Informativa sulla privacy

1. Introduzione

Benvenuto su Where The Bleep ("W.T.B"), un prodotto di Ideaduct LLC ("noi" o "nostro/a/i/e"). Ci impegniamo a proteggere la tua privacy e a essere trasparenti su come gestiamo le tue informazioni. La presente Informativa sulla Privacy illustra le nostre pratiche relative alla raccolta, all'utilizzo, alla conservazione e alla divulgazione dei dati per la nostra applicazione mobile ("l'App").

Where The Bleep è un'applicazione per il tracciamento di oggetti personali costruita con un'architettura che privilegia la privacy e il funzionamento offline. I dati relativi ai Suoi oggetti vengono archiviati localmente sul Suo dispositivo per impostazione predefinita e, qualora scelga di attivare la sincronizzazione cloud opzionale, tutti i dati sono protetti da crittografia end-to-end a conoscenza zero. Non possiamo leggere, accedere o decrittografare i Suoi dati sincronizzati in alcun momento.

Utilizzando l'App, Lei accetta le pratiche descritte nella presente Informativa sulla Privacy. Qualora non sia d'accordo, La preghiamo di non utilizzare l'App. La invitiamo a leggere integralmente la presente informativa e a contattarci all'indirizzo privacy@wherethebleep.app per qualsiasi domanda.

2. I nostri principi sulla privacy

Where The Bleep è costruita attorno ai seguenti principi fondamentali sulla privacy:

• Offline-first: I Suoi dati risiedono sul Suo dispositivo in un database SQLite locale. L'App funziona interamente senza connessione a Internet.
• Crittografia a conoscenza zero: Se attiva la sincronizzazione cloud, tutti i dati vengono crittografati sul Suo dispositivo prima di essere trasmessi. Non possediamo mai le chiavi per decrittografare i Suoi dati.
• Nessuna analisi o tracciamento: Non includiamo nell'App alcun SDK di analisi, pixel di tracciamento, telemetria o framework pubblicitari. Non monitoriamo il Suo comportamento di utilizzo.
• Nessuna monetizzazione dei dati: Non vendiamo, noleggiamo, concediamo in licenza né cediamo le Sue informazioni personali a terzi per alcun motivo.
• Controllo da parte dell'utente: Può esportare, eliminare o distruggere tutti i Suoi dati in qualsiasi momento. L'eliminazione dell'account è completa e irreversibile.

3. Informazioni che raccogliamo

Le uniche informazioni personali che memorizziamo sui nostri server sono il tuo indirizzo email, utilizzato esclusivamente per l'autenticazione se scegli di attivare la sincronizzazione cloud. Tutto il resto — i tuoi oggetti, le foto e le posizioni — rimane sul tuo dispositivo per impostazione predefinita. Se attivi la sincronizzazione cloud, tutti i dati vengono crittografati end-to-end prima di lasciare il tuo dispositivo. Le sezioni seguenti descrivono esattamente quali dati sono coinvolti.

3.1 Informazioni fornite direttamente dall'utente

Tutti i seguenti dati vengono archiviati localmente sul Suo dispositivo per impostazione predefinita:

• Dati degli oggetti: Nomi, descrizioni, prezzi di acquisto, numeri di serie e qualsiasi altro dettaglio inserito riguardo agli oggetti tracciati.
• Foto: Immagini acquisite con la fotocamera o selezionate dalla libreria fotografica per identificare e catalogare gli oggetti.
• Dati di localizzazione: Nomi, descrizioni e strutture gerarchiche delle posizioni di archiviazione create all'interno dell'App (come stanze, scaffali, cassetti e scatole). Si tratta di posizioni organizzative definite dall'utente, non di dati GPS o di geolocalizzazione.
• Dati delle persone: Nomi delle persone registrate come mutuatari durante il tracciamento dei prestiti e delle restituzioni degli oggetti.
• Input vocale: Audio dalla ricerca vocale, elaborato sul Suo dispositivo tramite il servizio di riconoscimento vocale della piattaforma. Non registriamo, archiviamo né trasmettiamo i Suoi dati vocali.

