Reflectio

Informativa sul Trattamento dei Dati Personali

ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy)

Ultimo aggiornamento: 22 febbraio 2026

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che utilizzano il servizio Reflectio, accessibile all'indirizzo reflectio.ai (di seguito, il "Servizio"). La invitiamo a leggere attentamente questo documento prima di utilizzare il Servizio.

1.Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Ragione sociale: [Ragione Sociale da inserire]

Sede legale: [Indirizzo da inserire]

Email: privacy@reflectio.ai

PEC: [PEC da inserire]

2.Tipologie di dati personali raccolti

Il Servizio raccoglie e tratta le seguenti categorie di dati personali, nel rispetto del principio di minimizzazione (art. 5(1)(c) GDPR):

2.1 Dati di account

  • Indirizzo email
  • Nome e cognome (se forniti tramite il provider di autenticazione)
  • Preferenza di lingua (italiano/inglese)

2.2 Dati delle chat caricate

  • File di esportazione della chat (formato HTML da Telegram o ZIP da WhatsApp)
  • Contenuto testuale dei messaggi (nomi dei partecipanti, testo, timestamp)
  • Messaggi vocali (file audio .ogg), se presenti nella chat

2.3 Dati del questionario

Risposte alle 7 domande contestuali fornite dall'utente (durata della relazione, stato emotivo, contesto relazionale, aspettative dall'analisi). Queste informazioni sono fornite volontariamente dall'utente per contestualizzare l'analisi.

2.4 Dati di analisi vocale (se applicabile)

  • Trascrizione testuale dei messaggi vocali
  • Analisi prosodica delle emozioni (rilevamento di tono, ritmo e intensità vocale)

2.5 Dati tecnici

  • Indirizzo IP (raccolto automaticamente dal server)
  • Tipo di browser e sistema operativo
  • Data e ora di accesso

2.6 Dati di pagamento

  • Identificativo della sessione Stripe
  • Importo e tipo di acquisto (report, raffinamento, estensione accesso)
  • Stato del pagamento

I dati della carta di credito sono gestiti esclusivamente da Stripe e non transitano né sono conservati sui nostri server.

2.7 Recensioni

  • Nome o iniziali dell'autore (fornito volontariamente)
  • Valutazione numerica (1-5 stelle)
  • Commento testuale (opzionale)

3.Finalità e basi giuridiche del trattamento

I dati personali sono trattati per le seguenti finalità, ciascuna supportata da una specifica base giuridica ai sensi dell'art. 6 GDPR:

FinalitàBase giuridicaRiferimento
Creazione e gestione dell'account utenteEsecuzione del contrattoArt. 6(1)(b) GDPR
Analisi AI delle chat e generazione del report psicologicoConsenso esplicitoArt. 6(1)(a) GDPR
Elaborazione dei pagamentiEsecuzione del contrattoArt. 6(1)(b) GDPR
Invio email transazionali (report pronto, promemoria scadenza)Esecuzione del contrattoArt. 6(1)(b) GDPR
Email di benvenuto all'iscrizioneLegittimo interesseArt. 6(1)(f) GDPR
Rilevamento di situazioni di rischio psicologico (safety alert nel report)Interesse vitale dell'interessatoArt. 6(1)(d) GDPR
Conservazione dei record di pagamento per obblighi fiscaliObbligo legaleArt. 6(1)(c) GDPR
Miglioramento del Servizio e risoluzione di problemi tecniciLegittimo interesseArt. 6(1)(f) GDPR

3.1 Categorie particolari di dati (Art. 9 GDPR)

L'analisi delle chat può rivelare informazioni relative allo stato emotivo e psicologico degli utenti, che costituiscono categorie particolari di dati ai sensi dell'art. 9 GDPR. Tali dati sono trattati esclusivamente sulla base del consenso esplicito dell'utente (Art. 9(2)(a) GDPR), fornito al momento del caricamento della chat tramite l'apposito checkbox di consenso informato.

