Informativa sul trattamento dei dati personali — GuideXpress
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.lgs. 30 giugno 2003 n. 196, come modificato dal D.lgs. 10 agosto 2018 n. 101 (“Codice Privacy”), agli utenti dell’applicazione mobile GuideXpress e dei servizi collegati. La lettura è raccomandata prima di registrare un account, attivare la geolocalizzazione o utilizzare le funzionalità dell’App.
In breve
- Chi siamo: RDITALY S.r.l., con sede ad Aosta. Per qualsiasi domanda: info@rditaly.com.
- Cosa raccogliamo: nome, email, password (cifrata) e, solo se lo decidi tu, data di nascita e genere. Se usi il login social (Apple, Google, Facebook), riceviamo solo nome ed email.
- Posizione GPS: solo se ci dai il permesso. Serve per le audio guide automatiche (anche in background) e per mostrarti i contenuti vicini. Non tracciamo i tuoi spostamenti.
- Nessuna pubblicità: non vendiamo i tuoi dati, non facciamo marketing, non usiamo SDK pubblicitari. Zero.
- Analytics anonimi: analizziamo l’uso dell’App con un identificativo casuale, mai collegato al tuo account. Puoi richiederne la disattivazione in qualsiasi momento.
- Notifiche push: puoi attivare o disattivare separatamente ogni tipo di notifica (timbri, feedback tour, comunicazioni) dalle impostazioni.
- I tuoi dati sono tuoi: puoi modificarli, esportarli o cancellare tutto il tuo account in un tap dalla sezione Account. La cancellazione è immediata e definitiva.
- Sicurezza: password cifrata con bcrypt, connessioni HTTPS, dati cifrati a riposo (AES-256), accesso al database limitato per utente (Row-Level Security).
- Conservazione: dati dell’account finché sei iscritto; analytics max 24 mesi; log tecnici max 12 mesi. Dopo, tutto cancellato.
- Età minima: 16 anni per registrarsi. Per i più piccoli, un genitore può attivare la modalità di ascolto per bambini dal proprio account.
Questo riepilogo è fornito per comodità e non sostituisce l’informativa completa che segue.
1. Titolare del trattamento
Il Titolare del trattamento è:
RDITALY S.r.l.
Sede legale: Via Lavoratori Vittime del Col du Mont, 21 e 24 — 11100 Aosta (AO), Italia
Email privacy: info@rditaly.com
Email generale: info@rditaly.com
Ogni riferimento a “noi”, “il Titolare”, “la Società” nella presente informativa deve intendersi a RDITALY S.r.l.
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare ha designato volontariamente un Responsabile della Protezione dei Dati (DPO) ai sensi dell’art. 37 GDPR:
Valerio Falcicchio
Email: info@rditaly.com
L’interessato può rivolgersi al DPO per qualsiasi questione attinente al trattamento dei propri dati personali e all’esercizio dei diritti previsti dal GDPR.
3. Ambito di applicazione
La presente informativa si applica:
- all’applicazione mobile GuideXpress (Apple App Store e Google Play Store);
- al sito web guidexpress.com e relativi sottodomini;
- al portale policy.guidexpress.com;
- ai servizi accessori (audio guide georeferenziate, gamification, notifiche push, esplorazione geolocalizzata).
Non si applica a siti o servizi di terzi collegati dall’App.
4. Categorie di dati personali trattati
4.1 Dati forniti volontariamente dall’utente
Registrazione email/password:
- nome e cognome;
- indirizzo email;
- password (cifrata con hash unidirezionale);
- facoltativi: data di nascita e genere.
Login social (Apple, Google, Facebook): identificativo provider, email, nome visualizzato.
Durante l’utilizzo: avatar, preferenze di sistema, preferiti, itinerari, feedback, ticket di assistenza.
4.2 Dati raccolti automaticamente
Geolocalizzazione: coordinate GPS in tempo reale e in background (solo con permesso dell’utente).