3.2 Informazioni sull'account (facoltative)

Se sceglie di creare un account per attivare la sincronizzazione cloud, raccogliamo:

• Indirizzo e-mail: Utilizzato esclusivamente per l'autenticazione con il nostro servizio di sincronizzazione cloud (Supabase). Il Suo indirizzo e-mail è l'unica informazione di identificazione personale archiviata sui nostri server.
• Credenziali di autenticazione: La Sua password viene sottoposta a hashing da Supabase tramite bcrypt e non viene mai archiviata in testo in chiaro. Non abbiamo accesso alla Sua password.

3.3 Informazioni sull'abbonamento

Se si abbona a Where The Bleep Pro, le seguenti informazioni vengono elaborate da RevenueCat, il nostro fornitore di gestione degli abbonamenti:

• Ricevute di acquisto: Identificatori delle transazioni dall'Apple App Store o dal Google Play Store.
• Dettagli dell'abbonamento: Tipo di piano (mensile o annuale), data di scadenza e stato del rinnovo.
• Identificatore utente anonimo: Un identificatore generato casualmente, utilizzato per associare l'abbonamento al Suo account, non collegato ad alcuna informazione personale.

Non raccogliamo né archiviamo i dati della Sua carta di pagamento, il Suo indirizzo di fatturazione o altre informazioni finanziarie. L'elaborazione di tutti i pagamenti è gestita interamente da Apple o Google tramite i rispettivi app store.

3.4 Informazioni che NON raccogliamo

Desideriamo essere espliciti su ciò che non raccogliamo:

• Dati GPS o di geolocalizzazione
• Identificatori pubblicitari del dispositivo (IDFA/GAID)
• Cronologia di navigazione o attività web
• Contatti, registri delle chiamate o messaggi SMS
• Analisi sull'utilizzo o dati comportamentali
• Telemetria di qualsiasi tipo
• Registrazione dell'indirizzo IP (oltre a quanto intrinsecamente elaborato durante le richieste di rete)

3.5 Dati sugli arresti anomali e sulla stabilità

Utilizziamo Google Firebase Crashlytics per raccogliere automaticamente rapporti sugli arresti anomali quando l'App riscontra un errore. Questo ci aiuta a identificare e risolvere i problemi per migliorare la stabilità dell'app. Crashlytics può raccogliere le seguenti informazioni:

• Tracce dello stack degli arresti anomali e informazioni sulle eccezioni
• Modello del dispositivo, versione del sistema operativo e orientamento
• Memoria disponibile e spazio su disco al momento dell'arresto anomalo
• Un UUID di installazione Crashlytics per identificare istanze univoche di arresti anomali (non si tratta di un identificatore pubblicitario)
• Versione dell'app e numero di build

Crashlytics non raccoglie il contenuto dei tuoi elementi, foto, dati personali o dati crittografati. I rapporti sugli arresti anomali vengono inviati all'infrastruttura Firebase di Google e sono utilizzati esclusivamente per l'analisi degli arresti anomali e il miglioramento della stabilità dell'app.

4. Come utilizziamo le tue informazioni

Utilizziamo le informazioni sopra descritte per le seguenti finalità:

• Funzionalità principali: Per consentirti di catalogare, organizzare, cercare e monitorare i tuoi beni personali all'interno dell'App.
• Sincronizzazione cloud (opzionale): Per sincronizzare i tuoi dati crittografati tra i tuoi dispositivi se crei un account e abiliti la sincronizzazione.
• Autenticazione: Per verificare la tua identità quando accedi al tuo account.
• Gestione dell'abbonamento: Per verificare lo stato del tuo abbonamento e sbloccare le funzionalità Pro.
• Esportazione dei dati: Per generare esportazioni in formato CSV, JSON o report assicurativi in PDF su tua richiesta.
• Backup crittografati: Per creare archivi di backup crittografati dei tuoi dati su tua richiesta.
• Assistenza clienti: Per rispondere alle tue richieste se ci contatti.
• Segnalazione arresti anomali: Per identificare, diagnosticare e risolvere arresti anomali e problemi di stabilità utilizzando Google Firebase Crashlytics.

Non utilizziamo le tue informazioni per pubblicità, profilazione, processi decisionali automatizzati o per qualsiasi finalità non elencata sopra.

5. Archiviazione dei dati e sicurezza

5.1 Archiviazione locale

Per impostazione predefinita, tutti i dati dei tuoi oggetti, le foto, le posizioni e i dati delle persone sono archiviati esclusivamente in un database SQLite locale sul tuo dispositivo. Questi dati non lasciano mai il tuo dispositivo a meno che tu non abiliti esplicitamente la sincronizzazione cloud o utilizzi le funzionalità AI opzionali.

