Privacy Policy

Informativa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR).
Ultimo aggiornamento: aprile 2026.

1. Titolare del trattamento

POP-APP FACTORY — ditta individuale
P.IVA 03593160926
Email: info@pop-appfactory.com
Sito: pop-appfactory.com

Per qualsiasi questione relativa ai tuoi dati scrivi all'indirizzo email sopra.

2. Dati raccolti e finalità

L'app ABA Cards raccoglie e tratta le seguenti categorie di dati:

Account e autenticazione

Dati: indirizzo email, identificativo utente (UID Firebase), metodo di accesso (email/password, Google, Apple).
Finalità: creare e gestire l'account, permettere l'accesso ai propri dati da più dispositivi.
Base giuridica: esecuzione di un contratto (art. 6, par. 1, lett. b GDPR).

Contenuti utente (card, categorie, impostazioni)

Dati: immagini, file audio, testi delle card, struttura delle categorie, preferenze (tema, lingua, PIN).
Finalità: erogare la funzionalità principale dell'app (comunicazione aumentativa).
Base giuridica: esecuzione di un contratto (art. 6, par. 1, lett. b GDPR).

Diagnostica e crash report

Dati: log di crash, stack trace, modello del dispositivo, versione del sistema operativo, versione dell'app, metriche di performance (tempo di caricamento, errori di rete).
Finalità: individuare e correggere malfunzionamenti, migliorare stabilità e prestazioni.
Base giuridica: legittimo interesse del Titolare a garantire un servizio funzionante (art. 6, par. 1, lett. f GDPR).
Strumenti: Firebase Crashlytics, Firebase Performance Monitoring.

Analisi di utilizzo

Dati: eventi aggregati (card riprodotte, schermate visitate, login), identificativo pseudonimo del dispositivo, lingua, paese.
Finalità: comprendere come viene usata l'app per migliorarla.
Base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR).
Strumenti: Firebase Analytics.

Feedback inviato dall'utente

Dati: testo del feedback, tipo (bug/suggerimento/domanda), screenshot (opzionale, rimovibile dall'utente prima dell'invio), log di sessione, email dell'utente autenticato.
Finalità: assistenza e miglioramento del prodotto.
Base giuridica: consenso implicito dell'utente che invia volontariamente il feedback (art. 6, par. 1, lett. a GDPR).

I dati non sono utilizzati per profilazione, marketing automatizzato o comunicazioni commerciali non richieste. Non vendiamo né cediamo i tuoi dati a terzi.

3. Conservazione dei dati

Account e contenuti: per tutto il tempo in cui l'account è attivo. Eliminando l'account, tutti i dati personali e i contenuti vengono cancellati definitivamente.
Crash report e metriche: conservati da Firebase secondo le sue policy (tipicamente 90 giorni per i crash, 60 giorni per gli eventi Analytics).
Feedback: conservati per audit, ma anonimizzati alla cancellazione dell'account (rimozione di email e ID utente).

Per informazioni sulla cancellazione dell'account consulta la pagina Eliminazione account.

4. Destinatari dei dati (Responsabili del trattamento)

I dati sono trattati dai seguenti fornitori tecnici, nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR:

Google LLC / Firebase (Google Ireland Ltd. per i clienti UE) — autenticazione (Firebase Auth), database (Cloud Firestore), archiviazione file (Firebase Storage), hosting, diagnostica (Crashlytics, Performance), analytics, invio email transazionali (Trigger Email from Firestore).
Google è certificata EU-US Data Privacy Framework e adotta le Clausole Contrattuali Standard (art. 46 GDPR).

I dati non vengono ceduti, venduti o comunicati a terzi per finalità proprie di questi ultimi.

5. Trasferimenti verso paesi terzi

I dati possono essere trasferiti e archiviati su server Firebase situati anche fuori dall'Unione Europea (principalmente Stati Uniti), nel rispetto delle garanzie previste dal GDPR (Clausole Contrattuali Standard ed EU-US Data Privacy Framework).

6. Diritti dell'interessato

Ai sensi degli artt. 15-22 GDPR hai il diritto di:

Accesso — ottenere conferma e copia dei tuoi dati (art. 15).
Rettifica — correggere dati inesatti (art. 16).
Cancellazione — ottenere la cancellazione dei dati (art. 17). Puoi cancellare l'account direttamente dall'app: istruzioni qui.
Limitazione — limitare il trattamento (art. 18).
Portabilità — ricevere i tuoi dati in formato strutturato e leggibile (art. 20).
Opposizione — opporti al trattamento per motivi legittimi (art. 21).
Revoca del consenso — revocare in qualsiasi momento i consensi prestati, senza pregiudicare la liceità del trattamento precedente (art. 7).

Per esercitare i tuoi diritti scrivi a info@pop-appfactory.com. Risposta entro 30 giorni (art. 12 GDPR).

7. Minori

L'app è pensata per essere configurata e utilizzata da adulti (genitori, educatori, terapisti). Non raccogliamo consapevolmente dati personali di minori di 14 anni come intestatari dell'account. I contenuti creati (foto, audio) restano sotto la responsabilità del caregiver che ha creato l'account.

8. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati: trasmissione cifrata (HTTPS/TLS), autenticazione Firebase, controllo di integrità delle app tramite Firebase App Check, regole di accesso ai database basate sull'utente autenticato, backup automatici gestiti da Google.

9. Reclamo all'autorità di controllo

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di proporre reclamo a:

Garante per la protezione dei dati personali
Piazza Venezia 11 — 00187 Roma — Tel. +39 06 696771
www.garanteprivacy.it

10. Modifiche a questa informativa

Questa informativa può essere aggiornata. La data di ultimo aggiornamento è indicata in alto. Modifiche sostanziali saranno comunicate tramite l'app o via email.

Privacy Policy

Information notice pursuant to Art. 13 of EU Regulation 2016/679 (GDPR).
Last update: April 2026.

1. Data controller

POP-APP FACTORY — sole proprietorship
VAT ID 03593160926
Email: info@pop-appfactory.com
Website: pop-appfactory.com

For any question about your data, please write to the email address above.

2. Data collected and purposes

ABA Cards collects and processes the following categories of data:

Account and authentication

Data: email address, user identifier (Firebase UID), sign-in method (email/password, Google, Apple).
Purpose: create and manage the account, allow multi-device access to user data.
Legal basis: performance of a contract (Art. 6(1)(b) GDPR).

User content (cards, categories, settings)

Data: images, audio files, card labels, category structure, preferences (theme, language, PIN).
Purpose: provide the core functionality of the app (augmentative and alternative communication).
Legal basis: performance of a contract (Art. 6(1)(b) GDPR).

Diagnostics and crash reports

Data: crash logs, stack traces, device model, OS version, app version, performance metrics (load times, network errors).
Purpose: identify and fix malfunctions, improve stability and performance.
Legal basis: legitimate interest of the Controller in delivering a working service (Art. 6(1)(f) GDPR).
Tools: Firebase Crashlytics, Firebase Performance Monitoring.

Usage analytics

Data: aggregated events (cards played, screens visited, logins), pseudonymous device identifier, language, country.
Purpose: understand how the app is used in order to improve it.
Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).
Tools: Firebase Analytics.

Feedback submitted by the user

Data: feedback text, type (bug/suggestion/question), optional screenshot (removable before sending), session log, authenticated user email.
Purpose: customer support and product improvement.
Legal basis: implicit consent of the user who voluntarily submits feedback (Art. 6(1)(a) GDPR).

Data are not used for profiling, automated marketing, or unsolicited commercial communications. We do not sell or share your data with third parties.

3. Data retention

Account and content: for as long as the account is active. When you delete the account, all personal data and content are permanently removed.
Crash reports and metrics: retained by Firebase according to its policies (typically 90 days for crashes, 60 days for Analytics events).
Feedback: retained for audit purposes, but anonymized upon account deletion (removal of email and user ID).

For information about account deletion see the Account deletion page.

4. Recipients of the data (Data Processors)

Data are processed by the following technical providers, appointed as Data Processors pursuant to Art. 28 GDPR:

Google LLC / Firebase (Google Ireland Ltd. for EU customers) — authentication (Firebase Auth), database (Cloud Firestore), file storage (Firebase Storage), hosting, diagnostics (Crashlytics, Performance), analytics, transactional email (Trigger Email from Firestore).
Google is EU-US Data Privacy Framework certified and adopts Standard Contractual Clauses (Art. 46 GDPR).

Data are not transferred, sold, or shared with third parties for their own purposes.

5. Transfers to third countries

Data may be transferred to and stored on Firebase servers located outside the European Union (mainly in the United States), in compliance with GDPR safeguards (Standard Contractual Clauses and EU-US Data Privacy Framework).

6. Rights of the data subject

Pursuant to Articles 15-22 GDPR, you have the right to:

Access — obtain confirmation and a copy of your data (Art. 15).
Rectification — correct inaccurate data (Art. 16).
Erasure — have your data deleted (Art. 17). You can delete the account directly from the app: instructions here.
Restriction — restrict processing (Art. 18).
Portability — receive your data in a structured, machine-readable format (Art. 20).
Objection — object to processing on legitimate grounds (Art. 21).
Withdraw consent — withdraw at any time any consent given, without affecting the lawfulness of previous processing (Art. 7).

To exercise your rights, write to info@pop-appfactory.com. Reply within 30 days (Art. 12 GDPR).

7. Minors

The app is designed to be configured and used by adults (parents, educators, therapists). We do not knowingly collect personal data of minors under 14 as account holders. Content created (photos, audio) remains under the responsibility of the caregiver who created the account.

8. Security

We adopt appropriate technical and organizational measures to protect your data: encrypted transmission (HTTPS/TLS), Firebase authentication, app integrity checks via Firebase App Check, user-based database access rules, automated backups managed by Google.

9. Complaint to the supervisory authority

If you believe that the processing of your data violates the GDPR, you have the right to lodge a complaint with:

Italian Data Protection Authority
Piazza Venezia 11 — 00187 Rome — Phone +39 06 696771
www.garanteprivacy.it

You may also contact the supervisory authority of your own country of residence.

10. Changes to this notice

This notice may be updated. The last update date is shown at the top. Material changes will be communicated via the app or by email.