Privacy & CompliancePrivacy & Compliance

Privacy HubPrivacy Hub

Privacy Policy, Subprocessor Register, Data Subject Request, Cookie Notice, Breach Transparency, Architettura tecnica e Terms of Service. Sei pagine interconnesse, una fonte di verità: GDPR (UE) + CCPA (California) + ePrivacy compliant.Privacy Policy, Subprocessor Register, Data Subject Request, Cookie Notice, Breach Transparency, technical Architecture and Terms of Service. Six interconnected pages, one source of truth: GDPR (EU) + CCPA (California) + ePrivacy compliant.

Ultimo aggiornamento 8 luglio 2026 · Titolare: Matteo Sardi, Torino (IT)Last updated July 8, 2026 · Data Controller: Matteo Sardi, Torino (IT)

1 · Privacy Policy in breve1 · Privacy Policy in brief

FamSync non raccoglie nome, email, numero di telefono, posizione GPS, contatti o dati biometrici. L'identità è anonima (Firebase Anonymous Auth), il codice famiglia è l'unica "porta" di accesso, e i dati sensibili sono cifrati lato client con AES-256 prima di uscire dal dispositivo.FamSync does not collect name, email, phone number, GPS location, contacts or biometrics. Identity is anonymous (Firebase Anonymous Auth), the family code is the only "door" in, and sensitive data is AES-256 encrypted client-side before leaving the device.

Per la versione integrale articolo-per-articolo (introduzione, base legale Art. 6 GDPR, terze parti, diritti dei minori, tuoi diritti, trasferimenti internazionali, conservazione, sicurezza, modifiche, contatti) vedi ogni sezione qui sotto. Ogni blocco ha una pagina dedicata oppure un paragrafo di sintesi in questa stessa pagina.For the full article-by-article GDPR text (introduction, legal basis Art. 6, third parties, children's rights, your rights, international transfers, retention, security, changes, contacts) see each section below. Each block has a dedicated page or a summary paragraph on this same page.

Account anonimoUID anonimo + device ID (UUID locale in flutter_secure_storage).Anonymous UID + device ID (local UUID in flutter_secure_storage).
Dati famigliaCodice 6 char, eventi, spese, ruoli, Safe Notes cifrate. Nome del bambino opzionale.6-char code, events, expenses, roles, encrypted Safe Notes. Child name optional.
Base legaleArt. 6(1)(b) esecuzione, 6(1)(a) consenso (push, IDFA), 6(1)(f) legittimo interesse (crashlytics).Art. 6(1)(b) service, 6(1)(a) consent (push, IDFA), 6(1)(f) legitimate interest (crashlytics).
MinoriFamSync è per adulti (genitori). Nessun dato raccolto direttamente dai bambini (COPPA, GDPR Art. 8).FamSync is for adults (parents). No data directly from minors (COPPA, GDPR Art. 8).
I tuoi dirittiAccesso, rettifica, cancellazione, limitazione, portabilità, opposizione, reclamo. Esercitali qui →Access, rectification, erasure, restriction, portability, objection, complaint. Exercise here →
TrasferimentiEU → US: EU-U.S. Data Privacy Framework + SCC. Mai deroghe Art. 49 GDPR.EU→US: EU-U.S. Data Privacy Framework + SCC. Never Art. 49 GDPR derogations.
ConservazioneFamiglia attiva = indefinita. Inattiva 365g → auto-purge. Crashlytics 90g aggregato. UMP 13 mesi.Active family = indefinite. Inactive 365d → auto-purge. Crashlytics 90d aggregated. UMP 13 months.
SicurezzaAES-256-CBC Safe Notes (key=SHA-256(familyId)), AES-256-GCM EncryptedSharedPreferences, TLS 1.2+, Firestore Rules.AES-256-CBC Safe Notes (key=SHA-256(familyId)), AES-256-GCM EncryptedSharedPreferences, TLS 1.2+, Firestore Rules.
ModificheData aggiornata in alto. Notifica in-app la prossima volta che apri. Mai retroattive senza consenso.Updated date above. In-app notified next time you open. Never retroactive without consent.
ContattiRisposta entro 7gg lavorativi. Cancellazione entro 30gg (GDPR).Response within 7 business days. Deletion within 30 days (GDPR). · famsync.coparent@gmail.com
ModificheData aggiornata in alto. Notifica in-app la prossima volta che apri. Mai retroattive senza consenso.Updated date above. In-app notified next time you open. Never retroactive without consent.
Promessa chiave.Key promise. FamSync è progettato attorno al principio data minimization: raccogli solo ciò che serve alla funzione, niente di più. Nessun tracciamento pubblicitario cross-app senza il tuo consenso ATT/UMP esplicito.FamSync is designed around the principle of data minimization: collect only what's needed for the function, nothing more. No cross-app advertising tracking without your explicit ATT/UMP consent.

2 · Le sei pagine di questa sezione2 · The six pages in this section

Per evitare di nascondere 80 KB di testo legale in un'unica mega-pagina, FamSync pubblica sei pagine dedicate. Questa Privacy Hub è solo l'indice e il form DSR. Tutto il testo articolo-per-articolo vive nelle pagine seguenti.To avoid burying 80 KB of legal text in a single mega-page, FamSync publishes six dedicated pages. This Privacy Hub is only the index and DSR form. The full article-by-article text lives in the pages below.