5.2 Sincronizzazione cloud e crittografia a conoscenza zero

Se scegli di abilitare la sincronizzazione cloud, i tuoi dati sono protetti da crittografia end-to-end a conoscenza zero (E2EE). Ciò significa che i tuoi dati vengono crittografati sul tuo dispositivo prima di essere trasmessi, e né noi né i nostri fornitori di infrastruttura possiamo decifrarli. La nostra architettura di crittografia include:

• Algoritmo di crittografia: Crittografia autenticata XChaCha20-Poly1305, uno standard crittografico moderno e ampiamente riconosciuto.
• Derivazione della chiave: PBKDF2-HMAC-SHA256 con 800.000 iterazioni e un salt casuale di 32 byte, progettato per resistere ad attacchi di forza bruta e attacchi accelerati tramite hardware.
• Derivazione delle sotto-chiavi: HKDF-SHA256 viene utilizzato per derivare sotto-chiavi separate per diversi contesti di crittografia, garantendo l'isolamento crittografico tra i tipi di dati.
• Frase di recupero: Una frase mnemonica di 24 parole secondo lo standard BIP39 viene generata come chiave master. Questa frase è l'unico mezzo per recuperare le tue chiavi di crittografia. Non la memorizziamo e, se la perdi, i tuoi dati crittografati non potranno essere recuperati.
• Sblocco biometrico: Facoltativamente, puoi abilitare Face ID o Touch ID per sbloccare le tue chiavi di crittografia. I dati biometrici stessi sono gestiti interamente dall'enclave sicura del tuo dispositivo e non sono mai accessibili all'App né trasmessi.
• Campi crittografati: Le singole colonne del database (come nome, descrizione e altri campi) sono crittografate separatamente. Il server archivia e visualizza solo blob crittografati codificati in base64.
• Formato del testo cifrato: Ogni valore crittografato è composto da un nonce di 24 byte, il testo cifrato e un tag di autenticazione (MAC) di 16 byte, garantendo sia la riservatezza che l'integrità.
• Crittografia dei file: Le foto e gli altri file sono crittografati utilizzando XChaCha20-Poly1305 in streaming con blocchi da 64 KB, consentendo la crittografia efficiente di file di grandi dimensioni senza caricarli interamente in memoria.
• Sicurezza a livello di riga: Il nostro database cloud (Supabase/PostgreSQL) applica politiche di sicurezza a livello di riga (RLS), garantendo che anche a livello infrastrutturale ogni utente possa accedere solo alle proprie righe di dati crittografati.
• Sincronizzazione in tempo reale: La sincronizzazione bidirezionale è gestita da PowerSync, che opera sui dati crittografati. La sincronizzazione avviene tramite connessioni crittografate con TLS.

5.3 Crittografia dei Backup

Quando crei un archivio di backup crittografato, questo viene protetto con crittografia autenticata ChaCha20-Poly1305. Sei responsabile della conservazione dei tuoi file di backup e di ricordare le eventuali password di backup. Non possiamo recuperare le password di backup.

6. Servizi di terze parti

6.1 Infrastruttura cloud (opzionale)

Se abiliti la sincronizzazione cloud, i seguenti servizi elaborano i tuoi dati crittografati:

• Supabase: Fornisce l'autenticazione (email/password) e ospita il database PostgreSQL contenente i tuoi dati crittografati. Supabase non ha mai accesso alle tue chiavi di decrittazione. Consulta l'Informativa sulla privacy di Supabase.
• PowerSync: Fornisce la sincronizzazione bidirezionale in tempo reale tra il tuo database locale e il cloud. PowerSync trasmette solo dati crittografati. Consulta l'Informativa sulla privacy di PowerSync.

6.2 Gestione degli abbonamenti

• RevenueCat: Gestisce gli acquisti di abbonamenti in-app e la convalida delle ricevute. RevenueCat riceve le ricevute di acquisto da Apple o Google, insieme a un identificativo anonimo. Consulta l'Informativa sulla privacy di RevenueCat.

