Informativa sulla privacy
Questa informativa descrive come KASA tratta i tuoi dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR). Trattiamo i dati solo per fornirti il servizio; non vendiamo i tuoi dati e non li usiamo per profilazione pubblicitaria.
1. Dati che raccogliamo
- Dati di registrazione: email, password (salvata solo come hash), nome visualizzato.
- Spese inserite manualmente o tramite OCR degli scontrini.
- Dati di frigo/inventario/lista spesa e gamification (punti, badge).
- Metadati estratti dagli scontrini: catena e zona del punto vendita.
- Dati tecnici minimi (indirizzo IP al momento del consenso, token di sessione).
2. Basi giuridiche (Art. 6)
- Esecuzione del contratto (Art. 6.1.b) — per erogare il servizio.
- Consenso (Art. 6.1.a) — per i trattamenti opzionali (dataset OCR, notifiche push, marketing).
- Obbligo legale (Art. 6.1.c) — per audit di sicurezza e adempimenti.
3. Conservazione
| Categoria | Conservazione |
|---|---|
| Account e dati d'uso | Finché l'account è attivo |
| Foto scontrini | Non conservate: elaborazione OCR effimera |
| Dati OCR estratti | Finché l'account è attivo + 30 giorni di grace |
| Log di sicurezza (audit) | Fino a 5 anni |
| Log transazionali | Fino a 10 anni |
4. OCR degli scontrini
L'elaborazione OCR degli scontrini avviene su infrastruttura self-hosted: le immagini non vengono inviate a cloud di terzi e non sono conservate dopo l'estrazione dei dati. Non raccogliamo indirizzo civico, GPS, CAP, tessere fedeltà né orario d'acquisto.
5. I tuoi diritti (Art. 15–22)
Puoi esercitare in ogni momento i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione:
- Accesso e portabilità: scarica tutti i tuoi dati dall'app (Profilo → Privacy → Esporta i miei dati), o via
GET /api/v1/gdpr/export. - Cancellazione: elimina l'account dall'app (Profilo → Privacy → Elimina account), con 30 giorni di grace period prima della cancellazione definitiva.
- Gestione consensi: revocabili in ogni momento dalle impostazioni.
Puoi accedere all'app per esercitare questi diritti.
6. Consensi opzionali
Sono separati e disattivati per default: contributo al dataset OCR (scontrini anonimizzati con tecnica k-anonymity), notifiche push, comunicazioni marketing.
7. Sicurezza
Password con Argon2id, dati sensibili cifrati AES-256-GCM, trasporto TLS, autenticazione a due fattori disponibile, isolamento multi-tenant a livello di database.
8. Contatti
Titolare del trattamento: KASA. Per esercitare i tuoi diritti o per domande: privacy@kasa.app — DPO: dpo@kasa.app.