Privacy Policy di KashAI
1. Introduzione
Benvenuto in KashAI. La presente Privacy Policy descrive come raccogliamo, utilizziamo, conserviamo e proteggiamo i tuoi dati personali quando utilizzi la nostra applicazione mobile e servizi web.
KashAI è un'applicazione di gestione spese personali che utilizza l'intelligenza artificiale per aiutarti a tracciare e analizzare le tue finanze.
Alessio Botteghi
Via Gabriele D'Annunzio, Pioltello (MI), Italia
Email: kashai.app@gmail.com
2. Dati Personali Raccolti
2.1 Dati di Account
Quando crei un account KashAI tramite Google Sign-In o Apple Sign-In, raccogliamo:
- Email: fornita dal provider di autenticazione (Google o Apple) per comunicazioni
- Nome e foto profilo (opzionali): forniti dal provider per personalizzazione esperienza
- ID utente: identificatore univoco del provider per associare i tuoi dati
Nota: KashAI non conserva password. Google Sign-In viene utilizzato esclusivamente per l'autenticazione e non raccoglie dati aggiuntivi oltre quelli necessari per la creazione dell'account. Apple Sign-In consente all'utente di scegliere se condividere l'email reale o un indirizzo relay anonimo generato da Apple.
2.2 Dati Finanziari
Durante l'utilizzo dell'app, raccogliamo:
- Transazioni finanziarie: importi, descrizioni, date, categorie
- Budget: importi, periodi, categorie
- Ricorrenze: spese o entrate periodiche configurate dall'utente (es. affitto, bollette, stipendio)
- Scontrini: immagini fotografate (processate e non conservate permanentemente)
2.3 Accesso a Risorse del Dispositivo
KashAI può richiedere accesso alle seguenti risorse del dispositivo:
- Microfono: utilizzato per l'inserimento vocale delle spese. L'audio viene trascritto in testo tramite i servizi di riconoscimento vocale nativi del dispositivo (Apple Speech Recognition su iOS, Google Speech Services su Android). L'audio può essere inviato ai server Apple o Google per la trascrizione, secondo le rispettive privacy policy. KashAI non registra né conserva file audio.
- Fotocamera: utilizzata esclusivamente per la scansione di scontrini. Le foto vengono elaborate tramite AI (Google Gemini) per estrarre le voci di spesa e non vengono conservate dopo l'elaborazione.
L'accesso a microfono e fotocamera viene richiesto solo al primo utilizzo della relativa funzionalità e può essere revocato in qualsiasi momento dalle impostazioni del dispositivo.
2.4 Dati di Utilizzo
Raccogliamo automaticamente:
- Dati tecnici: tipo di dispositivo, sistema operativo, versione app
- Dati di navigazione: feature utilizzate, tempo di sessione
- Crash reports: informazioni tecniche in caso di malfunzionamenti
- Indirizzo IP: per sicurezza e prevenzione frodi
2.5 Dati Operativi
I servizi Firebase (Autenticazione, Firestore, Cloud Functions) raccolgono automaticamente dati operativi infrastrutturali per garantire il corretto funzionamento del servizio, come log delle richieste, metriche di performance e contatori di utilizzo. Questi dati sono gestiti da Google secondo la propria Privacy Policy e non vengono utilizzati da KashAI per profilare il comportamento degli utenti.
KashAI non utilizza sistemi di analytics comportamentali (es. Firebase Analytics SDK, Google Analytics) per tracciare le azioni degli utenti all'interno dell'app.