6.3 Servizi di descrizione tramite IA (Opzionale)

Where The Bleep offre una funzionalità opzionale basata sull'IA che può generare descrizioni dei tuoi oggetti a partire dalle foto. Questa funzionalità è interamente facoltativa e richiede che tu fornisca la tua chiave API per il fornitore scelto. Dettagli importanti:

• Le immagini vengono inviate al fornitore di AI solo quando tocchi esplicitamente il pulsante di descrizione AI per un oggetto specifico.
• Scegli e configuri tu quale fornitore utilizzare. Supportiamo i seguenti fornitori: OpenAI, Groq, OpenRouter, Cloudflare Workers AI, Google Gemini, Together AI, Fireworks AI e DeepInfra.
• La tua chiave API è archiviata localmente sul tuo dispositivo e viene inviata direttamente dal tuo dispositivo all'API del fornitore. Non riceviamo, archiviamo né fungiamo da intermediari per le tue chiavi API.
• Ogni fornitore ha le proprie politiche di gestione e conservazione dei dati. Ti incoraggiamo a consultare l'informativa sulla privacy del fornitore che scegli di utilizzare.
• Nessuna immagine viene inviata ad alcun fornitore di IA a meno che tu non avvii esplicitamente la richiesta.

6.4 Servizi della piattaforma

• Apple App Store / Google Play Store: Gestiscono l'intera elaborazione dei pagamenti per gli abbonamenti. Le rispettive informative sulla privacy si applicano alle transazioni di pagamento.
• Riconoscimento vocale Apple / Google: Se utilizzi la ricerca vocale, il servizio di riconoscimento vocale integrato nel tuo dispositivo elabora l'audio localmente. Non inviamo audio ad alcun server.

6.5 Servizio di ricerca codici a barre (Opzionale)

Quando esegui la scansione di un codice a barre, l'app potrebbe cercare le informazioni sul prodotto utilizzando l'API di UPCitemdb, un servizio di database di codici a barre di terze parti.

• Le ricerche dei codici a barre vengono inviate solo quando esegui esplicitamente la scansione di un codice a barre. Viene trasmesso unicamente il numero del codice a barre — nessuna informazione personale o identificativo del dispositivo viene inviato.
• La ricerca viene effettuata direttamente dal tuo dispositivo ai server di UPCitemdb. Non fungiamo da intermediari, non registriamo né conserviamo alcuna richiesta di ricerca dei codici a barre.
• Consulta l'Informativa sulla Privacy di UPCitemdb.

6.6 Segnalazione degli arresti anomali

• Google Firebase Crashlytics: Raccoglie automaticamente rapporti sugli arresti anomali e dati sulla stabilità per aiutarci a identificare e risolvere i problemi dell'app. Crashlytics raccoglie log degli arresti anomali, informazioni sullo stato del dispositivo e un UUID di installazione Crashlytics. Non raccoglie identificatori pubblicitari, contenuti personali o dati crittografati dei tuoi elementi. Consulta Informativa sulla privacy di Firebase e Termini di Crashlytics.

7. Autorizzazioni del dispositivo

L'App può richiedere le seguenti autorizzazioni del dispositivo. Ogni autorizzazione viene richiesta solo quando necessario e solo per lo scopo indicato:

• Fotocamera: Per scattare foto degli oggetti ai fini della catalogazione. Le foto vengono memorizzate localmente e vengono trasmesse solo se utilizzi la funzionalità opzionale di descrizione tramite IA o la sincronizzazione cloud (crittografata).
• Libreria foto: Per consentirti di selezionare foto esistenti per gli oggetti o di salvare immagini dall'App sul tuo dispositivo.
• Microfono: Per acquisire l'input audio per la ricerca vocale. L'audio viene elaborato sul dispositivo e non viene registrato, memorizzato o trasmesso.
• Riconoscimento vocale: Per convertire l'input della ricerca vocale in testo utilizzando il riconoscimento vocale integrato nel dispositivo. L'elaborazione avviene sul dispositivo.
• Sensori biometrici (Face ID / Touch ID): Per fornire un metodo comodo e sicuro per sbloccare l'App e le tue chiavi di crittografia. I dati biometrici sono gestiti interamente dall'enclave sicura del tuo dispositivo e non sono mai accessibili all'App.

