1. In sintesi
Thanxful è un'applicazione che Le consente di tenere un diario personale della gratitudine e, se Lei lo desidera, di ricevere riflessioni generate dall'intelligenza artificiale su ciò che scrive. Il Suo diario è di Sua proprietà. Accediamo a quanto Lei scrive solo per il funzionamento del Servizio e non vendiamo mai i Suoi dati, non li utilizziamo per finalità pubblicitarie e non li impieghiamo per addestrare alcun modello di intelligenza artificiale.
| Argomento | Risposta sintetica |
|---|---|
| Titolare del trattamento | Kadir Alan — ditta individuale (şahıs şirketi), Türkiye. Contatto: [email protected]. |
| Quali dati vengono trattati? | Email, nome, foto profilo (facoltativa), Sue voci di diario, stato d'animo, informazioni sul dispositivo e sull'abbonamento. |
| Per quale finalità? | Erogazione del Servizio, gestione degli abbonamenti, invio di notifiche di promemoria e — solo se Lei ha prestato il consenso esplicito — generazione di riflessioni basate su intelligenza artificiale a partire dalle Sue voci. |
| Con chi vengono condivisi? | I nostri fornitori di servizi: Google Firebase (infrastruttura), OpenAI e Google Gemini (IA), RevenueCat (abbonamenti), Apple (accesso, notifiche, sicurezza). I Suoi dati non vengono venduti né concessi in licenza. |
| Dove vengono conservati? | Il Suo account e il Suo diario sono conservati nell'Unione Europea (Google Cloud europe-west1, Belgio). Le Sue voci vengono trasferite negli Stati Uniti solo se Lei attiva la funzionalità di IA. |
| Per quanto tempo? | Fino alla cancellazione del Suo account. Una volta effettuata la cancellazione, i Suoi dati vengono rimossi immediatamente dai nostri sistemi attivi e cancellati anche dai backup e dai log entro 30 giorni. |
| Quali sono i Suoi diritti? | Accesso, rettifica, cancellazione, portabilità, opposizione e revoca del consenso. Scriva all'indirizzo [email protected] indicando come oggetto Privacy; risponderemo entro 30 giorni. |
2. Identità del titolare del trattamento
L'applicazione Thanxful è offerta da Kadir Alan, che opera in Türkiye in qualità di ditta individuale (şahıs şirketi) (impresa individuale).
| Titolare del trattamento | Kadir Alan — ditta individuale (şahıs şirketi), Türkiye |
| Contatto | [email protected] (l'indicazione di Privacy nell'oggetto contribuisce al corretto instradamento della Sua richiesta) |
In qualità di ditta individuale, ci troviamo al di sotto della soglia di iscrizione al Registro dei titolari del trattamento (VERBİS) prevista dalla KVKK e della soglia di nomina del Responsabile della protezione dei dati di cui all'art. 37 GDPR; pertanto non siamo tenuti né all'iscrizione al VERBİS né alla nomina di un DPO. In caso di mutamento di tali circostanze, la presente informativa sarà aggiornata. Per richiedere un indirizzo fisico per le notifiche, può scriverci all'indirizzo [email protected]; l'indirizzo di notifica sarà comunicato su Sua richiesta.
3. Ambito di applicazione
La presente informativa si applica a:
- L'applicazione iOS Thanxful (
com.aota.thanxfule la versione betacom.aota.thanxful.beta) pubblicata sull'Apple App Store. - Il sito internet
thanxful.app(pagine promozionali, presenti documenti legali e contenuti correlati).
Le pratiche in materia di privacy dei servizi di terzi a cui Lei viene reindirizzato dall'applicazione o dal sito (ad esempio Apple App Store, OpenAI, RevenueCat) sono disciplinate dalle rispettive politiche; in tali ambiti il Titolare del trattamento non assume alcuna responsabilità.
4. Categorie di dati personali trattati
Vengono trattati esclusivamente i dati personali necessari all'erogazione del Servizio. I dati sono raggruppati in sei categorie:
4.1 Dati identificativi
Al momento della creazione dell'account, vengono trattati i seguenti dati:
- Indirizzo email (obbligatorio).
- Nome / nome visualizzato (facoltativo; può essere modificato o lasciato in bianco in qualsiasi momento).
- Foto profilo (facoltativa; conservata su Firebase Storage).
- Identificativo utente Firebase generato automaticamente dal sistema.
