1. Introduzione
ANIMUNDI ("noi", "nostro") si impegna a proteggere la tua privacy. Questa informativa descrive quali dati raccogliamo, come li utilizziamo e quali sono i tuoi diritti. ANIMUNDI è un servizio fornito da JpMercury LLC.
Il nostro principio fondamentale: i tuoi dati sono tuoi. Non vendiamo dati personali. Non facciamo profilazione per scopi pubblicitari. Non condividiamo le tue informazioni con terze parti per fini di marketing.
2. Dati che raccogliamo
2.1 Dati forniti direttamente da te
- Dati di registrazione: nome, indirizzo email, data di nascita (opzionale)
- Profilo: foto profilo, biografia, interessi, località (tutto opzionale)
- Contenuti: post, commenti, contenuti multimediali che scegli di condividere
- Comunicazioni: messaggi di supporto che ci invii
2.2 Dati raccolti automaticamente
- Dati tecnici: tipo di dispositivo, sistema operativo, versione dell'app
- Dati di utilizzo: funzionalità utilizzate, timestamp di accesso (aggregati, non individuali)
- Indirizzo IP: solo per sicurezza e prevenzione abusi, mai per profilazione
2.3 Dati che NON raccogliamo
- Contenuto dei messaggi crittografati E2E (tecnicamente impossibile)
- Contenuto delle videochiamate P2P
- File scambiati via P2P
- Dati di geolocalizzazione precisa
- Contatti del tuo telefono
3. Come utilizziamo i tuoi dati
- Fornirti il servizio ANIMUNDI e le sue funzionalità
- Gestire il tuo account e le tue preferenze
- Inviarti comunicazioni importanti sul servizio
- Prevenire abusi e garantire la sicurezza della piattaforma
- Migliorare il servizio attraverso analisi aggregate e anonime
4. Basi giuridiche del trattamento (Art. 6 GDPR)
Il trattamento dei tuoi dati personali si fonda sulle seguenti basi giuridiche:
- Esecuzione del contratto (Art. 6(1)(b)): fornitura del servizio, gestione account, comunicazioni di servizio
- Consenso (Art. 6(1)(a)): comunicazioni di marketing, cookie funzionali, trattamento di categorie particolari di dati
- Interesse legittimo (Art. 6(1)(f)): sicurezza della piattaforma, prevenzione abusi, miglioramento del servizio (vedi Sezione 12)
- Obbligo legale (Art. 6(1)(c)): adempimenti fiscali, risposta a richieste delle autorità competenti
5. Terze parti
Condividiamo dati solo con i seguenti fornitori di servizio essenziali:
- Stripe: per l'elaborazione sicura dei pagamenti. Stripe riceve solo i dati necessari alla transazione.
- Firebase Cloud Messaging: esclusivamente per la consegna delle notifiche push. Nessun dato di contenuto viene condiviso.
Non utilizziamo Google Analytics, Facebook Pixel, o qualsiasi altro strumento di tracciamento di terze parti.
6. Responsabili del Trattamento (Art. 28 GDPR)
I seguenti soggetti agiscono in qualità di Responsabili del Trattamento ai sensi dell'Art. 28 GDPR:
| Responsabile | Paese | Finalità | Base giuridica trasferimento | DPA |
|---|
| Stripe, Inc. | USA | Elaborazione pagamenti | SCC (Clausole Contrattuali Standard) in vigore | DPA conforme Art. 28 GDPR |
| Google LLC / Firebase | USA | Notifiche push | SCC (Clausole Contrattuali Standard) in vigore | DPA conforme Art. 28 GDPR |
| Twilio Inc. | USA | Comunicazioni SMS/WhatsApp | SCC (Clausole Contrattuali Standard) in vigore | DPA conforme Art. 28 GDPR |
| Ollama (AI locale) | Locale (server proprio) | Elaborazione dati spirituali/coaching AI (esecuzione locale) | Nessun trasferimento dati — elaborazione on-premise | Nessun DPA necessario (dati non condivisi) |
| Anthropic PBC (Claude API) | USA | Elaborazione dati spirituali/coaching AI (fallback cloud) | SCC (Clausole Contrattuali Standard) + consenso esplicito Art. 9 | DPA conforme Art. 28 GDPR |
Tutti i responsabili del trattamento sono vincolati da Accordi sul Trattamento dei Dati (DPA) conformi all'Art. 28 GDPR e da Clausole Contrattuali Standard (SCC) per i trasferimenti extra-UE ai sensi dell'Art. 46 GDPR.
7. Trasferimenti Internazionali di Dati (Art. 44-49 GDPR)
Alcuni dei nostri responsabili del trattamento hanno sede negli Stati Uniti d'America. In conformità alla sentenza della Corte di Giustizia dell'Unione Europea C-311/18 ("Schrems II"), adottiamo le seguenti misure per garantire un livello adeguato di protezione dei dati personali trasferiti al di fuori dello Spazio Economico Europeo:
- Clausole Contrattuali Standard (SCC): tutti i trasferimenti verso gli USA sono regolati da SCC approvate dalla Commissione Europea (Decisione di Esecuzione (UE) 2021/914), sottoscritte con ciascun responsabile del trattamento.