4.Modalità del trattamento

4.1 Pipeline di elaborazione

Il trattamento avviene in modo prevalentemente automatizzato secondo le seguenti fasi:

  1. Caricamentoil file della chat viene caricato e archiviato temporaneamente su storage cifrato (Cloudflare R2)
  2. Parsingil file viene analizzato per estrarre messaggi, timestamp, mittenti e file audio eventualmente presenti
  3. Trascrizione vocalese applicabile, i messaggi vocali vengono trascritti tramite OpenAI Whisper e analizzati emotivamente tramite Hume AI
  4. Analisi psicologicail testo della conversazione e le risposte al questionario vengono inviati a Claude (Anthropic) per l'analisi e la generazione del report
  5. Generazione reportviene prodotto un report in formato PDF, archiviato temporaneamente su storage cifrato
  6. Pulizia automaticai file originali della chat vengono eliminati entro 1 ora; il report viene eliminato dopo 24 ore (o 30 giorni con estensione a pagamento)

4.2 Nessun utilizzo per addestramento di modelli AI

Nessuno dei servizi di intelligenza artificiale utilizzati (Anthropic, OpenAI, Hume AI) utilizza i dati degli utenti di Reflectio per l'addestramento dei propri modelli. Ciò è garantito contrattualmente dalle condizioni d'uso API di ciascun fornitore.

5.Servizi di terze parti (sub-responsabili del trattamento)

I dati personali possono essere comunicati ai seguenti fornitori di servizi, che agiscono in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR:

FornitorePaeseDati trattatiFinalità
Anthropic (Claude)USATesto della chat, risposte al questionario, metadati della sessioneAnalisi psicologica e generazione del report
OpenAI (Whisper)USAFile audio dei messaggi vocaliTrascrizione vocale
Hume AIUSAFile audio dei messaggi vocaliRilevamento emozioni dalla prosodia vocale
Cloudflare (R2)UE/USAFile delle chat, file audio, report PDFArchiviazione temporanea cifrata
StripeUSAEmail, importi, ID sessioneElaborazione pagamenti (PCI DSS compliant)
ClerkUSAEmail, nome, credenziali di autenticazioneGestione account e autenticazione
ResendUSAEmail, nome, link al reportInvio email transazionali

6.Trasferimento dei dati verso paesi terzi

Alcuni dei nostri sub-responsabili del trattamento hanno sede negli Stati Uniti d'America. I trasferimenti di dati personali verso gli USA avvengono sulla base di:

  • EU-US Data Privacy Framework (DPF), per i fornitori certificati
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione 2021/914)
  • Garanzie supplementari ove necessario, conformemente alle raccomandazioni dell'EDPB

L'utente può richiedere copia delle garanzie adeguate adottate contattandoci all'indirizzo privacy@reflectio.ai.

7.Periodo di conservazione dei dati

Tipologia di datoPeriodo di conservazione
File della chat caricato (su storage)Eliminato entro 1 ora dal completamento dell'analisi
File audio dei messaggi vocali (su storage)Eliminati entro 1 ora dalla trascrizione
Timeline della chat (messaggi parsati nel database)Eliminata/anonimizzata dal database entro 1 ora
Report PDF (su storage)24 ore dalla generazione (30 giorni con estensione a pagamento)
Risposte al questionario e statistiche di anteprimaConservate fino alla cancellazione dell'account
Dati dell'account (email, nome)Fino alla cancellazione dell'account da parte dell'utente
Record di pagamento10 anni (obbligo fiscale italiano, art. 2220 c.c.)
RecensioniFino alla rimozione da parte dell'utente o del moderatore
Dati tecnici (log del server)90 giorni

La pulizia automatica dei file caricati e dei report scaduti viene eseguita ogni ora tramite processi automatizzati.

