Informativa sulla Privacy

Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 («GDPR») e della normativa nazionale applicabile in materia di protezione dei dati personali.

Ultimo aggiornamento · 26 aprile 2026

La presente informativa («Informativa») descrive le modalità con cui Rifuel («Rifuel», «noi») tratta i dati personali degli utenti («Utente», «tu») che accedono e utilizzano l'applicazione mobile Rifuel e il sito istituzionale ad essa collegato (congiuntamente, il «Servizio»). L'Informativa è da intendersi quale parte integrante dei Termini di Servizio e si applica a chiunque utilizzi il Servizio in qualità di interessato ai sensi del GDPR.

1. Titolare del trattamento

Titolare del trattamento dei dati personali è Enzo Corsiero, con sede in Via Cesare Battisti 168, 20099 Sesto San Giovanni (MI), Italia, contattabile per qualunque richiesta in materia di protezione dei dati al seguente indirizzo: personal@enzocorsiero.com.

Non è stato nominato un Responsabile della protezione dei dati («DPO»), non sussistendone i presupposti di obbligatorietà ai sensi dell'art. 37 GDPR. Il Titolare resta comunque l'unico interlocutore competente per ogni questione relativa al trattamento.

2. Definizioni

Salvo diversa indicazione, i termini con iniziale maiuscola hanno il significato loro attribuito dal GDPR. In particolare:

  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4, n. 1, GDPR).
  • Trattamento: qualunque operazione applicata a dati personali (art. 4, n. 2, GDPR).
  • Responsabile del trattamento: la persona fisica o giuridica che tratta dati personali per conto del Titolare (art. 4, n. 8, GDPR).
  • Interessato: la persona fisica cui si riferiscono i dati personali.

3. Ambito di applicazione

Il Servizio è destinato a utenti maggiorenni residenti nello Spazio Economico Europeo («SEE»), con particolare riferimento ai mercati di Italia, Francia, Austria, Slovenia, Spagna, Portogallo, nonché a utenti residenti in Svizzera. Il trattamento è effettuato in conformità al GDPR e, ove applicabile, alla legge federale svizzera sulla protezione dei dati (nLPD) in virtù del riconoscimento di adeguatezza tra UE e Confederazione elvetica.

4. Categorie di dati trattati

Nell'ambito dell'erogazione del Servizio, Rifuel può trattare le seguenti categorie di dati personali:

  • Dati di registrazione e identificativi di account: indirizzo e-mail, nome e cognome (se forniti tramite Apple o Google Sign-In), identificativo univoco (UUID) generato dal sistema di autenticazione.
  • Credenziali di accesso: password, conservata in forma cifrata mediante algoritmi di hashing crittograficamente sicuri (bcrypt) dal fornitore del servizio di autenticazione. La password in chiaro non è mai accessibile al Titolare.
  • Dati di geolocalizzazione precisa: coordinate GPS rilevate dal dispositivo esclusivamente quando l'app è in primo piano, al fine di calcolare la distanza dalle stazioni di rifornimento e fornire risultati pertinenti. Le coordinate puntuali rilevate in tempo reale non sono memorizzate sui server del Titolare.
  • Indirizzo di residenza/abituale: latitudine e longitudine del luogo dichiarato dall'Utente come «casa», conservate sui server del Titolare unicamente se l'Utente le inserisce volontariamente nelle impostazioni di profilo.
  • Dati relativi ai veicoli: denominazione, tipologia di carburante, capacità del serbatoio, consumo dichiarato, chilometraggio, inseriti dall'Utente.
  • Dati relativi ai rifornimenti e alle spese: prezzo per litro, litri erogati, importo, chilometraggio, stazione di riferimento, note, data e orario.
  • Contenuti generati dall'Utente (UGC): dati relativi a stazioni di rifornimento segnalate (denominazione, indirizzo, brand, coordinate, prezzi indicati, orari, servizi).
  • Token per notifiche push (FCM token): identificativo rilasciato da Firebase Cloud Messaging, associato all'account dell'Utente al fine di recapitare notifiche al dispositivo. Il token è soggetto a procedure di rotazione e di riconciliazione tra dispositivi multipli.
  • Preferenze di Servizio: lingua, valuta, carburante preferito, raggio di ricerca, configurazione degli avvisi.
  • Log tecnici e diagnostici: dati relativi all'infrastruttura e necessari a garantire la sicurezza, la continuità operativa e l'integrità del Servizio (ad es. log dei fornitori di hosting), trattati in conformità ai termini contrattuali con i medesimi.

