Informativa sulla Privacy

Questa informativa sulla privacy La informa sulla natura, portata e finalità del trattamento dei Suoi dati personali. Questo si applica all’applicazione ‘Why?!’ e al sito web associato ‘ask-why.app’ di Looking4Cache UG (a responsabilità limitata) (di seguito “noi” o “nostro”).

La raccolta e il trattamento dei Suoi dati personali avviene nel rispetto delle normative applicabili sulla protezione dei dati, in particolare del Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”).

La finalità della raccolta e del trattamento dei Suoi dati personali è fornire servizi funzionali e comunicare con Lei.

Nome e Indirizzo del Titolare del Trattamento

Il titolare del trattamento ai sensi del GDPR e di altre leggi nazionali sulla protezione dei dati degli stati membri, nonché di altre disposizioni sulla protezione dei dati è:

Looking4Cache UG (haftungsbeschränkt) Oberer Wasen 12 74626 Bretzfeld Germania E-mail: info@ask-why.app

Base Giuridica per il Trattamento dei Dati Personali

Sulla base dell’Art. 13 GDPR, La informiamo della base giuridica del nostro trattamento dei dati. Salvo diversamente specificato, il trattamento dei Suoi dati personali si basa sul Suo consenso in conformità all’Art. 6 para. 1 lett. a GDPR. L’ottenimento del Suo consenso avviene in conformità all’Art. 7 GDPR.

Diritto di Conferma e Informazione

Lei ha il diritto in qualsiasi momento di ricevere conferma da parte nostra se vengono trattati dati personali che La riguardano. Se questo è il caso, Lei ha il diritto di ricevere gratuitamente informazioni sui dati personali memorizzati su di Lei insieme a una copia di questi dati. Inoltre, Lei ha diritto alle seguenti informazioni:

1. le finalità del trattamento;
2. le categorie di dati personali oggetto di trattamento;
3. i destinatari o le categorie di destinatari ai quali i dati personali sono stati o saranno comunicati, in particolare destinatari in paesi terzi o organizzazioni internazionali;
4. ove possibile, il periodo previsto di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
5. l’esistenza del diritto di richiedere la rettifica o la cancellazione dei dati personali che La riguardano o la limitazione del trattamento da parte del titolare del trattamento o il diritto di opporsi al trattamento;
6. il diritto di proporre reclamo a un’autorità di controllo;
7. se i dati personali non sono raccolti presso di Lei, tutte le informazioni disponibili sulla loro origine;
8. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, di cui all’Art. 22 para. 1 e 4 GDPR e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per Lei.

Nel caso in cui i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, Lei ha il diritto di essere informato sulle garanzie adeguate ai sensi dell’Art. 46 GDPR relative al trasferimento.

Diritto di Rettifica

Lei ha il diritto ai sensi dell’Art. 16 GDPR di esigere l’immediata rettifica di dati personali inesatti che La riguardano. Tenuto conto delle finalità del trattamento, Lei ha il diritto di ottenere l’integrazione dei dati personali incompleti.

Diritto di Limitazione del Trattamento

Lei ha il diritto ai sensi dell’Art. 18 GDPR di esigere da noi la limitazione del trattamento qualora ricorra una delle seguenti ipotesi:

1. L’esattezza dei dati personali è contestata da Lei
2. Il trattamento è illecito e Lei si oppone alla cancellazione
3. I dati personali non ci sono più necessari, ma Lei ne ha bisogno per far valere diritti legali
4. Lei si è opposto ai sensi dell’Art. 21 GDPR

Diritto alla Portabilità dei Dati

Lei ha il diritto ai sensi dell’Art. 20 GDPR di ricevere i dati personali che La riguardano e che ci ha fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Lei ha inoltre il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte nostra, a condizione che il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati.

Diritto di Opposizione

Lei ha il diritto ai sensi dell’Art. 21 GDPR di opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei dati personali che La riguardano effettuato sulla base dell’Art. 6 para. 1 lett. e o f GDPR.

