Informativa sulla privacy
Penno è pensata per avere bisogno del minor numero possibile dei tuoi dati — idealmente, di nessuno. Questa pagina spiega cosa significa in pratica.
In breve
- Non raccogliamo i tuoi dati finanziari. Transazioni, debiti, budget e categorie restano sul tuo dispositivo — non vediamo né riceviamo mai le tue singole transazioni.
- Non raccogliamo dati personali. Niente nome, email, telefono, indirizzo, documento d'identità, posizione precisa, identificativo pubblicitario.
- Penno non richiede account, registrazione o login. Non viene creato nessun identificativo utente.
- Penno non si collega alla tua banca o a nessun istituto finanziario.
- Un'unica eccezione facoltativa: AI Insights (una funzione Pro, disattivata di default) invia i totali aggregati per categoria di quel mese — mai le singole transazioni — al nostro fornitore di IA, e solo quando la attivi tu. Tutti i dettagli qui sotto.
- Raccogliamo analytics di prodotto anonime (visualizzazioni di pagina, tap, flusso tra schermate) tramite PostHog, per capire come vengono usati app e sito. Senza identità collegata. Tutti i dettagli qui sotto.
- Cancella l'app e i dati locali spariscono con lei; se hai salvato un backup iCloud, resta nel tuo iCloud finché non lo elimini tu. Gli eventi anonimi già inviati non possono essere ricondotti a te.
Cosa raccogliamo
Nessun dato finanziario. Nessun dato personale.
A parte la funzione facoltativa AI Insights descritta più avanti, l'app non
fa nessuna chiamata di rete sulle tue transazioni, debiti, voci
ricorrenti, budget o categorie — quei contenuti restano sul tuo dispositivo in
budget-planner.db. Le tue singole transazioni non vengono mai
trasmesse a noi né a nessun altro.
Non chiediamo, non generiamo e non conserviamo il tuo nome, email, numero di telefono,
indirizzo, data di nascita, documento d'identità, indirizzo IP, posizione
precisa o qualsiasi altro identificativo che possa riconoscerti come persona specifica.
Analytics di prodotto anonime. Penno usa PostHog per raccogliere dati d'uso aggregati e anonimi — sia sul sito (getpenno.com) sia dentro l'app. Ci serve per capire quali schermate vengono usate, quali funzioni contano e dove l'esperienza si rompe. In particolare:
- Eventi: visualizzazioni di schermata, tap, flusso di navigazione, versione dell'app, versione del sistema operativo, lingua, tipo di dispositivo.
- Nessuna identità: non chiamiamo l'API
identifydi PostHog. Non viene creato nessun profilo persona (personProfiles: 'identified_only'). PostHog genera automaticamente un ID dispositivo anonimo casuale salvato in locale — non possiamo ricondurlo a te, e tu puoi resettarlo cancellando l'app. - Niente PII: niente email, nome, numero di telefono, posizione precisa o indirizzo IP conservato da noi. PostHog scarta l'IP dopo la risoluzione geografica a livello di paese.
Non usiamo Plaid, Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network né alcun SDK pubblicitario o di data broker. PostHog è l'unico raccoglitore dati di terze parti nel binario, e il suo perimetro è descritto qui sopra.
Puoi verificare in autonomia cosa esce dal dispositivo. Il resoconto privacy
di Apple sul tuo dispositivo mostrerà le connessioni in uscita verso
r.getpenno.com (il nostro reverse proxy PostHog), verso
ai.getpenno.com solo se usi AI Insights, e verso i
servizi di Apple — nient'altro.
AI Insights (facoltativo)
AI Insights è una funzione facoltativa inclusa nello sblocco una tantum di Penno Pro. Resta disattivata finché non la apri, e la prima volta che la usi Penno ti chiede il consenso esplicito. Se non la attivi mai, niente di questa sezione ti riguarda e nessun dato finanziario lascia il tuo dispositivo.
