Ultimo aggiornamento: 27 maggio 2026 · Versione 1.1
In sintesi: Drive Safe usa la tua posizione GPS per la navigazione, il calcolo pedaggi e i gruppi di viaggio. I dati restano sul tuo dispositivo o (se accedi) su un server europeo (Supabase, Frankfurt). Non vendiamo dati a terzi, niente advertising, niente fingerprinting. Puoi cancellare il tuo account in qualsiasi momento dall'app.
1. Titolare del trattamento
Il titolare del trattamento dati è Alessandro Battaglia (operante come DigitaLabs), residente in Italia. Contatti per richieste privacy / GDPR:
Posta: Italia (indirizzo fornito su richiesta a fini legali)
2. Quali dati raccogliamo
Categoria
Esempio
Quando
Posizione GPS
Lat/lng, accuratezza, direzione, velocità
Solo a navigazione attiva + permesso concesso
Account
Email, nickname, hash password (o token Apple OAuth)
Solo se ti registri
Garage
Marca, modello, anno, alimentazione, classe Euro, stage ECU, altezza, peso
Quando configuri il veicolo
Preferenze percorso
Evita pedaggi/ZTL/autovelox, soglie dossi/buche
Quando le imposti
Shortcuts (Casa/Lavoro)
Coordinate + etichetta
Solo se le salvi
Segnalazioni community
Buche, dossi, autovelox, tutor, posti di blocco
Quando inserisci una segnalazione
Gruppi di viaggio (convoy)
Posizione live + nickname condivisi con i membri del gruppo
Solo durante una sessione di gruppo attiva
Tier abbonamento
Stock / Stage 1 / 2 / 3, scadenza
Solo se attivi un piano
Codici promo riscattati
Codice usato + premio applicato
Solo se riscatti un codice
Token push notification
APNs (iOS) / FCM (Android), platform
Solo se autorizzi le notifiche push
Crash/log diagnostici
Stack trace, versione app, modello device (senza email/token)
Su crash o errore non-recuperabile
Cosa NON raccogliamo MAI: targa, VIN, dati biometrici, contatti rubrica, foto, contenuto SMS/email, app installate, advertising ID, cronologia browser.
3. Perché li raccogliamo (basi legali)
Posizione GPS, garage, percorsi: esecuzione del servizio richiesto (GDPR Art. 6.1.b).
Account & shortcuts: consenso esplicito al momento della registrazione (GDPR Art. 6.1.a).
Segnalazioni community: legittimo interesse pubblico (GDPR Art. 6.1.f) — i dati sono anonimi.
Gruppi di viaggio (convoy): consenso esplicito al momento di creare/entrare in un gruppo. Sai sempre quando la tua posizione è condivisa (banner "Sei in convoglio" visibile in app).
Crash log: legittimo interesse a migliorare la stabilità. Context filtrato (token/email/secret rimossi automaticamente).
Push notification: consenso al momento di concedere il permesso iOS/Android.
4. Come usiamo i dati
Calcolare il percorso, mostrare la mappa, suggerire pedaggi/ZTL/autovelox
Sincronizzare garage e preferenze tra i tuoi dispositivi
Mostrare le segnalazioni community vicine (anonime)
Condividere la tua posizione live SOLO con i membri del gruppo durante una sessione convoy attiva
Inviare notifiche push relative al gruppo (membro entrato, leader cambiato, ecc.)
Diagnosticare bug e crash dell'app
Erogare i contenuti del tier abbonamento
Cosa NON facciamo: vendere dati a terzi, profilazione pubblicitaria, tracking cross-app, condivisione con broker dati, retargeting, customer segmentation per advertising.
5. Dove sono memorizzati i dati
Sul tuo dispositivo: posizione corrente, garage, preferenze, shortcuts cached, crash buffer (localStorage + Capacitor Preferences + Filesystem cifrato dove disponibile)
Server Supabase: database PostgreSQL ospitato in Europa, Frankfurt — per sync multi-device, segnalazioni community, gruppi e codici promo. Tutte le tabelle sono protette da Row Level Security: vedi solo i tuoi dati e i dati pubblici della community.
