GTrack • Fabio Barabino • Ultima revisione: 9 Giugno 2026 • Versione 2.1 • La versione italiana fa fede in caso di conflitto
Nota: In caso di conflitto tra la versione italiana e quella inglese, prevale la versione italiana, in quanto l'operatore è soggetto alla legge italiana.
Il presente documento descrive le modalitĂ di trattamento dei dati personali raccolti tramite l'applicazione GTrack, di proprietĂ di Fabio Barabino (di seguito "Titolare"). Il Titolare agisce in qualitĂ di Titolare del Trattamento ai sensi del Regolamento (UE) 2016/679 (GDPR).
Utilizzo della Posizione in Foreground (Dato Sensibile)
GTrack richiede l’accesso alla posizione precisa (GPS) solo in primo piano (foreground) durante una sessione attiva. Al momento dell’avvio della registrazione, l’app mostra una notifica persistente obbligatoria: questo permette a GTrack di continuare a ricevere i dati GPS in modo sicuro anche quando lo schermo è spento o se si passa a un’altra applicazione. La notifica e il rilevamento della posizione terminano e scompaiono automaticamente non appena l'utente interrompe la sessione. L'app non accede mai alla posizione in background quando non è in corso una registrazione.
1. Tipologia di Dati Raccolti
Dati forniti volontariamente
Informazioni del profilo (nome, cognome o pseudonimo, descrizione/bio).
Dati di autenticazione tramite Firebase Auth (indirizzo email).
Immagine del profilo (opzionale).
File GPX importati dall'utente per l'analisi delle sessioni.
Dati dei circuiti personalizzati (UGC - Contenuti Generati dall'Utente):
Se l'utente crea un nuovo circuito nell'app, vengono raccolti e memorizzati nel
database i dati geografici della pista, il timestamp esatto di creazione e
l'identificativo alfanumerico dell'utente (ID utente) che l'ha generata.
Nel caso di circuiti creati dall'utente e messi a disposizione della community per le sessioni e
le classifiche, agli altri utenti dell'app verranno mostrati unicamente il mese e l'anno di creazione
del tracciato, al fine di agevolarne l'identificazione.
Dati raccolti automaticamente
Coordinate GPS: Latitudine, longitudine, altitudine e velocitĂ , raccolte in foreground durante le sessioni di tracking attive.
Dati biometrici (frequenza cardiaca): raccolti esclusivamente se l’utente importa un file GPX che li contiene; la registrazione da dispositivo mobile acquisisce solo dati di posizione.
Dati di utilizzo: Tramite Google Analytics for Firebase (es. schermate visitate, durata sessioni). La raccolta dell'ID pubblicitario è disabilitata.
Dati di sistema: Modello del dispositivo, versione del sistema operativo, ID univoci del dispositivo (per notifiche push).
Dati di crash: Tramite Firebase Crashlytics, log tecnici anonimi in caso di chiusura imprevista dell'app (stack trace, stato del dispositivo). Questi dati non contengono informazioni personali identificabili.
Dati pubblici (Classifiche)
Partecipando alle classifiche pubbliche, l'utente accetta che il proprio nome display (nome
reale, solo nome, o nickname a scelta dell'utente), il totale delle ore di guida, il numero di sessioni registrate
e il miglior tempo registrato per ciascun circuito siano visibili a tutti gli altri utenti dell'app. Se l'utente sceglie
di non apparire in classifica, tutte queste informazioni (ore di guida, numero di sessioni e tempi) vengono
nascoste agli altri utenti. Tutti gli altri dati della sessione rimangono privati. La partecipazione alle classifiche è volontaria.
