INFORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI (PRIVACY POLICY)

(Conforme Regolamento UE 2016/679 – GDPR)
Data ultimo aggiornamento: 26 Gennaio 2026

1. Titolare del Trattamento

  • Titolare: Vivarium S.r.l.
  • Sede Legale: Via Montello 18, 40131, Bologna (BO)
  • Email di contatto: [email protected]
  • Paese: Italia (UE)

2. Tipologie di Dati Raccolti

Giada AI Nutritional Coach raccoglie esclusivamente i dati forniti volontariamente dall'utente tramite Telegram:

  • Dati identificativi e di contatto: Nome, nickname, UserID Telegram, email (se fornita), lingua, fuso orario.
  • Dati personali e biometrici (Art. 9 GDPR): Sesso biologico, data di nascita, peso, altezza, circonferenze, frequenza cardiaca, VO2max, BMR, dati da wearable (se forniti).
  • Dati su salute e stile di vita (Dati Particolari – Art. 9 GDPR): Condizioni mediche, obiettivi fisici/nutrizionali, piani di allenamento/nutrizione, esperienza sportiva, note aggiuntive.

Questi dati, in particolare i dati particolari (Art. 9 GDPR), sono trattati solo con il tuo consenso esplicito.

3. Finalità del Trattamento

I dati sono trattati per:

  • Fornire risposte e piani informativi personalizzati.
  • Migliorare l'accuratezza e le funzionalità del servizio (tramite analisi aggregata/pseudonimizzata).
  • Garantire il corretto funzionamento e la sicurezza del servizio.

4. Base Giuridica

Il trattamento si basa sul Consenso esplicito dell'utente (Art. 6(1)(a) e Art. 9(2)(a) GDPR) per tutti i dati, e sull'esecuzione del servizio richiesto (Art. 6(1)(b) GDPR) per i dati strettamente necessari.

Revoca del Consenso: Puoi revocare il consenso in qualsiasi momento inviando una richiesta a [email protected].

5. Modalità di Trattamento

Il trattamento dei tuoi dati personali avviene attraverso strumenti digitali e procedure automatizzate, gestite tramite una catena di servizi interconnessi. Adottiamo misure di sicurezza tecniche e organizzative per proteggere i dati dalla distruzione accidentale o illecita, dalla perdita, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati. Queste misure includono, ma non si limitano a:

  • Sicurezza dei fornitori principali: Ci affidiamo a fornitori di servizi leader nel settore, come n8n (per l'automazione dei flussi e dei processi backend), Cloudflare (per l'archiviazione, la gestione dei dati e l'infrastruttura cloud), Gemini (come motore di intelligenza artificiale) e Make.com (per l'integrazione e l'orchestrazione dei messaggi tra i servizi). Tutti questi fornitori implementano misure di sicurezza avanzate, inclusi protocolli di sicurezza per la trasmissione dei dati, protezione dell'infrastruttura e dei database, e sono vincolati da accordi contrattuali conformi al GDPR (Data Processing Agreement – DPA).
  • Crittografia dei dati: I tuoi dati sono protetti tramite crittografia durante la trasmissione (es. comunicazioni tra te e Giada AI e tra i nostri fornitori) e, ove applicabile, a riposo sui sistemi di archiviazione utilizzati (es. Cloudflare).
  • Controlli di accesso rigorosi: L'accesso ai dati è limitato secondo il principio del minimo privilegio. Solo il personale autorizzato e strettamente necessario può accedere ai dati, esclusivamente per le finalità definite.
  • Monitoraggio e protezione delle connessioni: Utilizziamo sistemi di monitoraggio, logging e protezione delle connessioni per garantire l'integrità e la sicurezza dei flussi di dati tra Telegram, n8n, Cloudflare, Gemini, Make e gli altri servizi integrati.
  • Procedure di backup e ripristino: Ci affidiamo alle procedure di backup, resilienza e disaster recovery offerte dai nostri fornitori di infrastruttura cloud (in particolare Cloudflare), per garantire la disponibilità e la continuità del servizio.
  • Formazione del personale: Il personale coinvolto nel trattamento dei dati è formato periodicamente sulle migliori pratiche di sicurezza e protezione dei dati personali.