- Se Lei utilizza l'opzione Sign in with Apple: il Suo indirizzo email (reale o l'indirizzo di inoltro privato di Apple) e, se Lei sceglie di condividerlo, il Suo nome completo. Apple non ci comunica il Suo Apple ID.
4.2 Contenuto del diario — può rientrare nelle categorie particolari di dati personali
Per ciascuna voce salvata, vengono trattati i seguenti dati:
- Testo della voce (massimo 3.000 caratteri).
- Formattazione del testo (grassetto, corsivo, elenchi — massimo 30.000 caratteri, codificati).
- Selezione facoltativa dello stato d'animo.
- Informazioni relative al suggerimento (prompt) a cui Lei ha risposto (se presente).
- Data di calendario locale.
Il contenuto del diario è personale e di natura sensibile. Ai sensi dell'art. 6 della KVKK e dell'art. 9 del GDPR, i testi del diario possono contenere categorie particolari di dati personali relativi alla Sua salute, alle Sue convinzioni religiose, opinioni politiche, vita sessuale o appartenenza sindacale. Per tale motivo, il trattamento del contenuto del Suo diario tramite intelligenza artificiale è interamente subordinato al Suo consenso esplicito (cfr. §6).
4.3 Dati di profilo e preferenze
- Informazioni sulla serie (serie attuale e più lunga).
- Ora dell'ultima attività e fuso orario (fuso orario IANA del Suo dispositivo, ad es.
Europe/Istanbul). - Preferenza linguistica (Sua scelta da un elenco di 30 lingue).
- Preferenza di tema (Espresso, Cosmos, Oat, ecc.).
- Impostazioni delle notifiche: stato di attivazione dei promemoria, orario del promemoria e fuso orario.
- Stato dell'abbonamento: presenza di un abbonamento premium attivo (tramite RevenueCat; cfr. §7).
- Registro del consenso esplicito all'IA — un registro in sola aggiunta (append-only) contenente le operazioni di concessione, rifiuto o revoca del consenso, la fonte (onboarding, post-voce, post-acquisto o Impostazioni), la marca temporale e il numero di prompt mostrati. Tale registro è tenuto in conformità alla Linea guida 5.1.2(i) per la revisione dell'Apple App Store.
4.4 Dati relativi al dispositivo e all'utilizzo
Durante l'utilizzo dell'applicazione vengono trattati automaticamente i seguenti dati:
- Informazioni sul dispositivo: modello, versione del sistema operativo, versione dell'applicazione, impostazioni locali, paese, fuso orario e identificativo dell'istanza dell'applicazione interno di Firebase.
- Token di notifica FCM — il token assegnato al Suo dispositivo da Firebase Cloud Messaging per consentire l'invio dei promemoria. Viene conservato in Firestore in collegamento al Suo account; è rinnovato a seguito di reinstallazione o disconnessione.
- Dati relativi agli eventi: metadati quali la schermata visualizzata nell'applicazione, l'eventuale salvataggio di una voce, l'apertura di una riflessione o l'avvio di un acquisto — il contenuto delle Sue voci non è ricompreso in tali registrazioni.
- Segnalazioni di crash tramite Firebase Crashlytics (stack trace, stato del dispositivo al momento del crash). Nelle build di debug, Crashlytics è disabilitato; risulta attivo nelle build distribuite agli utenti.
Non vengono trattati i seguenti dati:
- Il Suo indirizzo IP all'interno dell'applicazione (Firebase Analytics non ce lo comunica).
- Il Suo identificativo pubblicitario (IDFA) — viene utilizzata la versione di Firebase priva di AdSupport e i segnali di personalizzazione pubblicitaria sono disattivati.
4.5 Dati relativi all'abbonamento
Quando Lei sottoscrive un abbonamento Thanxful:
- L'operazione viene eseguita da Apple (App Store). Il Suo metodo di pagamento o i dati della Sua carta non vengono trasferiti a noi.
- RevenueCat gestisce il ciclo di vita dell'abbonamento per nostro conto. Il dato condiviso con RevenueCat è il Suo identificativo utente Firebase; RevenueCat ci trasmette l'identificativo del prodotto, lo stato, la data di scadenza e la data di rinnovo.
