Note legali

Titolare del trattamento dei tuoi dati personali è Roberto Galati, persona fisica con sede in Italia, che opera Essential City Info.

Email di contatto per qualsiasi richiesta in materia di privacy: support@essentialcityinfo.com.

Non siamo obbligati a nominare un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR; il contatto sopra indicato gestisce tutte le richieste entro i termini di legge.

Dati account (se decidi di registrarti): email, password (memorizzata solo come hash con sale dal nostro fornitore di autenticazione), nome visualizzato, nazionalità (facoltativa), lingua preferita.

Dati di utilizzo: pagine del Servizio che visiti, lingua, tipo di dispositivo, identificatori di sessione anonimi.

Dati tecnici: indirizzo IP (utilizzato dai provider di hosting esclusivamente per sicurezza e instradamento, non conservato da noi in forma identificabile), user-agent del browser, diagnostica di crash di base.

Dati di geolocalizzazione: posizione approssimativa o precisa, solo se concedi permesso esplicito al browser. La posizione è elaborata sul tuo dispositivo per calcolare distanze e NON viene memorizzata sui nostri server.

Preferiti e preferenze: identificatori dei punti di interesse marcati come preferiti, salvati localmente sul tuo dispositivo (localStorage) e, se sei loggato, opzionalmente sincronizzati al tuo account.

Feedback: testo facoltativo che invii volontariamente (es. "segnala dato errato").

NON raccogliamo consapevolmente categorie particolari di dati (art. 9 GDPR) come salute, religione, opinioni politiche, dati biometrici, ecc.

Erogazione del Servizio (mostrare punti di interesse vicini, ZTL, trasporti, avvisi) — base giuridica: esecuzione di un contratto (art. 6(1)(b) GDPR) e nostro legittimo interesse a far funzionare il Servizio (art. 6(1)(f)).

Autenticazione e gestione account — base giuridica: esecuzione di un contratto (art. 6(1)(b)).

Funzioni di geolocalizzazione — base giuridica: tuo consenso esplicito (art. 6(1)(a)), revocabile in qualsiasi momento dalle impostazioni del browser/dispositivo.

Sicurezza, prevenzione frodi, mitigazione abusi — base giuridica: legittimo interesse (art. 6(1)(f)).

Analytics e miglioramento prodotto (se e quando attivati) — base giuridica: tuo consenso (art. 6(1)(a)) raccolto tramite banner cookie.

Adempimento di obblighi di legge (es. risposta a richieste legittime delle autorità competenti) — base giuridica: obbligo di legge (art. 6(1)(c)).

Gestione feedback o richieste di assistenza — base giuridica: legittimo interesse (art. 6(1)(f)).

Ci avvaliamo dei seguenti responsabili (sub-responsabili) che agiscono su nostre istruzioni documentate ai sensi dell'art. 28 GDPR:

Supabase (database, autenticazione, storage file) — operato da Supabase Inc., infrastruttura in regioni UE ove disponibile. Accordo sul trattamento dei dati e Clausole Contrattuali Standard (SCC) in essere per qualsiasi componente extra-SEE.

Cloudflare (CDN, hosting edge, protezione DDoS) — operato da Cloudflare Inc., USA. SCC in essere.

Lovable (piattaforma di sviluppo e deployment) — operata da Lovable AB, Svezia (UE).

Paddle (Merchant of Record, elaborazione pagamenti, fatturazione, adempimenti fiscali, emissione di ricevute, prevenzione frodi, rimborsi e assistenza clienti per gli ordini a pagamento) — operato da Paddle.com Market Limited, Regno Unito, e sue affiliate. Quando acquisti Premium, vengono condivisi con Paddle i seguenti dati personali: nome, indirizzo email, indirizzo di fatturazione, indirizzo IP, paese, dettagli del metodo di pagamento e informazioni sulla transazione. Paddle agisce come titolare autonomo del trattamento per i dati di pagamento. Vedi Privacy Policy di Paddle su https://www.paddle.com/legal/privacy e Buyer Terms su https://www.paddle.com/legal/checkout-buyer-terms.

Fonti pubbliche/open-data che VISUALIZZIAMO (non trasmettiamo loro tuoi dati personali): Roma Capitale, ATAC, Roma Mobilità, OpenStreetMap, Salutelazio, Protezione Civile, MIT, ARPA Lazio, Aviazione Civile. Sono fonti da cui leggiamo, non destinazioni a cui inviamo.

NON vendiamo, affittiamo o cediamo i tuoi dati personali ad inserzionisti, data broker o terzi a fini di lucro o non lucrativi.

I tuoi dati sono principalmente conservati su infrastruttura ubicata nell'Unione Europea. Qualora un responsabile operi server al di fuori del SEE, i trasferimenti sono protetti dalle garanzie appropriate previste dal Capo V GDPR, ovvero decisioni di adeguatezza della Commissione Europea, Clausole Contrattuali Standard (SCC) e misure supplementari (cifratura in transito e a riposo).