Rifuel non tratta categorie particolari di datiai sensi dell'art. 9 GDPR, né dati relativi a condanne penali e reati ai sensi dell'art. 10 GDPR.

5. Finalità e basi giuridiche del trattamento

I dati sono trattati per le finalità qui di seguito indicate, ciascuna fondata sulla rispettiva base giuridica ai sensi dell'art. 6 GDPR:

  • (a) Erogazione del Servizio e funzioni correlate(creazione e gestione dell'account, autenticazione, sincronizzazione tra dispositivi, ricerca e visualizzazione delle stazioni, pianificazione del viaggio, registrazione dei rifornimenti, calcolo dei consumi). Base giuridica: esecuzione di un contratto di cui l'Utente è parte (art. 6, par. 1, lett. b, GDPR).
  • (b) Geolocalizzazione del dispositivo in tempo reale. Base giuridica:consenso espressodell'Utente, raccolto tramite i meccanismi di autorizzazione del sistema operativo (art. 6, par. 1, lett. a, GDPR). Il consenso è revocabile in qualsiasi momento tramite le impostazioni del dispositivo.
  • (c) Invio di notifiche push relative al Servizio (avvisi sui prezzi, anomalie di mercato, soglia di prezzo personalizzata). Base giuridica: consenso(art. 6, par. 1, lett. a, GDPR), con possibilità di disattivazione dalle impostazioni dell'app o del sistema operativo.
  • (d) Gestione delle segnalazioni utente sulle stazioni di rifornimento e relativa fase di review/moderazione. Base giuridica: esecuzione del contratto e legittimo interessedel Titolare a mantenere la qualità e l'integrità del database (art. 6, par. 1, lett. b ed f, GDPR).
  • (e) Sicurezza, prevenzione frodi, tutela contro abusi (rilevamento di accessi anomali, prevenzione di attacchi). Base giuridica: legittimo interesse del Titolare a garantire la sicurezza del Servizio e degli Utenti (art. 6, par. 1, lett. f, GDPR).
  • (f) Adempimento di obblighi di legge (riscontro a richieste delle autorità, conservazione documentale, gestione di eventuali contenziosi). Base giuridica: obbligo legale(art. 6, par. 1, lett. c, GDPR).
  • (g) Miglioramento del Servizio mediante analisi aggregate e anonime(statistiche d'uso non riconducibili a singoli Utenti). Base giuridica: legittimo interesse(art. 6, par. 1, lett. f, GDPR).

L'Utente può, in qualsiasi momento, opporsi ai trattamenti fondati sul legittimo interesse e revocare i consensi prestati, fermo restando che la revoca non pregiudica la liceità dei trattamenti effettuati anteriormente.

6. Natura del conferimento dei dati

Il conferimento dei dati strettamente necessari all'esecuzione del contratto (ad es. indirizzo e-mail per la creazione dell'account) è obbligatorio: l'eventuale rifiuto comporta l'impossibilità di accedere alle relative funzioni del Servizio. Il conferimento dei dati soggetti a consenso (geolocalizzazione, notifiche push, indirizzo di residenza) è facoltativo: il diniego comporta unicamente la limitazione delle funzioni che richiedono tali dati, senza alcun impatto sulle restanti funzionalità.

7. Modalità del trattamento

Il trattamento è effettuato con strumenti elettronici e con logiche strettamente correlate alle finalità sopra indicate, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5 GDPR). Sono adottate misure tecniche e organizzative adeguate, tra cui cifratura in transito (TLS), controllo degli accessi mediante autenticazione, segregazione dei ruoli, policy di Row-Level Security a livello di database e procedure di backup.

