Informativa sulla Privacy

Effective date: 2026-04-18

Questa Informativa sulla Privacy spiega come MyAutoBudget ("il Servizio", "noi", "nostro") gestisce le tue informazioni. MyAutoBudget è gestito da Josh Jones, uno sviluppatore software indipendente con sede in Arizona, Stati Uniti. Crediamo nella trasparenza, quindi questa politica è scritta in un linguaggio semplice e siamo sinceri su ciò che abbiamo e non abbiamo ancora costruito.

1. Cosa Raccogliamo

Informazioni dell'account: Quando ti iscrivi, raccogliamo un indirizzo email, un nome visualizzato e una password. La tua password viene archiviata come un hash crittografico unidirezionale — non memorizziamo mai né abbiamo accesso alla tua password in chiaro.

Dati finanziari che inserisci: Conti, saldi, bollette, fonti di reddito, bucket di allocazione, obiettivi di risparmio e record simili. Tutti questi dati vengono inseriti da te e archiviati esclusivamente per fornire le funzioni di budgeting per le quali ti sei iscritto.

Dati Plaid (opzionale): Se scegli di collegare un conto bancario tramite la nostra integrazione Plaid, riceviamo saldi dei conti, dati delle transazioni e metadati del conto (come i tassi di interesse annuali) da Plaid per tuo conto. La connessione Plaid è in sola lettura — MyAutoBudget non può avviare trasferimenti, effettuare pagamenti o modificare il tuo conto bancario in alcun modo. Non riceviamo né archiviamo le tue credenziali di accesso bancarie — queste sono gestite interamente da Plaid secondo la loro informativa sulla privacy.

Log del server e operativi: Manteniamo log di accesso e operativi limitati (come indirizzi IP, timestamp delle richieste, percorsi URL e informazioni di errore) per sicurezza, affidabilità e prevenzione degli abusi. Questi log vengono conservati per non più di 30 giorni.

2. Come Utilizziamo i Tuoi Dati

Utilizziamo i tuoi dati per fornire il Servizio, mantenere l'affidabilità e la sicurezza, correggere i bug e migliorare le funzioni di budgeting e la funzionalità del prodotto. Ciò include la generazione del tuo dashboard di budget, l'esecuzione di calcoli e proiezioni e l'invio di e-mail transazionali (come i link di ripristino della password). Non utilizziamo i tuoi dati finanziari personali per la pubblicità, la profilazione tra utenti o la vendita a terzi.

Potremmo generare statistiche operative aggregate e de-identificate (ad esempio, tassi di errore, conteggi di utilizzo delle funzionalità o metriche delle prestazioni) per mantenere e migliorare il Servizio. Queste statistiche sono progettate per non identificare i singoli utenti e non vengono vendute a terze parti.

3. Isolamento dei dati e accesso

Progettiamo il Servizio in modo che i registri finanziari di ciascun utente siano isolati da quelli degli altri utenti. Nel corso ordinario delle operazioni di MyAutoBudget, non esaminiamo i dati finanziari dei singoli utenti. Poiché il Servizio è gestito da un piccolo fornitore indipendente, l'operatore ha accesso amministrativo all'infrastruttura sottostante. L'accesso ai dati dell'account può avvenire quando ragionevolmente necessario per fornire supporto, indagare su un problema segnalato, mantenere o proteggere il Servizio, adempiere a obblighi legali o rispondere a un incidente di sicurezza. Quando è necessario un accesso relativo al supporto per un problema specifico che segnali, faremo sforzi ragionevoli per informarti quando praticabile.

4. Maturità della sicurezza e della privacy

Vogliamo essere trasparenti sulla maturità attuale della nostra infrastruttura di sicurezza e privacy. Le seguenti protezioni sono state implementate e sono attive:

• Crittografia inattiva — i campi finanziari sensibili e i token di accesso Plaid vengono crittografati a livello dell'applicazione prima di essere scritti nell'archiviazione persistente. La chiave di crittografia viene archiviata separatamente dai file del database.
• Esportazione dati self-service — puoi scaricare una copia completa di tutti i tuoi dati in formato JSON dalla pagina Profilo in qualsiasi momento, senza bisogno di contattarci.
• Eliminazione autonoma dell'account — è possibile eliminare definitivamente l'account e tutti i dati associati dalla pagina Profilo. L'eliminazione richiede la conferma della password e rimuove il record di autenticazione, tutte le sessioni e i dati finanziari dell'utente dall'archiviazione dell'applicazione attiva.
• Isolamento dei dati per utente — i record finanziari di ogni utente sono logicamente isolati da quelli di altri utenti, e la nostra architettura di archiviazione attuale mantiene i dati finanziari dell'utente separati per utente.
• HTTPS/TLS in transito — tutte le connessioni al Servizio sono crittografate.
• Hashing della password — le password vengono archiviate utilizzando un moderno algoritmo di hashing unidirezionale salato.
• Protezioni CSRF — i token di falsificazione delle richieste tra siti vengono applicati alle richieste di cambio di stato.
• Sicurezza della sessione — i token di sessione sono crittograficamente casuali e scadono dopo un periodo configurabile.
• Limitazione della velocità di accesso — i tentativi di accesso brute-force vengono limitati.

