@spesetta.com e cancelleremo i dati immediatamente.
9. Modifiche a questa policy
Se cambiamo questa policy, te lo notifichiamo via in-app banner almeno 30 giorni prima dell'entrata in vigore delle modifiche. La data in alto a questo documento è sempre l'ultimo aggiornamento.
10. Contatti
Titolare: Nicola Ugrcic
Email privacy: privacy@spesetta.com
Email supporto generale: support@spesetta.com
Autorità di controllo: Garante per la Protezione dei Dati Personali — Piazza Venezia 11, 00187 Roma