4.6 Comunicazioni e feedback
- Email di assistenza da Lei inviate all'indirizzo
[email protected]. - Richieste di funzionalità e segnalazioni di errore inviate dall'interno dell'applicazione (con un limite giornaliero per prevenire usi impropri). Vengono conservati il testo da Lei scritto, il Suo identificativo utente e l'ora dell'invio. Alla cancellazione del Suo account, i feedback vengono resi anonimi (l'identificativo utente è sostituito con
"deleted_user"); il testo non viene cancellato, ma viene eliminato qualsiasi collegamento con Lei.
4.7 Prova durante l'onboarding (prima dell'apertura dell'account)
Qualora Lei desideri provare una singola riflessione di intelligenza artificiale prima di aprire un account, vengono trattati i seguenti dati:
- UUID del dispositivo generato dal Suo dispositivo (non è l'IDFA).
- Indirizzo IP sottoposto a hash SHA-256 (l'indirizzo IP grezzo non viene conservato).
- Token di Apple DeviceCheck (per impedire la ripetizione della prova sul medesimo dispositivo).
Tali dati sono trattati esclusivamente per un periodo limitato al fine di limitare la prova (una volta al giorno per dispositivo, 20 volte al giorno per IP a livello globale) e di prevenire usi impropri.
4.8 Sicurezza
- Il codice di blocco dell'applicazione (qualora Lei scelga di attivarlo) viene conservato esclusivamente nel Keychain di iOS sul Suo dispositivo; non lascia mai il Suo telefono. I Suoi dati biometrici (Face ID / Touch ID) restano nella Secure Enclave di Apple; non vengono trasmessi a noi.
5. Finalità del trattamento e basi giuridiche
La finalità di ciascuna attività di trattamento e la relativa base giuridica ai sensi degli artt. 5-6 della KVKK e dell'art. 6 del GDPR sono illustrate nella tabella seguente:
| Attività di trattamento | Finalità | Base giuridica KVKK | Base giuridica GDPR |
|---|---|---|---|
| Creazione dell'account e conservazione delle Sue voci | Erogazione fondamentale del Servizio | Art. 5/2(c) — costituzione ed esecuzione del contratto | Art. 6(1)(b) — esecuzione del contratto |
| Generazione di riflessioni di IA a partire dalle Sue voci di diario | Solo se Lei ha prestato il consenso esplicito | Art. 6(2) — consenso esplicito per categorie particolari di dati | Art. 6(1)(a) + Art. 9(2)(a) — consenso esplicito per categorie particolari di dati |
| Invio di promemoria quotidiani di gratitudine | Quando Lei li attiva dalle Impostazioni | Art. 5(1) — consenso esplicito | Art. 6(1)(a) — consenso |
| Gestione dell'abbonamento tramite Apple e RevenueCat | Erogazione del servizio acquistato | Art. 5/2(c) — esecuzione del contratto | Art. 6(1)(b) — contratto |
| Segnalazioni di crash e analisi aggregata del prodotto | Erogazione di un'applicazione affidabile e stabile | Art. 5/2(f) — legittimo interesse | Art. 6(1)(f) — legittimo interesse |
| Misure contro l'uso improprio (DeviceCheck, hashing dell'IP, limiti di quota) | Prevenzione di frodi e abusi sui costi | Art. 5/2(f) — legittimo interesse | Art. 6(1)(f) — legittimo interesse |
| Conservazione dei registri dei pagamenti per finalità fiscali e contabili | Adempimento di obblighi di legge | Art. 5/2(a) — obbligo di legge | Art. 6(1)(c) — obbligo di legge |
| Riscontro alle richieste legittime delle autorità competenti | Obbligo di legge | Art. 5/2(a) — obbligo di legge | Art. 6(1)(c) — obbligo di legge |
Non effettuiamo trattamenti finalizzati alla profilazione, non svolgiamo attività di processo decisionale automatizzato che possano produrre effetti significativi nei Suoi confronti e non vendiamo né concediamo in licenza i Suoi dati personali.
6. Trattamento del contenuto del Suo diario mediante intelligenza artificiale
La presente sezione è stata predisposta sia ai sensi della Linea guida 5.1.2(i) per la revisione dell'Apple App Store, sia in modo specifico per Lei in quanto interessato cui appartiene il diario.
Cosa accade?
In caso di prestazione del Suo consenso esplicito, Thanxful trasmette le Sue voci di diario selezionate a fornitori terzi di intelligenza artificiale; tali fornitori producono:
- Riflessione istantanea — una breve riflessione su una singola voce.
