WorkioWorkio
  • Čeština
  • Dansk
  • Deutsch
  • English
  • Español
  • Suomi
  • Français
  • Hrvatski
  • Magyar
  • Bahasa Indonesia
  • Italiano
  • Norsk
  • Nederlands
  • Português
  • Slovenčina
  • Svenska
  • Türkçe
  • Tiếng Việt
Home

Informativa sulla Privacy

Come Workio tratta i tuoi dati personali.

Ultimo aggiornamento: 18 maggio 2026 · Versione: 1.0

In una frase: Workio funziona sul tuo telefono per impostazione predefinita. Clienti, documenti e listini non lasciano mai il dispositivo, a meno che tu non attivi una funzione cloud (link condivisibili, backup cifrato o abbonamento Pro). Quando le usi, i dati sono ospitati in data center dell'Unione Europea.
Indice
  1. Chi siamo
  2. Quando si applica questa informativa
  3. Quali dati trattiamo
  4. Finalità e basi giuridiche
  5. Responsabili del trattamento
  6. Trasferimenti internazionali
  7. Per quanto tempo conserviamo i tuoi dati
  8. Sicurezza
  9. I tuoi diritti
  10. Minori
  11. Modifiche all'informativa
  12. Contatti

1. Chi siamo

Il titolare del trattamento dei dati personali in relazione all'app Android Workio e al sito workio-app.com è:

Innovatek di Cafaro Carmelina
P.IVA: 06424410659
Email: privacy@workio-app.com

Agiamo come titolare per i dati di identità e di abbonamento che conserviamo per gestire le funzioni cloud. I documenti commerciali che crei con Workio (preventivi, fatture, clienti, ecc.) restano sul tuo dispositivo sotto il tuo controllo esclusivo — per quei dati non siamo né titolari né responsabili.

2. Quando si applica questa informativa

Questa informativa si applica a:

  • Il sito workio-app.com
  • L'app Android Workio disponibile su Google Play
  • I servizi cloud di Workio (account, condivisione, backup, validazione abbonamento) quando scegli di utilizzarli

L'informativa non copre i servizi di terze parti tramite cui puoi distribuire i documenti creati con Workio (ad esempio fornitori email, app di messaggistica o cloud drive utilizzati dallo share sheet di Android). Una volta toccato "condividi" e scelta una destinazione, si applica l'informativa di quel servizio.

3. Quali dati trattiamo

3.1 Senza alcuna funzione cloud (default)

Se utilizzi l'esperienza locale gratuita e non accedi mai, Workio raccoglie:

  • Dati diagnostici (Firebase Crashlytics): stack trace dei crash, modello del dispositivo, versione del sistema operativo e un identificatore di installazione anonimo. Usati solo per correggere bug.
  • Dati di utilizzo anonimi (Firebase Analytics): eventi a livello di funzione senza identificatori personali. Puoi disattivarli dalle impostazioni dell'app.

Non raccogliamo: i tuoi clienti, i tuoi documenti, i tuoi prodotti, il tuo logo o il profilo aziendale. Vivono nel database locale dell'app e non vengono mai trasmessi.

3.1bis Analitiche del sito (solo con il tuo consenso)

Se — e solo se — accetti l'opzione analitica nel banner cookie su workio-app.com, il sito carica Google Analytics 4 per misurare visite aggregate, percorsi di navigazione e paese a livello di città. Gli indirizzi IP vengono anonimizzati prima di ogni ulteriore trattamento. Finché non accetti, GA4 opera in Consent Mode v2: viene inviato solo un ping anonimo senza identificatori. Puoi cambiare la tua scelta in qualsiasi momento dalla pagina Cookie Policy. Vedi la Cookie Policy per la lista completa dei cookie coinvolti.

3.2 Quando accedi (abbonamento Pro, condivisione cloud o backup)

Tramite l'accesso con Google riceviamo da Google:

  • Il tuo indirizzo email (verificato da Google)
  • Il nome che hai impostato per l'account
  • La tua lingua (preferenza locale)
  • Un identificativo Google (subject ID) — una stringa opaca stabile usata per ricollegare il tuo account ai login successivi

Non riceviamo la tua password Google, la foto del profilo né la rubrica.