Mapbox (USA): coordinate origine/destinazione inviate per il routing. Mapbox NON ha accesso al tuo account né alle tue identità. Standard contractual clauses (SCC) UE applicate.
OpenStreetMap / OpenFreeMap: tile della mappa scaricate dal device, nessun dato personale inviato.
RevenueCat: gestisce gli abbonamenti In-App Purchase. Riceve l'app_user_id (UUID anonimo, non l'email) + l'event di acquisto. Vedi la RevenueCat Privacy Policy.
Apple App Store / Google Play: gestiscono i pagamenti effettivi. DigitaLabs NON conserva mai dati di carta di credito.
Apple Push Notification Service (APNs) / Firebase Cloud Messaging (FCM): ricevono solo il token push del tuo device per recapitare le notifiche.
WebLLM (AI assistente): il modello AI gira interamente sul tuo dispositivo. Le tue domande NON vengono mai inviate a server remoti.
6. Trasferimento extra-UE
Database principale, gruppi e segnalazioni: server in UE (Frankfurt). Mapbox è negli USA ma riceve solo coordinate aggregate non identificative (Standard Contractual Clauses applicate). RevenueCat è negli USA: trattamento sotto SCC UE + GDPR addendum. Apple/Google: trattamento secondo le loro privacy policy globali (vedi Apple Legal e Google Privacy).
7. Conservazione
Dato
Conservazione
Posizione GPS live (navigazione)
Solo in RAM, mai persistita su server
Posizione gruppo (convoy)
Solo in DB durante la sessione + cleanup automatico ad ogni inattività >5 min
Account & garage & shortcuts
Finché l'account è attivo + 30 giorni dopo cancellazione
Segnalazioni community
30-180 giorni a seconda del tipo, poi auto-cancellate
Storico viaggi locale
Solo sul dispositivo (puoi cancellarlo da Profilo)
Crash report
90 giorni dall'ultima occorrenza, poi auto-purge
Codici promo riscattati
Per durata della scadenza del codice + 12 mesi audit
Token push
Disattivato al logout, eliminato 90 giorni dopo
8. I tuoi diritti (GDPR)
Hai il diritto di:
Accesso: chiederci una copia dei tuoi dati (artt. 15 GDPR)
Rettifica: correggere dati errati (art. 16)
Cancellazione: chiedere la cancellazione (art. 17) — puoi farlo direttamente da Profilo → Elimina account
Portabilità: esportare i tuoi dati in formato JSON (art. 20)
Opposizione: rifiutare il trattamento (art. 21) — es. disattivare condivisione segnalazioni, push, posizione gruppo
Limitazione: chiedere di sospendere temporaneamente il trattamento (art. 18)
Per esercitare un diritto: scrivici all'email indicata in sezione 1. Risposta entro 30 giorni (art. 12.3 GDPR).
9. Sicurezza
Tutti i trasferimenti dati avvengono su HTTPS/TLS.
Le password sono hashate server-side (bcrypt via Supabase Auth) — non conosciamo mai la tua password in chiaro.
I database Supabase usano Row Level Security: ogni utente vede solo le proprie righe.
La service_role key (admin) non è mai presente nel codice del client.
Crash report sanitizzati lato client per rimuovere automaticamente token/email/secret.
10. Cookies & tracking
L'app non usa cookies di terze parti. La WebView Capacitor usa solo storage tecnico (sessione, preferenze, cache token). Niente Google Analytics, niente Facebook Pixel, niente fingerprinting, niente advertising ID.
11. Minori di 16 anni
L'app è destinata ad un pubblico di età 16+, allineata con i Termini di Servizio. Per minori, il consenso del tutore legale è richiesto secondo la normativa italiana (Codice Privacy e D.Lgs. 196/2003 come modificato). Non raccogliamo deliberatamente dati di minori sotto i 16 anni; in caso di errore, contattaci per la cancellazione immediata.
12. Modifiche a questa policy
Quando aggiorniamo questa policy, ti notifichiamo via email (se hai un account) e in-app. La versione e data corrente sono in alto.