Documento pubblico · GDPR art. 30
Registro delle attività di trattamento
Versione 1.0 — Ultimo aggiornamento: 20 maggio 2026
Il presente registro è tenuto dal Titolare del trattamento ai sensi dell'art. 30 del Reg. UE 2016/679 (GDPR) e pubblicato integralmente per finalità di trasparenza verso utenti, Pubbliche Amministrazioni e partner.
Titolare del trattamento: EV Guard — Milano (MI) — info@evguard.it
Contatto privacy: privacy@evguard.it
DPO: non obbligatorio ex art. 37 GDPR; punto di contatto privacy attivo.
T1
Gestione account utente
- Finalità
- Registrazione, autenticazione, gestione del profilo e delle preferenze.
- Base giuridica
- Art. 6.1.b GDPR (esecuzione contratto)
- Categorie di dati
- Email, nome, password (hash bcrypt), ID utente, ruolo.
- Categorie di interessati
- Utenti registrati (cittadini, polizia locale, CPO).
- Destinatari
- Lovable Cloud (Supabase Auth, EU).
- Conservazione
- Per la durata dell'account + 30 gg dalla richiesta di cancellazione.
- Misure di sicurezza
- Password hashing bcrypt; MFA disponibile; sessione JWT con scadenza; RLS sulla tabella profiles.
T2
Raccolta segnalazioni di occupazione abusiva
- Finalità
- Documentare l'occupazione abusiva di stalli EV e trasmettere alle autorità competenti.
- Base giuridica
- Art. 6.1.e GDPR (interesse pubblico) + Art. 6.1.f (legittimo interesse CPO/gestore parcheggio) + DPR 445/2000 art. 76.
- Categorie di dati
- Foto del veicolo, targa (cifrata AES-256-GCM + hash SHA-256), geolocalizzazione GPS, timestamp, ID segnalante.
- Categorie di interessati
- Proprietari dei veicoli segnalati; utenti segnalanti.
- Destinatari
- Polizia Locale competente (via PEC e dashboard); CPO operatore della colonnina (solo dati relativi alla propria rete).
- Conservazione
- 90 giorni in forma identificabile, poi anonimizzazione (mantenimento solo dati aggregati e hash).
- Misure di sicurezza
- RLS su tabella reports; storage privato per le foto; cifratura at-rest; audit log con hash chain.
T3
Validazione AI delle segnalazioni
- Finalità
- Verificare automaticamente che la foto rappresenti un veicolo termico su uno stallo di ricarica EV.
- Base giuridica
- Art. 6.1.f GDPR (legittimo interesse a ridurre segnalazioni infondate).
- Categorie di dati
- Foto del veicolo (transito al modello di visione).
- Categorie di interessati
- Proprietari dei veicoli segnalati.
- Destinatari
- Google Gemini Vision tramite Lovable AI Gateway (no training su dati utente, no retention al di fuori della singola chiamata).
- Conservazione
- I dati non sono conservati dal modello AI. Il verdetto (testo + score) è conservato nella riga della segnalazione.
- Misure di sicurezza
- Chiamata server-side autenticata; nessun trasferimento extra-UE per inference; output validato e non vincolante (richiede revisione umana per status finale).
T4
Audit log a prova di manomissione
- Finalità
- Garantire integrità e tracciabilità di tutti gli eventi sulle segnalazioni (creazione, cambio status).
- Base giuridica
- Art. 6.1.c GDPR (obblighi di legge — prova in giudizio) + Art. 32 GDPR (sicurezza del trattamento).
- Categorie di dati
- ID segnalazione, tipo evento, attore (utente/admin/police/cpo), IP, user-agent, hash SHA-256 concatenato.
- Categorie di interessati
- Utenti, admin, polizia locale, CPO.
- Destinatari
- Solo admin EV Guard, owner della segnalazione, polizia locale del Comune e CPO dell'operatore (RLS).
- Conservazione
- 5 anni (obblighi di conservazione documentale).
- Misure di sicurezza
- Append-only; hash-chain SHA-256 (modifica retroattiva rilevabile); RLS strict.
T5
Invio PEC ai Comuni
- Finalità
- Trasmissione formale delle segnalazioni alla Polizia Locale ai sensi della L. 241/1990.
- Base giuridica
- Art. 6.1.e GDPR (interesse pubblico).
- Categorie di dati
- Report aggregato (PDF) con foto, targhe, geolocalizzazione, audit chain.
- Categorie di interessati
- Proprietari dei veicoli segnalati.
- Destinatari
- PEC ufficiali dei Comuni italiani (registro IPA / IndicePA).
- Conservazione
- Tracciamento invio (status, ricevuta accettazione e consegna) conservato 5 anni.
- Misure di sicurezza
- Provider PEC certificato; URL ricevute conservate; tabella pec_dispatches in RLS admin-only.
T6
Email transazionali e di notifica
- Finalità
- Conferma registrazione, recupero password, notifiche di stato segnalazioni, comunicazioni di servizio.
- Base giuridica
- Art. 6.1.b GDPR (esecuzione contratto).
- Categorie di dati
- Email, nome, contenuto della notifica.
- Categorie di interessati
- Utenti registrati.
- Destinatari
- Resend (provider email, EU).
- Conservazione
- Log invio 30 giorni presso il provider; nessuna copia conservata localmente.
- Misure di sicurezza
- Connessione TLS; mittente verificato (SPF, DKIM, DMARC); template anti-phishing.
T7
Gestione lead commerciali (partner)
- Finalità
- Raccolta richieste di demo/attivazione da Comuni, CPO, parcheggi privati.
- Base giuridica
- Art. 6.1.b GDPR (misure pre-contrattuali su richiesta dell'interessato).
- Categorie di dati
- Nome, email, telefono, organizzazione, ruolo, numero stalli, note.
- Categorie di interessati
- Referenti aziendali / pubblici.
- Destinatari
- Solo admin EV Guard.
- Conservazione
- 24 mesi dall'ultimo contatto, poi cancellazione o anonimizzazione.
- Misure di sicurezza
- RLS admin-only su partner_leads; insert pubblico ma senza lettura.
T8
Cookie tecnici e analytics anonimi
- Finalità
- Funzionamento del sito (sessione, preferenze) e analisi aggregata anonima.
- Base giuridica
- Art. 122 Codice Privacy per i tecnici (no consenso); art. 6.1.a GDPR per gli analytics (consenso esplicito).
- Categorie di dati
- Cookie di sessione, preferenze utente, eventi anonimi.
- Categorie di interessati
- Visitatori del sito.
- Destinatari
- Nessuno (analytics self-hosted) o vendor selezionato dopo consenso (banner).
- Conservazione
- Sessione: fino al logout. Analytics: max 14 mesi.
- Misure di sicurezza
- Cookie httpOnly/secure/sameSite; banner conforme Linee Guida Garante 2021.