Considerata la natura sensibile dei dati trattati (Art. 9 GDPR), manteniamo un livello di sicurezza elevato e costantemente aggiornato, tramite un'attenta selezione e gestione dei fornitori.

6. Condivisione dei Dati

I tuoi dati personali NON vengono venduti, noleggiati o ceduti a terzi per scopi di marketing o commerciali.

I dati possono essere condivisi esclusivamente con i seguenti soggetti terzi, che agiscono in qualità di Responsabili del Trattamento (Data Processors), vincolati da accordi contrattuali conformi al GDPR (DPA):

Piattaforma di Messaggistica

Telegram: Giada AI opera tramite la piattaforma Telegram. I messaggi inviati e ricevuti transitano attraverso i server di Telegram, che agisce come fornitore della piattaforma di comunicazione. Ti invitiamo a consultare la Privacy Policy di Telegram per maggiori informazioni sul loro trattamento dei dati.

Piattaforme di Integrazione e Automazione

  • n8n: Utilizziamo n8n per l'automazione dei flussi backend, la gestione delle logiche operative e il coordinamento dei processi tra i diversi componenti del servizio Giada AI.
  • Make.com: Make.com è utilizzato per integrare e orchestrare i flussi di messaggi e dati tra Telegram, n8n, Gemini e gli altri servizi del sistema.

Fornitore di Intelligenza Artificiale

Gemini (Google): Utilizziamo Gemini come motore di intelligenza artificiale per l'elaborazione delle richieste e la generazione delle risposte di Giada AI. I dati testuali e i parametri necessari (es. informazioni biometriche e obiettivi) possono essere trasmessi a Gemini esclusivamente per fornire il servizio richiesto. Il trattamento avviene secondo le configurazioni di sicurezza adottate dal Titolare e nel rispetto del GDPR.

Gestione Dati e Infrastruttura Cloud

Cloudflare: Utilizziamo Cloudflare per l'archiviazione, la gestione dei dati e l'infrastruttura cloud del servizio Giada AI, inclusa la protezione dell'infrastruttura, la sicurezza delle connessioni e la gestione dei database.

Comunicazioni Email

Mailchimp: Mailchimp è utilizzato come canale di comunicazione email per inviare comunicazioni informative e di servizio agli utenti che forniscono il proprio indirizzo email. Mailchimp agisce come Responsabile del Trattamento ed è vincolato da DPA conformi al GDPR.

I dati non sono diffusi pubblicamente.

7. Trasferimento Extra-UE

Poiché alcuni fornitori (es. Google/Gemini, Cloudflare, Make, Mailchimp) operano a livello globale, i dati personali potrebbero essere trattati anche al di fuori dell'UE/SEE.

In tali casi, il trasferimento avviene nel rispetto del Capo V del GDPR tramite:

  • Decisioni di adeguatezza (es. EU–US Data Privacy Framework, se applicabile)
  • Clausole Contrattuali Standard (SCCs), integrate da misure supplementari (crittografia, limitazione degli accessi)

Puoi richiedere maggiori informazioni sulle garanzie adottate contattando il Titolare.

8. Conservazione dei Dati

I dati sono conservati:

  • Finché l'account è attivo.
  • In caso di inattività prolungata (oltre 12 mesi), i dati particolari saranno pseudonimizzati o cancellati.
  • Fino a richiesta di cancellazione (tutti i dati saranno cancellati, salvo obblighi legali).
  • Massimo 24 mesi dall'ultima interazione significativa per dati non attivi.

9. Diritti dell'Utente

Hai il diritto di:

  • Accedere ai tuoi dati.
  • Rettificare dati inesatti.
  • Cancellare i tuoi dati ("diritto all'oblio").
  • Limitare il trattamento.
  • Richiedere la portabilità dei dati.
  • Opporti al trattamento.
  • Revocare il consenso in qualsiasi momento.

Per esercitare questi diritti, invia una richiesta all'indirizzo email del Titolare ([email protected]).

10. Reclami

Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali del tuo Paese UE. Per l'Italia, l'autorità competente è il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

11. Modifiche

La presente informativa può essere aggiornata. Ti informeremo in caso di modifiche rilevanti (es. via email o tramite il servizio) prima che entrino in vigore. L'uso continuato del servizio dopo le modifiche implica l'accettazione.