Informativa sulla privacy

La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR) a tutti gli utenti dell'applicazione mobile Privavis per Android e del sito privavis.com.

Privavis è un'applicazione di consapevolezza sulla privacy che funziona interamente sul tuo dispositivo. La nostra promessa primaria è semplice: non raccogliamo dati personali sui nostri server, perché non abbiamo server applicativi. Quello che segue è il dettaglio di come questa promessa si traduce in pratica, con la precisione che il GDPR ci richiede.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali eventualmente raccolti tramite il sito privavis.com e l'applicazione Privavis è uno sviluppatore individuale residente in Italia che opera il progetto indipendente Privavis ai sensi del regime fiscale applicabile.

Per ragioni di tutela della propria privacy personale, i dati identificativi completi del titolare (nome, indirizzo di residenza, eventuale partita IVA) non sono pubblicati su questa pagina, ma sono disponibili nelle informazioni di pubblicazione dell'app su Google Play Store, dove sono visibili pubblicamente come previsto dalla Google Play Developer Distribution Agreement. Possono inoltre essere richiesti in qualunque momento scrivendo alle email indicate di seguito; risponderemo entro 30 giorni come previsto dall'art. 12 del Regolamento.

• Email DPO / privacy: privacy@privavis.com
• Email contatto generale: hello@privavis.com
• Sito web: privavis.com

La presente informativa sarà aggiornata qualora la natura giuridica del titolare cambiasse (per esempio in caso di costituzione di una società).

2. Quali dati Privavis NON raccoglie

Iniziamo da quello che è più importante per capire l'approccio del prodotto. Privavis non raccoglie:

• nessun dato sulle app installate sul tuo telefono
• nessun dato sui permessi delle tue app
• nessun dato sull'utilizzo che fai dell'app Privavis
• nessuna telemetria, nessun analytics, nessun crash report con dati personali
• nessun identificativo pubblicitario (Advertising ID), nessun fingerprint del dispositivo
• nessun dato di localizzazione
• nessuna informazione di contatto, salvo quelle che ci scrivi volontariamente via email

Tutti i dati che l'applicazione Privavis legge dal sistema operativo Android (elenco app installate, permessi che ciascuna detiene, statistiche d'uso) restano sul tuo telefono. Non c'è alcuna trasmissione di rete che invii queste informazioni a sistemi Privavis o di terze parti. Tecnicamente: l'app non possiede backend, non chiama API proprie, non scrive su database remoti.

3. Dati che restano sul dispositivo

Per funzionare, Privavis legge e conserva localmente, nello storage dell'applicazione sul tuo dispositivo, le seguenti informazioni:

3.1 Diagnosi delle app installate

Tramite l'API pubblica PackageManager di Android, Privavis legge: l'elenco delle app installate, il nome di ciascuna, l'icona, i permessi dichiarati nel manifest, lo stato di concessione runtime di tali permessi. Questo dato è elaborato per calcolare il Privacy Score e mostrato in interfaccia. Non lascia il dispositivo.

3.2 Statistiche d'uso (opzionale, accesso speciale)

Se autorizzi l'accesso a PACKAGE_USAGE_STATS dalle Impostazioni di sistema, Privavis legge l'elenco delle app più utilizzate negli ultimi giorni per ponderare meglio il calcolo del rischio (un'app inutilizzata è meno rilevante di una usata quotidianamente). Anche questo dato resta sul dispositivo.

3.3 Preferenze utente

Privavis conserva nello storage locale dell'app (AsyncStorage):

• la lingua dell'interfaccia scelta
• lo stato del processo di onboarding
• nome ed email che eventualmente inserisci nelle Impostazioni per firmare le richieste GDPR (compilazione facoltativa)
• archivio delle richieste GDPR che hai creato, con il loro stato, le date e le note personali che decidi di aggiungere
• elenco delle "app fidate" che dichiari da non far pesare sul Privacy Score

Questi dati sono accessibili solo all'applicazione Privavis sul tuo dispositivo. Possono essere eliminati in qualsiasi momento disinstallando l'app oppure tramite le Impostazioni del sistema operativo (Impostazioni Android → App → Privavis → Archiviazione → Cancella dati).