Diritto alla Cancellazione (Diritto all’Oblio)

Lei ha il diritto ai sensi dell’Art. 17 para. 1 GDPR di esigere da noi che i dati personali che La riguardano siano cancellati immediatamente, e noi siamo obbligati a cancellare i dati personali immediatamente se si applica uno dei seguenti motivi:

1. I dati personali non sono più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati.
2. Lei revoca il consenso su cui si basava il trattamento ai sensi dell’Art. 6 para. 1 lett. a GDPR o Art. 9 para. 2 lett. a GDPR, e non sussiste altra base giuridica per il trattamento.
3. Lei si oppone al trattamento ai sensi dell’Art. 21 para. 1 GDPR e non sussistono motivi legittimi prevalenti per il trattamento, oppure Lei si oppone al trattamento ai sensi dell’Art. 21 para. 2 GDPR.
4. I dati personali sono stati trattati illecitamente.
5. La cancellazione dei dati personali è necessaria per adempiere un obbligo legale previsto dal diritto dell’Unione o dello stato membro cui siamo soggetti.
6. I dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’Art. 8 para. 1 GDPR.

Se abbiamo reso pubblici i dati personali e siamo obbligati a cancellarli ai sensi dell’Art. 17 para. 1 GDPR, adottiamo misure ragionevoli, anche tecniche, tenuto conto della tecnologia disponibile e dei costi di attuazione, per informare i titolari del trattamento che trattano i dati personali che Lei ha richiesto la cancellazione di tutti i collegamenti a tali dati personali o copie o riproduzioni di tali dati personali.

Decisioni Automatizzate Inclusa la Profilazione

Lei ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato – compresa la profilazione – che produca effetti giuridici che La riguardano o che incida in modo analogo significativamente sulla Sua persona.

Il processo decisionale automatizzato basato sui dati personali raccolti non ha luogo.

Diritto di Revoca del Consenso alla Protezione dei Dati

Lei ha il diritto di revocare il consenso al trattamento dei dati personali in qualsiasi momento.

Diritto di Proporre Reclamo a un’Autorità di Controllo

Lei ha il diritto di proporre reclamo a un’autorità di controllo, in particolare nello stato membro di residenza, del luogo di lavoro o del luogo della presunta violazione, qualora ritenga che il trattamento dei dati personali che La riguardano violi la legge.

Durata di Conservazione

In conformità ai requisiti legali, cancelliamo i Suoi dati. Se questo non è possibile, il trattamento sarà limitato.

Salvo diversamente specificato nelle singole sezioni di questa informativa sulla privacy, cancelliamo i dati non appena non sono più necessari per la finalità dichiarata e la cancellazione non è impedita da obblighi legali di conservazione.

Se un obbligo legale di conservazione (ad es., motivi di diritto commerciale e fiscale, registrazione del consenso) impedisce la cancellazione, il trattamento dei dati sarà limitato. Ciò significa che i dati vengono bloccati e non utilizzati per altri scopi.

Cookie

Non utilizziamo cookie. Se necessario, può essere impostato un cookie tecnicamente necessario dal fornitore di servizi CDN (vedi sotto).

Misure di Sicurezza

In conformità all’Art. 32 GDPR, implementiamo misure di sicurezza come l’accorciamento del Suo indirizzo IP e la crittografia SSL.

Indirizzo IP

Il Suo indirizzo IP viene memorizzato in forma abbreviata quando possibile. Questo impedisce o complica significativamente l’identificazione della Sua persona. L’accorciamento dell’indirizzo IP non avviene per processi rilevanti per la sicurezza. Questi includono tentativi di accesso errati, reimpostazioni di password e conferma dell’indirizzo email (consenso).

Crittografia SSL

I nostri servizi trasmettono i Suoi dati solo con crittografia SSL attiva. Può riconoscerlo dal protocollo ‘https://’ nella barra degli indirizzi. La reindirizziamo automaticamente a ‘https://’ se tenta di aprire una connessione non crittografata.

Protezione dei Minori e Gateway Genitoriale

Why?! è un’app sviluppata specificamente per bambini. La protezione dei dati dei minori è la nostra massima priorità. Abbiamo implementato un sistema completo “Gateway Genitoriale” che garantisce il consenso genitoriale PRIMA di qualsiasi raccolta di dati da bambini.