Puoi revocare qualsiasi di queste autorizzazioni in qualsiasi momento tramite le impostazioni di sistema del tuo dispositivo. La revoca di un'autorizzazione disabiliterà la funzionalità corrispondente ma non influirà sulle funzionalità principali dell'App.

8. Condivisione e divulgazione dei dati

Non vendiamo, affittiamo, cediamo in locazione né scambiamo le tue informazioni personali con terze parti. Punto.

Potremmo condividere informazioni solo nelle seguenti circostanze limitate:

• Con il tuo consenso esplicito: Se scegli attivamente di utilizzare un servizio di IA di terze parti, le tue foto vengono inviate direttamente dal tuo dispositivo a quel fornitore.
• Dati cloud crittografati: Se abiliti la sincronizzazione cloud, i tuoi dati crittografati (che non possiamo leggere) vengono memorizzati sull'infrastruttura Supabase.
• Verifica dell'abbonamento: Le ricevute di acquisto vengono condivise con RevenueCat per convalidare e gestire il tuo abbonamento.
• Obblighi di legge: Potremmo divulgare informazioni se richiesto dalla legge, da un mandato di comparizione, da un'ordinanza del tribunale o da altro procedimento legale. Tuttavia, poiché i tuoi dati cloud sono crittografati end-to-end e non disponiamo delle chiavi di decrittazione, siamo tecnicamente impossibilitati a fornire il contenuto dei tuoi dati crittografati anche se obbligati a farlo.
• Trasferimenti aziendali: In caso di fusione, acquisizione o vendita di asset, i tuoi dati verrebbero trasferiti come parte di tale transazione. Verrai informato di qualsiasi cambiamento di questo tipo tramite e-mail (se hai un account) o tramite un aggiornamento della presente Informativa sulla privacy. L'architettura di crittografia a conoscenza zero implica che qualsiasi entità subentrante erediterebbe la stessa impossibilità di accedere ai tuoi dati crittografati.
• Segnalazione arresti anomali: I log degli arresti anomali e le informazioni sullo stato del dispositivo vengono inviati automaticamente a Google Firebase Crashlytics per l'analisi degli arresti anomali. Non sono inclusi contenuti personali o dati crittografati.

9. Conservazione dei dati

9.1 Dati locali

I dati memorizzati localmente sul tuo dispositivo rimangono lì fino a quando non li elimini esplicitamente, elimini il tuo account o disinstalli l'App. Non abbiamo accesso né controllo sui dati memorizzati localmente.

9.2 Dati cloud

Se utilizzi la sincronizzazione cloud, i tuoi dati crittografati vengono conservati sui nostri server per tutta la durata dell'attività del tuo account. Quando elimini il tuo account, tutti i dati cloud vengono eliminati in modo permanente e irreversibile, inclusi:

• Tutti i file crittografati nell'archiviazione cloud
• Tutti i record di database crittografati
• Il tuo account di autenticazione Supabase e la tua e-mail

9.3 Dati dell'abbonamento

RevenueCat conserva i dati relativi agli abbonamenti e alle ricevute di acquisto in conformità con le proprie politiche di conservazione dei dati e con i requisiti applicabili in materia di tenuta dei registri fiscali/finanziari.

9.4 Nessun registro lato server dei contenuti

Non manteniamo registri lato server dei dati dei tuoi oggetti, descrizioni, foto o qualsiasi contenuto che inserisci nell'App. I registri standard di accesso al server web (che possono contenere indirizzi IP e marcature temporali) vengono conservati per un massimo di 30 giorni per scopi di sicurezza e operativi, quindi eliminati automaticamente.

10. I tuoi diritti e le tue scelte

10.1 Controllo dei dati

Hai il pieno controllo sui tuoi dati all'interno dell'App:

• Accesso: Visualizza tutti i tuoi dati in qualsiasi momento direttamente nell'App.
• Esportazione: Esporta i tuoi dati in formato CSV, JSON o report assicurativo PDF. Puoi anche creare archivi di backup crittografati.
• Correzione: Modifica o aggiorna qualsiasi articolo, luogo o scheda persona in qualsiasi momento.
• Eliminazione: Elimina singoli articoli, luoghi, persone o l'intero set di dati.
• Eliminazione dell'account: Elimina definitivamente il tuo account e tutti i dati cloud associati (vedi Sezione 11).
• Disattivazione delle funzionalità opzionali: Puoi scegliere di non utilizzare la sincronizzazione cloud, le descrizioni AI o qualsiasi altra funzionalità opzionale senza compromettere le funzionalità principali dell'App.