- Misure supplementari: la crittografia end-to-end (E2E) dei messaggi privati garantisce che i contenuti delle comunicazioni non siano accessibili neppure ai responsabili del trattamento, fornendo una misura di protezione supplementare ai sensi delle Raccomandazioni EDPB 01/2020 sulle misure che integrano gli strumenti di trasferimento.
- Valutazione d'impatto del trasferimento (TIA): è stata condotta una valutazione d'impatto per ciascun trasferimento, disponibile su richiesta al DPO.
8. Conservazione dei dati
- Dati dell'account: conservati finché il tuo account è attivo
- Contenuti pubblicati: conservati finché non li elimini tu stesso
- Messaggi E2E: conservati solo sui dispositivi degli utenti
- Log di sicurezza: conservati per massimo 90 giorni
- Dati di pagamento: gestiti e conservati da Stripe secondo le loro policy
Dopo la cancellazione dell'account, tutti i dati personali vengono eliminati entro 30 giorni. I backup vengono eliminati entro 90 giorni.
9. I tuoi diritti (GDPR)
In conformità al Regolamento Europeo sulla Protezione dei Dati (GDPR), hai il diritto di:
- Accesso (Art. 15): richiedere una copia completa di tutti i tuoi dati personali
- Rettifica (Art. 16): correggere dati personali inesatti o incompleti
- Cancellazione (Art. 17): richiedere la cancellazione di tutti i tuoi dati ("diritto all'oblio")
- Portabilità (Art. 20): esportare i tuoi dati in un formato strutturato e leggibile
- Opposizione (Art. 21): opporti al trattamento dei tuoi dati per specifiche finalità
- Limitazione (Art. 18): richiedere la limitazione del trattamento dei tuoi dati
- Revoca del consenso (Art. 7(3)): revocare il consenso prestato in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Per esercitare qualsiasi di questi diritti, puoi utilizzare le impostazioni del tuo account o contattare il nostro DPO.
Tempi di risposta: Risponderemo alla tua richiesta entro 30 giorni dal ricevimento (Art. 12(3) GDPR). In casi complessi, il termine può essere esteso di ulteriori 60 giorni previa comunicazione.
Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) ai sensi dell'Art. 77 GDPR.
10. Esportazione dei dati
Puoi esportare tutti i tuoi dati in qualsiasi momento dalle impostazioni del tuo account. L'export include: profilo, post, commenti, connessioni e impostazioni. Il formato di export è JSON, leggibile e importabile.
11. Sicurezza
Utilizziamo misure di sicurezza all'avanguardia per proteggere i tuoi dati:
- Crittografia in transito (TLS 1.3) e a riposo (AES-256)
- Crittografia end-to-end per messaggi privati (Signal Protocol)
- Videochiamate P2P senza transito sui nostri server
- Autenticazione a due fattori (2FA)
- Audit di sicurezza regolari
12. Cookie Policy
ANIMUNDI utilizza esclusivamente cookie tecnici e funzionali strettamente necessari al funzionamento del servizio. Non utilizziamo cookie di profilazione, marketing o di terze parti per finalità pubblicitarie.
| Nome | Tipo | Durata | Finalità |
|---|
animundi_session | Tecnico | Sessione | Autenticazione utente |
animundi_refresh | Tecnico | 7 giorni | Rinnovo sessione |
animundi_cookie_consent | Tecnico | 12 mesi | Memorizza preferenze cookie |
animundi_locale | Funzionale | 12 mesi | Preferenza lingua |
animundi_theme | Funzionale | 12 mesi | Preferenza tema |
Non utilizziamo cookie di profilazione, marketing o di terze parti per finalità pubblicitarie.
Puoi gestire le tue preferenze cookie in qualsiasi momento dalle impostazioni cookie o dalle impostazioni del tuo browser. Per informazioni dettagliate, consulta la nostra Cookie Policy dedicata.
13. Interesse legittimo (Art. 6(1)(f) GDPR)
ANIMUNDI si avvale dell'interesse legittimo come base giuridica per le seguenti finalità di trattamento, per le quali è stata condotta e documentata una Valutazione dell'Interesse Legittimo (LIA - Legitimate Interest Assessment):
- Sicurezza della piattaforma: registrazione degli indirizzi IP e prevenzione degli abusi. La LIA è documentata e disponibile su richiesta al DPO.
- Miglioramento del servizio: analisi aggregate e anonime sull'utilizzo della piattaforma. I dati sono sempre aggregati e mai riconducibili a singoli utenti. La LIA è documentata e disponibile su richiesta al DPO.
