Privacy & Cookie Policy

Aggiornata al 9 settembre 2025. Informativa resa ai sensi degli artt. 13–14 del Reg. (UE) 2016/679 (“GDPR”) e normativa italiana.

1) Ambito di applicazione

La presente informativa si applica al sito e alla web-app MyHomesBudget e descrive le modalità di trattamento dei dati personali degli utenti che vi accedono o la utilizzano.

2) Titolare e contatti

Titolare
Marco Lombardo
Sede
Via Sant’Antonio n.5 – 22070 – Locate Varesino (Como), Italia
P.IVA / CF
03090650130 — LMBMRC86A13L319I
Email privacy
privacy@myhomesbudget.com
DPO
Non nominato; per ogni richiesta utilizzare i contatti sopra.

3) Definizioni essenziali

  • Dato personale: qualunque informazione riferita a persona identificata o identificabile (art. 4(1) GDPR).
  • Trattamento: operazione o insieme di operazioni applicate a dati personali (art. 4(2) GDPR).
  • Responsabile del trattamento: soggetto che tratta dati per conto del Titolare (art. 28 GDPR).
  • Dati particolari: categorie speciali ex art. 9 GDPR (es. salute, convinzioni religiose/politiche, orientamento sessuale).

4) Categorie di dati trattati

  • Dati di account: email; identificativi tecnici di autenticazione (Supabase, Google GIS).
  • Dati di profilo/app: lingua, preferenze, stato onboarding, plan_type, trial_end.
  • Dati economici inseriti dall’utente: transazioni, categorie/sottocategorie, budget, obiettivi, note (contenuto deciso dall’utente).
  • Dati tecnici: log, IP (con anonimizzazione su GA4), user-agent, parametri dispositivo, eventi di utilizzo (es. apertura pagine, CTA).
  • Dati di fatturazione (se e quando attivati gli acquisti in-app): dati necessari all’emissione della fattura e alla gestione dei pagamenti.

Divieto dati particolari: la web-app non richiede né necessita di dati ex art. 9 GDPR. Si invita a non inserire nelle note informazioni su salute, convinzioni religiose/politiche, dati biometrici o giudiziari.

5) Fonti dei dati

  • Direttamente dall’interessato (es. registrazione, inserimento movimenti, preferenze).
  • Automaticamente tramite la web-app (log tecnici) e, previo consenso ove richiesto, tramite Google Analytics 4.
  • Terze parti: esclusivamente i provider tecnici indicati in questa informativa (autenticazione e analytics).

6) Finalità e basi giuridiche (art. 6 GDPR)

  • Erogazione del servizio: creare e gestire l’account; login (email/password, Google GIS); salvataggio, visualizzazione e organizzazione dei dati dell’utente; funzioni di dashboard, riepilogo e grafici. Base: esecuzione di un contratto (art. 6(1)(b)).
  • Gestione piani (Starter 30gg, Plus, Pro): calcolo e verifica del periodo di prova; abilitazione/limitazione funzionalità; controlli antifrode e sicurezza. Base: contratto (6(1)(b)) e legittimo interesse (6(1)(f)).
  • Assistenza e comunicazioni strettamente connesse al servizio (es. avvisi tecnici). Base: contratto (6(1)(b)).
  • Adempimenti legali (es. fiscale/contabile, sicurezza, compliance). Base: obbligo legale (6(1)(c)).
  • Analytics con GA4 (IP anonimizzato) per migliorare prestazioni e usabilità. Base: consenso (6(1)(a)) ove richiesto tramite banner; in assenza di consenso l’analytics è inattivo.
  • Comunicazioni promozionali (se attivate): invio di aggiornamenti e novità del prodotto. Base: consenso (6(1)(a)); revocabile in ogni momento.

7) Obbligatorietà del conferimento

I dati richiesti come necessari (es. email per l’account) sono indispensabili per l’erogazione del servizio: il mancato conferimento impedisce la creazione o l’uso dell’account. I dati non necessari (es. alcune preferenze) possono essere omessi senza pregiudicare le funzioni essenziali.

8) Modalità del trattamento e sicurezza

  • Trattamenti effettuati con strumenti elettronici e misure tecniche/organizzative adeguate (art. 32 GDPR).
  • Connessioni cifrate (HTTPS/TLS); cifratura at-rest sul provider; hardening infrastrutturale.
  • Row Level Security (RLS) su tabelle riconducibili all’utente; controlli di accesso e segregazione degli ambienti.
  • Backup e funzionalità di ripristino coerenti con il piano Supabase Pro.
  • Accessi amministrativi limitati al personale incaricato; log delle operazioni rilevanti.