3.3 Quando usi la condivisione cloud

Quando crei un link condivisibile per un documento, il PDF generato viene caricato su Azure Blob Storage nell'UE. Il link punta a un token opaco; registriamo il numero di visualizzazioni e, se il tuo cliente firma, l'immagine della firma. Puoi revocare un link in qualsiasi momento.

3.4 Quando usi il backup cifrato (Pro)

Il tuo database locale viene cifrato sul dispositivo e il blob binario risultante viene caricato su Azure Blob Storage nell'UE. Conserviamo il blob, la sua dimensione e la versione dell'app che lo ha prodotto. Non possiamo leggere il contenuto dei tuoi backup; la chiave di cifratura non lascia mai il dispositivo.

3.5 Quando ti abboni a Workio Pro

Gli abbonamenti sono gestiti da Google Play Billing. Riceviamo aggiornamenti sullo stato dell'abbonamento da Google (attivo, scaduto, in attesa, rimborsato) tramite webhook. Non vediamo i dettagli della tua carta — restano presso Google.

3.6 Dati operativi

Per sicurezza e prevenzione abusi conserviamo:

  • Refresh token: archiviati come hash SHA-256, con timestamp di emissione e scadenza e un descrittore del dispositivo (modello, versione OS).
  • Log dei consensi: quando accetti questa informativa o i termini, registriamo il tipo di consenso, la versione, il timestamp e una forma hashata del tuo indirizzo IP.

4. Finalità e basi giuridiche

DatoFinalitàBase giuridica (Art. 6 GDPR)
Email, nome, subject ID GoogleCreazione account, login, supportoEsecuzione di un contratto
Stato abbonamentoSblocco funzioni ProEsecuzione di un contratto
Blob di backup cifratoRipristino dei tuoi dati su un nuovo dispositivoEsecuzione di un contratto
Blob documento condiviso e firmaMostrare il documento al destinatarioEsecuzione di un contratto / consenso
Hash del refresh token, descrittore dispositivoSicurezza sessione, prevenzione abusiLegittimo interesse
Report di crash CrashlyticsRilevare e correggere bugLegittimo interesse
Eventi Firebase Analytics (app)Comprendere l'utilizzo delle funzioniConsenso (opt-in)
Eventi Google Analytics 4 (sito)Misurazione aggregata del traffico webConsenso (banner cookie)
Log dei consensiDimostrare conformità con l'Art. 7 GDPRObbligo legale

5. Responsabili del trattamento

Ci affidiamo ai seguenti fornitori per erogare il servizio. Ciascuno opera sulla base di un accordo scritto sul trattamento dei dati.

FornitoreRuoloLocalizzazione
Microsoft Ireland Operations Ltd. (Azure)Hosting di funzioni cloud, database, storage e key vaultUE (Italia / Europa Occidentale)
Google LLC / Google Ireland Ltd.Sign-In, Play Billing, Crashlytics, AnalyticsUE + USA (con SCC)

6. Trasferimenti internazionali

Il servizio principale (account, condivisione, backup) è ospitato interamente nell'Unione Europea. Alcuni responsabili Google trasferiscono dati negli Stati Uniti; in questi casi i trasferimenti si basano sulle Clausole Contrattuali Standard della Commissione Europea e sull'Addendum di trattamento dati di Google. Puoi richiedere copia delle garanzie in essere scrivendo a privacy@workio-app.com.

7. Per quanto tempo conserviamo i tuoi dati

  • Dati dell'account: finché esiste il tuo account. Quando cancelli l'account dall'app o scrivendoci, i dati identificativi vengono rimossi entro 30 giorni, salvo le voci richieste dalla legge (es. registrazioni di fatturazione per l'abbonamento).
  • Blob di documenti condivisi: fino alla scadenza del link impostata, o fino a revoca del link.
  • Backup: finché non vengono sostituiti o l'account viene cancellato.
  • Refresh token: fino alla scadenza, più un breve periodo di tolleranza per audit di sicurezza.
  • Report Crashlytics: 90 giorni.
  • Eventi Google Analytics 4: 14 mesi (retention predefinita GA4).
  • Log dei consensi: 10 anni (obbligo di legge).