10.2 Diritti GDPR (utenti dello Spazio Economico Europeo)

Se ti trovi nello Spazio Economico Europeo (SEE), nel Regno Unito o in Svizzera, hai i seguenti diritti ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR):

• Diritto di accesso (Articolo 15): Hai il diritto di richiedere una copia dei dati personali in nostro possesso che ti riguardano. Poiché utilizziamo la crittografia a conoscenza zero, gli unici dati personali che possiamo fornire sono il tuo indirizzo email (se disponi di un account) e lo stato dell'abbonamento.
• Diritto di rettifica (Articolo 16): Hai il diritto di richiedere la correzione di dati personali inesatti. Puoi aggiornare il tuo indirizzo email tramite le impostazioni dell'account nell'App.
• Diritto alla cancellazione (Articolo 17): Hai il diritto di richiedere la cancellazione dei tuoi dati personali. Puoi esercitare questo diritto eliminando il tuo account dall'App, operazione che rimuove definitivamente tutti i dati cloud, i record di autenticazione e le informazioni associate.
• Diritto alla limitazione del trattamento (Articolo 18): Hai il diritto di richiedere la limitazione del trattamento dei tuoi dati in determinate circostanze. Contattaci all'indirizzo privacy@wherethebleep.app per esercitare questo diritto.
• Diritto alla portabilità dei dati (Articolo 20): Hai il diritto di ricevere i tuoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. L'App fornisce funzionalità di esportazione in formato CSV, JSON e PDF per garantire questo diritto.
• Diritto di opposizione (Articolo 21): Hai il diritto di opporti al trattamento dei tuoi dati personali. Poiché non trattiamo i tuoi dati per finalità di marketing, profilazione o processi decisionali automatizzati, questo diritto si applica principalmente al trattamento del tuo indirizzo email per scopi di autenticazione.
• Diritto di revoca del consenso: Qualora il trattamento sia basato sul consenso, puoi revocare il consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.

Base giuridica del trattamento: Trattiamo i tuoi dati personali sulle seguenti basi giuridiche:

• Esecuzione del contratto (Articolo 6(1)(b)): Trattamento del tuo indirizzo email per la creazione dell'account e l'autenticazione, e trattamento dei dati di abbonamento per fornire le funzionalità Pro.
• Interesse legittimo (Articolo 6(1)(f)): Mantenimento della sicurezza dell'infrastruttura server e prevenzione degli abusi.
• Consenso (Articolo 6(1)(a)): Trattamento delle immagini tramite servizi AI di terze parti quando scegli esplicitamente di utilizzare la funzionalità di descrizione AI.

Responsabile della protezione dei dati: Per richieste relative al GDPR, contattaci all'indirizzo privacy@wherethebleep.app. Risponderemo alla tua richiesta entro 30 giorni come previsto dal GDPR.

Autorità di controllo: Se non sei soddisfatto della nostra risposta, hai il diritto di presentare un reclamo all'autorità di controllo per la protezione dei dati del tuo paese.

10.3 Diritti CCPA (residenti in California)

Se sei residente in California, hai i seguenti diritti ai sensi del California Consumer Privacy Act (CCPA) e del California Privacy Rights Act (CPRA):

• Diritto di conoscere: Hai il diritto di sapere quali informazioni personali raccogliamo, utilizziamo, divulghiamo e vendiamo. La presente Informativa sulla Privacy costituisce la nostra divulgazione. Le categorie di informazioni personali che possiamo raccogliere sono: identificativi (indirizzo email), informazioni commerciali (stato dell'abbonamento) e informazioni sull'attività su internet o altra rete elettronica (limitate ai log standard di accesso al server).
• Diritto alla cancellazione: Hai il diritto di richiedere la cancellazione delle tue informazioni personali. Puoi esercitare questo diritto eliminando il tuo account dall'App o contattandoci all'indirizzo privacy@wherethebleep.app.
• Diritto alla rettifica: Hai il diritto di richiedere la correzione di informazioni personali inesatte.
• Diritto di rinunciare alla vendita o condivisione: Non vendiamo né condividiamo le tue informazioni personali per pubblicità comportamentale cross-context. Poiché non vendiamo mai i tuoi dati, non è necessario esercitare il diritto di rinuncia.
• Diritto di limitare l'uso delle informazioni personali sensibili: Non raccogliamo né trattiamo informazioni personali sensibili come definite dal CCPA/CPRA.
• Diritto alla non discriminazione: Non ti discrimineremo per l'esercizio di qualsiasi diritto previsto dal CCPA. Riceverai lo stesso servizio e le stesse condizioni tariffarie indipendentemente dall'esercizio dei tuoi diritti sulla privacy.

