Informativa Privacy

Ultimo aggiornamento: 8 maggio 2026

La presente Informativa sulla Privacy descrive come ExpensiLife raccoglie, utilizza e protegge i dati personali degli utenti, in conformità al Regolamento (UE) 2016/679 ("GDPR") e al D.Lgs. 196/2003 ("Codice Privacy").

1. Titolare del trattamento

Alberto Lolicato (persona fisica)
Codice Fiscale: LLCLRT92R20C351C
Sede: Ariccia (RM), Lazio, Italia
Email: lolicatoalberto@gmail.com

2. Dati personali raccolti

2.1 Dati di registrazione e profilo

Nome e cognome
Indirizzo email
Password (memorizzata SOLO come hash bcrypt, mai in chiaro)
Valuta predefinita scelta dall'utente
Lingua preferita (italiano/inglese)

2.2 Dati di utilizzo dell'app

Trasferte: titolo, destinazione, date, cliente, note
Spese: importo, valuta, categoria, esercente, data, note, ricevuta
Tragitti: indirizzi partenza/arrivo, distanza, mezzo, data
Categorie personalizzate (utenti Pro)
Stato dell'abbonamento Pro

2.3 Immagini delle ricevute

Quando l'utente effettua la scansione di uno scontrino o carica una foto da galleria, l'immagine viene inviata al backend ExpensiLife e successivamente:

Trasmessa al servizio Google Gemini (Generative Language API) per l'estrazione automatica di importo, data, esercente e categoria mediante OCR/AI
Memorizzata sul backend (codifica base64 nel database) per essere riutilizzata nei report e nei PDF allegati alle email
Allegata alle email di rendicontazione che l'utente decide di inviare ai propri destinatari

Google Gemini riceve esclusivamente il contenuto dell'immagine ai fini dell'elaborazione OCR; non riceve dati anagrafici dell'utente né altri dati di profilo.

2.4 Dati tecnici

Identificativo di sessione (token, conservato in expo-secure-store sul dispositivo)
Indirizzo IP (nei log applicativi, max 30 giorni)
Sistema operativo, versione app, identificativo dispositivo (solo per fini diagnostici interni)
Contatori di utilizzo OCR (per le quote del piano)

2.5 Dati di abbonamento e pagamento

ExpensiLife NON gestisce direttamente dati di pagamento (carte di credito, conti bancari). Gli abbonamenti Pro vengono gestiti tramite RevenueCat, App Store (Apple) e Google Play (Google). Riceviamo solo: identificativo abbonamento, data scadenza, esito transazione.

3. Finalità del trattamento

Registrazione e gestione account — base: contratto (art. 6.1.b GDPR)
Erogazione delle funzionalità dell'app — base: contratto
Invio email di rendicontazione — base: contratto + richiesta utente
Gestione abbonamento Pro — base: contratto
Adempimenti fiscali e contabili — base: obbligo di legge (art. 6.1.c)
Sicurezza dei sistemi e prevenzione frodi — base: legittimo interesse del Titolare (art. 6.1.f)
Pubblicità non personalizzata in-app per utenti Free (Google AdMob) — base: legittimo interesse
Pubblicità personalizzata in-app per utenti Free (Google AdMob, ove applicabile) — base: consenso esplicito (art. 6.1.a) raccolto via banner CMP/UMP all'avvio
Notifica interna al Titolare delle nuove registrazioni — base: legittimo interesse per monitoraggio antifrode (art. 6.1.f)

3.1 Notifica automatica registrazioni al Titolare

Al momento della registrazione, il sistema invia un'email automatica all'indirizzo support@expensilife.org (gestito dal Titolare) con un set MINIMIZZATO di dati ai sensi del principio di minimizzazione (art. 5.1.c GDPR):

user_id
email
timestamp di registrazione
hash dell'IP (SHA-256, NON l'IP in chiaro)
paese (codice ISO-2 dal CDN, se disponibile)
user-agent abbreviato (browser/OS, max 120 caratteri — niente IDFA/AAID)

Mai inviati: nome, data di nascita, valuta, lingua, stato Pro, tariffa rimborso km, password (neanche in formato hashed), codici di verifica email, codici di reset password, segreti di autenticazione.

Finalità: monitoraggio antifrode (registrazioni di massa, account fraudolenti). Conservazione email: 12 mesi dalla ricezione, dopodiché eliminate dal mailbox del Titolare. Puoi richiederne la cancellazione anticipata contattando il Titolare.

