[ INFORMATIVA SULLA PRIVACY ]

Ultimo aggiornamento: 27 marzo 2026

1. Titolare del Trattamento

Il titolare del trattamento responsabile dei tuoi dati personali e:

Underneath
Email: info@underneathapp.com

2. Dati Personali che Raccogliamo

Data la natura di Underneath come strumento di auto-osservazione ed esplorazione psicologica, raccogliamo dati che possono essere altamente personali e intimi. Di seguito trovi una descrizione completa delle categorie di dati che raccogliamo.

2.1 Informazioni sull'Account

Indirizzo email (usato per autenticazione e comunicazioni)
Password (conservata come hash unidirezionale con bcrypt; non memorizziamo mai la tua password reale)
Livello di abbonamento (Free, Basic, Pro o Premium)
Stato dell'account (Attivo o Inattivo)

2.2 Dati del Diario e dell'Auto-Osservazione

Questo e il nucleo di Underneath. Quando scrivi voci di diario ("tracce quotidiane"), vengono raccolti i seguenti dati:

Contenuto della voce di diario: Le tue riflessioni, pensieri e osservazioni scritte
Riassunto dell'analisi IA: Un riassunto della tua voce generato dall'IA
Pattern rilevati: Temi e comportamenti ricorrenti identificati dall'IA
Bias rilevati: Bias cognitivi che l'IA identifica nella tua scrittura
Analisi IA: Osservazioni psicologiche dettagliate generate dal nostro sistema IA

2.3 Dati del Profilo Psicologico

Mentre usi il Servizio, l'IA costruisce un profilo psicologico basato sulle tue voci:

Tensioni aperte: Preoccupazioni emotive o psicologiche irrisolte che esprimi
Fatti noti: Verita personali e convinzioni che condividi
Attrattori: Temi comportamentali ricorrenti e pattern gravitazionali nella tua vita
Movimenti degli attrattori: Come i tuoi pattern comportamentali cambiano nel tempo
Pattern di silenzio: Argomenti che eviti o non affronti, come osservato dall'IA
Loop rilevati: Cicli comportamentali ripetitivi identificati dall'IA

2.4 Dati di Sintesi Periodica

Sintesi settimanali e mensili: Report generati dall'IA che includono osservazioni principali, correlazioni tra i tuoi comportamenti, proiezioni future e contraddizioni individuate
Analisi IA grezza: L'output analitico completo del nostro sistema IA

2.5 Profilo Utente e Personalizzazione IA

Bio e informazioni personali: Descrizione personale che fornisci
Preferenze di interazione con l'IA: Tono, persona, istruzioni e note personalizzate
Impostazioni audio e di visualizzazione

2.6 Dati sul Monitoraggio degli Obiettivi

Obiettivi: Obiettivi di vita personali che imposti, inclusi titoli, note e durata
Voci sugli obiettivi: Note di progresso quotidiane e stato di completamento
Feedback IA sugli obiettivi: Prompt e feedback generati dall'IA sui tuoi progressi

2.7 Dati delle Conversazioni

Messaggi chat: Tutti i messaggi scambiati tra te e l'IA

2.8 Dati Tecnici e di Sicurezza

Indirizzi IP: IP di registrazione e ultimo IP di accesso (per prevenzione frodi)
Timestamp di accesso: Ultimo accesso e ultima attivita
Token di autenticazione: Conservati in modo sicuro in cookie HTTP-only

2.9 Dati di Contatto e Supporto

Messaggi di supporto: Messaggi che invii tramite il nostro modulo di contatto

3. Categorie Particolari di Dati (Articolo 9 GDPR)

Alcuni dei dati che trattiamo possono rientrare nelle categorie particolari di dati ai sensi dell'Articolo 9 del GDPR, in particolare i dati relativi alla salute psicologica, agli stati emotivi e ai pattern comportamentali.

Trattiamo questi dati esclusivamente sulla base del tuo consenso esplicito (Art. 9(2)(a)), che fornisci quando crei un account e scegli attivamente di scrivere voci di diario e usare le funzionalita di auto-osservazione del Servizio.

Puoi revocare il tuo consenso e richiedere la cancellazione di questi dati in qualsiasi momento (vedi Sezione 7).

