Informativa sul Trattamento dei Dati Personali
ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
Sintesi per l'utente
TaxiShare raccoglie esclusivamente i dati necessari a fornirti il servizio di condivisione taxi. Le comunicazioni in chat sono protette da crittografia end-to-end (E2EE): nemmeno TaxiShare può leggerne il contenuto. I tuoi dati di localizzazione vengono arrotondati geograficamente prima di essere condivisi con altri utenti. Puoi esportare i tuoi dati, modificarli o cancellarli in qualsiasi momento dall'app.
1. Titolare del Trattamento e Contatti
Il Titolare del trattamento dei dati personali è:
| Dato | Dettaglio |
|---|---|
| Denominazione | Francesco Fiorito |
| supporto@taxishare.it | |
| Sito web | https://taxishare.it |
| DPO | Francesco_fiorito@outlook.it |
Per qualsiasi richiesta relativa al trattamento dei tuoi dati o per l'esercizio dei diritti di cui alla sezione 9, scrivi a supporto@taxishare.it.
2. Tipologie di Dati Trattati
Utilizzando l'applicazione TaxiShare trattiamo le seguenti categorie di dati personali:
2.1 Dati di Registrazione e Identità
- Nome, username, indirizzo e-mail.
- Password — non viene mai salvata in chiaro né trasmessa al server dopo la registrazione.
- Identificativo univoco dell'account.
- Per accessi tramite Google o Apple Sign In: identificativo provider (Google ID / Apple ID) e indirizzo e-mail confermato dal provider; nessuna password viene memorizzata.
2.2 Dati di Localizzazione e Tragitto
- Coordinate geografiche di partenza e destinazione, inserite volontariamente dall'utente quando attiva la funzione "Condividi il mio tragitto" impostabile dalle Impostazioni.
- NOTA IMPORTANTE SULLA PRIVACY: prima di essere salvate nel database e rese visibili agli altri utenti, le coordinate vengono arrotondate a 2 decimali (precisione di circa 1,1 km), nascondendo l'indirizzo esatto. I dati di tragitto vengono eliminati permanentemente dal database automaticamente entro 24 ore dall'orario di arrivo indicato.
- Indirizzo di partenza e di arrivo in forma testuale (ottenuto tramite reverse geocoding — via/quartiere/città, senza numero civico).
- Data e ora di arrivo prevista.
2.3 Dati delle Comunicazioni
- Messaggi scambiati nelle chat: il contenuto è protetto da crittografia end-to-end (E2EE). Il server archivia esclusivamente il testo cifrato; non è mai in grado di decifrarne il contenuto.
- Chiave pubblica crittografica dell'utente, necessaria affinché gli altri partecipanti possano cifrare i messaggi destinati a te. La chiave privata risiede esclusivamente sul dispositivo dell'utente e non lascia mai il dispositivo.
- I messaggi vengono eliminati automaticamente dal server dopo 7 giorni.
2.4 Dati di Interazione e Valutazione
- Valutazioni (stelle 1–5) e commenti ricevuti da altri utenti a seguito di una corsa condivisa.
- Segnalazioni inviate o ricevute memorizzate internamente e mai esposte agli altri utenti.
- Elenco degli utenti bloccati.
2.5 Dati di Sessione e Dispositivo
- Identificativo univoco del dispositivo (UUID generato localmente, mai riconducibile ad IMEI o dati hardware).
- Chiave pubblica del dispositivo, utilizzata per autenticare le richieste HTTP. La corrispondente chiave privata risiede esclusivamente nel Keychain/Keystore nativo.
- Sessioni attive: dispositivo ID, indirizzo IP (mascherato negli log), data ultimo utilizzo. Massimo 2 sessioni parallele per utente.
- Token push per le notifiche associato al dispositivo.
2.6 Dati Tecnici e di Sicurezza
- Log di accesso e di sicurezza: indirizzo IP (mascherato dell'ultimo ottetto per conformità GDPR), percorso richiesta, codice di risposta HTTP, latenza. Conservati per un massimo di 30 giorni.
- Token Firebase App Check: un'attestazione crittografica che certifica l'autenticità dell'app installata, senza raccogliere dati personali sul dispositivo.
