Privacy Policy
Ultimo aggiornamento: 23 aprile 2026
La presente Informativa descrive come StudIAre tratta i tuoi dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice Privacy).
1. Titolare del trattamento
Titolare: [DA COMPILARE: ragione sociale / nome e cognome]
Indirizzo: [DA COMPILARE]
Email: [email protected]
2. Dati personali trattati
Trattiamo le seguenti categorie di dati:
- Dati account: email, password (in hash bcrypt tramite Supabase Auth), nome completo.
- Profili figlio: nome o soprannome, anno di nascita o età, fascia scolastica, codice di associazione.
- Contenuti di apprendimento: foto dei compiti caricate dal genitore, testi inseriti manualmente, materia e argomento.
- Contenuti generati da AI: spiegazioni testuali, audio di sintesi vocale, risultati di verifica.
- Dati tecnici: indirizzo IP nel log del server, user agent, timestamp delle richieste, identificatore di sessione.
Non trattiamo categorie particolari di dati (art. 9 GDPR) salvo quando il genitore decida liberamente di inserirle nella nota di contesto (es. dislessia, DSA). Ti chiediamo di non inserire dati non necessari.
3. Finalità e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Fornire il servizio (account, aiuto compiti, audio) | Esecuzione del contratto — art. 6.1.b |
| Sicurezza, prevenzione abusi, rate limiting | Interesse legittimo — art. 6.1.f |
| Trattamento dati dei minori (< 14 anni) | Consenso del genitore — art. 6.1.a + art. 2-quinquies Codice Privacy |
| Adempimenti fiscali | Obbligo di legge — art. 6.1.c |
| Miglioramento del servizio tramite cache anonima | Interesse legittimo, nessun dato personale nella cache |
4. Minori
I profili figlio sono creati e gestiti dal genitore titolare dell'account. Per i minori di 14 anni il genitore esercita tutti i diritti in nome del figlio. StudIAre non raccoglie direttamente dati da minori di 14 anni senza coinvolgimento del genitore.
I prompt AI ignorano deliberatamente nomi propri, intestazioni scolastiche e date nelle foto caricate. La cache anonima contiene solo spiegazioni testo-a-testo (no foto, no nome, no età personale).
5. Destinatari e responsabili del trattamento
I tuoi dati sono trattati dai seguenti responsabili esterni (ex art. 28 GDPR), con i quali è in vigore o in via di sottoscrizione un Data Processing Agreement:
- Supabase Inc. (database, auth, storage) — server EU (Francoforte).
- Fly.io Inc. (hosting backend) — server EU (Amsterdam).
- Cloudflare Inc. (CDN, DNS, Pages hosting) — infrastruttura globale.
- Anthropic PBC (elaborazione testi tramite Claude AI) — USA.
- Google LLC (sintesi vocale Cloud Text-to-Speech) — infrastruttura globale.
- OpenAI LLC (trascrizione audio Whisper) — USA.
6. Trasferimenti extra-UE
Alcuni responsabili hanno sede negli USA (Anthropic, OpenAI, Google, Cloudflare, Fly.io). I trasferimenti avvengono sulla base di Standard Contractual Clauses approvate dalla Commissione Europea (Dec. 2021/914) e, dove applicabile, sulla base del EU-US Data Privacy Framework.
I dati di database e storage degli utenti restano in UE (Supabase Francoforte, Fly.io Amsterdam). Solo il contenuto delle singole richieste AI transita momentaneamente verso gli USA per elaborazione.
7. Conservazione dei dati
- Account attivo: per tutta la durata del rapporto contrattuale.
- Dopo la chiusura dell'account: cancellazione entro 30 giorni, salvo obblighi fiscali che impongono conservazione fino a 10 anni per fatture.
- Foto dei compiti e audio personali: cancellabili dall'utente in qualunque momento.
- Log tecnici server: massimo 30 giorni.
- Cache anonima di spiegazioni: conservazione indefinita, nessun dato personale riconducibile all'utente.
8. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR hai diritto di:
- accedere ai tuoi dati e ottenerne copia (art. 15)
- rettificare dati inesatti (art. 16)
- chiedere la cancellazione (art. 17 — “diritto all'oblio”)
- chiedere la limitazione del trattamento (art. 18)
- ricevere i dati in formato strutturato e portabile (art. 20)
- opporti al trattamento (art. 21)
- revocare il consenso in qualunque momento
Per esercitare questi diritti scrivi a [email protected]. Risposta entro 30 giorni. Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali ( garanteprivacy.it).
9. Misure di sicurezza
- Cifratura in transito (TLS 1.3 su tutti gli endpoint)
- Cifratura a riposo del database (Supabase) e dei secret (Fly.io)
- Password in hash bcrypt, mai in chiaro
- Row-Level Security sul database per isolare i dati di ogni utente
- Rate limiting e headers di sicurezza HTTP (HSTS, X-Frame-Options, ecc)
- Multi-Factor Authentication disponibile sugli account
- Audit di sicurezza periodici e aggiornamento delle dipendenze
10. Cookie
Il sito marketing studiare.app non utilizza cookie di profilazione o analytics di terze parti. Vedi la Cookie Policy completa.
11. Processi decisionali automatizzati
Utilizziamo intelligenza artificiale per generare spiegazioni e audio a partire dai compiti caricati. Non ci sono decisioni automatizzate che producano effetti giuridici o analogamente significativi sugli interessati (art. 22 GDPR).
12. Modifiche a questa informativa
Possiamo aggiornare questa informativa per adeguarla a modifiche normative o al servizio. La versione pubblicata su studiare.app/privacy è sempre la versione vigente. La data di ultimo aggiornamento è indicata in cima.
13. Contatti
Per qualsiasi domanda relativa al trattamento dei dati:
[email protected]