La seguente protezione non è ancora implementata:

• Audit di sicurezza indipendente — il Servizio non ha subito test di penetrazione formali o audit di sicurezza indipendenti.

Nessun sistema è perfettamente sicuro. Considera queste limitazioni quando decidi quali dati inserire nel Servizio.

5. Prima di connettere i conti bancari

MyAutoBudget è uno strumento di budgeting indipendente in versione beta pubblica. Non è una banca e non ha subito un audit di sicurezza indipendente. Se scegliete di collegare conti finanziari tramite Plaid, dovete farlo con questa comprensione. I fondi detenuti nei vostri stessi conti bancari rimangono soggetti ai termini e alle protezioni della vostra banca. MyAutoBudget non fornisce un'assicurazione sui depositi FDIC o simile.

6. Condivisione dati

Non vendiamo, affittiamo o condividiamo i tuoi dati personali con terze parti per scopi di marketing o pubblicità. Condividiamo i dati solo in queste circostanze limitate:

• Plaid (se scegli di aderire) — per recuperare saldi dei conti, dati delle transazioni e informazioni sulle passività (come i tassi di interesse annuali delle carte di credito). Plaid agisce come responsabile del trattamento dei dati per tuo conto. Consulta l'informativa sulla privacy di Plaid per i dettagli su come gestiscono le tue credenziali bancarie.
• Consegna email — utilizziamo un servizio di posta SMTP per inviare i link di ripristino della password. Il servizio riceve solo il tuo indirizzo email e il contenuto del messaggio.
• Obblighi legali — potremmo divulgare i dati se richiesto da legge, regolamento, intimazione o processo legale valido.

7. Conservazione ed eliminazione dei dati

Conserviamo i tuoi dati finché il tuo account rimane attivo. Puoi eliminare definitivamente il tuo account e i dati dell'applicazione associati in qualsiasi momento dalla pagina Profilo, previa conferma della password. Rimuoveremo quindi il tuo record di autenticazione, le sessioni e i tuoi dati finanziari dall'archiviazione attiva dell'applicazione. Non manteniamo intenzionalmente backup a lungo termine accessibili all'utente dei dati finanziari dopo l'eliminazione, ma dati residui limitati potrebbero rimanere temporaneamente in log di breve durata, snapshot dell'infrastruttura o sistemi in attesa di scadenza o sovrascrittura normale. Una volta completata l'eliminazione nei sistemi attivi, i tuoi dati non possono essere ripristinati da noi. L'eliminazione self-service tramite la pagina Profilo viene elaborata tempestivamente nei sistemi applicativi attivi. Se invii una richiesta di eliminazione via e-mail a support@myautobudget.com, la completeremo entro 30 giorni.

8. Notifica di violazione

Se confermiamo un incidente di sicurezza che compromette materialmente i tuoi dati personali, notificheremo gli utenti interessati senza indebito ritardo e, se possibile, entro 72 ore dalla conferma. L'avviso descriverà la natura dell'incidente, i dati coinvolti come allora compresi, i passi che stiamo intraprendendo e le azioni protettive consigliate dove appropriato.

9. Dove sono ospitati i tuoi dati

Il Servizio viene eseguito su due livelli di infrastruttura separati. Il livello applicativo è ospitato sull'infrastruttura Fly.io negli Stati Uniti (regione di Los Angeles / LAX). I vostri dati di autenticazione e i record finanziari crittografati sono archiviati separatamente sull'infrastruttura Turso (SQLite/libSQL gestito), che opera su Amazon Web Services nella regione ovest degli Stati Uniti; i dati a riposo vengono crittografati a livello applicativo prima di raggiungere l'archiviazione Turso. Le pratiche di sicurezza di Fly.io sono descritte nella loro documentazione sulla sicurezza.

10. Cookie e tracciamento

Utilizziamo un singolo cookie di sessione strettamente necessario per mantenerti connesso. Non utilizziamo cookie di analisi, tracker pubblicitari o script di tracciamento di terze parti. Non partecipiamo al tracciamento tra siti o alla pubblicità comportamentale. Non ci sono pixel, tag o SDK di terze parti su nessuna pagina del Servizio.

