Informativa sulla privacy

Ultimo aggiornamento: 14 maggio 2026

La presente informativa descrive le modalità con cui Plinthos tratta i dati personali degli utenti dell'app mobile e del sito plinthos.app, ai sensi del Regolamento (UE) 2016/679 ("GDPR") e del D.lgs. 196/2003 ("Codice Privacy") come modificato dal D.lgs. 101/2018.

1. Titolare del trattamento

Il titolare del trattamento dei dati è Annunziato Cocciolo, con sede in Via Maiorana, 21, C.F. CCCNNZ93M09C710Y.

Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattare il titolare all'indirizzo email annunziatoco@gmail.com.

2. Tipologie di dati raccolti

Plinthos raccoglie le seguenti categorie di dati personali:

2.1 Dati di registrazione e profilo

• Indirizzo email (obbligatorio)
• Nome e cognome
• Numero di telefono (opzionale)
• Codice fiscale (solo per i Proprietari, opzionale)
• Foto profilo (opzionale)
• Ruolo (Proprietario o Inquilino) e paese di operatività

2.2 Dati di autenticazione

• Password (memorizzata in forma cifrata tramite bcrypt — il titolare non ne ha accesso)
• In caso di accesso tramite Google: identificativo Google e indirizzo email associato
• Token di sessione e di refresh

2.3 Dati relativi all'utilizzo dell'app (Proprietari)

• Dati degli appartamenti gestiti (nome, città, indirizzo, metratura)
• Dati delle stanze e dei posti letto
• Dati anagrafici degli inquilini inseriti dal Proprietario (nome, telefono, email, codice fiscale opzionale, date di contratto, canone, deposito)
• Storico pagamenti e ricevute caricate
• Dati bollette (importi, periodi, foto)
• Messaggi inviati nelle chat
• Documenti caricati e condivisi
• Scadenze inserite

2.4 Dati relativi all'utilizzo dell'app (Inquilini)

• Associazione alla stanza tramite codice invito
• Storico pagamenti dell'affitto e delle quote bollette di propria competenza
• Ricevute di pagamento caricate
• Messaggi inviati nelle chat

2.5 Dati di pagamento

Plinthos NON raccoglie né memorizza i dati delle carte di credito. Gli abbonamenti sono gestiti tramite l'App Store di Apple e il Google Play Store, tramite il servizio RevenueCat per la validazione delle transazioni. Plinthos riceve esclusivamente lo stato dell'abbonamento (attivo, scaduto, in prova).

2.6 Dati tecnici e di notifica

• Token per notifiche push (Expo Push Token / FCM)
• Identificativo del dispositivo (per anti-frode trial)
• Lingua dispositivo e preferenze di notifica
• Versione dell'app e del sistema operativo

2.7 Dati di diagnostica

Qualora abilitati, Plinthos utilizza strumenti di diagnostica errori (Sentry) e analytics di prodotto (PostHog) per migliorare il servizio. Tali dati sono trattati in forma aggregata o pseudonimizzata e non includono contenuti sensibili come messaggi o documenti.

3. Finalità e basi giuridiche del trattamento

I dati sono trattati per le seguenti finalità:

• Fornitura del servizio (esecuzione del contratto — art. 6.1.b GDPR): creazione e gestione dell'account, gestione di appartamenti, stanze, locazioni, pagamenti, bollette, messaggi.
• Adempimenti contabili e fiscali (obbligo di legge — art. 6.1.c GDPR): conservazione delle ricevute di pagamento e dei dati contrattuali nei termini previsti dalla normativa.
• Gestione abbonamenti (esecuzione del contratto — art. 6.1.b GDPR): tramite RevenueCat per la validazione di acquisti e rinnovi.
• Notifiche operative (esecuzione del contratto e legittimo interesse — art. 6.1.b e f GDPR): invio di notifiche push e email transazionali (es. nuovo pagamento, scadenza in arrivo).
• Comunicazioni di servizio (legittimo interesse — art. 6.1.f GDPR): comunicazioni relative all'utilizzo dell'app, scadenza del periodo di prova, problematiche di pagamento.
• Miglioramento del prodotto (legittimo interesse — art. 6.1.f GDPR): analisi anonima dell'utilizzo per migliorare funzionalità ed esperienza utente.
• Sicurezza e prevenzione frodi (legittimo interesse — art. 6.1.f GDPR): protezione da abusi del periodo di prova e da utilizzi malevoli del servizio.
• Adempimenti legali (obbligo di legge — art. 6.1.c GDPR): risposta a richieste di autorità competenti.

4. Modalità di trattamento

I dati sono trattati con strumenti elettronici e su server con accesso protetto. Le password sono memorizzate cifrate (bcrypt). Le comunicazioni client-server avvengono via TLS 1.3. L'accesso ai dati è regolato tramite Row Level Security (RLS) a livello di database: ogni utente accede esclusivamente ai propri dati.

