Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è il soggetto responsabile del Servizio "Finalmente so cosa mi metto in faccia.", raggiungibile al seguente indirizzo email:

Email: privacy@finalmentesocosa.it

I dati completi del titolare (ragione sociale, sede legale, P.IVA) saranno integrati prima della pubblicazione definitiva.

2. Dati personali raccolti

Raccogliamo le seguenti categorie di dati personali:

2.1 Dati di account e profilo

• Nome e cognome
• Indirizzo email
• Password (memorizzata in forma crittografata tramite Supabase Auth)
• Dati del profilo Google (in caso di accesso tramite Google OAuth): nome, email, immagine profilo
• Avatar o foto profilo caricata dall'utente
• Piano di abbonamento scelto (Glow Starter, Radiant Routine, Flawless Future)

2.2 Dati relativi alla salute (categorie particolari)

• Tipo di pelle (secca, grassa, mista, sensibile, ecc.)
• Problematiche cutanee dichiarate (acne, macchie, rughe, ecc.)
• Valutazione dello stato della pelle (scala 1-5)
• Note personali sulla routine skincare

2.3 Dati funzionali dell'app

• Collezione prodotti: nome prodotto, brand, categoria, lista ingredienti INCI, prezzo, foto prodotto, flag preferito
• Analisi INCI: risultati dell'analisi degli ingredienti cosmetici (score di sicurezza, classificazione ingredienti safe/caution/avoid, indice di comedogenicità)
• Routine skincare: diario giornaliero AM/PM con prodotti usati, valutazione della pelle, note personali
• Compatibilità ingredienti: risultati dei controlli di compatibilità tra principi attivi
• Statistiche: dati aggregati su routine, trend della pelle e score INCI nel tempo

2.4 Dati tecnici

• Cookie di sessione e autenticazione (strettamente necessari al funzionamento)
• Indirizzo IP (nei log del server, per finalità di sicurezza)
• Tipo di browser e dispositivo (informazioni standard delle richieste HTTP)

3. Finalità del trattamento

I tuoi dati personali sono trattati per le seguenti finalità:

• Erogazione del Servizio: creazione e gestione del tuo account, personalizzazione della tua esperienza skincare, analisi degli ingredienti INCI, gestione della collezione prodotti, monitoraggio della routine e delle statistiche.
• Gestione degli abbonamenti: elaborazione dei pagamenti, attivazione e gestione dei piani a pagamento, emissione di fatture e ricevute.
• Comunicazioni di servizio: invio di notifiche relative al tuo account, aggiornamenti sulla piattaforma, modifiche ai termini o alla presente policy.
• Sicurezza: prevenzione di accessi non autorizzati, rilevamento di attività fraudolente, protezione dell'integrità del Servizio.
• Miglioramento del Servizio: analisi aggregate e anonimizzate per comprendere l'utilizzo della piattaforma e migliorarne le funzionalità.

Non utilizziamo i tuoi dati per profilazione commerciale, pubblicità mirata o cessione a terzi per finalità di marketing.

4. Base giuridica del trattamento

Il trattamento dei tuoi dati personali si fonda sulle seguenti basi giuridiche (art. 6 e art. 9 del Regolamento UE 2016/679 — GDPR):

• Esecuzione del contratto (art. 6, par. 1, lett. b): il trattamento dei dati di account, profilo e dei dati funzionali dell'app è necessario per fornirti il Servizio a cui ti sei registrato/a.
• Consenso esplicito (art. 9, par. 2, lett. a): il trattamento dei dati relativi alla salute (tipo di pelle, problematiche cutanee, valutazione dello stato della pelle) avviene esclusivamente previo tuo consenso esplicito, richiesto in fase di registrazione e in ogni momento revocabile.
• Legittimo interesse (art. 6, par. 1, lett. f): il trattamento dei dati tecnici per finalità di sicurezza e prevenzione di abusi, nonché l'analisi aggregata e anonimizzata per il miglioramento del Servizio.
• Obbligo legale (art. 6, par. 1, lett. c): la conservazione dei dati relativi alle transazioni economiche per adempiere agli obblighi fiscali e contabili.

5. Periodo di conservazione dei dati

Conserviamo i tuoi dati personali per il tempo strettamente necessario alle finalità per cui sono raccolti:

• Dati di account e profilo: per tutta la durata del tuo account. In caso di cancellazione dell'account, i dati vengono eliminati entro 30 giorni, salvo obblighi di legge.
• Dati relativi alla salute: per tutta la durata del tuo account o fino alla revoca del consenso. In caso di revoca, i dati vengono eliminati entro 30 giorni.
• Dati funzionali dell'app: per tutta la durata del tuo account. Puoi eliminare singoli dati (prodotti, routine) in qualsiasi momento dalle impostazioni.
• Dati di pagamento: i dati delle transazioni sono conservati per 10 anni in ottemperanza agli obblighi fiscali italiani. Stripe conserva i dati delle carte di credito secondo la propria policy.
• Log tecnici: conservati per un massimo di 90 giorni, poi eliminati automaticamente.