A

Architettura tecnicaTechnical Architecture

Drift/SQLite · AES-256 · Firebase Anonymous · Firestore EU

Stack di dieci layer: FamSyncDatabase locale (Drift), Vault AES-256 con chiave SHA-256(familyId), Flutter Secure Storage AES-256-GCM Android Keystore, Firebase Authentication anonimo (retry 2s/4s/6s), Cloud Firestore in regione UE, Riverpod reactive, FCM push, retention 365g inattivi. Diagramma data-flow inline SVG 760×360.Ten-layer architecture: local FamSyncDatabase (Drift), AES-256 vault with SHA-256(familyId) key derivation, Flutter Secure Storage AES-256-GCM Android Keystore, anonymous Firebase Authentication (retry 2s/4s/6s), Cloud Firestore in EU region, Riverpod reactive state, FCM push, 365-day inactive family auto-purge. Inline 760×360 SVG data-flow diagram.

Apri la pagina completaOpen full page
B

Subprocessor Register (Art. 28.2 GDPR)Subprocessor Register (Art. 28.2 GDPR)

Google Ireland (Auth/Firestore/FCM/Crashlytics/RemoteConfig/AdMob/Sign-In) · Play Store · App Store · APNs · ATT

Tabella con sede, dati trattati, badge EU/US/DPF/OPT. Notifica di modifica almeno 30 giorni prima dell'attivazione (GDPR Art. 28.2 + best practice). Trasferimenti extra-UE coperti da EU-U.S. Data Privacy Framework (Decisione (UE) 2023/1795) + Standard Contractual Clauses (Decisione (UE) 2021/914).Table with location, data processed, EU/US/DPF/OPT badges. Change notification at least 30 days before going live (Art. 28.2 GDPR + best practice). Extra-EU transfers covered by EU-U.S. Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795) + Standard Contractual Clauses (Decision (EU) 2021/914).

Apri la pagina completaOpen full page
C

Cookie / ePrivacy NoticeCookie / ePrivacy Notice

Zero tracking · solo cache CDN + storage lingua

Queste pagine web statiche NON usano Google Analytics, Meta Pixel, Hotjar, Clarity, Mixpanel, fingerprinting o cookie pubblicitari di terze parti. Eccezione ePrivacy Recital 30 + GDPR Art. 5(3): solo cookie tecnici limitati a Firebase Hosting CDN cache + localStorage lingua IT/EN.These static web pages do NOT use Google Analytics, Meta Pixel, Hotjar, Clarity, Mixpanel, fingerprinting or third-party advertising cookies. ePrivacy Recital 30 + GDPR Art. 5(3) exception: only technical cookies limited to Firebase Hosting CDN cache + IT/EN language localStorage.

Apri la pagina completaOpen full page
D

Breach Transparency (Art. 33-34 GDPR)Breach Transparency (Art. 33-34 GDPR)

Storico: CLEAN HISTORY dal lancio (marzo 2026)

FamSync non ha mai subito un data breach che richiedesse notifica all'autorità di controllo dal lancio (marzo 2026). Procedura di risposta documentata in 4 step con timeline: detection <4h, containment <24h, authority notification <72h, user notification ASAP. Matrice decisionale per severity 1/2/3.FamSync has never experienced a data breach requiring supervisory authority notification since launch (March 2026). Response procedure documented in 4-step timeline: detection <4h, containment <24h, authority notification <72h, user notification ASAP. Severity 1/2/3 decision matrix.

Apri la pagina completaOpen full page
E

Terms of ServiceTerms of Service

8 articoli · accettazione al primo codice famiglia

I Terms regolano l'uso di FamSync. Sono accettati implicitamente quando crei la tua prima famiglia o scarichi l'app. Otto articoli: il servizio, account e famiglia, contenuti dell'utente, pagamenti gratuiti, sospensione, limitazione di responsabilità, modifiche, legge applicabile (Italia).The Terms govern FamSync use. They are accepted implicitly when you create your first family or download the app. Eight articles: the service, account & family, user content, free of charge, suspension, liability limitations, modifications, applicable law (Italy).

Apri la pagina completaOpen full page

3 · Data Subject Request3 · Data Subject Request

Il form è ancora qui per chi arriva da link storici (#dsr o #dsr-form). Compila i campi: il submit apre il tuo client email con un messaggio precompilato verso famsync.coparent@gmail.com. Nessun dato transita da Google Forms, Typeform o simili.The form is still here for anyone arriving from historical links (#dsr or #dsr-form). Fill the fields: submit opens your email client with a pre-filled message to famsync.coparent@gmail.com. No data transits via Google Forms, Typeform or similar.

oppure scrivi aor write to famsync.coparent@gmail.com
Tempi.Timings. Acknowledgement entro 7 giorni (GDPR Art. 12.3 + 12.4). Evasione entro 30 giorni. Costo: gratuito (Art. 12.5).Acknowledgement within 7 days (Art. 12.3 + 12.4). Fulfilment within 30 days. Cost: free (Art. 12.5).

Reclamo all'autorità di controllo: Garante per la protezione dei dati personali · www.garanteprivacy.it · Tel: +39 06 69677 1 · PEC: protocollo@pec.garanteprivacy.itComplaint to supervisory authority: Garante per la protezione dei dati personali · www.garanteprivacy.it · Tel: +39 06 69677 1 · PEC: protocollo@pec.garanteprivacy.it

Torna alla homeBack to home · Architecture → · Terms →