3.4 Funzionalità Premium: cronologia, snapshot e monitoraggio

Se attivi le funzionalità Premium, Privavis salva localmente sul tuo dispositivo anche:

• la cronologia del tuo Privacy Score nel tempo (timeline numerica con cap a 120 punti più recenti);
• gli snapshot dello stato dei permessi che salvi manualmente (fino a 20), per confrontare lo stato attuale con momenti precedenti;
• l'elenco dei cambiamenti rilevati dal monitoraggio continuo (nuove app installate con accessi sensibili, app esistenti che hanno ottenuto un nuovo accesso), conservato fino a quando li segni come visti;
• la configurazione dei profili Premium attivi (Casa, Viaggio, Lavoro, Anonima, Personalizzato);
• l'output del punteggio di anomalia AI on-device che combina accessi sensibili, dormienza dell'app e regressioni recenti per evidenziare le app più "strane". L'elaborazione è eseguita esclusivamente da modelli embedded nel bundle dell'app: nessun dato di analisi viene mai trasmesso ad API AI cloud (OpenAI, Anthropic o altri).

Anche questi dati restano integralmente sul dispositivo e non vengono mai trasmessi a server applicativi Privavis (che non esistono) né a terze parti.

3.5 Backup opzionale su Google Drive (Premium, opt-in)

Le funzionalità Premium includono una funzione opzionale di backup su Google Drive per preservare i tuoi documenti tra dispositivi diversi o in caso di disinstallazione dell'app. Questa funzione è disattivata di default e si attiva solo se l'utente fa esplicito tap su "Connetti Google Drive" e completa il flusso di consenso OAuth nella schermata Impostazioni → Backup su Drive.

Cosa salviamo su Drive (se attivi il backup):

• l'archivio completo delle tue richieste GDPR (bozze, inviate, completate, con note personali e timestamp);
• i tuoi report PDF di audit della privacy, generati con la funzione "Esporta report";
• i tuoi dati personali per le richieste GDPR (nome ed email per le firme — solo se li hai inseriti volontariamente);
• le tue preferenze utente (lingua, app dichiarate fidate, profili Premium personalizzati).

Cosa NON salviamo su Drive: Privacy Score corrente, lista delle app installate, cronologia del Privacy Score di questo specifico dispositivo, snapshot dei permessi, output dell'anomaly score. Questi dati sono device-specific e si rigenerano automaticamente al primo avvio dell'app su un nuovo dispositivo. Non ha senso (e sarebbe potenzialmente fuorviante) trasferirli.

Ambito OAuth richiesto: lo scope è https://www.googleapis.com/auth/drive.file. Significa che Privavis può vedere, creare, modificare ed eliminare esclusivamente i file che ha creato lei stessa. Tutti gli altri file presenti nel tuo Google Drive (documenti, foto, lavoro, qualunque cosa) sono invisibili a Privavis. Questo è un limite imposto dallo stesso Google: non è una promessa basata sulla fiducia, è una limitazione tecnica del token OAuth.

I file di backup vengono salvati in una cartella chiamata "Privavis Backups" nel tuo "My Drive" personale, visibile in qualunque momento da drive.google.com. Vengono mantenute le ultime 10 versioni dei backup JSON; le precedenti vengono spostate nel cestino Drive (recuperabili per 30 giorni). I PDF di audit vengono invece conservati tutti, perché sono documenti storici personali.

Per disattivare il backup: tap su "Disconnetti" nella schermata Impostazioni → Backup su Drive. Privavis revoca il proprio token OAuth e smette di accedere al tuo Drive. I file di backup esistenti restano nel tuo Drive — puoi eliminarli manualmente dalla cartella "Privavis Backups", o lasciarli per un eventuale ripristino futuro.