Conformità COPPA e GDPR

Il nostro sistema è conforme ai requisiti sia del Children’s Online Privacy Protection Act (COPPA) per gli USA che al GDPR Art. 8 per l’UE:

1. Consenso genitoriale verificato: L’app può essere registrata solo da adulti che devono confermare la loro identità attraverso la verifica email e la verifica del pagamento dell’app store.

2. Nessuna raccolta diretta di dati da bambini: I bambini non possono registrarsi autonomamente. Tutti i profili dei bambini vengono creati esclusivamente da adulti verificati.

3. Minimizzazione dei dati: Vengono raccolti solo dati minimi dai bambini (soprannome, età). Le cronologie delle chat non vengono memorizzate sui nostri server.

Processo di Protezione a Due Stadi

Stadio 1 - Verifica dell’Adulto:

• Verifica email con codice una tantum (double opt-in)
• Conferma esplicita dell’adulto
• Verifica del pagamento tramite app store (abbonamento in-app)

Stadio 2 - Creazione del Profilo del Bambino:

• Creazione solo da adulti verificati
• Consenso esplicito per l’uso dell’IA
• Impostazioni di sicurezza individuali per bambino

Controllo Genitoriale

Gli adulti mantengono il controllo completo in ogni momento:

• Accesso ai riassunti degli argomenti delle chat dei bambini
• Configurazione delle impostazioni di sicurezza
• Possibilità di eliminare profili in qualsiasi momento

Dati che Raccogliamo

Account Adulto e Indirizzi Email

La registrazione con Why?! avviene sempre tramite un account adulto che assume il ruolo del cosiddetto ‘Gateway Genitoriale’. L’autenticazione per un account adulto avviene tramite un indirizzo email e un codice una tantum. Deve essere fornito almeno un indirizzo email per la registrazione. Non condividiamo i dati dell’account adulto con terze parti.

Può opzionalmente concederci il diritto di contattarLa tramite newsletter.

Profilo Bambino

È possibile aggiungere uno o più profili bambino a un account adulto. Il nome inserito viene utilizzato solo per chiarezza nella selezione dei profili. La data di nascita viene utilizzata solo per calcolare l’età in anni. Viene memorizzato anche il fuso orario del dispositivo utilizzato così come il paese risultante. Il fuso orario è necessario per il ripristino delle risorse. Il paese viene utilizzato quando vengono eseguite ricerche web durante i messaggi di chat.

Quando si elimina un profilo bambino, i dati associati al bambino vengono eliminati. I dati statistici tecnici (utilizzo della chat) vengono conservati ma completamente anonimizzati.

Non condividiamo i dati memorizzati nel profilo bambino con terze parti, ad eccezione dei dati descritti in ‘Elaborazione di Messaggi Chat’.

Trascrizione di Registrazioni Vocali

Le registrazioni vocali vengono caricate e elaborate sui nostri server. Il file audio viene brevemente memorizzato, convertito e trasmesso al nostro fornitore di servizi speech-to-text OpenAI. Dopo la trascrizione, il file viene nuovamente eliminato e il testo trascritto viene restituito.

Elaborazione di Messaggi Chat

I testi inseriti manualmente o determinati tramite trascrizione vengono trasmessi ai nostri server. Questi vengono trasmessi insieme ai dati del profilo del bambino (età in anni, argomenti esclusi e formulazione) nonché istruzioni non personalizzate a un Large Language Model (LLM).

Sui nostri server vengono memorizzati l’ora, l’argomento della domanda, un riassunto della risposta e dati statistici tecnici (consumo di token, secondi STT e TTS) associati al rispettivo profilo del bambino. Questi servono per statistiche di apprendimento e calcolo delle risorse.

La memorizzazione della domanda e della risposta non avviene sui nostri server. Sui server del nostro fornitore di servizi IA OpenAI, la conversazione viene memorizzata per un massimo di 30 giorni per consentire domande di follow-up. L’ID necessario per accedere a questi dati viene memorizzato solo localmente nell’app, non sui nostri server. Ciò significa che non possiamo associare il contenuto della chat tra app e fornitore di servizi IA con alcun profilo del bambino o account adulto.

