Il Titolare del trattamento dei dati personali raccolti tramite l'applicazione Tap.me è:
L'applicazione raccoglie esclusivamente i dati necessari al funzionamento del servizio. Non vengono raccolti dati di profilazione commerciale, dati di localizzazione, dati di categorie particolari (art. 9 GDPR) né dati relativi a condanne penali.
| Dato | Descrizione | Obbligatorio |
|---|---|---|
| Numero di telefono | Utilizzato come identificativo univoco dell'account. Viene normalizzato (rimozione del prefisso internazionale) prima dell'archiviazione. | Sì |
| Password | Non viene mai archiviata in chiaro. Viene trasformata con algoritmo bcrypt (fattore di lavoro 12) prima della memorizzazione. | Sì |
| Nome o soprannome | Nome visualizzato nell'app e nelle notifiche push inviate ai contatti. | Sì (in fase di registrazione) |
| Soprannome univoco (nickname) | Identificativo aggiuntivo opzionale per distinguere utenti con lo stesso nome. | No |
| Dato | Descrizione | Durata conservazione |
|---|---|---|
| Messaggio personalizzato | Testo breve (max 200 caratteri) che l'utente sceglie di inviare ai propri contatti al momento del "tap". Modificabile in qualsiasi momento. | Fino alla cancellazione dell'account |
| Rubrica amici | Lista di contatti inseriti manualmente dall'utente (max 20), ciascuno composto da nome e numero di telefono. I numeri non vengono sincronizzati dalla rubrica del dispositivo. | Fino alla cancellazione dell'account o del singolo contatto |
| Cronologia saluti | Log degli invii e delle ricezioni di saluti: identificativo mittente, nome mittente/soprannome, identificativo destinatario, testo del messaggio, timestamp. Non contiene contenuti multimediali. | 90 giorni (eliminazione automatica tramite TTL MongoDB) |
| Token JWT di autenticazione | Token crittografato salvato localmente sul dispositivo dell'utente (localStorage del browser). Non archiviato lato server. Scadenza: 30 giorni. | 30 giorni (lato dispositivo utente) |
| Subscription push (endpoint + chiavi) | Oggetto tecnico fornito dal browser/OS dell'utente al momento dell'attivazione delle notifiche push. Contiene un URL endpoint univoco e chiavi crittografiche. Non consente l'identificazione diretta del dispositivo fisico. | Fino alla cancellazione dell'account o revoca delle notifiche. Rimossa automaticamente in caso di endpoint scaduto (codici HTTP 404/410/400). |
Gli indirizzi IP delle richieste al server sono visibili a livello infrastrutturale (Railway) per finalità di sicurezza e anti-abuso (rate limiting). L'applicazione non archivia gli indirizzi IP nel proprio database.
| Finalità | Dati coinvolti | Base giuridica (art. 6 GDPR) |
|---|---|---|
| Registrazione e autenticazione dell'utente | Telefono, password (hash), nome | Esecuzione del contratto — art. 6(1)(b) |
| Funzionamento del servizio (invio saluti) | Rubrica amici, messaggio personalizzato, cronologia | Esecuzione del contratto — art. 6(1)(b) |
| Invio notifiche push | Subscription push, nome/soprannome | Consenso esplicito dell'utente — art. 6(1)(a) |
| Sicurezza del servizio e prevenzione abusi | IP (lato infrastruttura), dati di sessione | Legittimo interesse — art. 6(1)(f) |
Il trattamento dei dati avviene con strumenti elettronici. Le principali misure di sicurezza adottate sono:
I seguenti soggetti terzi trattano dati per conto del Titolare in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR:
| Fornitore | Servizio | Dati trasmessi | Sede / Area geografica |
|---|---|---|---|
| Railway Inc. | Hosting server applicativo | Tutti i dati transitanti per il server (in memoria durante l'elaborazione) | USA (valutare trasferimento extra-UE ex art. 44 GDPR) |
| MongoDB Atlas (MongoDB Inc.) | Database cloud | Tutti i dati archiviati: utenti, contatti, cronologia, subscription push | Configurabile — verificare regione cluster (EU-WEST consigliata) |
| Web Push Services (Google/Mozilla/Apple) | Recapito notifiche push | Payload della notifica (cifrato end-to-end) + endpoint del dispositivo | Dipende dal browser/OS dell'utente finale |
| Google Fonts (Google LLC) | Font tipografici caricati da CDN Google | Indirizzo IP dell'utente trasmesso a Google al caricamento della pagina | USA — trasferimento regolato da SCC |
L'applicazione visualizza banner pubblicitari statici che rimandano a:
I banner sono immagini statiche caricate dal server dell'applicazione. Non viene effettuato alcun tracciamento pubblicitario, non vengono utilizzati cookie di profilazione, non vengono trasmessi dati dell'utente a reti pubblicitarie terze. Il click sul banner apre il sito esterno in una nuova finestra del browser: da quel momento si applicano le policy privacy del sito di destinazione.