11. I tuoi diritti

A seconda della tua posizione, potresti avere diritti ai sensi delle leggi sulla privacy applicabili (come CCPA se sei residente in California, o GDPR se ti trovi nell'UE/SEE). Questi possono includere il diritto di accedere, rettificare, cancellare o trasferire i tuoi dati, o di opporti a determinati trattamenti. Puoi esercitare il tuo diritto alla portabilità dei dati e alla cancellazione dell'account direttamente dalla pagina Profilo. Per tutte le altre richieste, invia un'e-mail a support@myautobudget.com. Risponderemo entro 30 giorni.

12. Privacy dei bambini

Il Servizio non è rivolto a persone sotto i 18 anni. Non raccogliamo consapevolmente dati dai minori. Se apprendiamo di aver accidentalmente raccolto dati da qualcuno sotto i 18 anni, li elimineremo prontamente.

13. Modifiche a questa politica

Potremmo aggiornare questa Politica sulla Privacy di tanto in tanto. Per modifiche materiali, ti notificheremo via email o mediante un avviso prominente all'interno del Servizio almeno 14 giorni prima che le modifiche entrino in vigore, e aggiorneremo la data effettiva in cima a questa pagina. L'uso continuato del Servizio dopo il periodo di notifica costituisce l'accettazione della politica rivista.

14. Legge Applicabile

Questa Politica sulla Privacy è regolata dalle leggi dello Stato dell'Arizona, Stati Uniti.

15. Traduzione

Questa Informativa sulla privacy potrebbe essere disponibile in lingue diverse dall'inglese. In caso di conflitto o incoerenza tra una versione tradotta e la versione inglese, la versione inglese prevale.

16. Contatti

Domande su questa politica, i tuoi dati o una preoccupazione sulla privacy? Scrivici a support@myautobudget.com. Per segnalare un sospetto problema di sicurezza, invia un'e-mail a support@myautobudget.com con oggetto "Problema di sicurezza".

Service Availability

MyAutoBudget is currently available only to residents of the United States, Canada, and Mexico. Requests originating from other jurisdictions are blocked at the network layer using IP-based geolocation. If you access the Service from a sanctioned jurisdiction or a jurisdiction outside our service area, we may be required to refuse service and will display a notice to that effect under RFC 7725 (HTTP 451 Unavailable For Legal Reasons).

Categories of Personal Information We Collect

In the last twelve months we have collected the following categories of personal information, as those categories are defined by the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA):

• Identifiers: your email address, display name, and an internal numeric user ID.
• Commercial information: your subscription status, billing history (processed by our payment processor, Stripe), and coupon redemptions.
• Internet or other similar network activity: the IP address of the devices you use to access the Service, browser user-agent, approximate country / region derived from your IP address, and request timestamps.
• Financial information you choose to enter: accounts, balances, bills, income, transactions, allocations, and goals that you record in the Service. All such fields are encrypted at rest using Fernet (AES-128-CBC + HMAC-SHA256) with a key controlled by MyAutoBudget.
• Inferences: projections and insights derived algorithmically from the financial data you enter (for example, an ETA for a savings goal). Inferences are regenerated on demand and are not persisted across sessions.

How We Use Personal Information

We use the categories above exclusively to operate, secure, and improve the Service; to process your subscription; to send transactional email (such as password-reset and email-verification messages); and to comply with our legal obligations. We do not use personal information for advertising, for building profiles to sell to third parties, or for any purpose that is not reasonably necessary to deliver the Service you requested.

Sale or Sharing of Personal Information

We do not sell your personal information, and we do not share it for cross-context behavioral advertising, as those terms are defined under the CCPA/CPRA. We have not sold or shared personal information in the preceding twelve months, and we have no present intention to do so.

You can record an opt-out of any future sale or sharing in two equally effective ways:

• Enable the checkbox on the Privacy Preferences section of your profile. This records a Do Not Sell or Share My Personal Information election on your account and appends a dated entry to our Consent Log.
• Browse with the Global Privacy Control (GPC) signal enabled in your browser or extension. We honor GPC as a legally-binding opt-out under California Civil Code § 1798.135(b)(1); the first authenticated request we receive with a valid Sec-GPC: 1 header automatically records a Do Not Sell / Share election on your account.

Your Rights as a US Resident

Depending on your state of residence you may have some or all of the following rights with respect to your personal information: the right to know what we have collected about you and how we use it; the right to access a copy of that information in a portable format; the right to correct inaccurate information; the right to delete your information; and the right to opt out of any sale or sharing. The exact scope of these rights depends on your state's statute (CCPA/CPRA for California; CPA for Colorado; CTDPA for Connecticut; UCPA for Utah; VCDPA for Virginia; and similar laws in other states).