Quando tocchi "Analizza questo mese" e accetti la richiesta, Penno invia un riepilogo del mese selezionato al nostro fornitore di IA per generare gli approfondimenti scritti:
- Cosa viene inviato: la spesa e i totali di budget per categoria del mese, i totali del mese (speso, budget, entrate), la spesa totale del mese precedente e i nomi e gli importi delle tue voci ricorrenti attive.
- Cosa non viene mai inviato: le tue singole transazioni, le loro note, le date o qualsiasi dettaglio di voce — solo i dati aggregati indicati sopra.
- Come viaggia: la richiesta passa dal nostro proxy su
ai.getpenno.com, che la inoltra all'API Gemini di Google per generare quella singola risposta. Non viene conservata da noi, e la tua richiesta viene inviata senza nome, email o identificativo di account. - Nessun contenuto nelle analytics: registriamo solo metadati operativi anonimi su ciascuna richiesta (modello di IA, conteggio dei token, costo, latenza, esito positivo o negativo) in PostHog — mai i dati inviati né l'approfondimento restituito.
Gli approfondimenti generati dall'IA hanno solo scopo informativo e non costituiscono consulenza finanziaria.
Cosa conserviamo
I tuoi dati di budget — categorie, transazioni, voci ricorrenti, debiti,
pagamenti dei debiti e impostazioni — sono conservati in locale sul tuo
dispositivo in un file di database SQLite chiamato budget-planner.db.
Il file vive nel container dell'app Penno sul dispositivo.
iOS può includere automaticamente questo container nel backup iCloud, se hai il backup iCloud attivo sul dispositivo. È un comportamento a livello di iOS, non qualcosa che Penno controlla. Se preferisci, puoi escludere Penno dal backup iCloud nelle impostazioni iCloud del dispositivo.
A parte questo, Penno offre un backup iCloud facoltativo che controlli tu. Quando lo attivi in Impostazioni → iCloud e tocchi Esegui backup, Penno salva un singolo file di backup nel tuo account iCloud; toccando Ripristina lo riporti indietro. Entrambe sono azioni manuali che fai tu — non c'è nessun caricamento automatico o in background. Il file di backup vive solo nel tuo iCloud; Penno non lo riceve mai e non può leggerlo, e puoi eliminarlo dal tuo iCloud in qualsiasi momento.
Notifiche
Penno programma notifiche locali sul tuo dispositivo — ad esempio un promemoria il giorno prima di un addebito ricorrente, o un avviso per un debito fermo. Queste notifiche le programma il sistema di notifiche di iOS; non serve un push lato server.
Se autorizzi le notifiche nell'onboarding, l'unico dato coinvolto è la programmazione locale sul dispositivo. Niente viene trasmesso a Penno né a terze parti.
Esportazione e condivisione
Quando scegli di esportare i dati in un file CSV o XLSX dalla funzione Esporta nell'app, il file viene creato sul tuo dispositivo e poi passato al foglio di condivisione di iOS. Da lì tu scegli dove va — File, iCloud Drive, email, AirDrop o qualsiasi altra destinazione disponibile sul dispositivo.
Penno non invia il file da nessuna parte. I dati lasciano l'app solo quando lo decidi tu, attraverso il foglio di condivisione.
Terze parti
Non vendiamo, non concediamo in licenza e non condividiamo i tuoi dati finanziari con nessuno. I tuoi dati finanziari non li abbiamo; non c'è niente da condividere.
Le terze parti coinvolte nel funzionamento di Penno sono:
- Apple Inc. — ospita l'app sull'App Store e gestisce la piattaforma iOS sottostante. Regolata dall'informativa sulla privacy di Apple.