| Categoria di dato | Periodo di conservazione | Modalità di cancellazione |
|---|---|---|
| Dati account (telefono, nome, password hash) | Fino alla cancellazione dell'account da parte dell'utente o su richiesta all'indirizzo associazione@annaemarco.it | Eliminazione manuale su richiesta (attualmente non c'è funzione self-service) |
| Messaggio personalizzato | Fino alla modifica o cancellazione dell'account | — |
| Rubrica amici | Fino alla rimozione del singolo contatto o cancellazione account | Self-service nell'app |
| Cronologia saluti | 90 giorni dalla creazione | Eliminazione automatica (TTL index MongoDB) |
| Subscription push | Fino alla revoca delle notifiche o cancellazione account. Pulizia automatica endpoint scaduti. | Automatica (endpoint scaduti) o su revoca consenso |
| Token JWT (lato dispositivo) | 30 giorni | Scadenza automatica + cancellazione al logout |
Come indicato nella sezione 5, alcuni responsabili del trattamento (Railway, MongoDB Atlas, Google) hanno sede negli Stati Uniti. Il trasferimento di dati verso tali paesi avviene nel rispetto delle garanzie previste dall'art. 46 GDPR, in particolare tramite le Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea.
In conformità agli artt. 15-22 del GDPR, ogni utente ha il diritto di:
Per esercitare i diritti sopra indicati: associazione@annaemarco.it. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta.
Le notifiche push sono una funzionalità opzionale dell'applicazione. Per riceverle:
La revoca del consenso alle notifiche avviene tramite le impostazioni del browser o del sistema operativo. La revoca non comporta la cancellazione dell'account.
L'applicazione non utilizza cookie di sessione, profilazione o tracciamento di alcun tipo.
Viene utilizzato esclusivamente il localStorage del browser per salvare localmente sul dispositivo dell'utente:
Questi dati rimangono sul dispositivo dell'utente e non vengono mai trasmessi a terzi. Vengono eliminati al logout o alla cancellazione della cache del browser.
L'applicazione non è destinata a soggetti di età inferiore a 14 anni. In conformità all'art. 8 del GDPR e all'art. 2-quinquies del D.Lgs. 196/2003 (Codice Privacy italiano), il consenso al trattamento dei dati personali per i servizi della società dell'informazione è valido a partire dai 14 anni di età.
Il Titolare non raccoglie consapevolmente dati di minori di 14 anni. Qualora venisse rilevata la registrazione di un minore, i dati saranno cancellati tempestivamente.
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate agli utenti tramite notifica in-app o e-mail. La versione aggiornata sarà sempre disponibile all'interno dell'applicazione.
L'utilizzo continuato dell'applicazione successivo alla pubblicazione delle modifiche costituisce accettazione della nuova versione dell'informativa.
Tap.me — Associazione Anna e Marco E.T.S.
Ultima modifica: Maggio 2026