Ai sensi dell'Art. 21 GDPR, hai il diritto di opporti in qualsiasi momento al trattamento dei tuoi dati personali fondato sull'interesse legittimo. In caso di opposizione, cesseremo il trattamento salvo che sussistano motivi legittimi cogenti che prevalgano sui tuoi interessi, diritti e libertà.
14. Categorie Particolari di Dati (Art. 9 GDPR)
La funzionalità "Percorso spirituale" di ANIMUNDI può comportare il trattamento di dati relativi a convinzioni filosofiche e religiose, che costituiscono categorie particolari di dati personali ai sensi dell'Art. 9 GDPR.
- Il trattamento di tali dati avviene esclusivamente sulla base del tuo consenso esplicito (Art. 9(2)(a) GDPR), raccolto separatamente e in modo distinto dal consenso generale al trattamento dei dati.
- Il consenso al trattamento delle categorie particolari di dati può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca.
- In caso di revoca del consenso, i dati relativi al percorso spirituale verranno cancellati immediatamente, senza attendere i termini ordinari di conservazione.
15. Notifica di Violazione dei Dati (Data Breach)
In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà delle persone fisiche, ANIMUNDI si impegna a:
- Notifica all'autorità di controllo (Art. 33 GDPR): notificare la violazione al Garante per la Protezione dei Dati Personali (Garante della Privacy) entro 72 ore dal momento in cui ne viene a conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
- Comunicazione agli interessati (Art. 34 GDPR): qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, comunicare la violazione all'interessato senza ingiustificato ritardo, descrivendo la natura della violazione, le probabili conseguenze e le misure adottate o proposte.
Per segnalare un sospetto incidente di sicurezza, contatta immediatamente il DPO all'indirizzo dpo@animundi.love.
16. Trattamento Dati dei Minori (Art. 8 GDPR)
In conformità all'Art. 8 GDPR e alla normativa italiana di attuazione (D.Lgs. 101/2018), ANIMUNDI applica le seguenti regole per il trattamento dei dati dei minori:
- Età minima: il servizio è destinato a utenti di almeno 16 anni di età. Gli utenti di età inferiore ai 16 anni possono utilizzare il servizio esclusivamente con il consenso del titolare della responsabilità genitoriale.
- Verifica del consenso genitoriale: il consenso del genitore o tutore viene ottenuto e verificato tramite procedura di verifica via email, con conferma dell'identità del genitore/tutore.
- Diritto alla cancellazione: i dati raccolti da utenti minori possono essere cancellati in qualsiasi momento su richiesta del minore stesso (una volta raggiunta la maggiore età) o del titolare della responsabilità genitoriale.
- Divieto di profilazione: ANIMUNDI non effettua alcuna attività di profilazione automatizzata nei confronti di utenti minori di 18 anni.
17. Valutazione d'Impatto sulla Protezione dei Dati (DPIA - Art. 35 GDPR)
In conformità all'Art. 35 GDPR, ANIMUNDI ha condotto una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per i seguenti trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche:
- Messaggistica con crittografia end-to-end (E2E): valutazione delle misure di sicurezza e dell'architettura di protezione dei dati
- Moderazione dei contenuti tramite intelligenza artificiale: valutazione dell'impatto del processo decisionale automatizzato
- Trattamento dei dati di geolocalizzazione: valutazione dei rischi legati al trattamento di dati di localizzazione
Le DPIA complete sono disponibili su richiesta al DPO. Ultimo aggiornamento: 22 marzo 2026.
18. Contatto DPO
Per qualsiasi domanda sulla privacy o per esercitare i tuoi diritti, contatta il nostro Data Protection Officer:
Il DPO è registrato presso il Garante per la Protezione dei Dati Personali — Reg. n. [DA COMPLETARE].
19. Modifiche alla Privacy Policy
Eventuali modifiche a questa informativa verranno comunicate con almeno 30 giorni di anticipo via email e tramite notifica nell'app. Le modifiche sostanziali richiederanno il tuo consenso esplicito.
AI Safety e responsabilità
ANIMUNDI usa modelli di intelligenza artificiale (Ollama locale e Anthropic) per generare contenuti spirituali, riflessioni e interpretazioni. Queste risposte sono uno spunto creativo, non un parere clinico.
Le risposte AI possono contenere errori, semplificazioni o imprecisioni. Non utilizzarle per decisioni mediche, psicologiche, finanziarie o legali. ANIMUNDI applica un layer di sicurezza che rileva potenziali segnali di crisi e mostra risorse di supporto.
Modelli e dati
Le conversazioni con AI Coach sono salvate per migliorare il servizio e attivare automazioni come achievement e memoria spirituale (piano SOUL/GUIDE). Puoi cancellarle in ogni momento dalle Impostazioni o tramite export GDPR.
Stai attraversando un momento difficile? Vai alle risorse di crisi.