Dispositivo e utilizzo: UUID pseudonimo, modello dispositivo, OS, versione App, lingua, token FCM, interazioni con l’App, crash report.
Gamification: POI visitati, timbri ottenuti, transazioni wallet, completamento tour.
4.3 Dati ricevuti da terzi
In caso di login social, solo i dati indicati al par. 4.1 secondo le impostazioni del provider.
4.4 Categorie particolari di dati
Il Titolare non richiede e non tratta categorie particolari di dati (art. 9 GDPR).
4.5 Dati relativi a minori
L’App è destinata a utenti di 16 anni o più. La modalità di ascolto per bambini è attivabile esclusivamente in modo manuale dall’adulto titolare dell’account. In questo scenario non vengono raccolti dati del minore.
Qualora il Titolare venga a conoscenza di dati di minori di 16 anni senza autorizzazione genitoriale, procederà alla cancellazione immediata.
5. Finalità del trattamento e basi giuridiche
5.1 Erogazione del Servizio (art. 6.1.b GDPR)
Account, funzionalità App, audio guide, preferiti, gamification, assistenza tecnica.
5.2 Geolocalizzazione (consenso — art. 6.1.a GDPR)
Consenso raccolto a due livelli: permesso OS + informativa in-app.
| Finalità | Tipo | Dati raccolti |
|---|---|---|
| Contenuti di prossimità | Core | Coordinate GPS in memoria (non persistite) |
| Audio guide automatiche | Core | Coordinate GPS in memoria (non persistite) |
| Registrazione visite POI per timbri | Core | Evento di visita (non le coordinate) |
| Navigazione cartografica | Core | Coordinate trasmesse a Mapbox |
| Posizione durante eventi audio (analytics) | Miglioramento | Coordinate pseudonimizzate, max 24 mesi |
Revoca possibile in qualsiasi momento dalle impostazioni del dispositivo.
5.3 Notifiche push (consenso — art. 6.1.a GDPR)
Timbri, feedback tour, comunicazioni informative. Ogni categoria disattivabile indipendentemente.
5.4 Obblighi legali (art. 6.1.c GDPR)
Adempimenti fiscali, contabili e richieste delle Autorità.
5.5 Legittimo interesse (art. 6.1.f GDPR)
Sicurezza, diagnostica, analytics pseudonimizzati. Le coordinate GPS non sono mai trattate sulla base del legittimo interesse.
Opposizione possibile in qualsiasi momento scrivendo a info@rditaly.com.
5.6 Difesa in giudizio (art. 6.1.f GDPR)
Per la durata strettamente necessaria.
6. Modalità del trattamento e misure di sicurezza
- Cifratura: TLS 1.2+, AES-256 at-rest, bcrypt per password, iOS Keychain / Android Keystore per credenziali sul dispositivo.
- Controllo accessi: Row-Level Security, SECURITY DEFINER per funzioni critiche, max 5 tentativi login.
- Pseudonimizzazione: schema analytics separato, UUID non collegato all’account, nessuna tabella di corrispondenza.
- Continuità: backup cifrati (max 30 giorni), segregazione dev/produzione.
- Organizzazione: formazione personale, procedura data breach (72h), DPIA disponibile su richiesta.
7. Destinatari
| Categoria | Soggetti | Ruolo |
|---|---|---|
| Infrastruttura cloud | Supabase, Inc. | Responsabile (art. 28) |
| Notifiche push | Google LLC (FCM) | Responsabile |
| Mappe | Mapbox, Inc. | Responsabile |
| Login social | Apple, Google, Meta | Titolari autonomi |
| Ticketing | RDITALY (Perfex CRM) | Interno |
| Consulenti | Studi legali, commercialisti | Responsabili/titolari |
| Autorità | Autorità giudiziarie, fiscali | Titolari autonomi |
I dati non sono venduti né ceduti a terzi per finalità di marketing o profilazione.
