Informativa sulla privacy — GestTab

Ultimo aggiornamento: 28 maggio 2026

Versione applicabile alla web app e all'app mobile GestTab (iOS, Android).

1. Titolare del trattamento

Il Titolare del trattamento è:
DOC SYSTEM di Vittorio Manenti
Via Cardinal Raimondi 9A — 15011 Acqui Terme (AL), Italia
P.IVA 02081830065
E-mail per richieste privacy: [email protected]

Non è stato nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone l'obbligo ai sensi dell'art. 37 GDPR.

2. Ambito di applicazione

La presente informativa si applica al servizio GestTab nelle sue componenti:

• backend e servizi web esposti su gesttab.docsystem.it;
• app mobile GestTab per iOS e Android;
• eventuali comunicazioni e-mail di servizio collegate all'account.

GestTab è destinato esclusivamente a soggetti professionali (titolari e collaboratori di tabaccherie con concessione AAMS attiva). Non è rivolto a minori né al pubblico dei consumatori.

3. Categorie di dati raccolti

3.1 Dati forniti dall'utente in fase di registrazione e utilizzo

• Indirizzo e-mail (per identificazione, login e verifica account);
• Password, conservata esclusivamente in forma hash non reversibile (algoritmo bcrypt);
• Codice rivendita AAMS della tabaccheria;
• Dati anagrafici della rivendita: ragione sociale, partita IVA, codice fiscale, indirizzo, recapiti telefonici;
• Contenuto degli ordini preparati e archiviati tramite l'app (codici prodotto AAMS, quantità, data, numero ordine);
• Eventuali dati comunicati volontariamente nell'ambito delle richieste di assistenza.

3.2 Dati raccolti automaticamente

• Dati tecnici di accesso: indirizzo IP, data e ora delle richieste, versione dell'app, sistema operativo, modello del dispositivo, lingua.
• Dati diagnostici e di stabilità raccolti tramite Firebase Crashlytics (Google Ireland Ltd.) per individuare e correggere crash e malfunzionamenti. Tali dati includono identificativi tecnici del dispositivo, stack trace dell'errore e contesto di esecuzione; non includono il contenuto degli ordini né l'e-mail dell'utente.
• Dati di utilizzo aggregati tramite Firebase Analytics (Google Ireland Ltd.) per misurare l'utilizzo delle funzionalità e migliorare il servizio. È disponibile un identificativo pseudonimo dell'installazione; non utilizziamo tali dati per profilazione pubblicitaria e non condividiamo i dati con altre app o inserzionisti.

3.3 Permessi del dispositivo mobile

• Fotocamera: utilizzata esclusivamente per leggere il codice a barre (EAN) del prodotto durante la compilazione di un ordine. Nessuna immagine o video viene salvato sul dispositivo né trasmesso ai nostri server.
• Autenticazione biometrica (Face ID / Touch ID / impronta digitale): utilizzata facoltativamente, su scelta dell'utente, per sbloccare l'app. I dati biometrici sono gestiti interamente dal sistema operativo del dispositivo (Apple Secure Enclave / Android Keystore); non vengono mai letti, trasmessi né conservati da DOC SYSTEM.
• Archiviazione sicura (Keychain iOS / EncryptedSharedPreferences Android): utilizzata per conservare in locale il token di sessione e le credenziali quando l'utente attiva la funzione "Resta connesso".

4. Finalità del trattamento e basi giuridiche

Finalità	Base giuridica
Fornitura del servizio gestionale, autenticazione, gestione anagrafica della rivendita, archiviazione e invio degli ordini al deposito fiscale.	Esecuzione di un contratto — art. 6(1)(b) GDPR.
Comunicazioni di servizio (verifica e-mail, reset password, conferma cambio e-mail).	Esecuzione di un contratto — art. 6(1)(b) GDPR.
Sicurezza del servizio, prevenzione di abusi e accessi non autorizzati, registrazione dei log tecnici.	Legittimo interesse del Titolare — art. 6(1)(f) GDPR.
Analisi tecnica dei crash e miglioramento dell'app (Firebase Crashlytics / Analytics).	Legittimo interesse del Titolare — art. 6(1)(f) GDPR.
Adempimento di obblighi di legge, fiscali o di risposta a richieste delle autorità competenti.	Obbligo legale — art. 6(1)(c) GDPR.