2. Base Giuridica del Trattamento
FinalitĂ
Base Giuridica (Art. 6 GDPR)
Tracking GPS in foreground, sincronizzazione dati, classifiche
Consenso dell'interessato (Art. 6.1.a) — revocabile in qualsiasi momento
Autenticazione, gestione account
Esecuzione del contratto (Art. 6.1.b)
Analytics aggregata, Crashlytics
Legittimo interesse del Titolare a migliorare e stabilizzare il servizio (Art. 6.1.f)
Notifiche push
Consenso dell'interessato (Art. 6.1.a) — revocabile dalle impostazioni del dispositivo
3. FinalitĂ del Trattamento
I dati sono trattati esclusivamente per:
Fornire il servizio di monitoraggio sportivo e cronometraggio GPS.
Sincronizzare i dati tra i dispositivi dell'utente tramite Firebase Cloud Firestore.
Pubblicare il nickname (o nome display), le ore di guida, il numero di sessioni e il miglior tempo nelle classifiche pubbliche (solo se l'utente partecipa).
Analizzare in forma aggregata le prestazioni dell'app per correggere bug.
Inviare notifiche push di servizio (se l'utente concede il permesso).
4. Servizi di Terze Parti e Trasferimento Extra-UE
L'app si avvale dei servizi Google Firebase. Google LLC agisce in qualità di Responsabile del Trattamento ai sensi di un apposito Data Processing Agreement. I dati possono essere trasferiti e conservati su server situati negli Stati Uniti. Tale trasferimento è disciplinato dalle Clausole Contrattuali Standard (SCC) adottate da Google e dal Data Privacy Framework EU-USA (in vigore dal luglio 2023), che assicurano un livello di protezione adeguato ai sensi dell'Art. 46 GDPR.
Dati GPS e sessioni (Firestore): Fino alla cancellazione dell'account da parte dell'utente. I tracciati
creati dall’utente rimangono in Firestore anche dopo l’eliminazione del profilo per garantire la continuità del servizio
e preservare le classifiche globali degli altri utenti; il documento del tracciato conserva solo il timestamp di creazione e
l’identificativo anonimo dell’utente creatore, che non è più riconducibile a nessun dato personale dopo la
cancellazione dell’account.
File GPX (Firebase Storage): Fino alla cancellazione dell'account o del file da parte dell'utente.
Dati di profilo (nickname, bio): Fino alla cancellazione dell'account.
Dati classifiche (nickname + miglior tempo): Eliminati entro 30 giorni dalla cancellazione dell'account.
Log di crash (Crashlytics): 90 giorni (policy Google).
Dati di analytics: 14 mesi (impostazione predefinita Google Analytics).
Dati locali sul dispositivo (SQLite crittografato): Fino alla disinstallazione dell'app o cancellazione manuale da parte dell'utente.
6. Sicurezza dei Dati
Crittografia at-rest (locale): Il database locale sul dispositivo è protetto con SQLCipher, che applica crittografia AES-256. Le chiavi sono gestite tramite il sistema Android Keystore (Security-Crypto).
Crittografia in transito: Tutti i dati trasmessi ai server Firebase sono protetti da SSL/TLS.
Accesso ai file GPX: I file GPX su Firebase Storage sono privati e accessibili esclusivamente dall'account dell'utente proprietario, tramite Firebase Security Rules.
App Check: Firebase App Check (Play Integrity) verifica che le richieste al backend provengano da versioni non manomesse dell'app.
7. Valutazione d'Impatto (DPIA)
In considerazione della natura dei dati trattati (geolocalizzazione precisa e continuativa), il Titolare ha valutato il rischio del trattamento ai sensi dell'Art. 35 GDPR. Il trattamento è limitato a sessioni di tracking avviate attivamente dall'utente, i dati non vengono condivisi con terze parti a fini commerciali o di profilazione, e la raccolta dell'ID pubblicitario è disabilitata. Sulla base di questa valutazione, il Titolare ha determinato che le misure tecniche e organizzative adottate (crittografia locale, accesso limitato, consenso esplicito) sono adeguate a mitigare i rischi identificati.
