In vigore dal 20 aprile 2026 · Ultimo aggiornamento: 17 giugno 2026
Questa Privacy Policy descrive come cosaManca raccoglie, utilizza e protegge i dati personali degli utenti del sito www.cosamanca.com e dell'applicazione mobile cosaManca (di seguito, congiuntamente, "Servizio"). Il documento è redatto in conformità al Regolamento (UE) 2016/679 ("GDPR") e alla normativa nazionale applicabile (in particolare il Datenschutzgesetz austriaco — "DSG").
1. Titolare del trattamento
Il Titolare del trattamento dei dati è Davide Negri, persona fisica proprietaria del progetto cosaManca (non costituito in forma societaria), con stabilimento a Graz (Austria).
Account unico per le app del Titolare. L'autenticazione (account ed eventuale login Google) è condivisa fra le applicazioni del medesimo Titolare — cosaManca, lo butto lo mangio e spesometro — per consentirti un unico accesso. I dati applicativi restano rigorosamente isolati per ciascuna app (schemi di database separati): nessun dato inserito in un'app è accessibile o utilizzato da un'altra. La cancellazione dell'account elimina l'identità condivisa e, con essa, l'accesso a tutte le app del Titolare.
2. Dati raccolti
Raccogliamo le seguenti categorie di dati personali:
2.1 Dati forniti direttamente dall'utente
Indirizzo email — quando ti iscrivi alla lista d'attesa sul sito o crei un account nell'app.
Dati di accesso — credenziali di autenticazione (password crittografata; oppure token OAuth in caso di login via provider di terze parti come Google).
Preferenze personali — se scegli di dichiararle: lista dei prodotti preferiti, eventuali restrizioni alimentari, catene di supermercati selezionate.
Scontrini fotografati — quando decidi di scansionare uno scontrino per aggiornare le tue statistiche di spesa. La foto viene elaborata da un modello di intelligenza artificiale generativa di terze parti (Google Gemini) per estrarre prodotti, prezzi e supermercato; il testo estratto viene associato al tuo account, la foto originale viene cancellata dai nostri server entro 30 giorni. I dati elaborati dal modello AI sono trattati in forma transitoria, non sono conservati dal provider AI e non sono utilizzati per addestrare modelli.
Dettatura vocale — quando utilizzi la funzionalità di dettatura della lista, l'audio viene trascritto sul tuo dispositivo dal sistema di riconoscimento vocale di Android (Google Speech Recognition); il solo testo trascritto viene poi inviato al modello AI Gemini per interpretare l'intento (aggiungi, rimuovi, crea lista) e produrre le azioni corrispondenti. L'audio non viene mai inviato ai nostri server.
2.2 Dati raccolti automaticamente
Dati di utilizzo — pagine visitate, interazioni con l'app, tempo di permanenza, funzionalità utilizzate. Raccolti in forma aggregata e senza identificatori persistenti.
Dati tecnici — versione del sistema operativo, modello del dispositivo, identificatore anonimo del dispositivo, lingua, fuso orario.
Posizione geografica — quando autorizzi il permesso di localizzazione, per mostrarti i supermercati nelle vicinanze. La posizione non viene mai registrata sui nostri server in forma permanente; è usata solo per la singola sessione di ricerca.
Dati di pagamento — per l'abbonamento Premium, i pagamenti sono gestiti esclusivamente tramite Google Play Billing. Noi non veniamo mai in possesso dei dati della carta di credito o di altre coordinate di pagamento; riceviamo da Google Play unicamente un identificatore anonimo di acquisto e lo stato dell'abbonamento (attivo, scaduto, annullato).
2.3 Dati che NON raccogliamo
Nome e cognome (non obbligatori; puoi usare lo pseudonimo che preferisci)
Numero di telefono
Indirizzo di residenza
Dati dei contatti della tua rubrica
2.4 Possibili dati particolari deducibili dagli scontrini
Quando scegli di scansionare uno scontrino, gli articoli acquistati che ne risultano possono — in determinati casi — consentire di dedurre informazioni che ricadono nelle "categorie particolari" dell'art. 9 GDPR. Esempi non esaustivi:
Acquisto ricorrente di alimenti "senza glutine" → possibile condizione di celiachia
Acquisto di insulina, glicemia, farmaci da banco specifici → possibili condizioni di salute
Acquisto di latte vegetale, prodotti lactose-free → possibili intolleranze
Acquisto di contraccettivi → informazioni relative alla vita sessuale
Acquisto regolare di alimenti halal/kosher → possibili convinzioni religiose
Acquisto di alimenti per bambini 0-12 mesi → presenza di minori in famiglia
Trattiamo questi dati esclusivamente per le finalità che tu autorizzi:
Statistiche personali della tua spesa (visibili solo a te nell'app): base giuridica = consenso esplicito (art. 9.2.a GDPR) prestato all'attivazione della funzione di scansione scontrini. Puoi revocarlo in ogni momento cancellando i singoli scontrini dall'app o l'intero account.