La risposta viene pronunciata in un file audio da un servizio text-to-speech se desiderato, con solo il testo della risposta che viene trasmesso. La risposta dell’LLM e un link al file audio generato vengono restituiti.

Memorizzazione Locale dei Dati nell’App

Le cronologie delle chat vengono memorizzate localmente sul dispositivo nell’app. Questa memorizzazione locale avviene per 30 giorni e consente di richiamare conversazioni precedenti in modalità chat completa. L’accesso a queste chat memorizzate è possibile solo tramite il rispettivo profilo del bambino nell’app. Dopo 30 giorni, i dati della chat locale vengono automaticamente eliminati. Questi dati non vengono sincronizzati con i nostri server.

Generazione di Avatar

Durante la creazione di avatar, la descrizione inserita insieme all’età del bambino (in anni) viene trasmessa al nostro fornitore di servizi di generazione di immagini OpenAI (DALL-E 3). L’avatar generato viene aggiunto al nostro pool globale di avatar e può essere selezionato da altri utenti. La descrizione inserita viene memorizzata sui nostri server per consentire la ricerca di avatar. Tuttavia, questa descrizione non viene visualizzata ad altri utenti e serve esclusivamente per scopi di ricerca interni.

Acquisti In-App e Dati di Pagamento

Why?! è un’app a pagamento con un modello di abbonamento. L’elaborazione dei pagamenti viene gestita esclusivamente tramite i sistemi di pagamento ufficiali degli app store:

Fornitori di Pagamento:

• iOS: Apple Pay / App Store (Apple Inc.)
• Android: Google Pay / Play Store (Google LLC)

Dati di Pagamento Memorizzati: Memorizziamo esclusivamente gli ID di transazione forniti da Apple o Google per la verifica del Suo abbonamento. Non riceviamo né memorizziamo informazioni sui metodi di pagamento come numeri di carte di credito o dati bancari. Questi vengono elaborati esclusivamente da Apple o Google.

Gestione dell’Abbonamento:

• La gestione del Suo abbonamento avviene direttamente tramite il Suo account dell’app store
• Memorizziamo lo stato dell’abbonamento e la data di scadenza
• Le cancellazioni vengono gestite automaticamente tramite gli app store
• I rinnovi avvengono automaticamente secondo le Sue impostazioni dell’app store

Il trattamento degli ID di pagamento si basa sull’adempimento del contratto ai sensi dell’Art. 6 para. 1 lett. b GDPR.

File di Log del Server Web

Ogni accesso al nostro server viene registrato nei file di log. Questo accade ogni volta che utilizza i nostri servizi.

Vengono memorizzate le seguenti informazioni:

• URL chiamato
• Data e ora
• Indirizzo IP anonimizzato
• Dati anonimizzati della chiamata HTTPS e delle risposte HTTPS

Lo scopo della registrazione è tracciare errori e analizzare la stabilità del server. Non avviene alcuna assegnazione alla Sua persona.

Base Giuridica Deviante La base giuridica per la registrazione è il nostro interesse legittimo, ai sensi dell’Art. 6 para. 1 lett. f GDPR.

Durata di Conservazione I log vengono automaticamente eliminati dopo 30 giorni.

Trasferimento Internazionale di Dati

Quando si utilizzano fornitori di servizi con sede negli USA (OpenAI, Google), i dati personali vengono trasferiti negli USA. Questo trasferimento si basa su:

• Clausole contrattuali standard ai sensi dell’Art. 46 GDPR
• Decisione di adeguatezza della Commissione UE (ove disponibile)
• Il Suo consenso esplicito ai sensi dell’Art. 49 para. 1 lett. a GDPR

Garantiamo che tutti i fornitori di servizi offrano garanzie adeguate per la protezione dei Suoi dati.

Terze Parti

Google Firebase

Utilizziamo Google Firebase per i seguenti servizi:

Crashlytics: Per catturare e analizzare i crash dell’app per migliorare continuamente la stabilità e la qualità della nostra app. Vengono catturate informazioni tecniche sul crash, il dispositivo utilizzato e la versione dell’app.

Analytics: Per l’analisi anonimizzata dell’utilizzo dell’app per migliorare i nostri servizi. La raccolta avviene senza assegnazione a un utente specifico o profilo utente.