8. Periodi di conservazione

I dati sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti e, in ogni caso, secondo i criteri di seguito illustrati:

  • Dati di account e profilo: per tutta la durata del rapporto contrattuale e fino a trenta (30) giorni dalla richiesta di cancellazione, salvo diversa disposizione di legge.
  • Dati relativi a veicoli, rifornimenti, spese e ricerche: fino alla cancellazione dell'account o alla rimozione manuale da parte dell'Utente; in caso di cessazione, rimossi o resi anonimi entro trenta (30) giorni.
  • Coordinate GPS rilevate in tempo reale: trattate in memoria e non memorizzatesui server del Titolare.
  • Token FCM: conservati fino alla disattivazione delle notifiche, alla disinstallazione dell'app o alla cancellazione dell'account.
  • Log notifiche: massimo dodici (12) mesi.
  • Segnalazioni di stazioni: i contenuti approvati possono permanere a tempo indeterminato in forma disassociatadall'identità del segnalatore, integrandosi nel database operativo del Servizio. Le segnalazioni respinte vengono cancellate entro novanta (90) giorni.
  • Dati anonimi e aggregati: possono essere conservati senza limiti temporali, non essendo più riconducibili a una persona identificata o identificabile.
  • Dati trattati per obblighi di legge o esigenze di difesa in giudizio: per il termine previsto dalla normativa applicabile, ovvero fino al passaggio in giudicato della relativa decisione.

9. Destinatari e responsabili del trattamento

I dati personali non sono oggetto di diffusione e non sono ceduti a terzi a fini di marketing. Possono essere comunicati ai seguenti soggetti, debitamente nominati responsabili del trattamento ai sensi dell'art. 28 GDPR ovvero qualificabili come titolari autonomi laddove agiscano in tale veste:

  • Supabase, Inc.— fornitore della piattaforma di autenticazione e database, con server localizzati nell'Unione Europea (Francoforte, Germania) per l'istanza utilizzata.
  • Vercel, Inc. — fornitore del servizio di hosting per il backend e il sito web, con esecuzione delle funzioni nella regione di Francoforte (Germania).
  • Google LLC / Google Ireland Ltd.— fornitore di Firebase Cloud Messaging per le notifiche push e, ove l'Utente lo selezioni, del servizio Google Sign-In.
  • Apple Inc. / Apple Distribution International Ltd.— ove l'Utente selezioni Sign in with Apple come metodo di autenticazione.
  • OpenStreetMap Foundation e CARTO— fornitori di tile cartografici. Tali soggetti ricevono unicamente le richieste tecniche di tile, senza dati direttamente identificativi dell'Utente; possono comunque trattare l'indirizzo IP di connessione secondo le rispettive informative.
  • Soggetti istituzionaliai quali la comunicazione sia obbligatoria per legge, su richiesta dell'autorità giudiziaria o di altre autorità competenti.
  • Consulenti legali, fiscali e professionisti incaricati, nei limiti necessari all'adempimento dei rispettivi mandati.

10. Trasferimenti di dati al di fuori dello Spazio Economico Europeo

I dati sono trattati primariamente all'interno dello SEE. Qualora taluni fornitori (in particolare quelli aventi sede negli Stati Uniti d'America, come Google e Apple per i servizi di rispettiva competenza) effettuino trasferimenti al di fuori del SEE, gli stessi avvengono sulla base di garanzie adeguate ai sensi degli artt. 44 e ss. GDPR, ivi incluse, a seconda dei casi, le decisioni di adeguatezza della Commissione europea (es. EU-US Data Privacy Framework) e/o le Clausole Contrattuali Standard («SCC») approvate dalla Commissione, integrate, ove necessario, da misure supplementari. Copia delle garanzie può essere richiesta al Titolare scrivendo all'indirizzo indicato al §1.

11. Diritti dell'interessato

In qualità di interessato, puoi esercitare in qualsiasi momento, gratuitamente e con modalità agevolate, i diritti previsti dagli artt. 15-22 GDPR e, in particolare, il diritto di:

  • accesso ai dati personali e alle informazioni di cui all'art. 15 GDPR;
  • rettifica dei dati inesatti e integrazione di quelli incompleti (art. 16 GDPR);
  • cancellazione(«diritto all'oblio») ai sensi dell'art. 17 GDPR; la cancellazione dell'account è disponibile direttamente all'interno dell'app;
  • limitazione del trattamento nei casi previsti dall'art. 18 GDPR;
  • portabilità dei dati forniti, in formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20 GDPR);
  • opposizione al trattamento fondato sul legittimo interesse, anche per ragioni connesse alla situazione personale (art. 21 GDPR);
  • revoca del consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento basato sul consenso prestato anteriormente alla revoca (art. 7, par. 3, GDPR).