- Riepilogo settimanale — un'analisi sintetica degli ultimi 7 giorni.
- Riepilogo mensile — un'analisi approfondita degli ultimi 30 giorni.
Da chi vengono trattate le Sue voci?
- OpenAI (fornitore principale) — modelli
gpt-4o-miniegpt-4o. I server si trovano negli Stati Uniti. - Google Gemini (fornitore di riserva, qualora OpenAI non sia accessibile) — sull'infrastruttura globale di Google.
Quali dati vengono trasmessi?
- I testi delle voci relativi al periodo oggetto di analisi.
- Il Suo nome visualizzato (affinché la riflessione possa rivolgersi a Lei per nome).
- La Sua preferenza linguistica (affinché la riflessione sia generata nella Sua lingua).
Quali dati non vengono trasmessi?
- Il Suo indirizzo email.
- Le informazioni sulla serie, lo stato dell'abbonamento o altri dati di profilo.
- Alcun dato di altri utenti.
Tempi di conservazione presso i fornitori
- OpenAI conserva le richieste pervenute tramite API per finalità di rilevamento di usi impropri per un massimo di 30 giorni, dopodiché procede alla cancellazione. OpenAI non utilizza i dati ricevuti tramite API per l'addestramento dei modelli. (Fonte: Termini API di OpenAI.)
- Google Gemini non utilizza i dati ricevuti tramite API per l'addestramento dei modelli per impostazione predefinita. (Fonte: Termini API di Google Gemini.)
Il Suo consenso esplicito
- Nel momento in cui l'intelligenza artificiale può essere attivata per la prima volta — durante l'onboarding, dopo il salvataggio di una voce o successivamente all'acquisto premium — Le viene richiesto il consenso esplicito.
- Il Suo consenso è registrato in un registro di audit in sola aggiunta (
users/{uid}/aiConsent). - Lei può revocare il proprio consenso in qualsiasi momento: Impostazioni → Consenso esplicito IA. La revoca interrompe immediatamente il trattamento futuro. Le riflessioni generate fino a quel momento rimangono nella Sua cronologia fino alla loro cancellazione o alla cancellazione del Suo account.
- Poiché il Suo diario può contenere categorie particolari di dati ai sensi dell'art. 6 della KVKK e dell'art. 9 del GDPR, la base giuridica del trasferimento ai fornitori di intelligenza artificiale è il Suo consenso esplicito.
Le riflessioni di IA non costituiscono consulenza medica, legale o terapeutica
Le riflessioni sono testi generati automaticamente. Possono risultare errati, fuorvianti o decontestualizzati. Non sostituiscono un terapeuta, un medico, un avvocato abilitato o altri professionisti. In caso di disagio, Le raccomandiamo di rivolgersi a un professionista qualificato o, in situazioni di emergenza, ai servizi di emergenza locali.
7. Condivisione e terze parti
I Suoi dati personali sono condivisi esclusivamente con i seguenti fornitori di servizi e unicamente per le finalità indicate. Ciascun fornitore è contrattualmente vincolato a trattare i Suoi dati personali esclusivamente in conformità alle nostre istruzioni e ad adottare adeguate misure di sicurezza.
| Fornitore | Ruolo | Dati condivisi | Area geografica | Informativa sulla privacy |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruttura: autenticazione, Firestore, Storage, Cloud Functions, notifiche, analytics, segnalazioni di crash, remote config, App Check | Tutti i dati di profilo, voci di diario, token FCM, eventi di analytics, segnalazioni di crash | Firestore e Cloud Functions in europe-west1 (Belgio, UE). Analytics e Crashlytics sull'infrastruttura globale di Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generazione di riflessioni di IA | Testo del diario, nome visualizzato, lingua — solo previo Suo consenso | Stati Uniti | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generazione di riflessioni di IA (di riserva) | Identici a OpenAI | Stati Uniti / globale | https://policies.google.com/privacy |
| RevenueCat, Inc. | Gestione degli abbonamenti | Identificativo utente Firebase, identificativo del prodotto, stato dell'abbonamento, data di rinnovo | Stati Uniti | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, notifiche APNs, DeviceCheck, pagamenti App Store | Email Apple ID, token di notifica, bit relativo al dispositivo, registrazioni di acquisto | Infrastruttura Apple | https://www.apple.com/legal/privacy/ |
Nota relativa a Meta / Facebook: nel nostro file Info.plist è presente unicamente la dichiarazione FacebookAppID: 2198469434228743 al fine di abilitare lo schema URL "Condividi su Instagram Stories". Non viene utilizzato alcun SDK Facebook; nessun dato viene trasmesso a Meta. Quando Lei sceglie di condividere — e solo in tale circostanza — l'immagine selezionata viene trasmessa all'applicazione Instagram tramite il foglio di condivisione iOS.