Titolare del trattamento per il Drive: nei limiti del backup descritto, il titolare resta Privavis come servizio. Google LLC opera come responsabile del trattamento (data processor) per il servizio di storage Drive sottostante, ai sensi del proprio Data Processing Addendum disponibile su cloud.google.com/terms/data-processing-addendum.

4. Permessi Android richiesti dall'app

L'applicazione Privavis dichiara nel proprio manifest i seguenti permessi del sistema operativo Android:

4.1 QUERY_ALL_PACKAGES

Permesso necessario per leggere l'elenco completo delle app installate sul dispositivo. Senza questo permesso non è possibile fornire la funzione principale del prodotto — la diagnosi della privacy delle tue app. Google Play richiede una motivazione specifica per la concessione di questo permesso, che è dichiarata nella nostra console developer.

4.2 PACKAGE_USAGE_STATS

Permesso "speciale" che richiede un'autorizzazione manuale tramite la pagina di sistema "Accesso ai dati di utilizzo". Privavis lo utilizza esclusivamente per ponderare il calcolo del Privacy Score con i tuoi pattern d'uso reali. Puoi negare o revocare questo permesso in qualunque momento dalle Impostazioni Android, senza compromettere il funzionamento di base dell'app.

4.3 FOREGROUND_SERVICE e FOREGROUND_SERVICE_SPECIAL_USE

Permessi necessari per la funzione Blocco tracker (riservata al piano Premium), che mantiene attivo un servizio in primo piano (VpnTrackerBlockerService) dichiarato con foregroundServiceType="specialUse" e subtype on_device_dns_tracker_blocker.

Si tratta di un filtro DNS interamente locale: l'app si registra come server DNS virtuale sull'interfaccia loopback del telefono e risponde "dominio non esistente" alle richieste DNS dirette verso domini noti di tracker pubblicitari e di profilazione, basandosi su una blocklist statica embedded nell'APK al momento della build.

Nessun traffico viene inoltrato a server esterni di Privavis o di terzi. Privavis non vede i siti che visiti, non vede il contenuto delle comunicazioni, non registra i domini risolti. Vede solo il nome di dominio per cui deve decidere se rispondere "esiste" o "non esiste" e, al termine della sessione, conserva localmente solo il conteggio aggregato di richieste consentite vs bloccate (senza domini specifici) per mostrarti la statistica nella schermata Tracker.

Il tunnel VPN è attivo solo durante la sessione di blocco e viene chiuso automaticamente quando disattivi la funzione dall'app. Il DNS cifrato (DoH / DoT) non è intercettato perché viaggia su HTTPS verso resolver esterni e Privavis non lo può vedere; ciò significa che se il tuo browser o app usa il DNS cifrato il blocco di Privavis non lo coprirà, e l'esperienza utente è coerente con altri ad-blocker DNS-based.

Lo schema "VPN locale" è qui usato esclusivamente come meccanismo tecnico di Android per consentire a un'app di terze parti di intercettare le richieste DNS senza permessi di root; non viene effettuato alcun tunneling del traffico verso reti remote.

4.4 POST_NOTIFICATIONS

Permesso per generare notifiche locali. Privavis lo usa per due funzioni:

• Monitoraggio continuo (Premium): quando rilevi una nuova app installata con accessi sensibili o un'app esistente ottiene un nuovo accesso, l'app può notificarti tramite la barra di stato Android.
• Servizio Blocco tracker (Premium): notifica persistente del servizio in primo piano, obbligatoria per legge Android quando una VPN locale è attiva, per garantirti la consapevolezza che il blocco è in funzione.

Tutte le notifiche sono generate localmente sul tuo dispositivo, senza alcun push server, senza tracking dell'apertura, senza dati trasmessi a terzi. Puoi disattivare le notifiche in qualunque momento dalle Impostazioni Android.

4.5 Google Sign-In e accesso Drive (opt-in, Premium)

Solo se attivi la funzione di backup su Google Drive (Premium, descritta in sezione 3.5), l'app utilizza la libreria Google Play Services per Android per gestire il flusso di autenticazione OAuth verso il tuo account Google. Privavis dichiara nel manifest la dipendenza da com.google.android.gms:play-services-auth.

