Informativa privacy per app “MI Formo!” e portale MI Supporti
- Versione
- 1.2
- Data di efficacia
- 18-07-2026
- Stato
- In vigore
1. Titolare del trattamento
Il Titolare del trattamento è MI FORMO! SRLS, con sede legale in Via Cassiopea 22, 95123 Catania (CT), Partita IVA IT05849000871. Per richieste relative alla protezione dei dati personali è possibile scrivere a supporto@miformosrls.it oppure alla PEC indelicatomanuel@pec.it.
2. Ambito di applicazione
La presente informativa descrive il trattamento dei dati personali effettuato tramite l’app mobile “MI Formo!”, il portale MI Supporti, le relative API e le funzionalità connesse. Il servizio è rivolto esclusivamente a officine, professionisti e operatori del settore automotive. Non è destinato a minori.
3. Categorie di dati trattati
- Dati identificativi e di contatto: nome, cognome, ragione sociale, username, email, telefono e dati dell’azienda.
- Dati relativi all’account: identificativi interni, ruolo, stato dell’account, data di accesso e preferenze.
- Dati tecnici e di sicurezza: indirizzo IP, data e ora, user agent, sistema operativo, versione dell’app, identificatori tecnici e log.
- Dati relativi all’assistenza: richieste di supporto, ticket, messaggi, informazioni sul veicolo, diagnosi, codici guasto e allegati.
- Fotografie, documenti e file selezionati volontariamente tramite i picker di sistema per ottenere assistenza. Le immagini possono contenere metadati EXIF.
- Dati relativi alle richieste di chiamata e alle comunicazioni con il supporto.
- Dati relativi a consensi, prese visione, accettazioni, revoche e preferenze di comunicazione.
- Il sistema push non è operativo e nessun token push viene attualmente utilizzato. Token tecnici e stato del permesso del dispositivo potranno essere trattati esclusivamente dopo la configurazione e l’attivazione del sistema.
- Dati acquisiti tramite fotocamera o libreria foto esclusivamente quando l’utente sceglie di allegare un contenuto. L’app non richiede accesso esteso alla rubrica, al microfono o alla posizione.
- Dati commerciali e amministrativi collegati a servizi, offerte e prodotti, nonché dati anagrafici e fiscali, fatture, importi, scadenze e stato dei pagamenti trattati tramite TeamSystem/Fatture in Cloud. L’app non acquisisce dati di carta e non esegue pagamenti.
- Dati tecnici trasmessi dal browser ai fornitori delle risorse esterne del portale, quali indirizzo IP, user agent e referrer, per il caricamento di Google Fonts e risorse da jsDelivr.
4. Finalità e basi giuridiche
| Finalità | Base giuridica | Dati principali |
|---|---|---|
| Autenticazione e gestione account | Esecuzione del contratto e misure precontrattuali | Identità, contatti, credenziali, log |
| Apertura e gestione ticket | Esecuzione del servizio richiesto | Messaggi, dati veicolo, diagnosi, allegati |
| Supporto tecnico e richieste di chiamata | Esecuzione del contratto o richiesta dell’interessato | Contatti e contenuto della richiesta |
| Sicurezza, prevenzione abusi e continuità operativa | Legittimo interesse e obblighi di sicurezza | IP, log, device, eventi tecnici |
| Adempimenti amministrativi e fiscali | Obbligo legale e contratto | Dati anagrafici e fiscali, fatture, importi, scadenze e stato pagamenti |
| Notifiche operative su ticket, account e sicurezza, quando il sistema push sarà attivato | Esecuzione del contratto | Token push e identificativi account, quando configurati |
| Marketing via email, push, WhatsApp, SMS o telefono | Consenso facoltativo, specifico e revocabile | Contatti, canale e preferenze |
| Gestione di consensi e prova delle scelte | Obbligo legale e legittimo interesse difensivo | Versione testo, timestamp, IP, audit |
5. Permessi del dispositivo
L’app può richiedere permessi tecnici solo quando necessari a una funzione scelta dall’utente. In particolare:
- Fotocamera e libreria foto: per scattare o selezionare immagini da allegare a ticket o richieste di assistenza.
- File e documenti: sono selezionati tramite il picker di sistema, senza accesso esteso allo spazio di archiviazione.
- Rubrica, microfono e posizione: l’app non richiede accesso esteso ai contatti del dispositivo, al microfono o alla geolocalizzazione.
- Face ID: non è utilizzato dall’app.
- Notifiche: il permesso iOS/Android sarà richiesto solo quando il sistema push sarà reso operativo; gli avvisi operativi resteranno distinti dalle notifiche promozionali soggette a consenso.
Il permesso del sistema operativo non equivale automaticamente al consenso marketing. Le notifiche operative e quelle promozionali sono gestite separatamente.
6. Modalità del trattamento e sicurezza
I dati sono trattati con strumenti informatici e organizzativi adeguati alla natura del servizio. Sono adottate misure volte a proteggere riservatezza, integrità e disponibilità dei dati, incluse autenticazione, controlli di accesso, registrazione degli eventi, connessioni cifrate e procedure di gestione degli incidenti. L’accesso interno è limitato ai soggetti autorizzati in base alle mansioni. Attualmente è presente un backup del codice eseguito durante i deployment, che non comprende il database SQLite né gli allegati caricati. Tra le misure organizzative pianificate rientra l’introduzione di un backup automatico, cifrato, verificato e conservato separatamente dal server primario.