2.6 Dati Non Raccolti
NON raccogliamo:
- Numeri di carta di credito/debito
- Coordinate bancarie (IBAN)
- Password di servizi terzi
- Dati biometrici
- Geolocalizzazione precisa
3. Base Legale del Trattamento
Il trattamento dei tuoi dati personali si basa su:
3.1 Consenso (Art. 6(1)(a) GDPR)
- Invio comunicazioni marketing (opzionale)
- Utilizzo cookies non essenziali
3.2 Esecuzione del Contratto (Art. 6(1)(b) GDPR)
- Raccolta e utilizzo dati finanziari per fornire il servizio (funzione core dell'app)
- Gestione account utente
- Fornitura servizio KashAI
- Elaborazione pagamenti per abbonamenti premium
3.3 Obblighi Legali (Art. 6(1)(c) GDPR)
- Conservazione dati fiscali (ove richiesto)
- Risposta a richieste autorità competenti
3.4 Interessi Legittimi (Art. 6(1)(f) GDPR)
- Sicurezza e prevenzione frodi
- Monitoraggio tecnico del servizio (crash reports, log operativi)
4. Come Utilizziamo i Tuoi Dati
4.1 Finalità Principali
- Fornitura del servizio: gestire spese, budget, analytics
- Intelligenza Artificiale: analizzare testo e immagini per categorizzazione automatica
- Sincronizzazione: mantenere dati sincronizzati tra dispositivi
- Supporto clienti: rispondere a richieste di assistenza
4.2 Finalità Secondarie
- Miglioramenti: analizzare utilizzo per nuove funzionalità
- Comunicazioni: invio aggiornamenti importanti, newsletter (con consenso)
- Marketing: offerte personalizzate (con consenso)
4.3 Elaborazione con AI
Utilizziamo servizi di Intelligenza Artificiale (Google Gemini, tramite Cloud Functions) per:
- Analisi testo scritto per estrazione automatica di spese ed entrate
- Riconoscimento testo da scontrini fotografati (OCR)
- Categorizzazione automatica delle transazioni
- Analisi finanziaria personalizzata (risposte a domande sulle spese)
- Generazione di piani di risparmio per obiettivi
- Assistente AI per domande sull'utilizzo dell'app
- Generazione automatica di note per le categorie e suggerimento icone
I dati finanziari dell'utente transitano attraverso Firebase Cloud Functions (server in Europa, europe-west1) prima di essere inviati all'API Google Gemini per l'elaborazione.
5. Condivisione Dati con Terze Parti
5.1 Fornitori di Servizi (Data Processors)
Condividiamo i tuoi dati con i seguenti fornitori. Ogni servizio ha la propria Privacy Policy:
- Google Firebase - Autenticazione, database, hosting
- Sentry - Monitoraggio errori
- RevenueCat
- Google AI Services
Google LLC (Firebase)
- Servizi: Autenticazione, Database (Firestore), Hosting
- Dati condivisi: Email, dati app (criptati)
- Ruolo GDPR: Firebase agisce come Data Processor per conto di KashAI, secondo accordo di trattamento dati (DPA)
- Privacy Policy: policies.google.com/privacy
- Ubicazione server: Europa (europe-west1)
Google LLC (AI Services — Gemini)
- Servizi: Intelligenza Artificiale per analisi testo/immagini
- Dati condivisi: Testo spese, immagini scontrini (temporanei, senza identificatori diretti)
- Addestramento modelli: Google non utilizza i dati inviati tramite API Cloud per addestrare i propri modelli linguistici pubblici
- Conservazione: Non conserviamo immagini dopo elaborazione
Sentry (Functional Software, Inc.)
- Servizi: Monitoraggio errori e crash reporting
- Dati condivisi: Email utente, ID utente, informazioni tecniche sugli errori
- Dati NON condivisi: Importi, descrizioni spese, dati finanziari (filtrati automaticamente)
- Privacy Policy: sentry.io/privacy
- Ubicazione server: Europa (EU data center)
RevenueCat Inc.
- Servizi: Gestione abbonamenti in-app e subscription lifecycle
- Dati condivisi: ID utente anonimo, stato abbonamento, transazioni di acquisto, piattaforma (Android/iOS)
- Dati NON condivisi con RevenueCat: dati finanziari personali (spese, budget, ecc.)