Il flusso di sign-in apre un dialog di sistema controllato dai Google Play Services del tuo dispositivo, dove tu confermi l'account Google da utilizzare e leggi la lista degli scope richiesti (drive.file, email, profile, openid per identificare l'account). Privavis non vede mai le tue credenziali Google (password, codici 2FA): l'autenticazione avviene direttamente tra il tuo Android e i server Google Auth.

Una volta completato il sign-in, l'app conserva localmente sullo storage del dispositivo il token di accesso (access token) e il refresh token rilasciati da Google, necessari per chiamare l'API Drive. Questi token vengono revocati automaticamente quando tap su "Disconnetti" o quando disinstalli l'app. Possono inoltre essere revocati in qualunque momento dal pannello di sicurezza del tuo account Google (myaccount.google.com → Sicurezza → App di terze parti con accesso al tuo account).

4.6 Identificatore Pubblicitario Google (AD_ID) — solo per detection dello stato

A partire dalla versione 1.0.1, Privavis dichiara nel manifest il permesso com.google.android.gms.permission.AD_ID ed include la libreria com.google.android.gms:play-services-ads-identifier per un unico scopo: leggere lo stato globale dell'Identificatore Pubblicitario Google (AD_ID) sul tuo dispositivo e mostrarti, nella schermata di dettaglio di ogni app, se hai già eliminato l'ID pubblicitario a livello sistema (Impostazioni → Google → Annunci → Elimina ID pubblicitario).

In questa categoria su Google Play Console abbiamo dichiarato l'uso dell'AD_ID con scopo "Funzionalità dell'app", non per pubblicità né per analisi.

Cosa Privavis NON fa con l'AD_ID:

• Non lo invia ad alcun server, nostro o di terze parti.
• Non lo utilizza per profilazione, tracking, fingerprinting o personalizzazione.
• Non lo conserva. La chiamata AdvertisingIdClient.getAdvertisingIdInfo() viene eseguita esclusivamente sul dispositivo, in memoria, e il valore viene immediatamente scartato dopo aver letto se è "all zeros" (cioè se l'utente lo ha eliminato globalmente).
• Non lo associa al tuo profilo né a quello di altre app installate.
• Non lo condivide con inserzionisti, ad network, partner pubblicitari o servizi di analytics.

L'unica informazione che Privavis ricava da quella lettura è una semplice etichetta interna di tre stati: "AD_ID attivo", "AD_ID eliminato globalmente", oppure "non disponibile" (es. dispositivi senza Google Play Services). Questa etichetta serve solo a colorare in verde il badge "Disattivato a livello sistema" nella schermata di dettaglio di un'app, quando appropriato, per evitare di farti credere che l'app stia ancora ricevendo il tuo identificatore univoco quando in realtà non lo riceve più.

Puoi disabilitare completamente questa lettura disinstallando l'app o disattivando manualmente il permesso "Annunci" dalle Impostazioni Android se la tua versione di Android lo consente.

Verifica esterna. Quanto descritto in questa sezione è dichiarato anche nella scheda "Sicurezza dei dati" di Privavis sul Google Play Store, visibile a chiunque visiti la pagina dell'app prima di installarla. In quella scheda dichiariamo che l'Identificatore Pubblicitario non viene condiviso con terzi e non viene trasmesso fuori dal tuo dispositivo, con lo scopo dichiarato di "Funzionalità dell'app". Le dichiarazioni di Sicurezza dei dati sono soggette al processo di revisione di Google Play: la loro coerenza con il comportamento effettivo dell'app è verificabile sia tecnicamente (analisi del codice e del traffico di rete dell'app) sia formalmente (la dichiarazione su Play Console è un'attestazione resa allo store, con conseguenze in caso di difformità). In altri termini: non ti chiediamo di fidarti di quanto qui scritto solo sulla parola — ti chiediamo di confrontare questa pagina con la scheda pubblica di Privavis su Google Play.