7. Destinatari e fornitori
Il backend, il database SQLite e i file privati sono ospitati su infrastruttura Aruba.
Il servizio email automatico principale utilizza smtp.miformosrls.it sulla porta 587 con TLS tramite infrastruttura Aruba. La casella miformosrls@gmail.com è una casella aziendale e non il provider principale dell’invio automatico.
Il backend utilizza WhatsApp Business Platform / Cloud API di Meta; l’app mobile può inoltre aprire un deep link verso l’app WhatsApp installata dall’utente. Le comunicazioni di assistenza e operative sono distinte dal marketing WhatsApp, che richiede consenso specifico.
TeamSystem / Fatture in Cloud è utilizzato come fornitore amministrativo per dati anagrafici e fiscali, fatture, importi, scadenze e stato dei pagamenti.
Non sono stati rilevati SDK analytics, pixel o sistemi di profilazione nell’app o nel portale; non risultano Google Analytics o Firebase Analytics. Non sono stati rilevati Sentry, Firebase Crashlytics o altri servizi esterni di crash reporting; sono presenti solamente log applicativi locali sul server Aruba.
Il portale carica attualmente Google Fonts e risorse da jsDelivr. Tali richieste possono trasmettere ai rispettivi fornitori indirizzo IP, user agent e referrer.
Il sistema di notifiche push è previsto tramite Expo Notifications e, quando attivato, utilizzerà Expo Push Service, Apple APNs e Google FCM. Il servizio non è operativo finché non saranno configurati EAS Project ID, APNs, FCM, backend per la gestione dei push-token e logica di invio. Fino a tale configurazione nessun token push viene utilizzato.
I dati non sono venduti né comunicati ad altre aziende per finalità di marketing proprie. Possono essere comunicati a soggetti pubblici o autorità quando previsto dalla legge.
8. Trasferimenti fuori dallo Spazio economico europeo
Per l’hosting Aruba e il servizio SMTP Aruba non sono stati rilevati trasferimenti fuori dallo Spazio economico europeo. Quando il sistema push sarà attivato, Expo Push Service, Apple APNs e Google FCM potranno comportare trasferimenti internazionali secondo le garanzie dei rispettivi fornitori. WhatsApp Business Platform / Cloud API di Meta può comportare trasferimenti internazionali secondo le garanzie contrattuali di Meta. Google Fonts e jsDelivr utilizzano infrastrutture globali e possono comportare trasferimenti. Gli eventuali trasferimenti effettuati dai fornitori amministrativi e dai relativi subfornitori sono disciplinati dagli accordi applicabili. Ogni trasferimento applicabile avviene nel rispetto della normativa mediante decisioni di adeguatezza, clausole contrattuali standard o altre garanzie idonee.
9. Conservazione dei dati
I dati sono conservati secondo i seguenti termini, salvo obblighi di legge o necessità di tutela in sede giudiziaria:
- Account e dati contrattuali: per la durata del rapporto e per i 10 anni successivi alla sua cessazione, limitatamente ai dati necessari.
- Ticket e relativi allegati: 5 anni dalla chiusura, salvo contenzioso o obblighi ulteriori.
- Log tecnici e indirizzi IP: 12 mesi, salvo la necessità di conservarli più a lungo per la gestione e la documentazione di incidenti di sicurezza.
- Prove di consenso, rifiuto e revoca: 10 anni dall’ultimo evento.
- Dati utilizzati per finalità di marketing: fino alla revoca, con riesame dopo 24 mesi dall’ultima interazione o conferma.
- Token push invalidi o non più associati a un account: eliminazione entro 90 giorni. Nessun token push viene utilizzato finché il sistema non è operativo.
- Account inattivi senza un rapporto attivo: verifica della necessità di ulteriore conservazione dopo 24 mesi di inattività.
10. Conferimento dei dati
I dati necessari all’autenticazione, alla sicurezza e all’erogazione dell’assistenza sono indispensabili per utilizzare il servizio. Il conferimento dei dati per finalità marketing è facoltativo e il rifiuto non limita l’accesso all’app, al portale o al supporto. I consensi per email, SMS, WhatsApp, telefono e push sono distinti; nessuna opzione marketing è preselezionata e il servizio resta utilizzabile anche rifiutando tutte le finalità promozionali.
11. Diritti dell’interessato
L’interessato può chiedere accesso, rettifica, cancellazione, limitazione, portabilità ove applicabile, opposizione e revoca del consenso. La revoca non pregiudica la liceità dei trattamenti effettuati prima della revoca. Le richieste possono essere inviate a supporto@miformosrls.it o via PEC. È inoltre possibile proporre reclamo al Garante per la protezione dei dati personali.
12. Aggiornamenti
La presente informativa può essere aggiornata. Ogni versione pubblicata sarà identificata da numero di versione, data di entrata in vigore e hash del documento. Le modifiche rilevanti saranno comunicate con modalità adeguate.
Torna al portale