Non vendere o condividere le mie informazioni personali: Non vendiamo le tue informazioni personali. Non condividiamo le tue informazioni personali per pubblicità comportamentale cross-context. Non abbiamo venduto né condiviso informazioni personali nei 12 mesi precedenti.

Incentivi finanziari: Non offriamo incentivi finanziari legati alla raccolta, vendita o cancellazione di informazioni personali.

Per esercitare uno qualsiasi di questi diritti, contattaci all'indirizzo privacy@wherethebleep.app. Verificheremo la tua identità prima di elaborare la tua richiesta e risponderemo entro 45 giorni come previsto dalla legge.

11. Eliminazione dell'account

Puoi eliminare il tuo account in qualsiasi momento dall'App. L'eliminazione dell'account è completa e irreversibile. Il processo di eliminazione rimuove:

• Tutti i file archiviati nel cloud storage (foto crittografate, backup e allegati)
• Tutti i record del database associati al tuo account (articoli crittografati, luoghi, persone, cronologia check-in/check-out)
• Il tuo account di autenticazione Supabase e l'indirizzo email
• Il database locale sul dispositivo da cui avvii l'eliminazione
• Tutti i file locali associati all'App sul dispositivo da cui si avvia l'operazione
• Tutti i dati archiviati nella memoria sicura del dispositivo (chiavi di crittografia, token biometrici, dati di sessione)

Per proteggerti da eliminazioni accidentali o non autorizzate, devi verificare la tua password e digitare una frase di conferma specifica prima che l'eliminazione venga eseguita. Una volta avviata, l'eliminazione dell'account non può essere annullata e i tuoi dati non possono essere recuperati.

12. Esportazione e portabilità dei dati

Crediamo che tu debba sempre poter portare con te i tuoi dati. L'App offre diversi formati di esportazione:

• CSV: Valori separati da virgola per l'utilizzo in fogli di calcolo e altre applicazioni.
• JSON: Formato dati strutturato per l'accesso programmatico e l'interoperabilità.
• Report assicurativi PDF: Report formattati adatti alla documentazione e alle richieste di risarcimento assicurative.
• Archivi di backup crittografati: Backup crittografati completi dell'intero database, protetti con crittografia autenticata ChaCha20-Poly1305.

Tutte le esportazioni vengono generate localmente sul Suo dispositivo. I file di esportazione non vengono trasmessi ai nostri server.

13. Privacy dei minori

Where The Bleep non è destinato a bambini di età inferiore a 13 anni (o all'età minima applicabile nella Sua giurisdizione). Non raccogliamo consapevolmente informazioni personali da bambini di età inferiore a 13 anni.

Se veniamo a conoscenza del fatto che un bambino di età inferiore a 13 anni ha creato un account o fornito informazioni personali, adotteremo misure immediate per eliminare tale account e tutti i dati associati.

Se Lei è un genitore o tutore e ritiene che Suo figlio ci abbia fornito informazioni personali, La preghiamo di contattarci all'indirizzo privacy@wherethebleep.app e provvederemo tempestivamente alla cancellazione delle informazioni.

L'App può essere utilizzata da bambini di età pari o superiore a 13 anni (o all'età minima applicabile nella Sua giurisdizione) con il consenso dei genitori. I genitori e i tutori sono responsabili del monitoraggio dell'utilizzo dell'App da parte dei propri figli.

14. Trasferimenti internazionali di dati

Se Lei attiva la sincronizzazione cloud, i Suoi dati crittografati possono essere archiviati su server situati negli Stati Uniti o in altri paesi in cui operano i nostri fornitori di infrastruttura. Poiché tutti i dati cloud sono crittografati end-to-end con architettura a conoscenza zero, la posizione fisica dei server non influisce sulla riservatezza dei Suoi dati, in quanto non possono essere letti o decrittografati da nessuno al di fuori di Lei.