5. Sito privavis.com

Il sito istituzionale privavis.com è una pagina informativa statica. Non utilizza cookie di profilazione né cookie tecnici di terze parti. Le uniche elaborazioni che possono avvenire sono:

• Sottoscrizione alla waitlist: se inserisci la tua email nel form della pagina principale, riceveremo il tuo indirizzo. Lo utilizzeremo esclusivamente per inviarti aggiornamenti sullo sviluppo del prodotto e annunci di lancio. Puoi cancellarti in qualunque momento scrivendo a privacy@privavis.com. Il servizio di gestione mailing che useremo verrà comunicato qui prima dell'attivazione.
• Caratteri tipografici: il sito carica i caratteri Cormorant Garamond e Inter dal servizio Google Fonts. Il sistema Google Fonts può rilevare il tuo indirizzo IP per servire i caratteri stessi. Stiamo valutando il self-hosting dei caratteri per eliminare anche questa chiamata.
• Hosting: il sito è ospitato su infrastrutture in Europa. I log di accesso del server possono contenere l'indirizzo IP del visitatore e l'orario della visita per finalità tecniche (sicurezza, debug, diagnosi di errori). Tali log vengono ruotati e cancellati entro 14 giorni.

6. Funzionalità AI Premium (future)

In una versione futura, il piano Premium di Privavis includerà funzionalità di assistente intelligente basate sull'API di Anthropic. Tali funzionalità saranno esplicitamente opt-in, con un sistema di consenso a tre livelli:

1. un master toggle generale per abilitare l'AI;
2. un toggle separato per funzioni che richiedono una chiamata cloud, rispetto a quelle che operano on-device;
3. una conferma per ogni primo utilizzo che indica esattamente quali dati saranno inviati ad Anthropic.

Quando attiverai una di queste funzionalità, riceverai un'informativa supplementare specifica con il dettaglio dei trattamenti AI. I dati inviati saranno strettamente quelli necessari alla richiesta dell'utente, in forma anonima ove possibile, e non verranno conservati sui server Anthropic dopo l'elaborazione.

7. Pagamenti (Google Play) e validazione tramite RevenueCat

Il piano Premium di Privavis è venduto tramite il sistema di pagamento di Google Play (Google Play Billing). Il trattamento dei dati di pagamento (numero carta, indirizzo di fatturazione, ecc.) è di esclusiva responsabilità di Google ai sensi della propria informativa: policies.google.com/privacy.

Per gestire la validazione lato server degli acquisti Google Play e l'attivazione dell'entitlement Premium sul tuo dispositivo, Privavis utilizza il servizio RevenueCat (RevenueCat, Inc., 410 Townsend St, San Francisco, CA, USA), che opera come responsabile del trattamento (data processor) per nostro conto ai sensi del proprio Data Processing Addendum: revenuecat.com/dpa. RevenueCat è certificata conforme al GDPR ed è inserita nel Data Privacy Framework UE-USA.

Quando acquisti, rinnovi o ripristini un abbonamento, Privavis trasmette a RevenueCat:

• il purchase token ricevuto da Google Play per la transazione (è un identificativo opaco dell'acquisto, non contiene dati finanziari);
• un identificativo anonimo del dispositivo (UUID generato dall'SDK RevenueCat al primo avvio, non collegato al tuo account Google né a un'identità reale).

Privavis riceve in cambio da RevenueCat esclusivamente lo stato del tuo entitlement Premium (attivo / scaduto / annullato / in periodo di grazia), senza alcun dato finanziario. RevenueCat conserva la cronologia degli acquisti finché l'abbonamento esiste, per gestire rinnovi, restore purchases e refund.

Questa è l'unica comunicazione di rete che Privavis effettua verso server di terze parti durante l'uso ordinario dell'app. La promessa "tutto on-device" si applica al trattamento dei dati di privacy delle tue app; non si applica (e non potrebbe applicarsi) al meccanismo di validazione degli acquisti, che richiede per definizione di parlare con un server.