Richieste delle autorità competenti
I Suoi dati personali vengono comunicati alle autorità competenti esclusivamente nell'ambito di un valido procedimento giuridico in Türkiye o nell'ambito di un valido procedimento giuridico di un Paese che eserciti giurisdizione su di noi. Nei limiti in cui ciò sia consentito dalla legge, Lei viene informato di tali richieste.
Nessuna vendita di dati
I Suoi dati personali non sono oggetto di vendita. Ai sensi delle definizioni del CCPA/CPRA, non sono "condivisi" per finalità di pubblicità comportamentale fuori contesto.
8. Trasferimento all'estero
Il Suo account e il Suo diario sono conservati all'interno dell'Unione Europea (Google Cloud europe-west1, Belgio).
Alcuni dei nostri fornitori di servizi hanno sede negli Stati Uniti d'America:
- OpenAI e Google Gemini ricevono le Sue voci di diario (solo previo consenso) per finalità di trattamento mediante intelligenza artificiale.
- RevenueCat tratta lo stato del Suo abbonamento.
- Alcuni servizi di Apple e Firebase operano su infrastruttura globale.
I meccanismi giuridici su cui si fondano tali trasferimenti sono i seguenti:
- Ai sensi del GDPR: le Clausole Contrattuali Standard (SCC) della Decisione della Commissione UE 2021/914, incluse negli accordi sul trattamento dei dati sottoscritti con ciascun fornitore; misure tecniche applicate durante e dopo il trasferimento (cifratura, controllo degli accessi). Per i fornitori certificati ai sensi dell'EU–US Data Privacy Framework, ci si basa anche sulla relativa decisione di adeguatezza.
- Ai sensi del UK GDPR: il UK International Data Transfer Addendum (IDTA) aggiunto alle medesime SCC.
- Ai sensi della KVKK: ci si basa sul seguente insieme di garanzie multiple:
- Il Suo consenso esplicito ai sensi dell'art. 9 della KVKK per il trasferimento del contenuto del Suo diario verso gli Stati Uniti, qualora Lei attivi la funzionalità di intelligenza artificiale;
- Gli accordi sul trattamento dei dati (DPA) sottoscritti con ciascun fornitore — in particolare il DPA di Google Cloud / Firebase (che incorpora le SCC), l'Addendum sul trattamento dei dati per le API di OpenAI e il DPA di RevenueCat — quale garanzia contrattuale;
- Le misure tecniche elencate al §11 (cifratura, App Check, minimizzazione dei dati personali nei log).
Il nostro obiettivo è sottoscrivere il modello di Contratto Standard pubblicato dall'Autorità per la protezione dei dati personali con ciascun fornitore disposto ad accettare tale modello e procedere alla notifica all'Autorità entro 5 giorni lavorativi dalla data di sottoscrizione. Qualora il fornitore non accetti il modello dell'Autorità e utilizzi il proprio DPA, si applica l'insieme di garanzie sopra elencate.
Lei può richiedere una copia delle garanzie sui trasferimenti scrivendo all'indirizzo [email protected].
9. Periodo di conservazione
I dati personali sono conservati esclusivamente per il tempo necessario.
