La presente Privacy Policy descrive come Inochi SRL (di seguito "noi" o "Titolare") raccoglie, utilizza e protegge i dati personali degli utenti del servizio DiaryZen (di seguito "Servizio"), disponibile all'indirizzo app.diaryzen.com e tramite applicazioni mobile.
1. Titolare del Trattamento
Inochi SRL
Email: privacy@inochi.srl
2. Dati raccolti
2.1 Dati di registrazione
- Indirizzo email (per autenticazione)
- Password (memorizzata in formato hash crittografico via Supabase Auth)
- Eventualmente: nome utente Google se accedi via Google OAuth
- Eventualmente: identificativo passkey/biometrico (chiave pubblica WebAuthn) se attivi questa opzione
2.2 Contenuti del diario
- Testo delle entry, note vocali (audio + trascrizione), foto allegate
- Metadati: data, posizione (se inclusa nel testo), umore, tag
- Dati meteo contestuali (recuperati da Open-Meteo via location indicata)
- Embedding semantici (rappresentazioni numeriche del testo per la ricerca AI)
2.3 Dati tecnici
- Indirizzo IP, user agent, log di accesso (conservati massimo 90 giorni)
- Token FCM/APNs se attivi le notifiche push mobile
3. Finalità del trattamento
- Fornire il servizio di diario personale (memorizzazione e visualizzazione delle entry)
- Generare riassunti AI, chat semantica e ricerca sulle tue entry
- Inviare notifiche di promemoria (se attivate dall'utente)
- Garantire sicurezza, prevenire abusi e rispettare obblighi di legge
4. Base giuridica
Il trattamento si basa su:
- Esecuzione del contratto (art. 6.1.b GDPR) per la fornitura del servizio
- Consenso (art. 6.1.a GDPR) per notifiche push, accesso biometrico e funzionalità AI opzionali
- Legittimo interesse (art. 6.1.f GDPR) per sicurezza e prevenzione frodi
5. Fornitori terzi (Sub-Responsabili)
Per erogare il Servizio utilizziamo i seguenti fornitori, selezionati per garanzie adeguate ex art. 28 GDPR:
- Supabase Inc. (USA, hosting database e autenticazione — DPA in essere, SCC)
- OpenRouter (instradamento LLM per riassunti e chat AI; nessun training sui tuoi dati)
- Groq Inc. (trascrizione audio Whisper)
- Open-Meteo (servizio meteo, dati aggregati anonimi)
- Google LLC / Apple Inc. (autenticazione OAuth, push notifications mobile)
- Server proprietari Inochi SRL in Europa (file media foto/audio)
6. Conservazione dei dati
- Le entry del diario sono conservate finché l'account è attivo
- Cancellando l'account, tutti i dati vengono eliminati entro 30 giorni
- Backup tecnici crittografati conservati massimo 12 mesi
- Log di accesso: massimo 90 giorni
7. Sicurezza
- Connessioni HTTPS (TLS 1.2+) obbligatorie su tutto il Servizio
- Password mai conservate in chiaro (hash bcrypt via Supabase Auth)
- Row-level security database (RLS) — nessun utente può accedere a dati di altri
- File media serviti tramite URL firmati HMAC con scadenza 24h
- Backup giornalieri crittografati
8. I tuoi diritti (GDPR)
In qualità di interessato hai diritto a:
- Accesso ai tuoi dati (art. 15)
- Rettifica di dati inesatti (art. 16)
- Cancellazione ("diritto all'oblio", art. 17) — disponibile dall'app in Impostazioni
- Portabilità dei dati in formato JSON (art. 20) — esporta dall'app
- Limitazione e opposizione al trattamento (artt. 18 e 21)
- Reclamo al Garante Privacy italiano (garanteprivacy.it)
Per esercitare questi diritti scrivici a privacy@inochi.srl. Rispondiamo entro 30 giorni.
9. Trasferimenti extra-UE
Alcuni fornitori (Supabase, OpenRouter, Groq, Google, Apple) hanno server al di fuori dello Spazio Economico Europeo. I trasferimenti avvengono sulla base di Clausole Contrattuali Standard approvate dalla Commissione Europea.
10. Cookie
Il sito utilizza esclusivamente cookie tecnici essenziali per l'autenticazione (session cookie HttpOnly Secure). Nessun cookie di profilazione o tracciamento di terze parti.
11. Modifiche
Eventuali aggiornamenti significativi a questa Privacy Policy saranno notificati via email o tramite avviso nell'app. La data in alto indica l'ultima revisione.
12. Contatti
Per qualsiasi domanda relativa alla privacy: privacy@inochi.srl