4. Base Giuridica del Trattamento (Articolo 6 GDPR)

Trattiamo i tuoi dati personali sulla base delle seguenti basi giuridiche:

Consenso esplicito (Art. 6(1)(a) e Art. 9(2)(a)): Per tutti i contenuti del diario, le analisi psicologiche e i dati personali sensibili.
Esecuzione del contratto (Art. 6(1)(b)): Per gestione account, autenticazione e fornitura delle funzionalita principali del Servizio.
Legittimo interesse (Art. 6(1)(f)): Per misure di sicurezza, prevenzione frodi e manutenzione tecnica del Servizio.
Obbligo legale (Art. 6(1)(c)): Dove richiesto per conformarsi alle leggi applicabili.

5. Crittografia e Sicurezza dei Dati

Data la natura estremamente sensibile dei dati che trattiamo, implementiamo piu livelli di protezione:

Importante: Il nostro modello di sicurezza e ibrido. Usiamo una forte crittografia per archiviazione e trasporto e, quando attivi la protezione con chiave personale, alcuni contenuti archiviati vengono inoltre protetti con una chiave generata nel browser. Tuttavia alcune funzioni richiedono comunque elaborazione sicura lato server e tramite AI durante la richiesta.

Crittografia del trasporto (TLS/SSL): Tutti i dati trasmessi tra il tuo dispositivo, i nostri servizi e la nostra infrastruttura sono cifrati in transito.
Crittografia a riposo: I contenuti sensibili archiviati nel nostro database sono cifrati a riposo, incluse voci di diario, analisi, obiettivi, campi profilo, sintesi, tensioni e cronologia chat.
Protezione con chiave personale generata nel browser per contenuti archiviati selezionati: Quando configurata, alcuni contenuti archiviati vengono ulteriormente protetti a riposo con una chiave personale generata nel browser.
Hashing delle password: Le password sono conservate usando hashing unidirezionale bcrypt.
Sicurezza dell'autenticazione: Token JWT con scadenza breve e cookie sicuri HTTP-only.
Controlli di accesso: Rigidi controlli di accesso basati sui ruoli.

6. Conservazione dei Dati e Ciclo di Vita dell'Account

Conserviamo i tuoi dati personali secondo la seguente policy:

Di default non cancelliamo automaticamente i tuoi dati. Mantieni il pieno controllo delle tue informazioni.

Account attivi: Tutti i dati sono conservati finche il tuo account resta attivo.
Account inattivi: Se non accedi al Servizio per 37 giorni consecutivi, il tuo account viene segnato come Inattivo. I tuoi dati restano conservati di default.
Promemoria a 120 giorni: Dopo 120 giorni consecutivi senza accessi, inviamo una email di promemoria per inattivita.
Privacy Auto-Wipe opzionale: Se attivi questa impostazione nel profilo, dopo 180 giorni consecutivi di inattivita avviamo un periodo di grazia di 30 giorni per la cancellazione dei dati protetti. Se non effettui un nuovo accesso o non annulli la richiesta, i contenuti sensibili vengono eliminati definitivamente dopo 210 giorni di inattivita mentre l'account resta disponibile.
Cancellazione dell'account: Su richiesta, cancelleremo definitivamente tutti i tuoi dati personali entro 30 giorni.
Log di sicurezza: Gli indirizzi IP e i dati di accesso vengono conservati per un massimo di 12 mesi.

7. I Tuoi Diritti ai sensi del GDPR

Hai i seguenti diritti riguardo ai tuoi dati personali:

Se chiedi la limitazione del trattamento di diario, chat o contenuti simili, le funzioni che dipendono da quel trattamento - come chat AI, analisi, sintesi e personalizzazione - potrebbero essere limitate o non disponibili finche la limitazione resta attiva.

Per esercitare uno qualsiasi di questi diritti, contattaci a info@underneathapp.com. Ti risponderemo entro 30 giorni.

Diritto di accesso (Art. 15): Richiedere una copia completa di tutti i dati personali che deteniamo su di te.
Diritto di rettifica (Art. 16): Richiedere la correzione di dati personali inesatti.
Diritto alla cancellazione (Art. 17): Richiedere la cancellazione definitiva di tutti i tuoi dati personali.
Diritto di limitazione (Art. 18): Richiedere che limitiamo il modo in cui trattiamo i tuoi dati.
Diritto alla portabilita dei dati (Art. 20): Ricevere tutti i tuoi dati in un formato leggibile da macchina.
Diritto di opposizione (Art. 21): Opporsi al trattamento basato su legittimo interesse.
Diritto di revocare il consenso (Art. 7(3)): Revocare in qualsiasi momento il tuo consenso al trattamento dei dati.