- iOS: Gli acquisti su dispositivi iOS sono gestiti tramite Apple In-App Purchase. RevenueCat gestisce lo stato degli abbonamenti ma non processa direttamente i pagamenti su iOS
- Privacy Policy: revenuecat.com/privacy
- Garanzie: GDPR-compliant, Standard Contractual Clauses
Servizi di Riconoscimento Vocale (Apple/Google)
- Servizi: Trascrizione vocale (Speech-to-Text)
- Dati condivisi: Audio registrato dal microfono durante l'inserimento vocale
- Elaborazione: L'audio viene inviato ai server Apple (su iOS) o Google (su Android) per la trascrizione in testo
- Conservazione: Secondo le policy del rispettivo provider
- Privacy Policy: Apple | Google
5.2 Trasferimenti Extra-UE
Alcuni fornitori (Google) hanno server negli Stati Uniti. Garantiamo protezione tramite:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea
- Encryption in transit e at-rest
- Minimizzazione dati inviati fuori UE
5.3 NON Condividiamo Mai Dati Per
- Vendita a terze parti
- Pubblicità non autorizzata
- Profilazione senza consenso
5.4 Tracking Cross-App e Pubblicità
KashAI non effettua tracking degli utenti attraverso app o siti web di terze parti:
- Non utilizziamo identificatori per il tracking cross-app (incluso IDFA su iOS)
- Non condividiamo dati con reti pubblicitarie
- Non tracciamo il comportamento degli utenti al di fuori dell'app KashAI
- Non utilizziamo i dati raccolti per scopi pubblicitari verso terze parti
6. Sicurezza dei Dati
6.1 Misure Tecniche
- Crittografia in transito: Tutte le comunicazioni protette tramite HTTPS/TLS
- Crittografia a riposo: Dati salvati su Firebase sono criptati sui server Google (encryption at-rest)
- Firebase Security Rules: Accesso dati limitato esclusivamente al proprietario dell'account
- Autenticazione sicura: Login tramite Google Sign-In o Apple Sign-In, con protezioni native del provider (incluso supporto 2FA)
6.2 Misure Organizzative
- Accesso dati limitato a personale autorizzato
- Monitoraggio continuo per accessi sospetti
- Backup regolari e disaster recovery
- Security audit periodici
6.3 Data Breach
In caso di violazione dati:
- Notifica all'autorità competente entro 72 ore
- Notifica agli utenti interessati senza ritardo
- Mitigazione immediata della violazione
7. Periodo di Conservazione
| Tipo di Dato | Periodo di Conservazione | Motivo |
|---|---|---|
| Dati account e dati finanziari personali (spese, budget, ricorrenze) | Eliminazione immediata alla cancellazione dell'account | Diritto all'oblio — cancellazione eseguita istantaneamente dal sistema |
| Record di pagamento abbonamenti | Gestiti da Apple, Google e RevenueCat secondo le loro policy | KashAI non conserva direttamente fatture o ricevute di pagamento |
| Log di sistema | 12 mesi | Sicurezza e debugging |
| Crash reports | 90 giorni | Risoluzione problemi |
| Immagini scontrini | Immediatamente dopo elaborazione | Non necessarie post-OCR |
Eccezioni: Dati conservati più a lungo solo se richiesto da legge o per controversie legali.
8. I Tuoi Diritti (GDPR)
Hai diritto a:
8.1 Diritto di Accesso (Art. 15)
Ottenere copia di tutti i tuoi dati personali in nostro possesso.
Come esercitarlo: Ingranaggio (Altro) > Impostazioni > I Miei Dati > Esporta dati
8.2 Diritto di Rettifica (Art. 16)
Correggere dati inesatti o incompleti.
Come esercitarlo: Ingranaggio (Altro) > Impostazioni > I Miei Dati (per visualizzare) o contatta kashai.app@gmail.com
8.3 Diritto di Cancellazione (Art. 17)
Richiedere eliminazione dati ("diritto all'oblio").
Come esercitarlo: Ingranaggio (Altro) > Impostazioni > Elimina Account. Se hai già disinstallato l'app, consulta la guida alla cancellazione account.