4. Modalità di trattamento e sicurezza

Password salvate solo come hash bcrypt (non reversibili)
Connessioni TLS/HTTPS in transito per ogni comunicazione client/server
Cifratura at-rest del database fornita da MongoDB Atlas (AES-256 a livello di storage)
Token di sessione cifrati sul dispositivo via expo-secure-store (Keychain iOS / Keystore Android)
Cookie di sessione web (sito) marcati httpOnly + secure + samesite=none
Chiavi API mai esposte al client; solo il backend dialoga con Google, Brevo, MongoDB Atlas
Access control basato su token di sessione legati all'user_id; nessuna API leggibile cross-user

5. Responsabili esterni del trattamento

I dati possono essere trattati da terze parti che forniscono servizi strumentali al funzionamento dell'app, in qualità di Responsabili ex art. 28 GDPR:

MongoDB Atlas — database utenti, trasferte, spese (UE/USA)
Render — hosting backend (USA)
Google Gemini API — OCR/AI ricevute (USA)
Google Maps Platform — geocoding e calcolo distanze (USA)
Google AdMob — pubblicità per utenti Free (USA)
Google Identity / OAuth — autenticazione "Continua con Google" (USA)
Brevo — invio email transazionali (UE - Francia)
RevenueCat — gestione abbonamenti in-app (USA)
Apple Inc. — App Store e in-app purchase iOS (USA)
Google LLC — Google Play e in-app purchase Android (USA)

I trasferimenti extra-UE avvengono, ove applicabile, mediante strumenti riconosciuti dagli artt. 45-46 GDPR — incluse le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea e/o l'EU-US Data Privacy Framework — secondo le scelte del singolo provider al momento del trattamento.

5.1 Google Gemini e training AI

Le immagini delle ricevute inviate a Google Gemini per l'OCR rientrano nei termini delle Google AI APIs (paid tier / Gemini API): Google dichiara che i dati inviati tramite l'API NON vengono utilizzati per l'addestramento di modelli generalizzati. Riferimento contrattuale: termini "Generative Language API" / "Vertex AI" / "Gemini API". L'utente può comunque scegliere di non utilizzare la scansione AI e inserire le spese manualmente.

6. Periodo di conservazione

Dati account: per tutta la durata dell'utilizzo + 30 giorni dopo cancellazione
Trasferte, spese, scontrini: come sopra
Log applicativi (incluso IP): massimo 30 giorni
Dati abbonamento (fatturazione): 10 anni per obblighi fiscali italiani
Email transazionali (Brevo): policy Brevo, tipicamente 30-60 giorni
Email di notifica registrazioni al Titolare: 12 mesi dalla ricezione

7. Storage locale e identificativi su mobile

L'app non utilizza cookie persistenti per il funzionamento principale (ExpensiLife è un'app nativa). Sono invece utilizzati:

expo-secure-store (Keychain iOS / Keystore Android) per il token di sessione, cifrato a livello di sistema operativo
AsyncStorage per preferenze locali non sensibili (lingua, ultimo tab, stato di consenso)
Identificativo pubblicitario del dispositivo (IDFA su iOS, AAID su Android) — solo se l'utente Free ha prestato il consenso e SOLO ai fini AdMob

Sul sito web (expensilife.org) sono utilizzati esclusivamente cookie tecnici di sessione (httpOnly + secure), non bloccanti, indispensabili al funzionamento del frontend.

8. Diritti dell'interessato

In qualunque momento puoi esercitare i diritti ex artt. 15-22 GDPR:

Diritto di accesso (art. 15)
Diritto di rettifica (art. 16)
Diritto alla cancellazione - oblio (art. 17)
Diritto di limitazione del trattamento (art. 18)
Diritto alla portabilità dei dati (art. 20)
Diritto di opposizione (art. 21)

L'app mette a disposizione strumenti dedicati in Profilo → Account e sicurezza: "Scarica i tuoi dati" e "Elimina account". Le richieste possono anche essere inviate a lolicatoalberto@gmail.com. L'utente ha inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Pubblicità e consenso (utenti Free)

Gli utenti Free visualizzano pubblicità interstitial fornite da Google AdMob (es. alla creazione di una nuova trasferta o all'invio di un rendiconto). Distinguiamo:

Pubblicità NON personalizzata: erogata di default in UE/SEE/UK/Svizzera senza richiedere consenso (base: legittimo interesse).
Pubblicità PERSONALIZZATA: erogata SOLO se l'utente ha prestato consenso esplicito tramite il banner CMP/UMP integrato (Google User Messaging Platform). Il consenso è revocabile in qualsiasi momento da Profilo → Account e sicurezza → "Preferenze pubblicità".

Sottoscrivendo Pro non viene mostrata alcuna pubblicità e non vengono utilizzati identificativi pubblicitari.