| Dato | Periodo di conservazione |
|---|---|
| Dati dell'account (email, nome, profilo, preferenze) | Fino alla cancellazione del Suo account. |
| Voci di diario, stati d'animo, informazioni sulla serie | Fino alla loro cancellazione individuale, all'utilizzo di Reimposta contenuti o alla cancellazione del Suo account. |
| Registro del consenso esplicito all'IA | Per la durata dell'account, in modalità in sola aggiunta (in conformità alla 5.1.2(i) di App Store). Cancellato unitamente all'account. |
| Riflessioni di IA generate (istantanee, settimanali, mensili) | Fino alla loro cancellazione individuale o alla cancellazione del Suo account. |
| Token di notifica FCM | Fino all'annullamento della registrazione del dispositivo, alla disconnessione o alla cancellazione dell'account. |
| Segnalazioni di crash di Crashlytics | 90 giorni (impostazione predefinita di Google). |
| Dati relativi agli eventi di Firebase Analytics | 14 mesi (impostazione predefinita minima di Google). |
| Log del server (Cloud Logging) | 400 giorni (il contenuto delle voci non è registrato; cfr. §11). |
| Registri di tracciabilità (Cloud Trace) | 15 giorni. |
| Richieste di funzionalità / segnalazioni di errore | Conservati per finalità di sviluppo del prodotto; alla cancellazione dell'account vengono resi anonimi mediante rimozione dell'identificativo utente. |
| Registri dei pagamenti (tramite Apple e RevenueCat) | Per la durata prevista dalla normativa fiscale e commerciale turca — di norma 10 anni. |
Quando Lei cancella il Suo account (Impostazioni → Avanzate → Elimina account o tramite email), il Suo profilo, le Sue voci, le riflessioni, i risultati conseguiti, il registro del consenso all'IA e i token FCM vengono rimossi immediatamente dai nostri sistemi attivi. Per quanto riguarda le cache dei fornitori di servizi, i backup e i log, il completamento della cancellazione può richiedere fino a 30 giorni.
10. I Suoi diritti
In funzione del Paese in cui Lei risiede, Le spettano in tutto o in parte i seguenti diritti:
Art. 11 della KVKK (residenti in Türkiye):
- Apprendere se i Suoi dati personali sono oggetto di trattamento.
- Richiedere informazioni in merito, qualora siano stati trattati.
- Apprendere la finalità del trattamento e l'utilizzo conforme alla finalità.
- Apprendere i terzi a cui sono stati trasferiti, in patria o all'estero.
- Richiedere la rettifica in caso di trattamento incompleto o errato.
- Richiedere la cancellazione o la distruzione ai sensi dell'art. 7 della KVKK.
- Richiedere la comunicazione delle operazioni di rettifica, cancellazione o distruzione ai terzi a cui i dati sono stati trasferiti.
- Opporsi all'emergere di un risultato a Suo sfavore conseguente all'analisi mediante sistemi automatizzati.
- Richiedere il risarcimento del danno qualora subisca un pregiudizio a causa di un trattamento illecito.
GDPR (residenti nell'UE/SEE e nel Regno Unito):
- Accesso (Art. 15), rettifica (Art. 16), cancellazione (Art. 17), limitazione del trattamento (Art. 18), portabilità dei dati (Art. 20), opposizione (Art. 21), revoca del consenso esplicito (Art. 7). Una schermata di esportazione self-service non è ancora disponibile; in caso di richiesta tramite email, Le trasmetteremo le Sue voci e i dati di profilo in formato JSON strutturato entro 30 giorni.
CCPA / CPRA (residenti in California):
- Diritto di sapere quali informazioni personali vengono raccolte, le relative fonti, finalità e terzi.
- Diritto alla cancellazione e alla rettifica.
- Diritto di opposizione alla vendita/condivisione di informazioni personali — non vendiamo né condividiamo dati; non sussiste alcuna circostanza a cui opporsi.
- Diritto di limitare l'uso di informazioni personali sensibili — le informazioni sensibili (il contenuto del Suo diario) non sono utilizzate al di fuori delle finalità indicate al §5.
- Diritto di non subire discriminazioni a causa dell'esercizio dei Suoi diritti.
Come esercitare i Suoi diritti
Invii un'email all'indirizzo [email protected] con oggetto Privacy Request, indicando quale dei Suoi diritti intende esercitare. Per verificare la Sua identità potremo richiederLe ulteriori informazioni (di norma chiedendoLe di rispondere dall'indirizzo email registrato sul Suo account). Ai sensi dell'art. 13 della KVKK e dell'art. 12 del GDPR, la Sua richiesta sarà evasa entro un massimo di 30 giorni. Qualora si renda necessario un termine aggiuntivo, Le comunicheremo le ragioni e il tempo di risposta previsto.
Qualora intenda presentare una richiesta tramite un rappresentante ai sensi del CCPA, potremmo comunque contattarLa per verificare l'autorizzazione del rappresentante.
L'esercizio di tali diritti è gratuito, salvo che la Sua richiesta sia manifestamente infondata o eccessiva.
