Questa Privacy Policy descrive come Online Presence Builder SRL ("RespirAIA", "noi") tratta i dati personali nell'app mobile RespirAIA, sul sito di marketing respiraiapp.com e nei servizi correlati.
Trattiamo i tuoi dati in modo lecito, trasparente e solo per quanto serve a fornire e migliorare RespirAIA. Abbiamo sede in Romania, ma serviamo utenti in tutto il mondo.
1. Chi siamo
Titolare del trattamento / merchant of record:
| Denominazione legale | Online Presence Builder SRL |
| Sede legale | Bd. Siderurgiștilor 15, Bl. SD10B, parter, Galați, România |
| Codice fiscale rumeno (CUI/CIF) | 35799807 |
| Partita IVA UE | RO45030362 (solo operazioni intracomunitarie) |
| Registro delle Imprese | J17/450/2016 · J2016000450170 |
| Amministratore unico | Gabriel Ursan |
| Contatto pubblico | [email protected] |
Contatto per la protezione dei dati: Gabriel Ursan, raggiungibile a [email protected].
2. Cosa raccogliamo
Dati che fornisci tu
- Informazioni dell'account (email, nome facoltativo, password — gestita da Clerk con hashing)
- Profilo (lingua, fuso orario, data di nascita per la verifica dell'età)
- Profilo legato al fumo (sigarette al giorno, anni di consumo, costo per pacchetto, punteggio FTND)
- Motivi per smettere e fattori scatenanti
- Tentativi precedenti, episodi di impulso, voci di diario
- Conversazioni con il compagno IA
Dati generati automaticamente
- Riassunti ed embedding del compagno IA (così il tuo compagno mantiene il contesto)
- Metadati degli eventi di crisi — il fatto che un messaggio sia stato segnalato e quale livello l'abbia segnalato. Non conserviamo il testo del messaggio.
- Stato dell'abbonamento da RevenueCat (Apple IAP + Google Play)
- Analitica d'uso dell'app (solo se acconsenti — Amplitude UE)
- Log di crash (Sentry)
- Log di audit (timestamp delle azioni con IP e user agent in forma hash)
Cosa non raccogliamo
- Dati di livello cartella clinica (pressione sanguigna, esami di laboratorio, ecc.)
- Facebook, Google Analytics, TikTok o qualunque SDK di tracciamento pubblicitario
- Non vendiamo mai i tuoi dati.
3. Perché trattiamo i dati (basi giuridiche)
| Fornire il servizio principale | Contratto (GDPR Art. 6(1)(b)) |
| Trattare dati relativi alla salute (profilo legato al fumo, diario, compagno IA) | Consenso esplicito (Art. 9(2)(a)) |
| Rilevare e rispondere a una crisi di salute mentale | Interessi vitali (Art. 9(2)(c)) + il tuo consenso |
| Fatturare l'abbonamento Premium | Contratto |
| Inviare email transazionali | Contratto |
| Inviare email di marketing | Consenso — opt-in, opt-out in qualsiasi momento |
| Rilevare frodi e abusi | Legittimo interesse (Art. 6(1)(f)) |
| Adempiere a obblighi di legge (fisco, richieste ANSPDCP) | Obbligo legale |
4. Sub-fornitori
Usiamo servizi di terze parti per far funzionare RespirAIA. Ognuno ha firmato un Accordo per il trattamento dei dati e tratta i dati solo su nostre istruzioni.
| Fornitore | Finalità | Regione |
|---|---|---|
| Render | Compute, web service, cron, log | UE (Francoforte) |
| Cloudflare R2 | Object storage, backup, esportazioni GDPR | Giurisdizione UE |
| Clerk | Autenticazione | Configurato in UE |
| Anthropic | Compagno IA + classificatore (Claude Sonnet + Haiku) | Endpoint UE |
| RevenueCat | Unificazione Apple IAP + Play Store IAP | USA (con clausole contrattuali tipo) |
| Brevo | Email transazionali e marketing | UE |
| Amplitude EU | Analitica di prodotto (subordinata a consenso) | UE (Francoforte) |
| Sentry | Tracciamento errori | Regione UE (de.sentry.io) |
| Cloudflare Web Analytics | Analitica del sito di marketing — senza cookie | Edge globale |
Per i fornitori con sede negli Stati Uniti ci basiamo sulle Clausole Contrattuali Tipo (SCC) ai sensi del Capo V del GDPR. Non vendiamo né condividiamo i tuoi dati personali con inserzionisti, data broker o reti di marketing.
5. Per quanto tempo li conserviamo
| Informazioni dell'account, profilo legato al fumo, diario, conversazioni con il compagno IA | Finché non elimini il tuo account |
| Metadati degli eventi di crisi | 24 mesi, poi anonimizzati |
| Log di audit | 12 mesi |
| Backup | 90 giorni, a rotazione |
| Fatture fiscali | 10 anni (legge fiscale rumena) |
| Opt-in alle email di marketing | Finché non ti disiscrivi |
6. I tuoi diritti (GDPR + UK GDPR)
- Accedere ai dati personali che conserviamo su di te (Art. 15)
- Correggere dati inesatti (Art. 16)
- Eliminare i tuoi dati (Art. 17)
- Limitare il trattamento (Art. 18)
- Ricevere i tuoi dati in formato portabile (Art. 20)
- Opporti al trattamento basato sul legittimo interesse (Art. 21)
- Revocare il consenso in qualsiasi momento (Art. 7(3))
- Presentare un reclamo alla tua autorità di vigilanza — per la Romania, ANSPDCP all'indirizzo dataprotection.ro
La maggior parte dei diritti è esercitabile direttamente dall'app (Impostazioni → Privacy). Puoi anche scriverci a [email protected]. Rispondiamo entro 30 giorni, di solito prima.
7. Minori
RespirAIA è destinato ad adulti maggiorenni (18 anni o più). Non raccogliamo consapevolmente dati da chi ha meno di 18 anni. Se vieni a sapere che un minore si è registrato, scrivi a [email protected] ed elimineremo l'account.
8. Cookie
Il sito di marketing usa Cloudflare Web Analytics — un servizio di analitica senza cookie e rispettoso della privacy. Non impostiamo cookie di marketing o di terze parti su questo sito. L'app mobile non usa alcun cookie. Consulta la nostra Cookie Policy per l'elenco completo delle tecnologie essenziali in uso.
9. Sicurezza
Seguiamo le migliori prassi del settore: TLS 1.3 in transito, crittografia a riposo (envelope encryption AES-256-GCM per i contenuti sensibili), accesso a privilegio minimo, audit log, segreti in 1Password, accesso ai media tramite URL firmati, revisioni di sicurezza trimestrali.
In caso di violazione di dati personali, notificheremo l'ANSPDCP rumena entro 72 ore quando richiesto, e informeremo gli utenti coinvolti se la violazione comporta un rischio elevato per i loro diritti.
10. Trasferimenti internazionali
Quando i dati lasciano lo SEE, usiamo le Clausole Contrattuali Tipo (Modulo 2, da titolare a responsabile) e richiediamo al destinatario di garantire una protezione equivalente al GDPR.
11. Modifiche a questa policy
Aggiorniamo questa Policy quando il nostro trattamento cambia. Le modifiche sostanziali sono notificate via email e tramite banner in-app; la data di "Ultimo aggiornamento" riflette sempre la versione più recente.
12. Contatti
Domande sulla privacy: [email protected].