6. Condivisione dei dati con terze parti

Non vendiamo, affittiamo o cediamo i tuoi dati personali a terzi. I tuoi dati possono essere condivisi esclusivamente con i seguenti fornitori di servizi, che agiscono in qualità di responsabili del trattamento:

• Supabase (Supabase Inc.): servizio di autenticazione, database PostgreSQL e storage file. Utilizzato per memorizzare i dati del tuo account, i tuoi prodotti e le routine. Supabase aderisce a standard di sicurezza conformi al GDPR.
• Stripe (Stripe Inc.): servizio di elaborazione pagamenti. Gestisce in modo sicuro i dati della tua carta di credito e le transazioni. La nostra app non memorizza mai i dati completi della tua carta di credito — questi vengono gestiti interamente da Stripe, che è certificato PCI DSS Level 1.
• Google (Google LLC): se scegli di accedere tramite Google OAuth, Google condivide con noi il tuo nome, email e immagine profilo secondo le autorizzazioni che concedi.
• Vercel (Vercel Inc.): servizio di hosting della piattaforma. Non ha accesso diretto ai dati utente memorizzati nel database, ma gestisce il traffico di rete della piattaforma.

7. Trasferimenti di dati extra-UE

Alcuni dei nostri fornitori di servizi (Supabase, Stripe, Vercel, Google) hanno sede negli Stati Uniti. I trasferimenti di dati personali verso gli USA avvengono sulla base del EU-U.S. Data Privacy Framework (DPF), delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, o di altri meccanismi di trasferimento conformi al GDPR.

Ci impegniamo a verificare che tutti i fornitori terzi offrano garanzie adeguate per la protezione dei tuoi dati personali, conformemente al Capo V del GDPR.

8. I tuoi diritti

In qualità di interessato/a, ai sensi del GDPR hai i seguenti diritti:

• Diritto di accesso (art. 15): ottenere conferma che sia in corso un trattamento dei tuoi dati e accedere a una copia dei dati stessi.
• Diritto di rettifica (art. 16): ottenere la correzione dei tuoi dati personali inesatti o incompleti.
• Diritto alla cancellazione (art. 17): ottenere la cancellazione dei tuoi dati personali ("diritto all'oblio"), salvo obblighi legali di conservazione.
• Diritto alla limitazione (art. 18): ottenere la limitazione del trattamento in determinate circostanze.
• Diritto alla portabilità (art. 20): ricevere i tuoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Puoi esportare i tuoi dati direttamente dalle impostazioni del tuo account.
• Diritto di opposizione (art. 21): opporti al trattamento dei tuoi dati basato sul legittimo interesse.
• Diritto alla revoca del consenso (art. 7): revocare in qualsiasi momento il consenso prestato per il trattamento dei dati relativi alla salute, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Hai inoltre il diritto di proporre reclamo all'autorità di controllo competente. Per l'Italia, l'autorità è il Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Cookie

Il Servizio utilizza esclusivamente cookie tecnici e di sessione, strettamente necessari per il funzionamento dell'autenticazione e della piattaforma. Questi cookie non richiedono il tuo consenso preventivo ai sensi della normativa vigente.

Non utilizziamo cookie di profilazione, di marketing o di terze parti per finalità pubblicitarie.

I cookie di sessione vengono eliminati automaticamente alla chiusura del browser o alla scadenza della sessione di autenticazione.

10. Sicurezza dei dati

Adottiamo misure tecniche e organizzative appropriate per proteggere i tuoi dati personali da accessi non autorizzati, perdita, distruzione o alterazione. Tra queste:

• Crittografia delle password tramite algoritmi sicuri (gestita da Supabase Auth)
• Comunicazioni crittografate tramite protocollo HTTPS/TLS
• Accesso ai database limitato e protetto da autenticazione
• Dati di pagamento gestiti esclusivamente da Stripe (certificato PCI DSS Level 1)
• Backup regolari dei dati

Nessun sistema è sicuro al 100%. In caso di violazione dei dati (data breach), ti informeremo tempestivamente secondo quanto previsto dagli artt. 33 e 34 del GDPR.

11. Minori

Il Servizio è destinato a utenti di età pari o superiore a 18 anni. Non raccogliamo consapevolmente dati personali di minori di 18 anni. L'età viene dichiarata dall'utente in fase di registrazione.

Se veniamo a conoscenza di aver raccolto dati di un minore di 18 anni senza il consenso del genitore o tutore legale, provvederemo alla cancellazione tempestiva di tali dati. Se ritieni che abbiamo raccolto dati di un minore, contattaci all'indirizzo privacy@finalmentesocosa.it.

12. Modifiche alla presente policy

Ci riserviamo il diritto di aggiornare questa privacy policy in qualsiasi momento. In caso di modifiche sostanziali, ti informeremo tramite email o tramite un avviso ben visibile sulla piattaforma prima che le modifiche entrino in vigore.

La data di "ultimo aggiornamento" in cima a questa pagina indica quando la policy è stata modificata l'ultima volta. Ti invitiamo a consultare periodicamente questa pagina.

13. Contatti

Per qualsiasi domanda, dubbio o richiesta relativa alla presente privacy policy o al trattamento dei tuoi dati personali, puoi contattarci a:

Email: privacy@finalmentesocosa.it