Documento pubblico · GDPR art. 30

Registro delle attività di trattamento

Versione 1.0 — Ultimo aggiornamento: 20 maggio 2026

Il presente registro è tenuto dal Titolare del trattamento ai sensi dell'art. 30 del Reg. UE 2016/679 (GDPR) e pubblicato integralmente per finalità di trasparenza verso utenti, Pubbliche Amministrazioni e partner.

Titolare del trattamento: EV Guard — Milano (MI) — info@evguard.it

Contatto privacy: privacy@evguard.it

DPO: non obbligatorio ex art. 37 GDPR; punto di contatto privacy attivo.

T1

Gestione account utente

Finalità
Registrazione, autenticazione, gestione del profilo e delle preferenze.
Base giuridica
Art. 6.1.b GDPR (esecuzione contratto)
Categorie di dati
Email, nome, password (hash bcrypt), ID utente, ruolo.
Categorie di interessati
Utenti registrati (cittadini, polizia locale, CPO).
Destinatari
Lovable Cloud (Supabase Auth, EU).
Conservazione
Per la durata dell'account + 30 gg dalla richiesta di cancellazione.
Misure di sicurezza
Password hashing bcrypt; MFA disponibile; sessione JWT con scadenza; RLS sulla tabella profiles.
T2

Raccolta segnalazioni di occupazione abusiva

Finalità
Documentare l'occupazione abusiva di stalli EV e trasmettere alle autorità competenti.
Base giuridica
Art. 6.1.e GDPR (interesse pubblico) + Art. 6.1.f (legittimo interesse CPO/gestore parcheggio) + DPR 445/2000 art. 76.
Categorie di dati
Foto del veicolo, targa (cifrata AES-256-GCM + hash SHA-256), geolocalizzazione GPS, timestamp, ID segnalante.
Categorie di interessati
Proprietari dei veicoli segnalati; utenti segnalanti.
Destinatari
Polizia Locale competente (via PEC e dashboard); CPO operatore della colonnina (solo dati relativi alla propria rete).
Conservazione
90 giorni in forma identificabile, poi anonimizzazione (mantenimento solo dati aggregati e hash).
Misure di sicurezza
RLS su tabella reports; storage privato per le foto; cifratura at-rest; audit log con hash chain.
T3

Validazione AI delle segnalazioni

Finalità
Verificare automaticamente che la foto rappresenti un veicolo termico su uno stallo di ricarica EV.
Base giuridica
Art. 6.1.f GDPR (legittimo interesse a ridurre segnalazioni infondate).
Categorie di dati
Foto del veicolo (transito al modello di visione).
Categorie di interessati
Proprietari dei veicoli segnalati.
Destinatari
Google Gemini Vision tramite Lovable AI Gateway (no training su dati utente, no retention al di fuori della singola chiamata).
Conservazione
I dati non sono conservati dal modello AI. Il verdetto (testo + score) è conservato nella riga della segnalazione.
Misure di sicurezza
Chiamata server-side autenticata; nessun trasferimento extra-UE per inference; output validato e non vincolante (richiede revisione umana per status finale).
T4

Audit log a prova di manomissione

Finalità
Garantire integrità e tracciabilità di tutti gli eventi sulle segnalazioni (creazione, cambio status).
Base giuridica
Art. 6.1.c GDPR (obblighi di legge — prova in giudizio) + Art. 32 GDPR (sicurezza del trattamento).
Categorie di dati
ID segnalazione, tipo evento, attore (utente/admin/police/cpo), IP, user-agent, hash SHA-256 concatenato.
Categorie di interessati
Utenti, admin, polizia locale, CPO.
Destinatari
Solo admin EV Guard, owner della segnalazione, polizia locale del Comune e CPO dell'operatore (RLS).
Conservazione
5 anni (obblighi di conservazione documentale).
Misure di sicurezza
Append-only; hash-chain SHA-256 (modifica retroattiva rilevabile); RLS strict.
T5

Invio PEC ai Comuni

Finalità
Trasmissione formale delle segnalazioni alla Polizia Locale ai sensi della L. 241/1990.
Base giuridica
Art. 6.1.e GDPR (interesse pubblico).
Categorie di dati
Report aggregato (PDF) con foto, targhe, geolocalizzazione, audit chain.
Categorie di interessati
Proprietari dei veicoli segnalati.
Destinatari
PEC ufficiali dei Comuni italiani (registro IPA / IndicePA).
Conservazione
Tracciamento invio (status, ricevuta accettazione e consegna) conservato 5 anni.
Misure di sicurezza
Provider PEC certificato; URL ricevute conservate; tabella pec_dispatches in RLS admin-only.
T6

Email transazionali e di notifica

Finalità
Conferma registrazione, recupero password, notifiche di stato segnalazioni, comunicazioni di servizio.
Base giuridica
Art. 6.1.b GDPR (esecuzione contratto).
Categorie di dati
Email, nome, contenuto della notifica.
Categorie di interessati
Utenti registrati.
Destinatari
Resend (provider email, EU).
Conservazione
Log invio 30 giorni presso il provider; nessuna copia conservata localmente.
Misure di sicurezza
Connessione TLS; mittente verificato (SPF, DKIM, DMARC); template anti-phishing.
T7

Gestione lead commerciali (partner)

Finalità
Raccolta richieste di demo/attivazione da Comuni, CPO, parcheggi privati.
Base giuridica
Art. 6.1.b GDPR (misure pre-contrattuali su richiesta dell'interessato).
Categorie di dati
Nome, email, telefono, organizzazione, ruolo, numero stalli, note.
Categorie di interessati
Referenti aziendali / pubblici.
Destinatari
Solo admin EV Guard.
Conservazione
24 mesi dall'ultimo contatto, poi cancellazione o anonimizzazione.
Misure di sicurezza
RLS admin-only su partner_leads; insert pubblico ma senza lettura.
T8

Cookie tecnici e analytics anonimi

Finalità
Funzionamento del sito (sessione, preferenze) e analisi aggregata anonima.
Base giuridica
Art. 122 Codice Privacy per i tecnici (no consenso); art. 6.1.a GDPR per gli analytics (consenso esplicito).
Categorie di dati
Cookie di sessione, preferenze utente, eventi anonimi.
Categorie di interessati
Visitatori del sito.
Destinatari
Nessuno (analytics self-hosted) o vendor selezionato dopo consenso (banner).
Conservazione
Sessione: fino al logout. Analytics: max 14 mesi.
Misure di sicurezza
Cookie httpOnly/secure/sameSite; banner conforme Linee Guida Garante 2021.