Osservazioni di prezzo anonime per il catalogo (prezzi crowdsourced): dai tuoi scontrini estraiamo esclusivamente osservazioni di prezzo (prodotto, prezzo, supermercato, data) in forma totalmente anonima, senza alcun riferimento all'utente e senza i dati particolari di cui sopra. Trattandosi di dati anonimi sono fuori dall'ambito del GDPR e non richiedono consenso; ne forniamo comunque informativa per trasparenza. Il dettaglio dei tuoi articoli (da cui tali dati particolari potrebbero dedursi) non viene condiviso e, per il Piano Free, viene rimosso entro 7 giorni (cfr. §6).
Non utilizziamo i dati deducibili dagli scontrini per profilazione pubblicitaria, scoring assicurativo, scoring creditizio, o per finalità diverse da quelle sopra esplicitamente elencate.
3. Finalità e basi giuridiche
Finalità
Base giuridica (art. 6 GDPR)
Dati trattati
Fornire il Servizio (creazione account, accesso, funzionalità app)
Esecuzione del contratto (art. 6.1.b)
Email, dati di accesso, preferenze
Iscrizione alla lista d'attesa e invio di comunicazioni di aggiornamento sul progetto
Per erogare il Servizio ci avvaliamo di fornitori selezionati, tutti con accordi di Responsabile del trattamento (art. 28 GDPR) e garanzie GDPR-compliant:
Cloudflare, Inc. (USA / Irlanda) — hosting del sito, edge functions, CDN, anti-DDoS, distribuzione delle API tramite Cloudflare Pages e Workers. Privacy Policy.
Brevo (Sendinblue SAS) (Francia) — invio email transazionali e di benvenuto agli iscritti alla waitlist. Privacy Policy.
Infrastruttura self-hosted del Titolare — il database PostgreSQL degli utenti, l'autenticazione (account e login OAuth), la sincronizzazione in tempo reale della lista della spesa e i backup sono ospitati su un server dedicato gestito direttamente dal Titolare, situato nel data center di Hetzner Online GmbH a Falkenstein (Germania, UE). Il software di gestione è amministrato dal Titolare; Hetzner agisce quale responsabile del trattamento limitatamente alla fornitura e manutenzione dell'infrastruttura fisica. Privacy Policy Hetzner.
Google LLC (USA) — autenticazione tramite account Google (OAuth), Google Play Billing per la gestione dell'abbonamento Premium, Firebase Cloud Messaging per le notifiche push, Google Speech Recognition on-device per la trascrizione vocale, Google Gemini API per le funzionalità di intelligenza artificiale generativa (OCR scontrini, parsing dettatura vocale, normalizzazione ingredienti, classificazione prodotti). I dati inviati a Gemini sono trattati in forma transitoria, non sono conservati dal provider e non sono utilizzati per l'addestramento dei modelli. Privacy Policy Google · Gemini API Terms.
Hetzner Online GmbH (Germania) — server dedicato che ospita il motore di ricerca Meilisearch dei prodotti. I dati personali identificativi degli utenti non transitano su questa infrastruttura: vi sono ospitati esclusivamente cataloghi prodotti pubblici e indici di ricerca senza riferimenti utente.
Meilisearch — motore di ricerca prodotti open-source (self-hosted dal Titolare su infrastruttura Hetzner). Non riceve dati personali identificativi.
Non vendiamo né concediamo in licenza i tuoi dati personali a terze parti per finalità di marketing.
5. Trasferimenti extra-UE
I dati principali degli utenti (account, preferenze, liste, scontrini) sono ospitati all'interno dell'Unione Europea (Germania) e non sono soggetti a trasferimento extra-UE.
Alcuni fornitori accessori sono basati fuori dall'Unione Europea (principalmente USA: Cloudflare per edge/CDN, Google per OAuth, billing e funzionalità AI). In tali casi, il trasferimento avviene esclusivamente con le garanzie previste dal GDPR:
Adeguatezza ex art. 45 GDPR (EU-US Data Privacy Framework, ove applicabile)
Standard Contractual Clauses (SCC) approvate dalla Commissione Europea
Misure tecniche e organizzative supplementari (cifratura in transito e a riposo)
6. Periodo di conservazione
Email waitlist: fino a revoca del consenso (disiscrizione con un click da ogni email) o per massimo 24 mesi di inattività.
Account utente: per tutta la durata del rapporto contrattuale; 90 giorni dopo la cancellazione dell'account per eventuali adempimenti.
Dati di utilizzo aggregati: anonimizzati e conservati senza limite temporale ai fini statistici.
Foto scontrini: 30 giorni dall'upload, poi cancellazione automatica.
Dettaglio scontrini (lista articoli, dati nutrizionali) — Piano Free: il dettaglio dei singoli prodotti è conservato per un massimo di 7 giorni dalla data dello scontrino (per consentirti la verifica e la correzione), dopodiché viene rimosso automaticamente. Restano disponibili solo le statistiche di spesa (totale, per supermercato, andamento nel tempo), prive del dettaglio dei singoli articoli e dei dati nutrizionali. Per accedere a tutti i tuoi dati prima della rimozione puoi usare l'esportazione gratuita in-app (art. 15 GDPR).