2.7 Dati per l'Esportazione GDPR
- Documento PDF generato su richiesta dell'utente (Art. 20 GDPR), contenente tutti i dati personali trattati. Il PDF è firmato digitalmente con RSA-2048 + SHA-256 per garantirne l'autenticità e l'integrità; la firma è verificabile anche dopo l'eliminazione dell'account tramite un codice di verifica univoco.
3. Finalità del Trattamento e Basi Giuridiche
I dati personali sono trattati per le seguenti finalità:
| Finalità | Base Giuridica (GDPR) |
|---|---|
| Creazione e gestione account | Esecuzione del contratto — art. 6(1)(b) |
| Fornitura del servizio (matching, chat, notifiche) | Esecuzione del contratto — art. 6(1)(b) |
| Localizzazione per ricerca compagni | Esecuzione del contratto e Consenso |
| Sicurezza, prevenzione frodi e abusi | Legittimo interesse — art. 6(1)(f) |
| Adempimenti legali, fiscali e contabili | Obbligo legale — art. 6(1)(c) |
| Esportazione dati personali (portabilità) | Diritto dell'interessato — art. 20 |
| Analisi statistiche aggregate anonimizzate | Legittimo interesse — art. 6(1)(f) |
| Comunicazioni transazionali (OTP, avvisi) | Esecuzione del contratto — art. 6(1)(b) |
| Marketing diretto e notifiche promozionali | Consenso esplicito — art. 6(1)(a) |
| Processi automatizzati (sospensione account) | Legittimo interesse — art. 6(1)(f) e art. 22 |
Non viene effettuata profilazione a fini pubblicitari né vengono venduti dati a terzi.
4. Misure di Sicurezza e Sistemi Crittografici
TaxiShare implementa una strategia di sicurezza Defence in Depth basata su molteplici livelli crittografici indipendenti, conformi agli standard internazionali (NIST, OWASP, RFC), in ottemperanza al principio di trasparenza (art. 5(1)(a)) e privacy by design (art. 25).
4.1 Misure Organizzative Complementari
- Accesso ai dati limitato al solo personale autorizzato secondo il principio di least privilege.
- Log di sicurezza con mascheramento automatico dell'ultimo ottetto degli indirizzi IP e dei dati sensibili (token, password, hash).
- Revoca automatica dei token tramite tokenVersion increment in caso di cambio password, logout globale, sospensione account o rilevazione di anomalie.
- Sessioni automaticamente pulite: le sessioni inattive da oltre 30 giorni vengono eliminate.
- Messaggi eliminati automaticamente dopo 7 giorni dal server. Dati di tragitto eliminati entro 24 ore.
5. Destinatari e Responsabili del Trattamento
I dati possono essere comunicati alle seguenti categorie di soggetti, operanti come Responsabili (art. 28 GDPR) o autonomi Titolari:
- Resend Invio e-mail transazionali. Sede: UE/SEE o con garanzie (SCC).
- Database in cloud: Database in cloud.
- Google Firebase (App Check): Attestazione autenticità dell'app. Nessun dato personale trasmesso.
- Google / Apple Sign In: Autenticazione OAuth. Dati ricevuti: ID provider ed e-mail verificata.
- Firebase Messaging: Servizio di notifiche push gestito per dispositivo.
- BetterStack: Aggregazione log di sicurezza in forma pseudonimizzata.
- Autorità pubbliche: Solo su richiesta legittima e nei limiti della legge.
I dati non vengono venduti, ceduti o condivisi con terzi per finalità di marketing o pubblicità.
6. Trasferimenti verso Paesi Terzi
Ove i fornitori operino fuori dallo Spazio Economico Europeo (SEE), i trasferimenti avvengono tramite Decisione di adeguatezza, Clausole Contrattuali Tipo (SCC) o garanzie adeguate (artt. 46–49 GDPR). Puoi richiedere informazioni scrivendo a supporto@taxishare.it.