Se Lei utilizza i servizi opzionali di descrizione tramite IA, le Sue immagini vengono inviate direttamente dal Suo dispositivo al fornitore di IA da Lei selezionato. Questi fornitori possono elaborare le Sue immagini in diverse giurisdizioni a seconda della loro infrastruttura. Lei sceglie quale fornitore utilizzare ed è responsabile della verifica delle loro pratiche di trattamento dei dati.

Per gli utenti nello Spazio Economico Europeo: qualora i dati personali vengano trasferiti al di fuori del SEE, garantiamo l'adozione di adeguate misure di salvaguardia, incluse le clausole contrattuali standard approvate dalla Commissione Europea. La crittografia a conoscenza zero fornisce un'ulteriore misura supplementare come contemplato dalla decisione Schrems II, poiché i dati risultano inintelligibili per qualsiasi soggetto privo delle chiavi di decrittografia, detenute esclusivamente da Lei.

15. Risposta agli incidenti di sicurezza

Nell'improbabile eventualità di una violazione della sicurezza che interessi la nostra infrastruttura cloud, provvederemo a:

• Notificare gli utenti interessati via e-mail entro 72 ore dal momento in cui si viene a conoscenza della violazione, come richiesto dal GDPR e da altre leggi applicabili.
• Fornire una descrizione chiara della natura della violazione e delle tipologie di dati potenzialmente interessati.
• Descrivere le misure adottate e proposte per affrontare la violazione.
• Segnalare la violazione all'autorità di controllo competente ove richiesto dalla legge.

È importante sottolineare che, grazie alla nostra architettura di crittografia a conoscenza zero, anche in caso di violazione della nostra infrastruttura cloud, i dati dei Suoi oggetti, le foto, le descrizioni e gli altri contenuti rimarrebbero crittografati e illeggibili per qualsiasi soggetto non autorizzato. Gli unici dati non crittografati archiviati sui nostri server sono il Suo indirizzo e-mail e lo stato dell'abbonamento.

16. Cookie e tecnologie di tracciamento

L'applicazione mobile Where The Bleep non utilizza cookie, web beacon, pixel o altre tecnologie di tracciamento. Non impieghiamo il fingerprinting né alcun altro meccanismo per identificare o tracciare gli utenti tra applicazioni o siti web.

Il sito web di Where The Bleep (wherethebleep.app) può utilizzare cookie essenziali strettamente necessari per il funzionamento del sito. Sul nostro sito web non vengono utilizzati cookie di analisi o pubblicitari.

17. Modifiche alla presente Informativa sulla Privacy

Potremmo aggiornare periodicamente la presente Informativa sulla Privacy per riflettere cambiamenti nelle nostre pratiche, nella tecnologia, nei requisiti legali o in altri fattori. Quando apportiamo modifiche:

• Aggiorneremo la data "Ultimo aggiornamento" nella parte superiore di questa pagina.
• Per le modifiche sostanziali, La informeremo via e-mail (se Lei possiede un account) o tramite una notifica in-app.
• Forniremo un preavviso di almeno 30 giorni prima dell'entrata in vigore delle modifiche sostanziali, offrendoLe la possibilità di esaminare la politica aggiornata.
• L'utilizzo continuato dell'App dopo l'entrata in vigore delle modifiche costituisce accettazione dell'Informativa sulla Privacy aggiornata.

La invitiamo a consultare periodicamente la presente Informativa sulla Privacy per rimanere informato/a sulle modalità con cui proteggiamo i Suoi dati. Le versioni precedenti di questa informativa sono disponibili su richiesta.

18. Contattaci

Per domande, dubbi o richieste riguardanti la presente Informativa sulla Privacy o le nostre pratiche in materia di privacy, La preghiamo di contattarci:

E-mail: privacy@wherethebleep.app

Ci impegniamo a rispondere a tutte le richieste relative alla privacy entro 30 giorni. Per le richieste di accesso ai dati da parte degli interessati ai sensi del GDPR, risponderemo entro i termini previsti dalla legge.

Se ritiene che i Suoi diritti alla privacy siano stati violati, Lei ha il diritto di presentare un reclamo alla Sua autorità locale per la protezione dei dati.