8. Elaborazione IA e Decisioni Automatizzate

Underneath usa intelligenza artificiale per analizzare voci di diario, messaggi chat, obiettivi e altri input inviati per generare osservazioni e risposte. Dovresti essere consapevole di quanto segue:

Per fornire chat, analisi, sintesi e personalizzazione, i contenuti rilevanti possono essere trattati in chiaro dal nostro backend e dai fornitori AI durante la richiesta, anche quando le copie archiviate vengono poi protette a riposo.

L'analisi IA viene eseguita automaticamente su voci di diario, messaggi chat, obiettivi e altri input che invii per le funzioni supportate.
L'IA identifica pattern, bias, tensioni, loop e altre caratteristiche psicologiche.
Le analisi generate dall'IA sono osservazioni, non diagnosi.
I contenuti protetti con la tua chiave personale generata nel browser possono essere nuovamente protetti a riposo dopo l'elaborazione, dove applicabile.
Le sintesi periodiche vengono generate automaticamente per offrire insight longitudinali.
Hai il diritto ai sensi dell'Articolo 22 del GDPR di non essere soggetto a decisioni basate esclusivamente su un trattamento automatizzato.

9. Trasferimenti Internazionali di Dati

I tuoi dati possono essere trasferiti e trattati in paesi al di fuori dello SEE. Quando cio avviene, ci assicuriamo che siano in atto adeguate garanzie:

Clausole Contrattuali Standard approvate dalla Commissione Europea
Decisioni di adeguatezza della Commissione Europea
Altri meccanismi di trasferimento legalmente approvati

10. Servizi di Terze Parti

Possiamo condividere dati limitati con le seguenti categorie di terze parti:

Non vendiamo, affittiamo o condividiamo i tuoi dati personali con inserzionisti o broker di dati.

Elaborazione IA: Voci di diario, messaggi chat, obiettivi, preferenze profilo e altro contesto necessario per una funzione possono essere elaborati tramite modelli linguistici IA per generare risposte, analisi e sintesi.
Infrastruttura cloud: I dati sono conservati su server cloud sicuri con crittografia a riposo.
Servizi email: Il tuo indirizzo email viene condiviso solo per email transazionali.

11. Cookie e Local Storage

Usiamo cookie essenziali e local storage necessari al funzionamento del Servizio. Se accetti l'avviso cookie, usiamo anche Google Analytics per la misurazione aggregata del traffico.

Non usiamo cookie pubblicitari, pixel ad-tech o tracker di marketing. L'analytics e usato solo per misurazione aggregata del prodotto.

Cookie di autenticazione: Cookie sicuri HTTP-only contenenti token di sessione
Local storage: Preferenze UI e impostazioni del tema
Misurazione analytics (opzionale): Google Analytics puo memorizzare identificatori analytics dopo il consenso per aiutarci a capire traffico aggregato e uso delle pagine

12. Privacy dei Minori

Il Servizio non e destinato a utenti sotto i 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se scopriamo che un minore ci ha fornito dati personali, li elimineremo immediatamente.

13. Notifica di Violazione dei Dati

In caso di violazione dei dati personali che comporti un rischio per i tuoi diritti e le tue liberta, notificheremo l'autorita di controllo competente entro 72 ore (Articolo 33 GDPR). Se la violazione comporta un rischio elevato per te personalmente, ti informeremo anche direttamente (Art. 34).

14. Modifiche a questa Policy

Possiamo aggiornare questa Informativa sulla Privacy di tanto in tanto. Ti informeremo delle modifiche rilevanti via email o attraverso il Servizio. L'uso continuato del Servizio dopo le modifiche costituisce accettazione.

15. Autorita di Controllo

Se ritieni che abbiamo violato i tuoi diritti in materia di protezione dei dati, hai il diritto di presentare un reclamo a un'autorita di controllo nel tuo paese di residenza.

16. Contattaci

Per domande relative alla privacy o per esercitare i tuoi diritti:

Email: info@underneathapp.com

Dichiarazione di Conformita al GDPR