7. Periodo di Conservazione
| Categoria Dati | Tempo di Conservazione |
|---|---|
| Dati account (nome, email) | Durata del rapporto contrattuale (+ max 10 anni obblighi legali). |
| Password | Fino all'eliminazione dell'account o cambio. |
| Messaggi chat | 7 giorni (eliminati tramite TTL index). |
| Dati di localizzazione | 24 ore dall'orario di arrivo. |
| Log tecnici e sicurezza | Massimo 30 giorni. |
| Token e Sessioni | Sessioni: 30 gg inattività. |
| Valutazioni e Segnalazioni | Durata account (poi anonimizzate). |
| Firme digitali PDF | Conservate in forma anonima per verifica autenticità. |
8. Geolocalizzazione e Privacy by Design
- Spatial blurring obbligatorio: Le coordinate vengono arrotondate a 2 decimali (~1,1 km precisione). L'indirizzo esatto non viene mai condiviso.
- Reverse geocoding offuscato: Il testo dell'indirizzo estratto omette il numero civico.
- Visibilità condizionale: Visibile solo con "Condividi il mio tragitto" attivo, disattivabile ovunque (icona occhio o impostazioni).
- TTL automatici: Posizioni eliminate entro 24 ore.
- Nessuna localizzazione in background: Non acquisiamo posizioni ad app chiusa o minimizzata. Solo "durante l'uso".
9. Diritti degli Interessati
Ai sensi degli artt. 15–22 del GDPR, hai il diritto di:
- Accesso (art. 15): Ottenere conferma e copia dei dati (funzione "Privacy e Dati" per PDF).
- Rettifica (art. 16): Correggere dati inesatti ("Modifica Profilo").
- Cancellazione (art. 17): Eliminare account e dati associati ("Elimina Account").
- Limitazione (art. 18): Limitare il trattamento in casi previsti (via email).
- Portabilità (art. 20): Ricevere i dati strutturati (Export PDF firmato).
- Opposizione (art. 21): Opporti al trattamento e marketing (Impostazioni o email).
- Revoca consenso: Revocabile nelle impostazioni senza pregiudizio.
- Intervento umano (art. 22): Ottenere revisione umana su decisioni automatizzate.
Per esercitare i diritti: supporto@taxishare.it. Rispondiamo entro 30 giorni.
10. Processi Decisionali Automatizzati
L'app usa automazioni per matching (nessun effetto giuridico), sospensioni temporanee per superamento soglia segnalazioni (revisionabile via email), rate limiting anti-abuso e revoca sessioni per anomalie JWT.
11. Minori
L'app è destinata a persone ≥ 18 anni. Non raccogliamo dati di minori consapevolmente. In caso di abuso, contatta il supporto.
12. Notifiche Push
Col tuo consenso, raccogliamo il token Expo associato al dispositivo per le funzionalità dell'app. È disattivabile dalle impostazioni del sistema operativo e si auto-elimina in caso di inattività/disinstallazione.
13. Scopi di Utilizzo
L’applicazione ha il solo scopo di condividere corse tramite mezzi ufficiali e conformi alla legge. Ogni altro utilizzo non è autorizzato né responsabilità del titolare.
14. Reclamo al Garante
Hai diritto di proporre reclamo al Garante Privacy o all'Autorità del tuo Stato.
15. Data Breach
In caso di violazioni a rischio elevato, ti notificheremo tempestivamente in-app/via email, informando il Garante entro 72 ore (artt. 33-34 GDPR).
16. Natura del conferimento
Il conferimento dei dati base è obbligatorio per usare l'app. Quello per marketing/profilazione è facoltativo e non compromette l'uso dell'app principale.
17. Registrazione dei Log e Monitoraggio
Al fine di garantire la sicurezza dei nostri utenti e della piattaforma, impieghiamo sistemi di monitoraggio attivi. In caso di attività anomale, sospette o non autorizzate, registriamo, analizziamo e conserviamo in modo sicuro i log di sistema, inclusi gli indirizzi IP, gli User ID, i timestamp e ogni altro dato tecnico utile all'identificazione del traffico e della sua origine, in conformità con i nostri legittimi interessi di difesa (Art. 6, par. 1, lett. f del GDPR).
18. Aggiornamenti
Informativa soggetta ad aggiornamenti. Modifiche sostanziali verranno notificate. La versione vigente è sempre disponibile in app o sul sito.
Titolare: Francesco Fiorito (TaxiShare) | Versione: 1.0 | Data: Aprile 2026
Contatto: supporto@taxishare.it | Sito: https://taxishare.it