Privacy Policy
Ultima modifica: maggio 2025 · Versione 1.0
Importante — Non è consulenza medica
Alma è uno strumento di supporto al monitoraggio alimentare, non un servizio di consulenza medica o nutrizionale professionale. I contenuti generati dall'AI (stime di macronutrienti, suggerimenti alimentari, insight) hanno finalità puramente informative e non sostituiscono il parere di un medico, dietista o biologo nutrizionista abilitato. Per decisioni che riguardano la salute, consulta sempre un professionista qualificato.
1. Titolare del trattamento
Il Titolare del trattamento dei dati è:
Via Cochetto 243b, Coassolo Torinese 10070 TO
P.IVA: 13339900014
Email: federico.bellezza@pec.it
PEC: federico.bellezza@pec.it
Per esercitare i tuoi diritti o per qualsiasi richiesta relativa al trattamento dei tuoi dati, puoi contattarci all'indirizzo email sopra indicato.
2. Dati personali raccolti
Raccogliamo le seguenti categorie di dati:
2.1 Dati di registrazione
- Nome e cognome
- Indirizzo email
- Password (cifrata — non accessibile nemmeno a noi)
2.2 Dati del profilo alimentare (dati relativi alla salute)
⚠ Categoria speciale ex Art. 9 GDPR — richiede consenso esplicito
- Altezza, peso, età, sesso biologico
- Obiettivi nutrizionali (dimagrimento, massa, mantenimento)
- Eventuali intolleranze o preferenze alimentari
- Fotografie di pasti
- Registrazioni audio di descrizioni alimentari
- Diario alimentare: pasti inseriti, macro stimati, calorie
Questi dati, in quanto relativi all'alimentazione e alla composizione corporea, sono considerati dati sulla salute ai sensi dell'Art. 9 GDPR. Vengono trattati solo previo consenso esplicito dell'utente e sono strettamente necessari per il funzionamento del servizio.
2.3 Dati di utilizzo
- Messaggi inviati all'AI (testo)
- Timestamp di accesso e attività
- Tipo di dispositivo e browser (per la sicurezza della sessione)
2.4 Dati di pagamento
I dati di carta di credito o metodo di pagamento non vengono mai memorizzati nei nostri sistemi. Il pagamento è gestito interamente da Stripe Inc. tramite interfaccia sicura certificata PCI-DSS.
3. Finalità e base giuridica del trattamento
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio (account, diario, chat AI) | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Trattamento dati alimentari/salute | Consenso esplicito (Art. 9.2.a GDPR) |
| Gestione abbonamenti e fatturazione | Esecuzione del contratto (Art. 6.1.b GDPR) |
| Adempimento obblighi fiscali e legali | Obbligo legale (Art. 6.1.c GDPR) |
| Invio di comunicazioni di servizio | Legittimo interesse (Art. 6.1.f GDPR) |
| Marketing e newsletter (se attivato) | Consenso (Art. 6.1.a GDPR) |
4. Destinatari e trasferimenti internazionali
I tuoi dati possono essere condivisi con i seguenti fornitori di servizi, che operano in qualità di Responsabili del trattamento ex Art. 28 GDPR:
4.1 Fornitori principali
- Supabase Inc. (database, autenticazione, archiviazione foto) — server EU disponibili
- OpenAI LLC (analisi AI di testo, foto e audio) — USA. Il trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCCs) approvate dalla Commissione Europea (Dec. 2021/914/UE). OpenAI non utilizza i dati inviati via API per addestrare i propri modelli (per impostazione predefinita).
- Stripe Inc. (pagamenti) — USA. Trasferimento su base SCCs. Certificazione PCI-DSS Level 1.
4.2 Nutrizionista supervisore
Se hai collegato un nutrizionista al tuo profilo, quest'ultimo avrà accesso al tuo diario alimentare e alle note di sessione nell'ambito del rapporto professionale tra te e il professionista. Tale condivisione avviene su tua esplicita richiesta.
Non vendiamo, cediamo né affittiamo i tuoi dati personali a terzi per finalità di marketing.
5. Periodo di conservazione
| Categoria di dati | Periodo |
|---|---|
| Dati account e profilo | Fino alla cancellazione account + 30 giorni |
| Diario alimentare e chat | Fino alla cancellazione account + 30 giorni |
| Foto pasti | Fino alla cancellazione account + 30 giorni |
| Registrazioni audio | Eliminate immediatamente dopo la trascrizione |
| Dati di fatturazione | 10 anni (obbligo fiscale ex D.P.R. 633/1972) |
| Log di accesso e sicurezza | 12 mesi |
6. I tuoi diritti
Ai sensi degli Artt. 15–22 GDPR, hai il diritto di:
- Accesso (Art. 15): ottenere conferma del trattamento e copia dei tuoi dati
- Rettifica (Art. 16): correggere dati inesatti
- Cancellazione (Art. 17): richiedere la cancellazione ("diritto all'oblio")
- Limitazione (Art. 18): limitare il trattamento in determinati casi
- Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato e leggibile da macchina
- Opposizione (Art. 21): opporti al trattamento basato su legittimo interesse
- Revoca del consenso: puoi revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente alla revoca
Per esercitare i tuoi diritti, scrivici a federico.bellezza@pec.it. Risponderemo entro 30 giorni. Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Dall'app puoi anche cancellare il tuo account direttamente da Profilo → Cancella account, che rimuove tutti i dati entro 30 giorni.
7. Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate ex Art. 32 GDPR, tra cui:
- Comunicazioni cifrate via HTTPS/TLS 1.3
- Password degli utenti memorizzate con hash bcrypt (mai in chiaro)
- Accesso ai dati limitato al personale autorizzato (principio di minimizzazione)
- Row-Level Security (RLS) su tutti i dati nel database
- Backup automatici cifrati
8. Cookie e tecnologie di tracciamento
Per informazioni dettagliate sull'uso dei cookie, consulta la nostra Cookie Policy.
9. Minori
Il servizio è rivolto a persone di età non inferiore a 16 anni. Non raccogliamo consapevolmente dati di minori di 16 anni. Se ritieni che un minore abbia creato un account, contattaci a federico.bellezza@pec.it per la rimozione immediata dei dati.
10. Modifiche alla presente informativa
Possiamo aggiornare questa informativa periodicamente. In caso di modifiche sostanziali, ti notificheremo via email o tramite avviso in app almeno 15 giorni prima dell'entrata in vigore. L'uso continuato del servizio dopo tale data costituisce accettazione della nuova informativa.