8. Accesso ai File del Dispositivo
L'app può leggere e scrivere file .gpx sul dispositivo esclusivamente quando l'utente avvia esplicitamente un'operazione di importazione o esportazione. L'app non accede alla memoria del dispositivo in modo autonomo. I file importati vengono elaborati localmente; se l'utente sincronizza la sessione con il Cloud, il file GPX viene caricato su Firebase Storage nell'area privata dell'utente.
Se l'utente esporta e condivide un file GPX con terzi, la responsabilità per l'uso successivo di tale file è dell'utente stesso.
9. Diritti dell'Interessato
Ai sensi degli Artt. 15–22 GDPR, l'utente ha il diritto di:
Revoca del consenso in qualsiasi momento (Art. 7.3), senza pregiudizio per la liceitĂ del trattamento precedente;
Reclamo all'AutoritĂ di controllo competente (per l'Italia: Garante per la Protezione dei Dati Personali).
Per esercitare i tuoi diritti: contatta gtrackapp2025@gmail.com oppure usa la funzione di cancellazione nelle impostazioni dell'app. Le richieste saranno evase entro 30 giorni.
10. Minori
L’app è riservata agli utenti di età pari o superiore a 18 anni. Al momento della registrazione, l’utente deve dichiarare di aver compiuto 18 anni. Il Titolare non raccoglie consapevolmente dati di minori di 18 anni. Se il Titolare dovesse accertare che dati di un minore di 18 anni sono stati raccolti, provvederà alla loro immediata eliminazione.
Ultima revisione: 9 Giugno 2026 · Versione 2.1
Privacy Policy (GDPR)
GTrack • Fabio Barabino • Last updated: June 9, 2026 • Version 2.1 • The Italian version prevails in case of conflict
Note: In the event of any conflict between the Italian and English versions, the Italian version shall prevail, as the operator is subject to Italian law.
This document describes how personal data collected through the GTrack application, owned by Fabio Barabino ("Controller"), is processed. The Controller acts as Data Controller under Regulation (EU) 2016/679 (GDPR).
Foreground Location Usage (Sensitive Data)
GTrack requires access to precise location data (GPS) only in the foreground during an active session. When recording starts, the app displays a mandatory persistent notification: this allows GTrack to continue receiving GPS data securely even when the screen is turned off or if you switch to another application. The notification and location tracking terminate and disappear automatically as soon as the user stops the session. The app never accesses the location in the background when a recording is not in progress.
1. Types of Data Collected
User-provided Data
Profile information (name, surname, or pseudonym, bio).
Authentication data via Firebase Auth (email address).
Profile picture (optional).
GPX files imported by the user for session analysis.
Custom circuit data (UGC - User-Generated Content):
If the user creates a new circuit within the app, the track's geographical
data, the exact creation timestamp, and the alphanumeric identifier of the user
(User ID) who generated it are collected and stored in the database.
In the case of circuits created by the user and made available to the
community for sessions and leaderboards, other app users will only see the
month and year of creation of the track to facilitate its identification.
Automatically Collected Data
GPS Coordinates: Latitude, longitude, altitude, and speed, collected in foreground during active tracking sessions.
Biometric data (heart rate): collected only if the user imports a GPX file containing such data; recording via mobile device captures location data only.
Usage Data: Via Google Analytics for Firebase (e.g., screens visited, session duration). Advertising ID collection is disabled.
System Data: Device model, OS version, unique device identifiers (for push notifications).
Crash Data: Via Firebase Crashlytics, anonymous technical logs upon unexpected app closure (stack traces, device state). These do not contain personally identifiable information.
Public Data (Leaderboards)
By participating in public leaderboards, the user agrees that their display name (real name,
first name only, or nickname at the user's choice), total driving hours, number of recorded sessions, and best lap
time per circuit will be visible to all other app users. If the user chooses not to appear in the leaderboard,
all this information (driving hours, number of sessions, and lap times) is hidden from other users.
All other session data remains private. Leaderboard participation is voluntary.
