Informativa sulla privacy
La presente informativa descrive come Calmauria (di seguito «Calmauria», «noi») tratta i dati personali degli utenti del sito calmauria.com e del relativo servizio (il «Servizio»), ai sensi del Regolamento (UE) 2016/679 («GDPR») e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018.
Calmauria è un servizio di supporto emotivo e benessere basato su intelligenza artificiale. Non è un servizio sanitario, non fornisce diagnosi, terapie o cure e non sostituisce il parere di un medico o di uno psicologo.
1. Titolare del trattamento
Titolare del trattamento è CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria, con sede in Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. Per qualsiasi richiesta relativa ai tuoi dati puoi scriverci a [email protected].
2. Categorie di dati trattati
- Dati di account: indirizzo email, nome (facoltativo), password (conservata esclusivamente come hash crittografico), conferma di maggiore età.
- Dati della sessione: tema scelto, breve descrizione iniziale, modalità (audio/telefono), voce selezionata, durata e orario delle sedute.
- Contenuti delle conversazioni: ciò che dici durante le sedute con Auria e le relative risposte. Questi contenuti possono rivelare dati appartenenti a categorie particolari ai sensi dell'art. 9 GDPR (in particolare dati relativi alla salute e al benessere psicologico).
- Dati di pagamento: gestiti direttamente da Stripe. Non trattiamo né conserviamo i numeri delle carte; riceviamo solo identificativi di transazione, importo, stato del pagamento ed email di fatturazione.
- Dati tecnici: indirizzo IP, tipo di dispositivo e browser, log tecnici e di sicurezza necessari al funzionamento e alla protezione del Servizio.
3. Finalità e basi giuridiche
- Erogazione del Servizio (account, sedute, pagamenti): base giuridica l'esecuzione del contratto (art. 6.1.b GDPR).
- Trattamento dei contenuti delle conversazioni e della memoria tra sedute (dati di categoria particolare): base giuridica il tuo consenso esplicito (art. 9.2.a GDPR), che puoi revocare in qualsiasi momento.
- Sicurezza, prevenzione degli abusi e gestione delle situazioni di crisi: legittimo interesse (art. 6.1.f) e, ove applicabile, tutela di interessi vitali (art. 9.2.c).
- Adempimenti fiscali e contabili legati ai pagamenti: obbligo legale (art. 6.1.c).
- Comunicazioni di servizio (es. conferme, avvisi di sicurezza): esecuzione del contratto e legittimo interesse.
4. Memoria tra le sedute
Solo se presti un consenso specifico e facoltativo, Auria conserva un riepilogo cifrato delle vostre conversazioni per riprendere il percorso nelle sedute successive. Puoi revocare questo consenso in qualsiasi momento dall'area personale o scrivendoci: da quel momento la memoria non verrà più utilizzata e i riepiloghi verranno cancellati.
5. Come proteggiamo i tuoi dati
I contenuti sensibili (trascrizioni delle sedute e riepiloghi) sono cifrati a livello applicativo con algoritmo AES-256-GCM; le chiavi di cifratura sono gestite separatamente dal database. Le password sono protette con funzioni di derivazione (scrypt). Adottiamo misure tecniche e organizzative adeguate a garantire riservatezza, integrità e disponibilità.
6. Fornitori e responsabili del trattamento
Per erogare il Servizio ci avvaliamo di fornitori che agiscono come responsabili del trattamento, ciascuno con adeguate garanzie contrattuali:
- Stripe — pagamenti;
- Neon — database;
- LiveKit — trasmissione audio/video in tempo reale;
- Anam — avatar video (funzione attualmente non attiva);
- Cartesia — sintesi vocale;
- Deepgram — trascrizione vocale;
- Anthropic — modello di intelligenza artificiale che genera le risposte.
Alcuni fornitori possono trattare dati al di fuori dello Spazio Economico Europeo. In tal caso i trasferimenti avvengono sulla base di garanzie adeguate ai sensi degli artt. 44 e ss. GDPR (in particolare Clausole Contrattuali Tipo). Ove tecnicamente possibile privilegiamo fornitori con residenza dei dati nell'UE e clausole di non addestramento dei modelli sui tuoi contenuti.
7. Processo decisionale automatizzato
Il Servizio impiega intelligenza artificiale per generare le risposte e, in parallelo, un classificatore automatico di sicurezza che analizza ogni turno per individuare segnali di rischio (es. pensieri suicidari, pericolo per sé o per altri). Questo trattamento non produce effetti giuridici sull'interessato: la sua unica finalità è la tua sicurezza. Non effettuiamo profilazione a fini di marketing.
8. Conservazione dei dati
- Dati di account: per la durata del rapporto e finché l'account resta attivo.
- Trascrizioni e riepiloghi: conservati solo con il tuo consenso; in assenza di consenso alla memoria, i contenuti non vengono conservati oltre la seduta o vengono cancellati entro i termini indicati nelle nostre policy di retention.
- Dati di pagamento e documenti fiscali: per il tempo richiesto dalla legge.
- Log di sicurezza: per il tempo strettamente necessario alle finalità di sicurezza.
9. Minori
Il Servizio è riservato esclusivamente agli adulti (18 anni compiuti). Non raccogliamo consapevolmente dati di minori. Se rileviamo indizi che l'utente sia minorenne, interrompiamo la seduta e indirizziamo verso risorse dedicate. Se ritieni che un minore ci abbia fornito dati, scrivici e provvederemo alla cancellazione.
10. Gestione delle situazioni di crisi
Calmauria non gestisce le emergenze. In presenza di segnali di rischio per la vita, Auria interrompe la conversazione e indirizza verso aiuti umani immediati (numeri di emergenza e linee di ascolto). In situazioni di pericolo imminente contatta il 112.
11. I tuoi diritti
In qualità di interessato puoi esercitare in ogni momento i diritti previsti dagli artt. 15-22 GDPR:
- accesso ai tuoi dati e copia degli stessi;
- rettifica dei dati inesatti;
- cancellazione («diritto all'oblio»);
- limitazione e opposizione al trattamento;
- portabilità dei dati;
- revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
Per esercitare i tuoi diritti scrivi a [email protected]. Ti risponderemo nei termini di legge.
12. Reclamo all'autorità di controllo
Hai diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità di controllo dello Stato UE in cui risiedi.
13. Modifiche
Potremo aggiornare questa informativa. Le modifiche saranno pubblicate su questa pagina con la relativa data di aggiornamento.
Nota: la presente informativa è redatta con la massima cura ma non sostituisce una valutazione legale personalizzata. Prima del lancio pubblico è raccomandata la revisione da parte di un professionista, insieme a una valutazione d'impatto (DPIA).