8. Trasferimenti extra-SEE
| Fornitore | Dati | Garanzia |
|---|---|---|
| Google LLC | Token FCM, ID, email, nome | EU-U.S. DPF + SCC |
| Apple Inc. | ID Apple, email relay, nome | EU-U.S. DPF + SCC |
| Meta Platforms | ID Facebook, email, nome | EU-U.S. DPF + SCC |
| Supabase, Inc. | Account, preferenze, timbri, avatar | SCC + misure supplementari |
| Mapbox, Inc. | Coordinate GPS, IP | SCC + misure supplementari |
Copia delle garanzie disponibile su richiesta a info@rditaly.com.
9. Periodo di conservazione
| Categoria | Periodo |
|---|---|
| Dati account | Durata iscrizione (cancellazione immediata su richiesta) |
| Gamification | Fino a cancellazione account |
| Token push | Fino a disattivazione o cancellazione |
| Log tecnici / crash | Max 12 mesi |
| Analytics pseudonimizzati | Max 24 mesi |
| Ticket assistenza | 24 mesi dalla chiusura |
| Dati fiscali | 10 anni (art. 2220 c.c.) |
| Difesa in giudizio | Fino a definizione + prescrizione |
10. Diritti dell’interessato
- Accesso (art. 15) — conferma e copia dei dati
- Rettifica (art. 16) — correzione dati inesatti
- Cancellazione (art. 17) — diritto all’oblio
- Limitazione (art. 18) — limitazione del trattamento
- Portabilità (art. 20) — dati in formato JSON
- Opposizione (art. 21) — al legittimo interesse
- Decisioni automatizzate (art. 22) — il Titolare non ne effettua
- Revoca consenso (art. 7.3) — in qualsiasi momento
- Reclamo (art. 77) — al Garante Privacy
11. Modalità di esercizio dei diritti
- Dall’App: Account → Impostazioni (cancellazione immediata)
- Email: info@rditaly.com
- Posta: RDITALY S.r.l., Via Lavoratori Vittime del Col du Mont, 21 e 24 — 11100 Aosta (AO)
Riscontro entro 30 giorni (prorogabili di 2 mesi). Esercizio gratuito.
11.1 Cancellazione dell’account
Dall’App (Account → Cancella account): rimozione immediata di profilo, preferiti, timbri, wallet, visite, notifiche, token, avatar e dati locali. Dati residui: backup (max 30 gg), analytics pseudonimizzati (non collegabili), dati per obblighi di legge.
12. Cookie e tecnologie di tracciamento
L’App non utilizza cookie. Genera un UUID casuale locale per analytics aggregati, non collegato all’account né all’hardware. Conservato max 24 mesi. Rischio re-identificazione valutato nella DPIA.
13. Personalizzazione, trattamento automatizzato e marketing
| Trattamento | Dati | Base giuridica | Profilo? |
|---|---|---|---|
| Homepage per prossimità | GPS corrente | Consenso | No |
| Ascolto per età | Data nascita | Contratto | No |
| Ordinamento per città | Città scelta | Contratto | No |
| Timbri digitali | POI visitati | Contratto | No |
| Analytics | Schermate, eventi | Legittimo interesse | No |
Nessuna profilazione, nessuna segmentazione, nessun suggerimento personalizzato. Nessun SDK pubblicitario integrato.
14. Conferimento dei dati
Dati obbligatori necessari per l’account. Dati facoltativi (nascita, genere, avatar, GPS, notifiche): liberi, il rifiuto limita solo le relative funzionalità.
15. Modifiche all’informativa
Non sostanziali: pubblicate direttamente. Sostanziali: 30 giorni di preavviso + nuovo consenso se necessario. La prosecuzione d’uso non vale come consenso tacito.
16. Foro competente e legge applicabile
Legge italiana e GDPR. Foro del consumatore o Foro di Aosta.