8. I tuoi diritti

Ai sensi degli articoli 15-22 del GDPR, hai diritto di:

• accedere ai tuoi dati personali eventualmente trattati da Privavis (Art. 15);
• chiederne la rettifica se inesatti (Art. 16);
• chiederne la cancellazione (Art. 17, "diritto all'oblio");
• chiedere la limitazione del trattamento (Art. 18);
• ricevere i tuoi dati in formato strutturato e leggibile da dispositivo automatico (Art. 20, portabilità);
• opporti al trattamento (Art. 21);
• non essere sottoposto a decisioni automatizzate (Art. 22).

Per esercitare uno qualsiasi di questi diritti, scrivici a privacy@privavis.com. Ti risponderemo entro 30 giorni come previsto dall'art. 12 del Regolamento. Considera che, dato il modello on-device di Privavis, l'unico dato che potremmo avere su di te è il tuo indirizzo email se ti sei iscritto alla waitlist.

Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali italiano (gpdp.it) o all'autorità di controllo dello Stato membro UE in cui risiedi.

9. Conservazione dei dati

I dati che restano sul tuo telefono (vedi sezione 3) sono conservati finché tu non disinstalli l'app o non li cancelli manualmente. L'indirizzo email della waitlist, ove fornito, è conservato fino al momento in cui ci chiedi di rimuoverlo oppure fino al lancio del prodotto + 24 mesi successivi, dopodiché sarà cancellato in automatico salvo tua espressa richiesta di mantenerlo.

10. Trasferimenti extra-UE

I dati che restano sul tuo telefono non vengono trasferiti a nessun paese, dato che non escono dal dispositivo. L'indirizzo email della waitlist e gli log di hosting restano nello Spazio Economico Europeo.

Per i trattamenti che si appoggiano a fornitori statunitensi (RevenueCat per la validazione degli acquisti Google Play, Google Drive per il backup opzionale), il trasferimento di dati personali verso gli Stati Uniti avviene sulla base del Data Privacy Framework UE-USA e, in subordine, sulle clausole contrattuali standard (SCC) adottate dai rispettivi fornitori. RevenueCat è certificata DPF (vedi dataprivacyframework.gov). Google LLC è certificata DPF per i servizi Google Workspace e Google Cloud, inclusa l'API Drive utilizzata da Privavis.

In ogni caso, i dati trasferiti sono minimi: per RevenueCat un UUID anonimo + un purchase token Google; per Drive, soltanto i contenuti che tu decidi di salvare attivando il backup (richieste GDPR, audit PDF, preferenze), restando i file nel tuo account Drive personale.

11. Modifiche all'informativa

Questa informativa può essere aggiornata nel tempo, in particolare quando Privavis introdurrà nuove funzionalità o nuovi fornitori. Le modifiche significative ti verranno comunicate tramite la versione successiva dell'app e tramite il sito. La versione corrente di questo documento è sempre indicata in testa alla pagina.

Le modifiche introdotte rispetto alla versione precedente di questo documento riguardano principalmente: (i) sezione 3.4 estesa con il dettaglio sull'anomaly score AI on-device; (ii) sezione 3.5 di nuova introduzione, dedicata al backup opzionale su Google Drive (scope drive.file, opt-in dell'utente, cosa viene e non viene salvato); (iii) sezione 4.5 di nuova introduzione, sul flusso Google Sign-In utilizzato esclusivamente per il backup Drive opzionale; (iv) sezione 7 estesa con il dettaglio sull'integrazione di RevenueCat come responsabile del trattamento per la validazione degli acquisti Google Play; (v) sezione 10 aggiornata con i fondamenti giuridici dei trasferimenti verso gli USA (Data Privacy Framework + SCC).

12. Contatti

Per qualsiasi domanda, richiesta o segnalazione relativa alla presente informativa:

• Email DPO / privacy: privacy@privavis.com
• Email generale: hello@privavis.com
• Sito web: privavis.com