Il trattamento si basa sul nostro interesse legittimo nel migliorare e ottimizzare la nostra app ai sensi dell’Art. 6 para. 1 lett. f GDPR.

L’informativa sulla privacy di Google Firebase può essere visualizzata qui: https://firebase.google.com/support/privacy

OpenAI

Utilizziamo i servizi di OpenAI per:

Large Language Model (LLM): Per elaborare e rispondere alle domande dei bambini. Le conversazioni vengono memorizzate sui server OpenAI per un massimo di 30 giorni per consentire domande di follow-up all’interno di una sessione.

Generazione di Immagini / Avatar: Per generare nuovi avatar utilizziamo i servizi di OpenAI.

Nessun dato personale come nomi o indirizzi email viene trasmesso a OpenAI. Il trattamento si basa sul nostro interesse legittimo nel fornire funzionalità dell’app ai sensi dell’Art. 6 para. 1 lett. f GDPR.

L’informativa sulla privacy di OpenAI può essere visualizzata qui: https://openai.com/policies/privacy-policy

Google Cloud

Utilizziamo Google Cloud Text-to-Speech (TTS) per convertire le risposte di testo in parlato. Il testo da pronunciare viene trasmesso a Google Cloud e restituito come file audio. Nessun dato personale come nomi o indirizzi email viene trasmesso.

Il trattamento si basa sul nostro interesse legittimo nel fornire la funzione di lettura ad alta voce ai sensi dell’Art. 6 para. 1 lett. f GDPR.

L’informativa sulla privacy di Google Cloud può essere visualizzata qui: https://cloud.google.com/security/privacy

Cloudflare

Utilizziamo Cloudflare come Content Delivery Network (CDN) e per la protezione contro attacchi come attacchi DDoS e spam. Un CDN memorizza contenuti statici del sito web su server distribuiti globalmente in modo che possano essere consegnati più velocemente e meno richieste raggiungano il nostro server.

Il trattamento si basa sul nostro interesse legittimo nel garantire la sicurezza e le prestazioni dei nostri servizi ai sensi dell’Art. 6 para. 1 lett. f GDPR.

L’informativa sulla privacy di Cloudflare può essere visualizzata qui: https://www.cloudflare.com/privacypolicy/

Fornitori di Servizi di Hosting

Utilizziamo i seguenti fornitori di hosting per il funzionamento dei nostri server e infrastruttura:

Hetzner Online GmbH

I nostri server principali sono ospitati con Hetzner in Germania. Questo garantisce che i Suoi dati vengano elaborati in data center tedeschi e soggetti alla rigorosa legge tedesca sulla protezione dei dati.

Il trattamento si basa sul nostro interesse legittimo nel funzionamento affidabile e sicuro dei nostri servizi ai sensi dell’Art. 6 para. 1 lett. f GDPR.

Informativa sulla privacy di Hetzner: https://www.hetzner.com/de/legal/privacy-policy

Hostkey B.V.

Per componenti aggiuntivi dell’infrastruttura, utilizziamo server di Hostkey.

Il trattamento si basa sul nostro interesse legittimo nel funzionamento affidabile e sicuro dei nostri servizi ai sensi dell’Art. 6 para. 1 lett. f GDPR.

Informativa sulla privacy di Hostkey: https://www.hostkey.com/legal/privacy-policy

Accordi di Trattamento Dati

Abbiamo concluso accordi di trattamento dati con tutti i fornitori di servizi menzionati ai sensi dell’Art. 28 GDPR o questi sono automaticamente parte delle condizioni d’uso:

• Google (Firebase & Cloud): Data Processing Agreement automaticamente effettivo
• OpenAI: Data Processing Addendum automaticamente effettivo con uso dell’API
• Cloudflare: Accordo di trattamento dati concluso
• Hetzner: Accordo di trattamento dati concluso
• Hostkey: Accordo di trattamento dati concluso

Questi accordi garantiscono che i Suoi dati vengano trattati solo secondo le nostre istruzioni e in conformità al GDPR.

Nota sulla Traduzione: La lingua contrattuale è il tedesco. Questa è una traduzione automatica. L’originale tedesco è legalmente vincolante.