Per gli utenti del Regno Unito si applicano garanzie equivalenti tramite UK International Data Transfer Agreement (IDTA) o UK Addendum alle SCC.

Dati account: conservati finché l'account è attivo e fino a 30 giorni dopo richiesta di cancellazione, salvo obblighi di conservazione più lunghi previsti dalla legge (es. contabili o per difesa di un'azione legale).

Geolocalizzazione: NON conservata — elaborata in tempo reale e scartata.

Preferiti: finché non li elimini tu o cancelli l'account.

Log server: fino a 30 giorni per sicurezza e debugging, poi cancellati o anonimizzati automaticamente.

Backup: backup cifrati possono persistere fino a 30 giorni aggiuntivi prima della rotazione.

Feedback/corrispondenza di assistenza: fino a 24 mesi dall'ultima interazione.

Diritto di accesso (art. 15) — ottenere copia dei tuoi dati.

Diritto di rettifica (art. 16) — correggere dati inesatti.

Diritto alla cancellazione / "diritto all'oblio" (art. 17) — chiedere la cancellazione.

Diritto di limitazione (art. 18) — limitare l'uso dei tuoi dati.

Diritto alla portabilità (art. 20) — ricevere i tuoi dati in formato strutturato e leggibile da macchina.

Diritto di opposizione (art. 21) — opporti al trattamento basato su legittimo interesse.

Diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

Diritto di non essere sottoposto a decisioni automatizzate (art. 22) — NON effettuiamo decisioni automatizzate con effetti giuridici o significativi su di te.

Diritto di proporre reclamo a un'autorità di controllo. Per l'Italia: Garante per la Protezione dei Dati Personali — www.garanteprivacy.it. Per altri Paesi UE: la tua DPA nazionale. Per il Regno Unito: Information Commissioner's Office (ICO) — ico.org.uk.

Per esercitare i diritti, scrivi a support@essentialcityinfo.com. Risponderemo entro 30 giorni (prorogabili di 60 per richieste complesse, con preavviso). Possiamo richiedere prova dell'identità per evitare richieste fraudolente.

Se sei residente in California hai diritto di: (a) sapere quali informazioni personali raccogliamo, usiamo, divulghiamo; (b) cancellare informazioni personali; (c) correggere informazioni inesatte; (d) opporti alla "vendita" o "condivisione" delle tue informazioni personali; (e) limitare l'uso di informazioni personali sensibili; (f) non subire discriminazioni per l'esercizio dei diritti.

NON vendiamo né condividiamo informazioni personali per pubblicità comportamentale cross-context come definita dal CPRA.

Per esercitare diritti CCPA/CPRA scrivi a support@essentialcityinfo.com con oggetto "California Privacy Request". Verificheremo l'identità prima di procedere.

Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui: cifratura in transito (TLS 1.2+), cifratura a riposo del database, controllo accessi basato su ruoli, policy Row-Level Security su ogni tabella, password con hash (bcrypt/argon2), revisioni di sicurezza periodiche, principio del minimo privilegio e security header (HSTS, X-Frame-Options, CSP ove applicabile).

Nessun sistema può garantire sicurezza assoluta. In caso di violazione di dati personali che comporti un rischio per i tuoi diritti e libertà, notificheremo all'autorità di controllo competente entro 72 ore e, qualora il rischio sia elevato, anche agli utenti interessati senza ingiustificato ritardo (artt. 33-34 GDPR).

Il Servizio non è destinato e non deve essere utilizzato da minori al di sotto dei 16 anni nell'UE/SEE, 13 negli USA/UK, o età minima equivalente nella tua giurisdizione. Non raccogliamo consapevolmente dati personali da minori. Se ritieni che un minore ci abbia fornito dati personali, contatta support@essentialcityinfo.com e provvederemo prontamente alla cancellazione.

Utilizziamo un set minimo di localStorage/cookie strettamente necessari (es. lingua, token di sessione, preferiti). In futuro potremmo introdurre analytics first-party; in tal caso verrà mostrato un banner di consenso e il trattamento sarà sospeso fino alla tua accettazione. Vedi la Cookie Policy separata per i dettagli.

Il Servizio contiene link a siti e servizi di terzi (es. Google Maps, Roma Mobilità, ATAC, siti delle ambasciate). Non siamo responsabili per contenuti, prassi privacy o termini di tali terzi. Consulta le rispettive informative prima di interagire.

Possiamo aggiornare questa Informativa per riflettere modifiche normative, tecnologiche o delle nostre prassi. La data "Ultimo aggiornamento" in cima rifletterà la revisione più recente. Per modifiche sostanziali forniremo avviso in-app, via email (se hai un account) o tramite avviso evidente sul sito. L'uso continuato dopo tale avviso costituisce accettazione.

Domande, reclami, richieste: support@essentialcityinfo.com.

Indirizzo postale disponibile su richiesta scritta all'email sopra.