Le richieste possono essere indirizzate a personal@enzocorsiero.com. Il Titolare riscontrerà la richiesta senza ingiustificato ritardo e, comunque, entro un (1) mese dal ricevimento, prorogabile di ulteriori due (2) mesi nei casi di particolare complessità.

12. Reclamo all'Autorità di controllo

Fermo restando ogni altro rimedio amministrativo o giurisdizionale, l'interessato che ritenga il trattamento illegittimo ha diritto di proporre reclamo all'Autorità di controllo competente: in Italia, al Garante per la protezione dei dati personali (www.garanteprivacy.it), ovvero all'autorità del proprio Stato membro di residenza o del luogo in cui si è verificata la presunta violazione (art. 77 GDPR).

13. Minori

Il Servizio non è destinato a minori di anni sedici (16). Il Titolare non raccoglie consapevolmente dati personali di soggetti di età inferiore al limite previsto dall'art. 8 GDPR e dalla normativa nazionale di recepimento (in Italia, quattordici (14) anni ai sensi dell'art. 2-quinquies del d.lgs. 196/2003). Qualora il Titolare venga a conoscenza di un trattamento avente ad oggetto dati di minori, provvederà tempestivamente alla cancellazione, salvo che sia stato prestato il consenso del titolare della responsabilità genitoriale.

14. Sicurezza dei dati

Sono adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR), tra cui:

  • cifratura dei dati in transito mediante protocolli TLS 1.2 o superiori;
  • conservazione delle password mediante algoritmi di hashing crittografici robusti;
  • controlli di accesso basati su ruoli e politiche Row-Level Security;
  • autenticazione mediante OAuth 2.0 con flussi PKCE per i provider di terze parti;
  • archiviazione del token di sessione in storage sicuro a livello di sistema operativo;
  • procedure di backup, monitoraggio e ripristino;
  • processi di gestione delle vulnerabilità e di risposta agli incidenti.

In caso di violazione dei dati personali («data breach») suscettibile di presentare un rischio per i diritti e le libertà delle persone fisiche, il Titolare adempirà agli obblighi di notifica all'Autorità di controllo (art. 33 GDPR) e, se del caso, di comunicazione agli interessati (art. 34 GDPR), nei termini di legge.

L'app mobile non utilizza cookienel senso tecnico definito dalla Direttiva 2002/58/CE e successive modifiche, né strumenti di profilazione di terze parti per finalità di marketing. Il sito web istituzionale non installa cookie di analytics né di tracciamento; sono utilizzati esclusivamente eventuali identificatori tecnici strettamente necessari al funzionamento della pagina, esenti dall'obbligo di consenso ai sensi dell'art. 5, par. 3, della Direttiva ePrivacy e delle Linee Guida del Garante.

In coerenza con il framework App Tracking Transparencydi Apple, Rifuel dichiara di non effettuare tracking dell'Utente tra app e siti web di terze parti; conseguentemente non viene mostrato alcun prompt ATT ai sensi delle policy di Apple.

16. Decisioni automatizzate e profilazione

Il Titolare non effettua processi decisionali interamente automatizzati, ivi compresa la profilazione, che producano effetti giuridici o incidano in modo analogamente significativo sull'Utente ai sensi dell'art. 22 GDPR. Eventuali elaborazioni statistiche e algoritmi di calcolo (ad es. determinazione delle stazioni convenienti o degli avvisi di anomalia di prezzo) hanno funzione meramente informativa e non incidono sulla sfera giuridica dell'Utente.

17. Modifiche all'Informativa

Il Titolare si riserva di aggiornare la presente Informativa per riflettere modifiche normative, tecniche o organizzative. La versione vigente è sempre disponibile all'interno dell'app e sul sito istituzionale, con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, l'Utente sarà informato con congruo anticipo tramite il Servizio o comunicazione all'indirizzo e-mail di registrazione.

18. Contatti

Per qualunque informazione, richiesta o esercizio dei diritti di cui al §11, l'Utente può contattare il Titolare all'indirizzo: personal@enzocorsiero.com.