10. Consenso, revoca e preferenze

Al primo accesso l'app mostra una schermata dedicata per la prestazione del consenso: l'utente accetta i Termini e l'Informativa Privacy (obbligatorio per usare il Servizio) e può opzionalmente attivare/disattivare la pubblicità personalizzata. Gli stati di consenso sono memorizzati lato backend e revocabili in qualsiasi momento da Profilo → Account e sicurezza → "Preferenze privacy". La revoca produce effetto immediato per i trattamenti futuri; non incide sulla liceità dei trattamenti precedenti.

11. Minori

L'app non è destinata a utenti minori di 16 anni. Si tratta di una scelta del Titolare per uniformità della soglia in tutta l'UE; in Italia il consenso digitale ex art. 8 GDPR è fissato a 14 anni dal D.Lgs. 196/2003 e successive modifiche, ma il Titolare ha optato per una soglia più alta. Non raccogliamo consapevolmente dati di minori sotto i 16 anni; se ne venissimo a conoscenza, provvederemmo alla cancellazione immediata.

12. Modifiche all'informativa

La presente informativa può essere aggiornata. La versione più recente è sempre disponibile in app (Profilo → Termini e privacy) e sul sito ufficiale https://expensilife.org/privacy. In caso di modifiche sostanziali sarai avvisato all'avvio dell'app o via email.

13. Contatti

Email: lolicatoalberto@gmail.com
Titolare: Alberto Lolicato — Ariccia (RM), Italia
Codice Fiscale: LLCLRT92R20C351C

Privacy Policy

Last updated: 8 May 2026

This Privacy Policy describes how ExpensiLife collects, uses and protects users' personal data, in accordance with EU Regulation 2016/679 ("GDPR") and Italian Legislative Decree 196/2003 ("Privacy Code").

1. Data Controller

Alberto Lolicato (natural person)
Italian Tax Code: LLCLRT92R20C351C
Address: Ariccia (RM), Lazio, Italy
Email: lolicatoalberto@gmail.com

2. Personal data collected

2.1 Registration and profile data

Full name
Email address
Password (stored ONLY as bcrypt hash, never in clear text)
Default currency chosen by the user
Preferred language (Italian/English)

2.2 App usage data

Trips: title, destination, dates, client, notes
Expenses: amount, currency, category, merchant, date, notes, receipt
Routes: start/end addresses, distance, transport mode, date
Custom categories (Pro users)
Pro subscription status

2.3 Receipt images

When the user scans a receipt or uploads a photo from the gallery, the image is sent to the ExpensiLife backend and then:

Transmitted to Google Gemini (Generative Language API) for automatic OCR/AI extraction of amount, date, merchant and category
Stored on the backend (base64-encoded in the database) for reuse in reports and PDF email attachments
Attached to report emails that the user chooses to send to recipients

Google Gemini receives only the image content for OCR processing; it does not receive any user identity or profile data.

2.4 Technical data

Session identifier (token, stored via expo-secure-store on the device)
IP address (in application logs, max 30 days)
Operating system, app version, device identifier (internal diagnostics only)
OCR usage counters (for plan quotas)

2.5 Subscription and payment data

ExpensiLife does NOT directly handle payment data (credit cards, bank accounts). Pro subscriptions are managed via RevenueCat, App Store (Apple) and Google Play (Google). We only receive: subscription ID, expiry date, transaction outcome.

3. Purposes of processing

Account registration and management — basis: contract (GDPR art. 6.1.b)
Provision of app features — basis: contract
Sending report emails — basis: contract + user request
Pro subscription management — basis: contract
Tax and accounting obligations — basis: legal obligation (art. 6.1.c)
System security and fraud prevention — basis: Controller's legitimate interest (art. 6.1.f)
Non-personalized in-app advertising for Free users (Google AdMob) — basis: legitimate interest
Personalized in-app advertising for Free users (Google AdMob, where applicable) — basis: explicit consent (art. 6.1.a) collected via CMP/UMP banner at launch
Internal notification to the Controller of new registrations — basis: legitimate interest for fraud monitoring (art. 6.1.f)

3.1 Automatic registration notifications to the Controller

At registration time, the system sends an automatic email to support@expensilife.org (managed by the Controller) with a MINIMIZED dataset pursuant to the data minimization principle (GDPR art. 5.1.c):

user_id
email
registration timestamp
IP hash (SHA-256, NOT the raw IP)
country (ISO-2 code from the CDN, if available)
shortened user-agent (browser/OS, max 120 chars — no IDFA/AAID)

Never sent: name, date of birth, currency, language, Pro status, mileage reimbursement rate, password (not even hashed), email verification codes, password reset codes, authentication secrets.

Purpose: fraud monitoring (mass registrations, fraudulent accounts). Email retention: 12 months from receipt, then deleted from the Controller's mailbox. You may request early deletion by contacting the Controller.