Autorità a cui presentare reclamo
- Türkiye: Autorità per la protezione dei dati personali (KVKK) — https://www.kvkk.gov.tr/
- UE/SEE: autorità di protezione dei dati del Paese in cui risiede — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Regno Unito: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Misure di sicurezza dei dati
La sicurezza dei dati è considerata sin dalla fase di progettazione. Le misure tecniche e organizzative adottate comprendono:
- Cifratura in transito — tutto il traffico di rete è cifrato mediante TLS 1.2+.
- Cifratura a riposo — cifratura lato server AES-256 di Google Cloud.
- Autenticazione — Firebase Auth; le password non sono mai conservate in chiaro.
- App Check — Apple App Attest nella build di produzione; le richieste provenienti da fonti non attendibili vengono respinte.
- Apple DeviceCheck — previene gli abusi durante le prove di onboarding.
- Regole di sicurezza Firestore rigorose — ciascun utente può leggere e scrivere unicamente i propri dati.
- Isolamento dei dati sensibili — il codice di blocco dell'applicazione è conservato esclusivamente nel Keychain di iOS; i dati biometrici restano nella Apple Secure Enclave.
- Log con PII minimizzati — il contenuto del diario non è incluso nei log del server; vengono registrati esclusivamente i metadati necessari al funzionamento e al debug (identificativo utente, tipo di evento, stato).
- Gestione delle chiavi segrete — le chiavi API (OpenAI, RevenueCat, Apple DeviceCheck) sono conservate in Firebase Secret Manager; non sono presenti nel codice.
Poiché nessun sistema è del tutto sicuro, in caso di rilevazione di una violazione di dati personali:
- Ai sensi dell'art. 12, comma 5, della KVKK, viene effettuata la notifica all'Autorità per la protezione dei dati personali entro 72 ore;
- Ai sensi degli artt. 33-34 del GDPR, vengono effettuate le notifiche necessarie direttamente agli interessati residenti nell'UE/SEE e alle autorità competenti.
12. Minori
Thanxful non è destinata a minori di età inferiore ai 13 anni. Per utilizzare il Servizio è necessario aver compiuto almeno 13 anni (cfr. Termini di servizio §3). Se Lei ha tra i 13 e i 16 anni (età del consenso digitale in alcuni Stati membri dell'UE), la legge del Paese in cui risiede può richiedere il consenso del genitore o del tutore. Ai sensi dell'art. 15 del Codice Civile turco (TMK), i minori di 18 anni non hanno piena capacità contrattuale; per un utente di età inferiore ai 18 anni è richiesta l'autorizzazione del genitore o del tutore.
Non vengono raccolti consapevolmente dati personali da minori di età inferiore ai 13 anni. Qualora, in qualità di genitore o tutore, ritenga che Suo figlio abbia condiviso informazioni a Sua insaputa, scriva all'indirizzo [email protected]; le informazioni saranno cancellate.
La classificazione per età dell'App Store dell'applicazione (4+) indica che il contenuto dell'applicazione è adatto a tutte le età (assenza di violenza, contenuti sessuali e linguaggio volgare). Tale classificazione del contenuto non modifica il divieto contrattuale per i minori di 13 anni.
Per gli utenti non è prevista una specifica barriera anagrafica (age gate) durante l'onboarding e l'età minima è applicata per via contrattuale scritta — approccio diffuso nelle applicazioni di journaling e benessere.
13. Informativa California (CCPA / CPRA)
Qualora Lei sia residente in California, la presente sezione si applica a Lei in aggiunta al resto della presente informativa.
Categorie di informazioni personali raccolte (ultimi 12 mesi)
| Categoria CCPA | Raccolta? | Fonte | Finalità | Parte con cui sono condivise |
|---|---|---|---|---|
| Identificativi (email, identificativo utente, identificativo del dispositivo) | Sì | Lei; il Suo dispositivo | Account, sicurezza, analytics | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) | Sì (nome) | Lei | Account | Firebase |
| Categorie protette | No | — | — | — |
| Informazioni commerciali (cronologia degli abbonamenti) | Sì | Apple, RevenueCat | Erogazione dell'abbonamento | RevenueCat |
| Informazioni biometriche | No (Face ID resta sul dispositivo) | — | — | — |
| Attività in Internet / di rete | Limitata (eventi dell'applicazione, segnalazioni di crash) | Il Suo dispositivo | Analytics, affidabilità | Firebase |
| Geolocalizzazione | Solo a livello approssimativo (paese / fuso orario) | Il Suo dispositivo | Localizzazione dei contenuti | Firebase |
| Audio / immagini | Foto profilo (facoltativa) | Lei | Profilo | Firebase Storage |
| Informazioni professionali o di impiego | No | — | — | — |
| Istruzione | No | — | — | — |
| Inferenze | No | — | — | — |
| Informazioni personali sensibili | Il contenuto del diario è considerato sensibile | Lei | Riflessioni di IA (solo previo consenso) | OpenAI, Google Gemini |
I Suoi diritti California
- Conoscenza / accesso — cfr. §10.