La cancellazione elimina permanentemente e immediatamente tutti i dati personali associati all'account, inclusi spese, budget e ricorrenze. I record di pagamento degli abbonamenti sono gestiti da Apple, Google e RevenueCat secondo le loro rispettive policy di conservazione.
8.4 Diritto di Limitazione (Art. 18)
Limitare temporaneamente il trattamento dei dati.
Come esercitarlo: Contatta kashai.app@gmail.com
8.5 Diritto di Portabilità (Art. 20)
Ricevere dati in formato strutturato e trasferirli ad altro servizio.
Come esercitarlo: Ingranaggio (Altro) > Impostazioni > Esporta Dati (formato JSON o Excel XLSX)
8.6 Diritto di Opposizione (Art. 21)
Opporsi al trattamento per finalità di marketing o interessi legittimi.
Come esercitarlo: Ingranaggio (Altro) > Impostazioni > Gestione Consensi (deseleziona "Email Marketing")
8.7 Diritto di Revocare Consenso
Ritirare consenso precedentemente dato in qualsiasi momento.
Come esercitarlo: Ingranaggio (Altro) > Impostazioni > Gestione Consensi
8.8 Diritto di Reclamo
Presentare reclamo all'autorità di controllo.
Website: www.garanteprivacy.it
Email: garante@gpdp.it
9. Minori
KashAI non è destinato a minori di 18 anni senza il consenso di un genitore o tutore legale. L'utilizzo da parte di minori è consentito esclusivamente sotto la supervisione di un adulto responsabile.
Se veniamo a conoscenza di aver raccolto dati da minori senza il necessario consenso genitoriale:
- Cancelleremo immediatamente i dati
- Notificheremo il rappresentante legale
Genitori/tutori possono contattarci a: kashai.app@gmail.com
10. Cookie e Tecnologie Simili
10.1 Uso di Cookie (Web App)
La versione web di KashAI utilizza esclusivamente:
Cookie Essenziali (sempre attivi):
- Session cookie: Mantengono il login
- Preference cookie: Salvano impostazioni e consensi
NON utilizziamo:
- Cookie di analytics comportamentali (Google Analytics, Firebase Analytics)
- Cookie di profilazione
- Cookie pubblicitari di terze parti
10.2 App Mobile
L'app nativa non utilizza cookie tradizionali. Utilizza:
- Local storage: Dati app e preferenze salvati localmente sul dispositivo
10.3 Gestione Cookie
- Web: Banner consenso cookie al primo accesso
- App: Ingranaggio (Altro) > Impostazioni > Gestione Consensi
11. Modifiche alla Privacy Policy
Potremmo aggiornare questa Privacy Policy per:
- Riflettere modifiche legislative
- Introdurre nuove funzionalità
- Migliorare chiarezza
Notifiche di Modifiche
- Modifiche sostanziali: Notifica email + popup in-app + richiesta nuovo consenso
- Modifiche minori: Avviso in-app
Versione aggiornata sempre disponibile su: kashai.app/privacy
Ti invitiamo a rivedere periodicamente questa policy.
12. Contatti
Per domande, richieste o reclami sulla privacy:
Sito web: https://kashai.app
Tempo di risposta: Entro 30 giorni dalla richiesta (estendibile a 60 giorni per richieste complesse).
13. Legislazione Applicabile
Questa Privacy Policy è regolata da:
- GDPR (Regolamento UE 2016/679)
- D.Lgs. 196/2003 (Codice Privacy italiano, come modificato)
- ePrivacy Directive (Direttiva 2002/58/CE)
Per controversie con utenti consumatori, si applicano le norme del Codice del Consumo italiano (D.Lgs. 206/2005); il foro competente è quello di residenza o domicilio del consumatore.
14. Accettazione
Utilizzando KashAI, dichiari di:
- Aver letto e compreso questa Privacy Policy
- Accettare il trattamento dei tuoi dati come descritto
- Avere almeno 18 anni, oppure, se minorenne, utilizzare il servizio sotto la supervisione e con il consenso verificabile di un genitore o tutore legale
Data ultima revisione: 9 Marzo 2026
Versione: 2.2