9) Profilazione e decisioni automatizzate

Non effettuiamo profilazione avente effetti giuridici o similmente significativi ai sensi dell’art. 22 GDPR. Le uniche elaborazioni automatiche riguardano la fruizione tecnica del servizio (es. suggerimenti in-app, riepiloghi) e statistiche aggregate con GA4, senza effetti individuali.

10) Conservazione dei dati

  • Account e contenuti: per tutta la durata dell’account e, dopo la chiusura, per un massimo di 12 mesi a fini di backup/log, salvo obblighi legali più lunghi.
  • Log tecnici: fino a 180 giorni, salvo esigenze di sicurezza.
  • Fatturazione (se attivata): secondo i termini di legge applicabili in Italia (conservazione fiscale).

11) Destinatari e responsabili (art. 28 GDPR)

  • Supabase (DB, autenticazione) — Regione UE selezionata; protezioni TLS e RLS.
  • Google — Google Identity Services (login), Google Analytics 4 / Tag Manager (analytics, previo consenso ove richiesto).
  • Hosting statico/CDN del sito (se utilizzato).
  • Consulenti/fornitori (es. supporto contabile/legale/IT) che agiscono come responsabili o autonomi titolari secondo i casi.
  • Autorità o enti pubblici, nei limiti di legge.

12) Trasferimenti extra-UE

Qualora alcuni fornitori (es. Google) trattino dati al di fuori del SEE, il trasferimento avviene sulla base di strumenti di garanzia previsti dal Capo V GDPR (es. Clausole Contrattuali Standard, misure supplementari). Per i servizi di analytics, è adottata l’anonimizzazione IP e la raccolta è subordinata al consenso ove richiesto.

13.1 Tipologie

  • Tecnici: strettamente necessari al funzionamento (autenticazione, sicurezza). Non richiedono consenso.
  • Analitici (GA4): raccolta aggregata per migliorare il servizio. Attivi solo con consenso, ove richiesto.

13.2 Preferenze e gestione

Eventuale banner consente di esprimere o revocare scelte in ogni momento. È sempre possibile intervenire dalle impostazioni del browser (cancellazione cookie, limitazioni).

13.3 Archiviazione locale

La web-app può usare archiviazioni locali (es. localStorage) per preferenze non sensibili (es. lingua mhb_lang, indicatori di onboarding/verifica).

14) Diritti degli interessati (artt. 15–22 GDPR)

  • Accesso ai dati e informazioni sul trattamento.
  • Rettifica dei dati inesatti e cancellazione (“oblio”) nei casi previsti.
  • Limitazione e opposizione al trattamento nei limiti di legge.
  • Portabilità dei dati forniti, in formato strutturato.
  • Revoca del consenso (es. analytics) senza pregiudicare la liceità pregressa.

Per esercitare i diritti: scrivere a privacy@myhomesbudget.com. Il Titolare risponde, di norma, entro 1 mese (art. 12 GDPR), previo riscontro dell’identità del richiedente. È fatta salva la possibilità di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

15) Minori

Il servizio è rivolto a maggiorenni. Non trattiamo consapevolmente dati di minori di 16 anni; eventuali contenuti comunicati saranno cancellati compatibilmente con le funzionalità del servizio.

16) Violazioni di dati (data breach)

In presenza di violazioni dei dati personali, il Titolare valuta gli eventi secondo gli artt. 33–34 GDPR e, se necessario, procede alla notifica all’Autorità di controllo e alla comunicazione agli interessati, adottando misure correttive e preventive.

17) Modifiche all’informativa

L’informativa può essere aggiornata per adeguamenti normativi o evoluzioni del servizio. La versione corrente è pubblicata su questa pagina con l’indicazione della data di aggiornamento.

18) Contatti

Titolare
Marco Lombardo
Email privacy
privacy@myhomesbudget.com
Sede
Via Sant’Antonio n.5 – 22070 – Locate Varesino (Como), Italia
P.IVA / CF
03090650130 — LMBMRC86A13L319I

Per le controversie si rinvia ai Termini e Condizioni (foro competente: Como).