SPACE logoSPACEIndietro

Informativa sulla Privacy

Ultimo aggiornamento: 2 maggio 2026

1. Titolare del Trattamento

I titolari del trattamento sono: Simone Copetti, Andrea Citton, Bernardo Andrea Cecchini, Matteo Bertini. Email privacy: privacy@spaceeapp.com

I Titolari operano in qualità di contitolari ai sensi dell'art. 26 GDPR. Non è stato nominato un DPO.

2. Dati Raccolti

Dati forniti da te:

  • Email, username e credenziali di accesso.
  • Avatar, bio e impostazioni privacy del profilo.
  • Foto, copertine, commenti, like interni e foto preferite (repost).
  • Richieste di amicizia, amicizie, inviti e ruoli in cartella.

Dati generati dall'uso del servizio:

  • Metadati dei contenuti: identificativi, timestamp, dimensioni dei file.
  • Dati su cartelle: membri, ruoli, stato inviti, link di condivisione.
  • Notifiche in-app e preferenze notifiche per categoria.
  • Token di notifica push (APNs/FCM).

Dati da te forniti per feedback e supporto:

  • Valutazioni dell'app (punteggio, punti di forza, suggerimenti).
  • Segnalazioni bug (titolo, passi per riprodurre, comportamento atteso, schermata).
  • Segnalazioni di utenti (motivo e descrizione facoltativa).

Dati tecnici e locali:

  • Log tecnici e token di sessione (SecureStore/Keychain/Keystore).
  • Preferenze locali, tema e cache (solo sul dispositivo, cancellati alla disconnessione).
  • Accesso a libreria foto/media, clipboard e share sheet, se scelto dall'utente.
  • Credenziale E2E temporanea (password conservata nello storage sicuro con protezione hardware tra la creazione dell'account e la conferma dell'email; cancellata automaticamente al primo accesso).

3. Cifratura End-to-End (Cartelle Private)

Le cartelle di tipo "privato" applicano cifratura end-to-end (E2E) al contenuto fotografico: ogni foto è cifrata sul dispositivo prima dell'invio al server, quindi i Titolari e Supabase non possono accedere al contenuto visivo in chiaro. Sul server sono conservati i dati cifrati e le chiavi crittografiche avvolte con la chiave dell'utente.

Importante: la cifratura E2E riguarda esclusivamente il contenuto delle foto. I metadati (nome della cartella, elenco membri, ruoli, timestamp, titoli delle foto) non sono cifrati end-to-end e restano accessibili ai Titolari e a Supabase nell'ambito della gestione del servizio.

Immagini di copertina: solo le immagini di copertina caricate esplicitamente (la foto opzionale impostata come copertina di uno Space) non sono cifrate end-to-end e vengono conservate in chiaro sul server. Quando non è impostata alcuna copertina esplicita, l'app mostra le foto cifrate più recenti della cartella come anteprima nella scheda della home — quelle foto rimangono protette da cifratura E2E.

Configurazione identità E2E e verifica email: la configurazione dell'identità crittografica (generazione della coppia di chiavi) non avviene durante la registrazione, ma viene rimandata al primo accesso dopo la conferma dell'email. Tra la creazione dell'account e la conferma dell'email, le credenziali necessarie per la derivazione della chiave vengono conservate temporaneamente nello storage sicuro con protezione hardware del dispositivo (SecureStore / Keychain / Keystore) e cancellate definitivamente non appena la configurazione dell'identità è completata al primo accesso. Queste credenziali non vengono mai trasmesse al server in chiaro.

Reset della password: reimpostare la password genera una nuova coppia di chiavi E2E completamente nuova. La precedente chiave privata è scartata in modo irreversibile — i Titolari non possono recuperarla. Di conseguenza, tutte le cartelle private esistenti diventano permanentemente inaccessibili. Per riottenere l'accesso, il proprietario o un admin della cartella deve reinvitarti affinché la chiave di cifratura della cartella possa essere rianvoltata per la tua nuova chiave pubblica.

4. Finalità e Basi Giuridiche

  • Fornire e gestire il servizio: esecuzione del contratto (art. 6.1.b GDPR).
  • Feedback, segnalazioni bug e moderazione: legittimo interesse (art. 6.1.f) e, per feedback espliciti, consenso (art. 6.1.a GDPR).
  • Sicurezza e prevenzione abusi: legittimo interesse (art. 6.1.f GDPR).
  • Adempimenti di legge: obbligo legale (art. 6.1.c GDPR).
  • Funzionalità dispositivo (libreria foto, push, condivisione): consenso (art. 6.1.a GDPR).

5. Visibilità dei Contenuti tra Utenti

  • Le cartelle condivise sono visibili ai soli collaboratori.
  • Le foto preferite (repost/"Best Moments") sono visibili agli amici accettati, anche se non collaboratori della cartella originale. I like interni non sono mai visibili fuori dalla cartella.
  • I link di condivisione cartella sono multi-uso: chiunque abbia il token può entrare entro 7 giorni dalla creazione.

6. Destinatari e Fornitori

  • Personale autorizzato dei Titolari.
  • Supabase Inc. (database, autenticazione, storage) — server in Irlanda (UE).
  • Expo Inc. (distribuzione app, notifiche push).
  • Autorità pubbliche nei casi previsti dalla legge.

Non vendiamo dati personali. Elenco completo disponibile a: privacy@spaceeapp.com

7. Trasferimenti Extra SEE

I server Supabase sono in Irlanda (UE). Il servizio push di Expo può comportare trasferimenti verso gli USA; si applicano le garanzie GDPR previste (Clausole Contrattuali Standard).

8. Conservazione dei Dati

  • Account/profilo: fino a cancellazione account.
  • Contenuti in cartelle condivise: alla cancellazione dell'account, i riferimenti all'autore vengono anonimizzati (non il contenuto stesso), per preservare l'integrità dei contenuti condivisi con gli altri membri. I contenuti di cartelle di cui sei l'unico membro vengono rimossi definitivamente.
  • Cartelle nel cestino: fino a 30 giorni.
  • Push token: per la durata della sessione attiva.
  • Feedback e segnalazioni: per il tempo necessario alla valutazione.
  • Log tecnici: per il periodo strettamente necessario.

9. Sicurezza

Adottiamo: autenticazione e gestione sessione; token in storage sicuro del dispositivo; Row Level Security lato backend; URL firmati a scadenza per contenuti privati; cifratura E2E del contenuto fotografico nelle cartelle private; credenziali E2E temporanee conservate esclusivamente nello storage con protezione hardware del dispositivo (SecureStore / Keychain / Keystore), cancellate automaticamente al primo accesso dopo la conferma dell'email. Nessun sistema garantisce sicurezza assoluta; adottiamo misure adeguate al rischio.

10. Diritti dell'Interessato

Puoi esercitare i diritti di: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità e revoca del consenso. Puoi proporre reclamo al Garante per la protezione dei dati personali.

Contatto: privacy@spaceeapp.com

11. Minori

Il servizio non è destinato a soggetti di età inferiore ai 14 anni. Per utenti in Paesi con soglia di età superiore, o per minori di 14 anni, il trattamento è lecito solo previo consenso del titolare della responsabilità genitoriale.

12. Modifiche

Possiamo aggiornare questa informativa. Le modifiche rilevanti saranno comunicate tramite l'app.

13. Contatti

  • Email: privacy@spaceeapp.com
  • Titolari: Simone Copetti, Andrea Citton, Bernardo Andrea Cecchini, Matteo Bertini
Torna alla home