-
PostHog Inc. — riceve le analytics di prodotto anonime
descritte sopra. I dati sono ospitati sul Cloud US di PostHog e instradati
attraverso il nostro reverse proxy su
r.getpenno.com. Regolata dall'informativa sulla privacy di PostHog e dal loro accordo di trattamento dei dati. - RevenueCat, Inc. — gestisce l'acquisto in-app una tantum. Riceve la ricevuta d'acquisto dell'App Store e un ID utente anonimo casuale che genera (niente nome, email o dati finanziari), così che il tuo sblocco possa essere convalidato e ripristinato. Regolata dall'informativa sulla privacy di RevenueCat.
- Google LLC — fornisce il modello di IA Gemini alla base della funzione facoltativa AI Insights. Solo quando usi quella funzione, il riepilogo mensile aggregato descritto sopra viene inviato all'API Gemini di Google attraverso il nostro proxy per generare la risposta. Regolata dall'informativa sulla privacy di Google e dai termini dell'API Gemini.
Cookie e tracciamento
La landing di Penno (getpenno.com) imposta un piccolo numero di cookie e voci di localStorage di prima parte usati da PostHog per (a) collegare tra loro gli eventi della stessa sessione e (b) deduplicare il conteggio dei visitatori nel tempo. Non vengono usati per la pubblicità e non vengono condivisi con nessun network pubblicitario. Niente cookie pubblicitari di terze parti, niente Facebook Pixel, niente tag di Google Ads.
L'app mobile non usa identificativi pubblicitari (niente IDFA, niente equivalenti). PostHog dentro l'app usa un ID dispositivo anonimo casuale salvato nella sandbox dell'app; viene resettato quando cancelli l'app.
Disattivazione: l'app non usa identificativi
pubblicitari, quindi non c'è nessuna richiesta di App Tracking
Transparency e Penno non compare in Impostazioni di iOS > Privacy e
sicurezza > Tracciamento. Per fermare le analytics anonime dell'app,
cancella l'app — così si elimina l'ID dispositivo anonimo salvato in
locale. Sul sito puoi usare strumenti del browser (Do Not Track,
modalità privata, content blocker) per bloccare le richieste verso
r.getpenno.com; il sito resta pienamente funzionante anche
senza analytics.
Minori
Penno non è rivolta ai minori. Non raccogliamo consapevolmente nessun dato dai minori. Dato che non raccogliamo dati da nessuno, questa affermazione vale per ogni utente — non c'è un percorso speciale per i dati dei minori.
I tuoi diritti
I tuoi dati finanziari vivono sul tuo dispositivo, completamente sotto il tuo controllo. Puoi:
- Modificare ogni voce dall'interfaccia dell'app
- Esportare tutti i dati con la funzione Esporta dell'app
- Cancellare l'app per rimuovere tutti i dati locali
Per le analytics anonime di PostHog descritte sopra: dato che non c'è un'identità collegata, non abbiamo modo di cercare "i tuoi" eventi lato server. Puoi però bloccare le analytics del tutto:
-
Sito: blocca le richieste verso
r.getpenno.comcon il content blocker del browser, usa la modalità privata/in incognito o attiva Do Not Track. - App: l'app non mostra nessuna richiesta di tracciamento e non usa identificativi pubblicitari, quindi non compare in Impostazioni di iOS > Privacy e sicurezza > Tracciamento. Per fermare le analytics dall'app, cancellala — così si elimina l'ID dispositivo anonimo salvato in locale.
Se ritieni che gli eventi del tuo specifico dispositivo debbano essere cancellati lato PostHog, contattaci all'indirizzo qui sotto indicando l'intervallo di tempo approssimativo e invieremo una richiesta di cancellazione dati a PostHog. Dato che gli eventi sono anonimi potremmo non riuscire a isolare i tuoi, ma collaboreremo in buona fede.
Modifiche a questa policy
Se modificheremo questa policy in modo sostanziale aggiorneremo questa pagina e la data di entrata in vigore qui sopra. Le modifiche sostanziali riguardano le pratiche di trattamento dei dati dell'app; le modifiche non sostanziali sono chiarimenti o correzioni di refusi.
Contatti
Domande sulla privacy: [email protected].