Informativa sul Trattamento dei Dati Personali (GDPR)

Articoli 13 e 14 del Regolamento UE 2016/679 (GDPR)

Informativa per gli utilizzatori dell'App Libellula – rev 0 del 09/04/2026

La presente informativa si rivolge a coloro che scaricano ed utilizzano l'applicazione Libellula.

1. Titolare del trattamento

Fondazione per la Coesione Sociale ETS
Sede legale: Via San Micheletto n. 3 - 55100 Lucca
Sede operativa: Piazza San Ponziano, 4 – 55100 Lucca
Tel. 0583.472633 / 642
Codice Fiscale: 92060560460
E-mail: [email protected]
PEC: [email protected]

Il Responsabile della Protezione dei Dati (DPO/RPD), nominato ai sensi dell'art. 37 GDPR, è raggiungibile al seguente indirizzo e-mail: [email protected]

2. Contesto del trattamento – Progetto Libellula

L'App è sviluppata nell'ambito del Progetto Libellula, realizzato dalla Fondazione Coesione Sociale di Lucca in partenariato con altri soggetti e con capofila il distretto sociosanitario della Piana di Lucca nell'ambito del Fondo per l'inclusione delle persone con disturbi dello spettro autistico di cui al D.P.C.M. del 29 luglio 2022. Il progetto ha l'obiettivo di agevolare la fruizione di siti culturali e museali da parte di persone con autismo, neurodivergenze, facilitando percorsi universalmente accessibili tramite strumenti digitali.

I soggetti partner che operano quali Responsabili del trattamento ai sensi dell'art. 28 GDPR, in forza di specifici atti di nomina, sono:

l'azienda incaricata della comunicazione del progetto, che svolge anche funzioni di gestione del backend dei contenuti (QR Code, asset multimediali);
l'azienda sviluppatrice dell'App, incaricata del mantenimento e dell'aggiornamento tecnico della stessa.

3. Natura particolare dei dati – Avvertenza

L'App è destinata in via prevalente a persone con autismo e neurodivergenze. Il solo utilizzo dell'App può pertanto rivelare, anche implicitamente, informazioni sullo stato di salute o sulla condizione neurologica dell'utente o della persona assistita. Tali informazioni rientrano nelle "categorie particolari di dati" di cui all'art. 9 GDPR, che beneficiano di una tutela rafforzata.

Il trattamento di tali dati è effettuato esclusivamente sulla base del consenso esplicito dell'interessato (art. 9, par. 2, lett. a GDPR), prestato mediante l'accettazione della presente informativa al primo avvio dell'App. Il consenso è in ogni momento revocabile contattando il Titolare agli indirizzi di cui al paragrafo 1.

Il Titolare ha avviato la procedura di Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 GDPR, in ragione della natura sensibile dei dati trattati e della vulnerabilità della categoria di interessati.

4. Categorie di dati raccolti e modalità di raccolta

L'App non richiede la creazione di un account utente né la comunicazione di dati anagrafici. Tuttavia, nel corso del normale funzionamento, vengono trattati i seguenti dati:

4.1 Dati raccolti automaticamente dal dispositivo

Identificativi tecnici del dispositivo (Device ID, identificativi generati dal sistema operativo): necessari per il funzionamento dell'App e per l'associazione locale dei punteggi di gioco al dispositivo.
Dati di navigazione e log applicativi: azioni compiute all'interno dell'App (es. QR Code scansionati, sezioni visitate, tempi di utilizzo), registrati in forma aggregata.
Dati tecnici di connessione: indirizzo IP, tipo di dispositivo e sistema operativo, versione dell'App; raccolti nella misura strettamente necessaria all'erogazione del servizio.

4.2 Dati raccolti tramite Firebase (Google LLC)

L'App integra i seguenti SDK di Firebase, sviluppati e gestiti da Google LLC:

Firebase Analytics: raccoglie dati sull'utilizzo dell'App in forma pseudonimizzata e aggregata (eventi, sessioni, tipo di dispositivo). I dati vengono trasmessi a server di Google LLC.
Firebase Crashlytics: raccoglie automaticamente informazioni sui malfunzionamenti e i crash dell'App (stack trace, stato del dispositivo al momento dell'errore, identificativo dell'installazione). I dati vengono trasmessi a server di Google LLC.

Per l'informativa privacy completa di Google LLC relativa a Firebase si rimanda a: https://firebase.google.com/support/privacy

4.3 Dati di gioco (punteggi)

I punteggi accumulati nella sezione di gioco dell'App sono salvati esclusivamente in locale sul dispositivo dell'utente e non vengono trasmessi a server remoti. Non esiste alcuna classifica condivisa tra utenti. I dati di gioco vengono eliminati automaticamente con la disinstallazione dell'App.

4.4 Permessi richiesti al dispositivo

Fotocamera: necessaria per la scansione dei QR Code presenti nei siti museali. L'accesso alla fotocamera avviene solo durante l'utilizzo attivo della funzione di scansione.
Accesso alla libreria fotografica (opzionale): richiesto solo se l'utente sceglie di salvare contenuti multimediali sul proprio dispositivo.
Connessione a Internet: necessaria per il caricamento dei contenuti informativi associati ai QR Code, degli asset di gioco e per il funzionamento degli SDK Firebase.