- Cancellazione / rettifica — cfr. §10.
- Opposizione alla vendita / condivisione — non vendiamo né condividiamo le Sue informazioni personali; non sussiste alcuna circostanza a cui opporsi.
- Limitazione dell'uso di informazioni sensibili — le informazioni sensibili (il contenuto del Suo diario) sono utilizzate esclusivamente per le finalità descritte al §6 e con il Suo consenso esplicito.
- Non discriminazione — l'esercizio di tali diritti non comporterà restrizioni nell'accesso al Servizio, l'applicazione di prezzi differenti o l'erogazione di una qualità differente.
Per inoltrare una richiesta, scriva all'indirizzo [email protected] con oggetto California Privacy Request. Verificheremo la Sua identità tramite l'email registrata sull'account.
Non sono offerti incentivi finanziari in cambio di informazioni personali.
14. Cookie e tecnologie analoghe
All'interno dell'applicazione iOS: non vengono utilizzati cookie web. L'applicazione conserva esclusivamente sul Suo dispositivo, all'interno di UserDefaults, piccole preferenze (quali tema, lingua, preferenza di notifica) e, all'interno del Keychain di iOS, il codice di blocco dell'applicazione. Tali dati non sono condivisi con noi né con terzi.
Sul sito thanxful.app: alla data di entrata in vigore della presente informativa, il sito promozionale non utilizza cookie, web beacon né tracker analitici di terzi. In caso di futura introduzione, la presente sezione sarà aggiornata, sul sito sarà mostrato un banner di consenso ai cookie e la modifica sarà trattata come modifica sostanziale ai sensi del §15.
15. Modifiche alla presente informativa
La presente informativa può essere aggiornata di tempo in tempo. In caso di modifiche sostanziali (modifiche che incidono sui Suoi diritti o sulle modalità di trattamento dei Suoi dati), Lei sarà informato tramite email e tramite notifica in-app con un preavviso di almeno 30 giorni prima dell'entrata in vigore della modifica. In caso di modifiche non sostanziali (correzioni di refusi, chiarimenti) il documento sarà aggiornato e sarà aggiornata anche la Data di entrata in vigore in alto.
Qualora Lei non accetti la nuova versione, può cessare l'utilizzo del Servizio e cancellare il Suo account prima della data di entrata in vigore.
16. Contatti
Per qualsiasi domanda, richiesta o reclamo in materia di privacy:
- Email:
[email protected](oggetto:Privacy) - Titolare del trattamento: Kadir Alan — ditta individuale (şahıs şirketi), Türkiye
Qualora sia necessario un indirizzo fisico per le notifiche, scriva preventivamente all'indirizzo [email protected]; l'indirizzo sarà comunicato su Sua richiesta.
Le autorità di controllo a cui può presentare reclamo sono elencate al §10.
17. Glossario
- KVKK — Legge n. 6698 sulla protezione dei dati personali (Türkiye).
- GDPR — Regolamento generale dell'Unione Europea sulla protezione dei dati 2016/679.
- CCPA / CPRA — California Consumer Privacy Act, come modificato dal California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (Stati Uniti, minori di 13 anni).
- FCM — Firebase Cloud Messaging (infrastruttura di notifica).
- Categorie particolari di dati personali / dati sensibili — categorie di dati relative a salute, religione, opinioni politiche, vita sessuale, ecc., che richiedono una protezione rafforzata ai sensi dell'art. 6 della KVKK e dell'art. 9 del GDPR.
- Titolare del trattamento — la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali ed è responsabile dell'istituzione e della gestione del sistema di registrazione dei dati (nel presente documento: Kadir Alan).
- Consenso esplicito — consenso relativo a uno specifico oggetto, prestato sulla base di un'informazione adeguata e manifestato con libera volontà.
Grazie per averci dato fiducia nel Suo percorso di gratitudine.
— Thanxful