8.Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR e degli artt. 7-10 del D.Lgs. 196/2003, l'utente ha diritto di:

  • Diritto di accesso (Art. 15)ottenere conferma dell'esistenza di un trattamento e ricevere copia dei propri dati personali
  • Diritto di rettifica (Art. 16)correggere dati personali inesatti o integrare dati incompleti
  • Diritto alla cancellazione (Art. 17)richiedere la cancellazione dei propri dati personali ("diritto all'oblio")
  • Diritto di limitazione (Art. 18)richiedere la limitazione del trattamento in determinate circostanze
  • Diritto alla portabilità (Art. 20)ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare
  • Diritto di opposizione (Art. 21)opporsi al trattamento dei dati basato su legittimo interesse o interesse pubblico
  • Diritto di revoca del consenso (Art. 7)revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca

Come esercitare i diritti

L'utente può esercitare i propri diritti:

  • Inviando un'email a privacy@reflectio.ai con oggetto "Esercizio diritti GDPR"
  • Eliminando il proprio account tramite l'interfaccia utente (comporta la cancellazione immediata di tutti i dati associati)

Risponderemo entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12(3) GDPR. In caso di richieste particolarmente complesse, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione.

9.Processo decisionale automatizzato e profilazione

Il Servizio utilizza processi decisionali interamente automatizzati per la generazione del report psicologico. L'utente è informato che:

  • L'analisi è prodotta esclusivamente da intelligenza artificiale, senza intervento umano nel processo di elaborazione
  • Il report non costituisce una diagnosi psicologica né un parere clinico professionale
  • Non vengono prese decisioni con effetti giuridici o significativi sulla base dell'analisi automatizzata
  • L'utente ha il diritto di richiedere un riesame umano e di contestare il risultato contattando privacy@reflectio.ai

10.Cookie e tecnologie di tracciamento

Il Servizio utilizza esclusivamente:

  • Cookie tecnici/essenziali: necessari per il funzionamento del sito (sessione di autenticazione, preferenza di lingua). Non richiedono consenso ai sensi dell'art. 122 del D.Lgs. 196/2003.
  • Nessun cookie di profilazione o di terze parti a scopo pubblicitario.
  • Nessun servizio di analytics di terze parti che utilizzi cookie di tracciamento.

11.Pagamenti

I pagamenti sono elaborati da Stripe, Inc., certificato PCI DSS Level 1. Reflectio non raccoglie, trasmette né conserva i dati completi della carta di credito dell'utente. I dati di pagamento vengono gestiti interamente all'interno dell'infrastruttura sicura di Stripe. Per maggiori informazioni sulla privacy di Stripe: stripe.com/privacy

12.Utenti minorenni

Il Servizio non è destinato a minori di 16 anni ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003. Non raccogliamo consapevolmente dati personali di soggetti di età inferiore a 16 anni. Se un genitore o tutore viene a conoscenza che un minore ha fornito dati personali senza il consenso genitoriale, è pregato di contattarci a privacy@reflectio.ai per la tempestiva rimozione.

13.Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per proteggere i dati personali, tra cui:

  • Crittografia dei dati in transito (TLS/HTTPS) e archiviazione su storage cifrato
  • Eliminazione automatica dei dati secondo le tempistiche indicate nella sezione 7
  • Accesso ai dati limitato al personale strettamente necessario secondo il principio del need-to-know
  • Autenticazione sicura tramite provider certificato (Clerk)
  • Nessuna conservazione locale dei dati delle carte di pagamento (PCI DSS compliance tramite Stripe)
  • Monitoraggio degli accessi e logging delle operazioni sui dati

14.Modifiche alla presente informativa

Ci riserviamo il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione aggiornata della data di ultimo aggiornamento. In caso di modifiche sostanziali che incidano sulle finalità o sulle modalità del trattamento, informeremo gli utenti registrati tramite email prima che le modifiche diventino efficaci.

15.Autorità di controllo e contatti

Ai sensi dell'art. 77 GDPR, l'utente ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali

Sito web: www.garanteprivacy.it

Email: garante@gpdp.it

PEC: protocollo@pec.gpdp.it

Telefono: +39 06 69677 1

Indirizzo: Piazza Venezia 11, 00187 Roma, Italia

Per qualsiasi domanda relativa alla presente informativa o al trattamento dei dati personali, è possibile contattarci all'indirizzo: privacy@reflectio.ai

Reflectio non fornisce diagnosi psicologiche. L'analisi è uno strumento di riflessione personale.

Reflectio © 2026