5. Finalità del trattamento e basi giuridiche

Finalità	Base giuridica	Art. GDPR
Erogazione del servizio applicativo (funzionamento dell'App, scansione QR Code, caricamento contenuti)	Esecuzione del contratto / servizio richiesto dall'interessato	Art. 6.1.b
Analisi statistica aggregata sull'utilizzo dell'App e miglioramento del servizio (Firebase Analytics)	Legittimo interesse del Titolare al miglioramento del servizio (bilanciato con i diritti degli interessati)	Art. 6.1.f
Rilevazione e correzione di malfunzionamenti tecnici (Firebase Crashlytics)	Legittimo interesse del Titolare alla stabilità tecnica del servizio	Art. 6.1.f
Trattamento di dati che rivelano condizioni di salute/neurodivergenza (cat. particolare, art. 9)	Consenso esplicito dell'interessato	Artt. 6.1.a e 9.2.a

6. Trasferimento dei dati verso Paesi terzi

I dati raccolti tramite Firebase Analytics e Firebase Crashlytics vengono trasferiti a Google LLC, società con sede negli Stati Uniti d'America. Tale trasferimento avviene nel rispetto delle garanzie previste dall'art. 46 GDPR, mediante le Clausole Contrattuali Standard (Standard Contractual Clauses – SCC) adottate dalla Commissione Europea.

I contenuti dell'App (asset multimediali, database QR Code) sono ospitati su server ubicati in Italia.

Non vengono effettuati ulteriori trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali.

7. Periodo di conservazione dei dati

Dati di gioco (punteggi locali): conservati esclusivamente sul dispositivo dell'utente fino alla disinstallazione dell'App.
Dati di log applicativi: conservati per un periodo massimo di 12 mesi, decorsi i quali vengono eliminati o resi definitivamente anonimi.
Dati Firebase Analytics: conservati secondo le impostazioni configurate nel progetto Firebase, con periodo massimo di 14 mesi, come da policy di Google.
Dati Firebase Crashlytics: conservati per 90 giorni, come da policy di Google LLC.

Alla scadenza dei termini di conservazione i dati vengono cancellati in modo sicuro o irreversibilmente anonimizzati.

8. Link a siti web e contenuti di terze parti

L'App contiene pulsanti e collegamenti che aprono pagine web esterne tramite il browser predefinito del dispositivo (ad esempio, pagine informative destinate agli accompagnatori). Quando l'utente accede a tali pagine esterne, il trattamento dei dati avviene sotto la responsabilità esclusiva del gestore del sito di destinazione, secondo la propria informativa privacy.

Il Titolare non è responsabile delle pratiche di protezione dei dati adottate da siti web di terze parti e invita gli utenti a consultare le relative informative prima di fornire qualsiasi dato personale.

9. Utilizzo da parte di minori

L'App è destinata a utenti di età pari o superiore a 14 anni, come indicato nelle piattaforme di distribuzione (App Store / Google Play). Ai sensi dell'art. 2-quinquies del D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018, il consenso al trattamento di dati personali in ambito digitale è valido a partire dai 14 anni. Per i soggetti di età inferiore, il consenso deve essere espresso o autorizzato dal titolare della responsabilità genitoriale. Qualora il genitore o tutore ritenga che un minore di 14 anni abbia installato l'App e fornito dati personali senza la necessaria autorizzazione, è pregato di contattare il Titolare agli indirizzi indicati al paragrafo 1 per richiederne la cancellazione.

10. Diritti degli interessati

Gli interessati hanno il diritto di esercitare, nei confronti del Titolare, i diritti previsti dagli artt. 15-22 GDPR, tra cui:

Diritto di accesso (art. 15): ottenere conferma del trattamento e copia dei dati personali;
Diritto di rettifica (art. 16): ottenere la correzione di dati inesatti;
Diritto alla cancellazione (art. 17): ottenere la cancellazione dei dati ("diritto all'oblio");
Diritto di limitazione (art. 18): ottenere la limitazione del trattamento;
Diritto alla portabilità (art. 20): ricevere i dati in formato strutturato;
Diritto di opposizione (art. 21): opporsi al trattamento basato su legittimo interesse;
Diritto di revocare il consenso (art. 7.3): revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento effettuato prima della revoca.

Modalità di esercizio: poiché l'App non prevede la creazione di un account utente, l'identificazione dell'interessato avviene tramite il Device ID del dispositivo. Per esercitare i propri diritti, l'interessato può:

Contattare il Titolare via e-mail agli indirizzi indicati al paragrafo 1, specificando il Device ID del proprio dispositivo (reperibile nelle impostazioni del dispositivo) o fornendo altri elementi utili all'identificazione;
Disinstallare l'App per eliminare immediatamente tutti i dati conservati localmente sul dispositivo;
Per i dati gestiti da Google LLC tramite Firebase, fare riferimento agli strumenti messi a disposizione da Google nella propria informativa privacy.

Il Titolare risponderà alle richieste entro 30 giorni, estensibili di ulteriori 60 giorni in caso di complessità.

11. Diritto di reclamo all'Autorità di controllo

L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha il diritto di proporre reclamo al:

Garante per la Protezione dei Dati Personali
Piazza Venezia 11 – 00187 Roma
Sito web: www.garanteprivacy.it
E-mail: [email protected]

12. Aggiornamenti dell'informativa

Il Titolare si riserva di aggiornare la presente informativa in caso di modifiche normative, tecnologiche o organizzative. Le modifiche saranno comunicate agli utenti tramite notifica in-app o aggiornamento sul relativo store. La data dell'ultima revisione è indicata in calce al documento.