Non utilizziamo i dati per profilazione automatizzata né per finalità di marketing. Non vendiamo dati personali a terzi.

5. Destinatari dei dati

I dati possono essere trattati, nell'ambito delle rispettive competenze, da:

• personale autorizzato di DOC SYSTEM;
• fornitori tecnici che agiscono come Responsabili del trattamento ex art. 28 GDPR:
  • Google Ireland Ltd. per i servizi Firebase Crashlytics e Firebase Analytics (policy Google);
  • provider del server di posta utilizzato per le e-mail di servizio;
  • fornitore del servizio di hosting del backend.
• autorità pubbliche, quando richiesto dalla legge o nell'ambito di procedimenti giudiziari.

Non condividiamo i dati personali degli utenti con inserzionisti, broker di dati o altri operatori a fini di marketing diretto.

6. Trasferimento dei dati al di fuori dell'UE/SEE

I dati sono ospitati su server situati nell'Unione Europea. Alcuni servizi tecnici (in particolare Firebase di Google) possono comportare il trasferimento di dati verso gli Stati Uniti d'America. Tali trasferimenti avvengono in conformità al GDPR sulla base di:

• decisione di adeguatezza della Commissione Europea per i destinatari aderenti al EU-US Data Privacy Framework, ove applicabile;
• in alternativa, Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea ai sensi dell'art. 46 GDPR.

7. Periodo di conservazione

• Dati dell'account e anagrafica rivendita: per tutta la durata del rapporto contrattuale e fino a 12 mesi dalla cessazione, salvi gli obblighi di legge.
• Ordini archiviati: conservati per la durata richiesta dalle norme fiscali e contabili applicabili al titolare della rivendita (di norma 10 anni).
• Log tecnici di accesso: fino a 12 mesi.
• Dati di crash e analytics: secondo la retention policy di Firebase, impostata sui valori minimi consentiti dal servizio.
• Token di sessione: fino a logout, revoca o disinstallazione dell'app.

8. Diritti dell'interessato

In qualità di interessato, l'utente ha il diritto di esercitare, ai sensi degli artt. 15-22 GDPR:

• diritto di accesso ai propri dati personali;
• diritto di rettifica dei dati inesatti o incompleti;
• diritto alla cancellazione ("diritto all'oblio");
• diritto alla limitazione del trattamento;
• diritto alla portabilità dei dati forniti;
• diritto di opposizione al trattamento fondato sul legittimo interesse;
• diritto di revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la liceità del trattamento svolto prima della revoca.

Le richieste possono essere inoltrate via e-mail a [email protected]. Risponderemo entro i termini previsti dalla normativa (di regola entro 30 giorni).

L'utente ha inoltre diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) qualora ritenga che il trattamento violi il GDPR.

9. Cancellazione dell'account

L'utente può richiedere la cancellazione del proprio account e dei dati personali associati scrivendo a [email protected]. La cancellazione verrà effettuata salvo i dati che dobbiamo conservare per obblighi di legge (es. registrazioni fiscali).

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui: connessioni cifrate HTTPS/TLS verso il backend, conservazione delle password tramite hash bcrypt, archiviazione sicura del token di sessione nel Keychain iOS o nell'EncryptedSharedPreferences di Android, controlli di accesso amministrativi al server.

11. Aggiornamenti della presente informativa

La presente informativa può essere aggiornata per riflettere modifiche al servizio, ai fornitori tecnici o alla normativa applicabile. La data di ultimo aggiornamento è indicata in testa al documento. In caso di modifiche sostanziali l'utente verrà avvisato tramite e-mail o avviso in app.

12. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati personali:
DOC SYSTEM di Vittorio Manenti — Via Cardinal Raimondi 9A, 15011 Acqui Terme (AL)
E-mail: [email protected]