INFORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI (PRIVACY POLICY)

(Conforme Regolamento UE 2016/679 – GDPR e Regolamento UE 2024/1689 – AI Act)
Data ultimo aggiornamento: 26 Febbraio 2026

1. Titolare del Trattamento

  • Titolare: Vivarium S.r.l.
  • Sede Legale: Via Montello 18, 40131, Bologna (BO)
  • Email di contatto: [email protected]
  • Paese: Italia (UE)

2. Tipologie di Dati Raccolti

Giada AI Nutritional Coach raccoglie esclusivamente i dati forniti volontariamente dall'utente tramite Telegram:

  • Dati identificativi e di contatto: Nome, nickname, UserID Telegram, email (se fornita), lingua, fuso orario.
  • Dati personali relativi alla salute e alla condizione fisica (Art. 9 GDPR): sesso biologico, data di nascita, peso, altezza, circonferenze, frequenza cardiaca, VO2max, BMR, dati da wearable (se forniti).
  • Dati su salute e stile di vita (Dati Particolari – Art. 9 GDPR): Condizioni mediche, obiettivi fisici/nutrizionali, piani di allenamento/nutrizione, esperienza sportiva, note aggiuntive.

Questi dati, in particolare i dati particolari (Art. 9 GDPR), sono trattati solo con il tuo consenso esplicito.

3. Finalità del Trattamento

I dati sono trattati per:

  • Fornire risposte e piani informativi personalizzati.
  • Migliorare l'accuratezza e le funzionalità del servizio (tramite analisi aggregata/pseudonimizzata).
  • Garantire il corretto funzionamento e la sicurezza del servizio.

4. Base Giuridica

Il trattamento si basa sul Consenso esplicito dell'utente (Art. 6(1)(a) e Art. 9(2)(a) GDPR) per tutti i dati, e sull'esecuzione del servizio richiesto (Art. 6(1)(b) GDPR) per i dati strettamente necessari.

Revoca del Consenso: Puoi revocare il consenso in qualsiasi momento inviando una richiesta a [email protected].

5. Modalità di Trattamento

Il trattamento dei tuoi dati personali avviene attraverso strumenti digitali e procedure automatizzate, gestite tramite una catena di servizi interconnessi. Adottiamo misure di sicurezza tecniche e organizzative per proteggere i dati dalla distruzione accidentale o illecita, dalla perdita, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati. Queste misure includono, ma non si limitano a:

  • Sicurezza dei fornitori principali: Ci affidiamo a fornitori di servizi leader nel settore, come n8n (per l'automazione dei flussi e dei processi backend), Cloudflare (per l'archiviazione, la gestione dei dati e l'infrastruttura cloud), sistemi di intelligenza artificiale e Make.com (per l'integrazione e l'orchestrazione dei messaggi tra i servizi). Tutti questi fornitori implementano misure di sicurezza avanzate e sono vincolati da accordi contrattuali conformi al GDPR (Data Processing Agreement – DPA).
  • Crittografia dei dati: I tuoi dati sono protetti tramite crittografia durante la trasmissione e, ove applicabile, a riposo sui sistemi di archiviazione utilizzati (es. Cloudflare).
  • Controlli di accesso rigorosi: L'accesso ai dati è limitato secondo il principio del minimo privilegio. Solo il personale autorizzato e strettamente necessario può accedere ai dati, esclusivamente per le finalità definite.

Informativa AI Act (Regolamento UE 2024/1689)

Ai sensi dell’Art. 50 dell’AI Act, si informa l’utente che Giada è un sistema di intelligenza artificiale. Le risposte sono generate automaticamente da algoritmi di AI e possono contenere imprecisioni. L’utente è invitato a verificare le informazioni rilevanti e a non basare decisioni relative alla propria salute esclusivamente sulle indicazioni di Giada.

6. Condivisione dei Dati

I tuoi dati personali NON vengono venduti, noleggiati o ceduti a terzi per scopi di marketing o commerciali.

I dati possono essere condivisi esclusivamente con i seguenti soggetti terzi, che agiscono in qualità di Responsabili del Trattamento (Data Processors), vincolati da accordi contrattuali conformi al GDPR (DPA):

Piattaforma di Messaggistica

Telegram: Giada AI opera tramite la piattaforma Telegram. I messaggi inviati e ricevuti transitano attraverso i server di Telegram. Ti invitiamo a consultare la Privacy Policy di Telegram per maggiori informazioni.

Piattaforme di Integrazione e Automazione

  • n8n: Utilizziamo n8n per l'automazione dei flussi backend e il coordinamento dei processi.
  • Make.com: Make.com è utilizzato per orchestrare i flussi di messaggi e dati tra i diversi servizi.

Fornitori di Intelligenza Artificiale

Utilizziamo modelli di intelligenza artificiale di terze parti per l’elaborazione delle richieste e la generazione delle risposte di Giada. I fornitori attualmente utilizzati includono Google (Gemini), Anthropic (Claude) e OpenAI (ChatGPT). I dati testuali e i parametri necessari (es. informazioni relative alla salute e obiettivi) possono essere trasmessi a tali fornitori esclusivamente per generare le risposte in tempo reale. In conformità ai termini dei rispettivi servizi a pagamento (Paid Services), i dati non vengono utilizzati per l’addestramento dei modelli di intelligenza artificiale dei fornitori. I fornitori possono temporaneamente loggare i prompt ai soli fini di monitoraggio degli abusi e applicazione delle proprie policy di sicurezza. Tutti i fornitori sono vincolati da accordi contrattuali conformi al GDPR (Data Processing Agreement – DPA).

Gestione Dati e Infrastruttura Cloud

Cloudflare: Utilizziamo Cloudflare per l'archiviazione, la gestione dei dati e l'infrastruttura cloud del servizio Giada AI.

Comunicazioni Email

Mailchimp: Mailchimp è utilizzato come canale di comunicazione email per inviare comunicazioni informative e di servizio agli utenti.

7. Trasferimento Extra-UE

Alcuni fornitori operano a livello globale, pertanto i dati potrebbero essere trattati al di fuori dell'UE/SEE nel rispetto del Capo V del GDPR tramite Decisioni di adeguatezza o Clausole Contrattuali Standard (SCCs).

8. Conservazione dei Dati

I dati sono conservati per l’intera durata di utilizzo attivo del servizio. In caso di inattività superiore a 6 mesi dall’ultima interazione, tutti i dati personali (inclusi i dati relativi alla salute e alla condizione fisica) vengono cancellati automaticamente. L’utente può richiedere la cancellazione completa dei propri dati in qualsiasi momento scrivendo a [email protected]; la cancellazione verrà eseguita entro 30 giorni dalla richiesta, salvo obblighi di conservazione previsti dalla legge.

9. Diritti dell'Utente

Hai il diritto di accedere, rettificare, cancellare i tuoi dati, limitare il trattamento, richiedere la portabilità, opporti al trattamento e revocare il consenso in qualsiasi momento.

Per esercitare questi diritti, invia una richiesta a [email protected] o [email protected].

10. Reclami

Se ritieni che il trattamento violi il GDPR, puoi presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

11. Valutazione d'Impatto (DPIA)

Il Titolare ha condotto una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’Art. 35 GDPR per il trattamento effettuato tramite Giada.

12. Modifiche

La presente informativa può essere aggiornata. Ti informeremo in caso di modifiche rilevanti. L'uso continuato del servizio dopo le modifiche implica l'accettazione.