Dettaglio scontrini — Piano Premium: conservato per tutta la durata dell'abbonamento e per 90 giorni dopo la sua cessazione, salvo cancellazione richiesta dall'utente. Passando da Free a Premium, il dettaglio già rimosso non viene ripristinato.
Osservazioni di prezzo anonime: dagli scontrini estraiamo osservazioni di prezzo (prodotto, prezzo, supermercato, data) in forma totalmente anonima, prive di qualunque riferimento all'utente, conservate a tempo indeterminato per alimentare il catalogo prezzi. Essendo dati anonimi non costituiscono dati personali ai sensi del GDPR.
Dati di pagamento: non trattati direttamente dal Titolare. La conservazione dei dati fiscali legati alle transazioni Premium è a carico di Google Play secondo le proprie policy.
7. Diritti dell'utente
In qualità di interessato puoi esercitare in ogni momento, a titolo gratuito, i seguenti diritti:
Accesso (art. 15 GDPR) — ottenere una copia dei tuoi dati
Rettifica (art. 16) — correggere dati inesatti
Cancellazione / "diritto all'oblio" (art. 17) — chiedere la rimozione dei dati
Limitazione (art. 18) — chiedere di sospendere il trattamento
Portabilità (art. 20) — ricevere i dati in formato strutturato e trasferirli altrove
Opposizione (art. 21) — opporti al trattamento basato sul legittimo interesse
Revoca del consenso — in ogni momento, senza pregiudicare la liceità del trattamento precedente
Reclamo all'autorità di controllo — proporre reclamo all'autorità competente per il Titolare, la Datenschutzbehörde austriaca (DSB) (www.dsb.gv.at). Ai sensi dell'art. 77 GDPR puoi comunque proporre reclamo all'autorità del tuo Stato di residenza (es. il Garante italiano, www.garanteprivacy.it)
Per esercitare uno qualsiasi di questi diritti scrivi a [email protected]. Risponderemo entro 30 giorni.
8. Minori
cosaManca non è destinato a minori di 14 anni, in conformità con l'art. 8 GDPR e con il §4(4) del Datenschutzgesetz austriaco (DSG), che fissano a 14 anni l'età per il consenso digitale. Non raccogliamo intenzionalmente dati di minori di 14 anni. Se vieni a conoscenza che un minore di 14 anni ci ha fornito dati senza il consenso dei genitori, contattaci a [email protected] e provvederemo tempestivamente alla cancellazione.
I minori di età compresa tra i 14 e i 17 anni possono utilizzare le funzionalità gratuite del Servizio in autonomia. Per la sottoscrizione del Piano Premium e per qualsiasi acquisto in-app è richiesto il consenso dei genitori o di chi esercita la responsabilità genitoriale (tipicamente acquisito tramite gli strumenti di controllo parentale di Google Family Link). Si rinvia per il dettaglio all'art. 3 dei Termini e Condizioni.
9. Sicurezza
Applichiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati, tra cui:
Cifratura TLS 1.3 per tutte le comunicazioni
Database ospitato nell'UE, senza porte esposte pubblicamente, con isolamento dei dati per applicazione e per utente (Row Level Security)
Autenticazione a due fattori sugli account di amministrazione
Backup automatici giornalieri con rotazione
Accesso ai dati limitato al minimo personale necessario
Monitoraggio continuo dello stato dei servizi
Nessun sistema è sicuro al 100%; in caso di violazione dei dati, ti informeremo entro 72 ore come previsto dall'art. 33 GDPR.
10. Cookie e tecnologie analoghe
Il sito www.cosamanca.com utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del Servizio (ad esempio, mantenimento della sessione, preferenze linguistiche). Tali cookie tecnici non richiedono consenso preventivo ai sensi dell'art. 5(3) della Direttiva ePrivacy (2002/58/CE) e della relativa normativa nazionale di recepimento.
Il sito non utilizza cookie di profilazione, cookie pubblicitari, cookie di tracciamento cross-site o tecnologie di fingerprinting. Non impieghiamo strumenti di analytics di terze parti che installino cookie sul dispositivo dell'utente.
L'infrastruttura di hosting Cloudflare può utilizzare cookie tecnici di sicurezza (anti-DDoS, anti-bot) con finalità esclusivamente difensive e senza tracciamento dell'utente. Per dettagli: Cookie Policy di Cloudflare.
L'applicazione mobile cosaManca non utilizza cookie. Gli identificatori tecnici eventualmente raccolti sono descritti al §2.2 della presente Privacy Policy.
L'utente può in ogni momento bloccare o rimuovere i cookie tramite le impostazioni del proprio browser, con possibile impatto sulla fruibilità di alcune funzionalità.
11. Modifiche a questa policy
Potremmo aggiornare questa Privacy Policy per riflettere cambiamenti nel Servizio o nella normativa. La versione corrente è sempre consultabile a questo indirizzo. Le modifiche sostanziali verranno comunicate via email agli utenti registrati con almeno 30 giorni di preavviso.
12. Contatti
Per qualsiasi domanda su questa Privacy Policy o sul trattamento dei tuoi dati: