Data handling
Matrice completa per-feature: entità, finestra di retention, metodo di cifratura, percorso di cancellazione. Niente parentesi «ecc.» — ogni riga è verificabile nel codice.
Questa pagina estende la Privacy Policy per chi vuole concretezza. Il GDPR ci obbliga a divulgare le categorie di dati e i periodi di conservazione; qui trovi più dettagli di quanti la legge richieda, perché non abbiamo nulla da nascondere.
Matrice di retention per-feature
| Entità | Cosa viene conservato | Finestra di retention | Percorso di cancellazione | Cifratura |
|---|---|---|---|---|
| Transazioni | Importo, valuta, data, conto, categoria, descrizione | Fino al hard-delete dell'account o alla rimozione manuale dell'utente | CASCADE al hard-delete dell'utente o del conto | At rest (DB), TLS in transit |
| Conti | Nome, tipo, valuta, saldo corrente | Fino alla rimozione manuale da parte dell'utente | CASCADE rimuove le transazioni collegate | At rest, TLS |
| Categorie | Nome, tipo, icona, codici MCC | Fino alla rimozione manuale da parte dell'utente | CASCADE tramite user_id | At rest, TLS |
| Bank API tokens | Token cifrato (Monobank Personal API, consenso GoCardless) | Fino alla revoca dell'utente o alla scadenza PSD2 (90 giorni) | Disconnect in Impostazioni → Banche = rimozione immediata | AES-256-GCM (column-level), TLS |
| Prompt AI (voce/scontrino) | Testo del prompt + risposta di Claude (per usage log) | 30 giorni in `ai_usage_log` | Cron-cleanup dopo 30 giorni o purge manuale dell'admin | TLS in transit (Anthropic API); il prompt viene rimosso dalla loro infrastruttura come da DPA |
| Audit log | Action, target, IP, user-agent, source (web/mobile/cron) | 180 giorni (admin) / 30 giorni (eventi user-level) | Cron-prune dopo la finestra di retention | At rest, TLS |
| Tentativi di login | Identifier (mascherato nell'admin), IP, successo/fallimento, timestamp | 30 giorni (per login throttling) | Cron-prune dopo 30 giorni | At rest, TLS |
| Marketing leads | Email, source, intent, IP, flag di consenso | Fino all'elaborazione da parte dell'admin o alla richiesta GDPR Art. 17 | Best-effort erase-hook al hard-delete dell'account con la stessa email | At rest, TLS |
| Token dispositivi push (FCM) | Token FCM, piattaforma, locale, timestamp dell'ultimo utilizzo | Fino alla disiscrizione o a disabled_at (UNREGISTERED da FCM) | CASCADE alla cancellazione dell'utente | At rest, TLS |
| Backup | Snapshot completo del DB (cifrato) | 30 giorni rolling | Rimozione automatica secondo la retention; purge manuale disponibile | AES-256 prima dell'upload nel backup-storage |
| Web analytics (solo sito) | Container GTM + GA4: IP anonimizzato, pagina, referrer. Clarity: clic heatmap, DOM mascherato (senza testo dei campi) | GA4: 14 mesi (default). Clarity: 13 mesi. Reset — tramite cookie-banner «Revoca consenso». | Cookie-banner → «Solo necessari» ferma la raccolta immediatamente. Su /legal/cookies gli stessi toggle sono persistenti. | TLS in transit; dati trattati da Google (GTM/GA4) e Microsoft (Clarity) secondo i loro DPA |
I tuoi diritti GDPR
Richiedi un export completo dei tuoi dati in Impostazioni → Dati. Viene restituito un CSV/XLSX/PDF con tutte le transazioni, i conti e le categorie. Per categorie aggiuntive (audit log, bank tokens) — scrivi a support@my-fina.com.
Hard-delete dell'account in Impostazioni → Account → Elimina account. Transazioni, conti, categorie, valute, token e dispositivi push vengono rimossi in cascata. Anche i marketing leads con la stessa email vengono rimossi tramite best-effort hook.
L'export in Impostazioni → Dati formatta i dati come CSV/XLSX (machine-readable). La struttura è compatibile con YNAB, Mint e altri strumenti ledger tramite un set standard di colonne (date, account, category, amount, currency, note).