Privacy Policy

Ultimo aggiornamento: 31 marzo 2026

SpendGuard e progettato con un approccio privacy-first. Questa policy spiega come gestiamo i tuoi dati in modo trasparente.

Dati Raccolti

SpendGuard raccoglie solo i dati che fornisci direttamente: estratti conto caricati (CSV/Excel), transazioni bancarie tramite Open Banking (PSD2), informazioni del profilo (email, nome), budget, asset e configurazioni. Non raccogliamo dati di navigazione, non utilizziamo cookie di terze parti e non integriamo tracker o analytics.

Come Elaboriamo i Dati

Le tue transazioni vengono analizzate tramite Azure OpenAI (modello gpt-4.1-mini), ospitato in un'istanza privata nel data center Microsoft di Sweden Central, all'interno dell'EU Data Boundary di Microsoft. L'elaborazione testuale dei tuoi dati finanziari (descrizioni e importi delle transazioni) resta nell'Unione Europea. I tuoi dati NON vengono utilizzati per addestrare modelli: la policy Zero Data Retention di Azure OpenAI è attiva, come garantito dal nostro Data Processing Agreement (DPA) con Microsoft. Nei prompt vengono inviate solo descrizioni e importi, mai credenziali bancarie o dati di identità. La trascrizione vocale (Whisper) è una eccezione esplicita: può attraversare l'infrastruttura globale di Microsoft — se preferisci evitarlo, disattiva l'input vocale nelle impostazioni dell'app. Le connessioni bancarie avvengono tramite GoCardless (standard PSD2 europeo) e i dati transitano crittografati.

Conservazione dei Dati

I tuoi dati sono salvati nel tuo account e persistono fino a quando non richiedi l'eliminazione. Puoi richiedere l'eliminazione completa in qualsiasi momento dalla sezione profilo. Tutti gli accessi richiedono registrazione e verifica della carta.

I Tuoi Diritti (GDPR)

Hai il diritto di: esportare tutti i tuoi dati in formato JSON (Art. 20 - Portabilita), eliminare il tuo account e tutti i dati associati (Art. 17 - Diritto all'oblio), correggere i tuoi dati dal pannello dell'app. Per esercitare questi diritti, accedi al tuo account e usa i pulsanti "Esporta i Miei Dati" e "Elimina Account".

Sub-responsabili del Trattamento

Non vendiamo mai i tuoi dati finanziari. SpendGuard utilizza i seguenti sub-responsabili, tutti con data center in UE e DPA conformi al GDPR: (1) Microsoft Azure OpenAI (Svezia Centrale) per la classificazione AI delle transazioni — Zero Data Retention attiva, nessun training sui tuoi dati; (2) GoCardless (Londra, licenza FCA) per le connessioni Open Banking PSD2, solo con il tuo consenso esplicito; (3) Microsoft Azure (Irlanda del Nord) per hosting, database e servizi email. Nessun altro soggetto ha accesso ai tuoi dati.

Sicurezza

Le password sono hashate con bcrypt. Le sessioni sono isolate tramite UUID univoci. Le connessioni bancarie usano lo standard PSD2 crittografato. Il token JWT scade dopo 24 ore. I dati sensibili (descrizioni transazioni, email) sono crittografati a riposo con Fernet/AES. Il database PostgreSQL accetta connessioni solo dai servizi Azure interni. L'istanza Azure OpenAI e protetta da API key dedicata.

Trasparenza

SpendGuard si impegna nella massima trasparenza. Questa policy elenca ogni sub-responsabile e la base giuridica del trattamento. Se cambiamo provider AI o aggiungiamo sub-responsabili, aggiorneremo questa pagina prima di qualsiasi modifica. Per domande: privacy@spendguard.it.