4. Processing methods and security

Passwords stored only as bcrypt hashes (irreversible)
TLS/HTTPS in transit for all client/server communication
At-rest database encryption provided by MongoDB Atlas (AES-256 at storage layer)
Session tokens encrypted on device via expo-secure-store (iOS Keychain / Android Keystore)
Web session cookies (website) flagged httpOnly + secure + samesite=none
API keys never exposed to the client; only the backend talks to Google, Brevo, MongoDB Atlas
Token-based access control bound to user_id; no API allows cross-user reads

5. External data processors

Data may be processed by third parties providing services functional to the app, as Processors under GDPR art. 28:

MongoDB Atlas — user, trip, expense database (EU/US)
Render — backend hosting (US)
Google Gemini API — receipt OCR/AI (US)
Google Maps Platform — geocoding and distance calculation (US)
Google AdMob — advertising for Free users (US)
Google Identity / OAuth — "Continue with Google" authentication (US)
Brevo — transactional email delivery (EU - France)
RevenueCat — in-app subscription management (US)
Apple Inc. — App Store and iOS in-app purchase (US)
Google LLC — Google Play and Android in-app purchase (US)

Non-EU transfers occur, where applicable, by means recognized under GDPR arts. 45-46 — including Standard Contractual Clauses (SCC) approved by the European Commission and/or the EU-US Data Privacy Framework — depending on each provider's setup at the time of processing.

5.1 Google Gemini and AI training

Receipt images sent to Google Gemini for OCR fall under the Google AI APIs Terms (paid tier / Gemini API): Google states that data sent via the API is NOT used to train generalized models. Reference: "Generative Language API" / "Vertex AI" / "Gemini API" terms. Users can always opt out of AI scanning and enter expenses manually.

6. Retention period

Account data: for the entire usage period + 30 days after deletion
Trips, expenses, receipts: as above
Application logs (including IP): max 30 days
Subscription data (billing): 10 years for Italian tax obligations
Transactional emails (Brevo): per Brevo policy, typically 30-60 days
Registration notification emails to the Controller: 12 months from receipt

7. Local storage and identifiers on mobile

The app does not use persistent cookies for the main flow (ExpensiLife is a native app). Instead, it uses:

expo-secure-store (iOS Keychain / Android Keystore) for the session token, encrypted at the OS level
AsyncStorage for non-sensitive local preferences (language, last tab, consent state)
Device advertising ID (IDFA on iOS, AAID on Android) — only if the Free user gave consent and SOLELY for AdMob

On the website (expensilife.org), only technical session cookies (httpOnly + secure) are used; they are non-blockable and necessary for frontend operation.

8. Data subject rights

At any time you can exercise the rights under GDPR articles 15-22:

Right of access (art. 15)
Right to rectification (art. 16)
Right to erasure - forgotten (art. 17)
Right to restriction of processing (art. 18)
Right to data portability (art. 20)
Right to object (art. 21)

The app provides dedicated tools in Profile → Account & security: "Download your data" and "Delete account". Requests can also be sent to lolicatoalberto@gmail.com. The user also has the right to lodge a complaint with the Italian Data Protection Authority (www.garanteprivacy.it) or the Authority of their EU country of residence.

9. Advertising and consent (Free users)

Free users see interstitial ads from Google AdMob (e.g. when creating a new trip or sending a report). We distinguish:

NON-personalized ads: served by default in EU/EEA/UK/Switzerland without requiring consent (basis: legitimate interest).
PERSONALIZED ads: served ONLY if the user gave explicit consent via the integrated CMP/UMP banner (Google User Messaging Platform). Consent is revocable at any time from Profile → Account & security → "Ad preferences".

Subscribing to Pro removes all ads and no advertising identifiers are used.

10. Consent, withdrawal and preferences

On first launch the app shows a dedicated consent screen: the user accepts the Terms and the Privacy Policy (mandatory to use the Service) and may optionally enable/disable personalized advertising. Consent states are stored server-side and revocable at any time from Profile → Account & security → "Privacy preferences". Withdrawal takes immediate effect for future processing; it does not affect the lawfulness of prior processing.

11. Minors

The app is not intended for users under 16. This is the Controller's choice for a uniform threshold across the EU; in Italy the digital consent age under GDPR art. 8 is set at 14 by Italian Legislative Decree 196/2003 as amended, but the Controller has opted for a higher threshold. We do not knowingly collect data from minors under 16; if we became aware, we would delete it immediately.

12. Changes to this policy

This policy may be updated. The latest version is always available in the app (Profile → Terms & privacy) and on the official website https://expensilife.org/privacy. For material changes you will be notified at app launch or via email.

13. Contact

Email: lolicatoalberto@gmail.com
Controller: Alberto Lolicato — Ariccia (RM), Italy
Italian Tax Code: LLCLRT92R20C351C