You can exercise most of these rights directly in the Service:

• Access / portability: Profile → Download your data produces a JSON export of every record we hold about you.
• Correction: you can edit account identifiers on the Profile page and any financial record through the normal management screens.
• Deletion: the "Delete Account" control on the Profile page permanently removes your account and all associated financial data. We retain a one-way hash of the email address and the original account creation timestamp for the sole purpose of preventing abusive re-creation of free trials; this hash is not reversible and cannot be used to identify you.
• Opt-out of sale or sharing: see the preceding section.

To exercise any right that cannot be exercised through the self-service controls above, email us at privacy@myautobudget.com. We verify requests by requiring that you submit them from the email address of record on the account, and we will respond within forty-five (45) days of receiving a verifiable request as required by California Civil Code § 1798.130. You may designate an authorised agent to submit a request on your behalf; the agent must provide written proof of the designation, and we will in all cases verify the identity of the consumer directly.

Non-discrimination. We will not deny you service, charge you a different price, or provide you a different level or quality of service because you exercised any right under the CCPA, CPRA, or analogous state law.

Service Providers

We disclose personal information only to the following categories of service providers, each of which is bound by a written contract that limits their use of the information to the purpose for which we engaged them:

• Turso — managed SQLite (libSQL) hosting for the authentication database and the per-user financial databases. Turso operates on Amazon Web Services in the United States West region. Data at rest is encrypted at the application layer before it reaches Turso storage.
• Stripe, Inc. — subscription billing and payment processing. We never store your card number, expiry, or CVV; Stripe issues the charge directly and returns only a subscription identifier.
• Plaid Inc. — optional bank-account aggregation for users who choose to link an account. Plaid handles all contact with your financial institution; we receive only the normalised account and transaction data that you elect to share.
• SMTP relay — a transactional-email provider used to send password-reset and email-verification messages. Only your email address and the message body leave our infrastructure.
• Cloudflare, Inc. — DNS, DDoS mitigation, and (optionally) the geo-country header used to determine jurisdiction for service availability.

Global Privacy Control (GPC) & Browser Signals

In addition to honoring explicit opt-outs recorded via the Profile page, MyAutoBudget respects the Sec-GPC HTTP header defined by the Global Privacy Control working group as a legally-binding Do Not Sell / Share opt-out under California Civil Code § 1798.135 and corresponding provisions of the Colorado Privacy Act and Connecticut Data Privacy Act. A browser or browser extension that emits Sec-GPC: 1 on a request from an authenticated session will cause the Service to automatically record a Do Not Sell / Share election on that account; the election is reflected in the Consent Log and persists across future sessions.

We do not respond to the legacy "Do Not Track" browser header because that signal has been deprecated and carries no unambiguous legal meaning. GPC supersedes DNT for this purpose.

California Shine the Light (Civil Code § 1798.83)

We do not share personal information with third parties for their own direct-marketing purposes, so no "Shine the Light" disclosure is required. If this changes, we will update this policy and provide the statutorily-required notice.

California Civil Code § 1789.3 Notice

Under California Civil Code § 1789.3, users of the Service from California are entitled to the following consumer rights notice: the Complaint Assistance Unit of the Division of Consumer Services of the California Department of Consumer Affairs may be contacted in writing at 1625 North Market Blvd., Suite N 112, Sacramento, CA 95834, or by telephone at (800) 952-5210 or (916) 445-1254.

Mexico — LFPDPPP

Users in Mexico have rights of Access, Rectification, Cancellation, and Opposition ("ARCO" rights) under the Ley Federal de Protección de Datos Personales en Posesión de los Particulares. The self-service export, edit, and delete controls described above satisfy the Access, Rectification, and Cancellation rights in full. To exercise the right of Opposition or to submit any ARCO request that cannot be satisfied by self-service, email privacy@myautobudget.com.

Canada — PIPEDA & Provincial Equivalents

Canadian users are protected by the Personal Information Protection and Electronic Documents Act and, where applicable, by provincial statutes (Quebec's Law 25, Alberta's PIPA, British Columbia's PIPA). We handle personal information in accordance with the ten Fair Information Principles and will respond to any access or correction request within thirty (30) days as required by section 8 of PIPEDA.

Consent Log & Version History

Each time you create an account, toggle a privacy preference, or transmit a browser-level opt-out signal, we append an immutable row to an internal Consent Log recording the event, the date, and the version of this Privacy Policy and of our Terms of Use in force at that moment. You can review the last ten entries in your own log from the Privacy Preferences section of your profile and request the full record as part of a data-subject access request.

Contact

For any privacy question, data-subject request, or notice of complaint, contact:

MyAutoBudget — Privacy
Email: privacy@myautobudget.com