2. Legal Basis for Processing
Purpose
Legal Basis (Art. 6 GDPR)
Foreground GPS tracking, data sync, leaderboards
User consent (Art. 6.1.a) — withdrawable at any time
Authentication, account management
Performance of a contract (Art. 6.1.b)
Aggregated analytics, Crashlytics
Legitimate interest of the Controller to improve and stabilize the service (Art. 6.1.f)
Push notifications
User consent (Art. 6.1.a) — withdrawable from device settings
3. Purpose of Processing
Data is processed solely to:
Provide GPS sports monitoring and lap timing services.
Synchronize data across user devices via Firebase Cloud Firestore.
Publish nickname (or display name), driving hours, number of sessions and best time on public leaderboards (only if the user participates).
Analyze aggregated app performance for bug fixing.
Send service push notifications (if the user grants permission).
4. Third-Party Services & Extra-EU Data Transfers
The app uses Google Firebase services. Google LLC acts as Data Processor under a Data Processing Agreement. Data may be transferred to and stored on servers located in the United States. Such transfers are governed by Standard Contractual Clauses (SCCs) adopted by Google and the EU-US Data Privacy Framework (in force since July 2023), ensuring an adequate level of protection under Art. 46 GDPR.
GPS data and sessions (Firestore): Until account deletion by the user.
Tracks created by the user remain in Firestore even after account deletion to ensure service continuity
and preserve global leaderboards for other users; the track document retains only the creation timestamp
and an anonymous user identifier that is no longer linked to any personal data once the account is deleted.
GPX files (Firebase Storage): Until account or file deletion by the user.
Profile data (nickname, bio): Until account deletion.
Leaderboard data (nickname + best time): Deleted within 30 days of account deletion.
Crash logs (Crashlytics): 90 days (Google policy).
Local device data (encrypted SQLite): Until app uninstallation or manual deletion by the user.
6. Data Security
At-rest encryption (local): The local on-device database is protected with SQLCipher (AES-256). Keys are managed via the Android Keystore system (Security-Crypto).
Encryption in transit: All data transmitted to Firebase servers is protected by SSL/TLS.
GPX file access: GPX files on Firebase Storage are private and accessible only by the owning user's account, enforced through Firebase Security Rules.
App Check: Firebase App Check (Play Integrity) verifies that backend requests originate from unmodified versions of the app.
7. Data Protection Impact Assessment (DPIA)
Given the nature of the data processed (precise and continuous geolocation), the Controller has assessed the processing risk under Art. 35 GDPR. Tracking is limited to sessions actively initiated by the user; data is not shared with third parties for commercial or profiling purposes; and advertising ID collection is disabled. Based on this assessment, the Controller has determined that the technical and organizational measures in place (local encryption, restricted access, explicit consent) are adequate to mitigate identified risks.
8. Device File Access
The app may read and write .gpx files on the device only when the user explicitly initiates an import or export operation. The app does not access device storage autonomously. Imported files are processed locally; if the user synchronizes the session with the Cloud, the GPX file is uploaded to the user's private area on Firebase Storage.
If a user exports and shares a GPX file with third parties, responsibility for subsequent use of that file lies with the user.
9. Your Rights
Under Arts. 15–22 GDPR, you have the right to:
Access your personal data (Art. 15);
Rectification of inaccurate data (Art. 16);
Erasure ("right to be forgotten", Art. 17) — exercisable directly in the app;
Restriction of processing (Art. 18);
Data portability (Art. 20);
Objection to processing (Art. 21);
Withdrawal of consent at any time (Art. 7.3), without prejudice to prior lawful processing;
Lodge a complaint with the competent supervisory authority.
To exercise your rights: contact gtrackapp2025@gmail.com or use the deletion feature in the app settings. Requests will be processed within 30 days.
10. Minors
The app is intended for users aged 18 or older. Upon registration, users must declare they are at least 18 years old. The Controller does not knowingly collect data from users under 18. If such data is identified, it will be deleted immediately.