7-bis. Firma verificata (Workio v1.3+)

Dalla v1.3, un titolare Pro può vincolare un indirizzo email atteso del firmatario a un documento condiviso. Quando il destinatario apre il link, prima di poter firmare raccogliamo da lui:

  • L'indirizzo email che digita. Lo confrontiamo con quello pre-configurato dal titolare; non lo enumeriamo né riveliamo se l'indirizzo è "corretto" prima che lo abbia inserito.
  • Un nome facoltativo che sceglie per la firma.
  • Un'impronta HMAC-SHA256 del suo IP con chiave lato server. L'IP grezzo non viene mai memorizzato.
  • La firma vettoriale che disegna sullo schermo (percorso SVG).

Il codice OTP che inviamo per email è memorizzato solo come HMAC; l'email del destinatario è cifrata a riposo con una chiave AES-GCM derivata via HKDF. Le righe scadono dopo 10 minuti; quelle scadute o consumate vengono cancellate da una Function Timer dopo 24 ore per limitare la conservazione.

Base giuridica: esecuzione di un contratto o misure precontrattuali (GDPR art. 6.1.b) tra il titolare e il firmatario, dove Workio agisce come responsabile del trattamento per conto del titolare ai fini della verifica della firma.

Informativa al firmatario (art. 13): il viewer di condivisione mostra una nota in linea sopra il campo email, nella lingua del firmatario, che indica Workio come responsabile, la base giuridica e rimanda a questa policy.

Sub-responsabili specifici della firma verificata:

FornitoreRuoloLocalizzazione
Microsoft Ireland Operations Ltd. (Azure Communication Services — Email)Recapito del codice OTP nella casella del firmatarioUE
Google LLC / Google Ireland Ltd. (Firebase Cloud Messaging)Notifiche push al titolare quando un cliente firma. Il payload è opaco (solo share token) — né il titolo del documento né il nome del firmatario transitano dal relay di Google.UE + USA (clausole contrattuali standard)

Diritto di cancellazione per i firmatari: un firmatario può chiedere la cancellazione del proprio record senza passare dal titolare. POST https://api.workio-app.com/privacy/signer-erasure con {"email":"..."} anonimizza ogni riga di condivisione firmata con quell'email e cancella i record OTP. Risponde sempre 202 — nessuna fuga di informazioni. Oppure scriva a privacy@workio-app.com.

8. Sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio:

  • TLS 1.2+ per tutti i dati in transito
  • Cifratura a riposo su Azure Storage
  • Cifratura client-side per i backup: la chiave non lascia mai il dispositivo
  • Secret gestiti in Azure Key Vault con accesso basato su ruoli
  • Nessuna password — autenticazione delegata a Google
  • Refresh token hashati (SHA-256), mai conservati in chiaro

9. I tuoi diritti

In base al GDPR puoi:

  • Accedere ai dati personali che conserviamo su di te (Art. 15)
  • Rettificare dati inesatti (Art. 16)
  • Cancellare i tuoi dati — chiude anche l'account (Art. 17)
  • Limitare od opporti a determinati trattamenti (Art. 18, 21)
  • Esportare i tuoi dati in un formato leggibile da macchina (Art. 20)
  • Revocare il consenso in qualsiasi momento, senza pregiudicare i trattamenti precedenti (Art. 7.3)
  • Proporre reclamo all'autorità di controllo competente — in Italia, il Garante per la Protezione dei Dati Personali

Puoi esercitare la maggior parte di questi diritti direttamente dalle impostazioni dell'app, o scrivendo a privacy@workio-app.com. Rispondiamo entro un mese.

10. Minori

Workio non è destinata a minori di 16 anni. Non raccogliamo consapevolmente dati da chi è sotto questa età. Se ritieni che un minore ci abbia fornito dati personali, contattaci e li cancelleremo.

11. Modifiche all'informativa

Possiamo aggiornare questa informativa di tanto in tanto per riflettere cambiamenti nel prodotto o nella legge. Per cambiamenti sostanziali ti avviseremo nell'app o via email, e la data di "ultimo aggiornamento" in cima a questa pagina verrà aggiornata. Continuare a usare Workio dopo un cambiamento sostanziale equivale ad accettare la nuova versione.

12. Contatti

Domande, reclami o richieste di esercizio dei diritti:

Innovatek di Cafaro Carmelina
Email: privacy@workio-app.com
Contatto generale: info@workio-app.com

© 2026 Workio — Innovatek di Cafaro Carmelina · P.IVA 06424410659
Privacy Cookie Termini