5. Periodo di conservazione

• Account attivi: i dati sono conservati per tutta la durata del rapporto contrattuale.
• Cancellazione account: in caso di richiesta di cancellazione, i dati vengono cancellati immediatamente con flag soft-delete; dopo 30 giorni viene effettuata la cancellazione definitiva (hard-delete). Entro questo periodo è possibile richiedere l'esportazione dei dati in formato JSON.
• Ex inquilini: una volta terminato il contratto, i dati di accesso restano disponibili per 30 giorni in modalità sola lettura. Dopo 12 mesi dalla fine del rapporto, i dati personali identificativi (nome, telefono, email) vengono anonimizzati, mantenendo i soli dati contabili come previsto dagli obblighi fiscali.
• Dati contabili e fiscali: conservati per 10 anni come previsto dalla normativa italiana (art. 2220 c.c.).
• Dati di diagnostica: 90 giorni, in forma aggregata.
• Log di sicurezza: 180 giorni.

6. Destinatari dei dati e responsabili del trattamento

I dati sono trattati esclusivamente dal Titolare e dai seguenti fornitori, designati responsabili del trattamento ex art. 28 GDPR:

• Supabase Inc. (USA, server EU — Francoforte) — infrastruttura di backend, database, autenticazione, storage e realtime. supabase.com/privacy
• RevenueCat, Inc. (USA) — gestione e validazione abbonamenti. revenuecat.com/privacy
• Apple Inc. (USA / Irlanda) — App Store, autenticazione Apple Sign In, notifiche APNS. apple.com/legal/privacy
• Google LLC (USA / Irlanda) — Google Play Store, Google Sign In, Firebase Cloud Messaging (FCM) per le notifiche push. policies.google.com/privacy
• Expo Inc. (USA) — servizio di delivery delle notifiche push. expo.dev/privacy
• Resend (USA) — invio di email transazionali. resend.com/legal/privacy-policy
• PostHog Inc. (server EU) — analytics di prodotto, se abilitati. posthog.com/privacy
• Sentry / Functional Software Inc. (USA, opzione EU) — monitoraggio crash, se abilitato. sentry.io/privacy
• Cloudflare, Inc. (USA) — hosting del sito web plinthos.app, protezione DDoS e CDN. cloudflare.com/privacypolicy

7. Trasferimento dati extra-UE

Alcuni dei fornitori sopra elencati hanno sede negli Stati Uniti. I trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (SEE) avvengono nel rispetto di una delle seguenti garanzie previste dal GDPR:

• Decisione di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework per i fornitori certificati);
• Clausole Contrattuali Standard ("SCC") approvate dalla Commissione Europea;
• Misure tecniche supplementari di cifratura.

I dati strutturati (database principale, ricevute, documenti) sono memorizzati su server localizzati nell'Unione Europea (Supabase regione Francoforte).

8. Diritti dell'interessato

In qualunque momento l'utente può esercitare i diritti previsti dagli artt. 15-22 del GDPR:

• Diritto di accesso (art. 15): ottenere conferma dei dati trattati e una copia degli stessi;
• Diritto di rettifica (art. 16): correzione di dati inesatti o incompleti;
• Diritto alla cancellazione / "diritto all'oblio" (art. 17): cancellazione dei dati nei casi previsti;
• Diritto di limitazione (art. 18): limitazione del trattamento in casi specifici;
• Diritto alla portabilità (art. 20): ricezione dei dati in formato strutturato (JSON), leggibile da dispositivo automatico, e trasmissione ad altro titolare;
• Diritto di opposizione (art. 21): opposizione al trattamento basato su legittimo interesse;
• Diritto di revocare il consenso: ove il trattamento sia basato sul consenso, in qualsiasi momento, senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.

Modalità di esercizio dei diritti

Le funzioni di esportazione dati e di cancellazione account sono disponibili direttamente nell'app, nella sezione Impostazioni. È inoltre sempre possibile esercitare i propri diritti scrivendo al titolare all'indirizzo annunziatoco@gmail.com. Il titolare risponde entro 30 giorni dalla ricezione della richiesta.

9. Reclamo all'Autorità di controllo

L'utente ha sempre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it) ai sensi dell'art. 77 del GDPR, qualora ritenga che il trattamento dei propri dati personali avvenga in violazione del Regolamento.

10. Sicurezza dei dati

Plinthos adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o modifica:

• Cifratura in transito (TLS 1.3) e a riposo per i dati sensibili;
• Row Level Security (RLS) a livello di database per garantire isolamento dei dati tra utenti;
• Autenticazione tramite token con scadenza e refresh;
• Accesso ristretto ai sistemi di produzione tramite credenziali individuali e MFA;
• Logging delle operazioni sensibili (audit log);
• Monitoraggio degli eventi di sicurezza e alert su attività anomale.

11. Minori

Plinthos non è destinato a soggetti di età inferiore ai 16 anni e non raccoglie consapevolmente dati personali di minori. Qualora un genitore o tutore venga a conoscenza del fatto che un minore abbia fornito dati personali, è pregato di contattare il titolare per la cancellazione.

12. Modifiche all'informativa

Il titolare si riserva il diritto di modificare la presente informativa in qualunque momento, dandone notizia agli utenti tramite notifica nell'app o pubblicazione su plinthos.app/privacy. Le modifiche sostanziali saranno comunicate con preavviso ragionevole. La data dell'ultimo aggiornamento è indicata in testa al presente documento.

13. Contatti

Per qualunque informazione, richiesta o chiarimento relativo alla presente informativa è possibile scrivere a annunziatoco@gmail.com.