Informativa sul Trattamento dei Dati Personali
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy)
Ultimo aggiornamento: 22 febbraio 2026
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che utilizzano il servizio Reflectio, accessibile all'indirizzo reflectio.ai (di seguito, il "Servizio"). La invitiamo a leggere attentamente questo documento prima di utilizzare il Servizio.
1.Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Ragione sociale: [Ragione Sociale da inserire]
Sede legale: [Indirizzo da inserire]
Email: privacy@reflectio.ai
PEC: [PEC da inserire]
2.Tipologie di dati personali raccolti
Il Servizio raccoglie e tratta le seguenti categorie di dati personali, nel rispetto del principio di minimizzazione (art. 5(1)(c) GDPR):
2.1 Dati di account
- Indirizzo email
- Nome e cognome (se forniti tramite il provider di autenticazione)
- Preferenza di lingua (italiano/inglese)
2.2 Dati delle chat caricate
- File di esportazione della chat (formato HTML da Telegram o ZIP da WhatsApp)
- Contenuto testuale dei messaggi (nomi dei partecipanti, testo, timestamp)
- Messaggi vocali (file audio .ogg), se presenti nella chat
2.3 Dati del questionario
Risposte alle 7 domande contestuali fornite dall'utente (durata della relazione, stato emotivo, contesto relazionale, aspettative dall'analisi). Queste informazioni sono fornite volontariamente dall'utente per contestualizzare l'analisi.
2.4 Dati di analisi vocale (se applicabile)
- Trascrizione testuale dei messaggi vocali
- Analisi prosodica delle emozioni (rilevamento di tono, ritmo e intensità vocale)
2.5 Dati tecnici
- Indirizzo IP (raccolto automaticamente dal server)
- Tipo di browser e sistema operativo
- Data e ora di accesso
2.6 Dati di pagamento
- Identificativo della sessione Stripe
- Importo e tipo di acquisto (report, raffinamento, estensione accesso)
- Stato del pagamento
I dati della carta di credito sono gestiti esclusivamente da Stripe e non transitano né sono conservati sui nostri server.
2.7 Recensioni
- Nome o iniziali dell'autore (fornito volontariamente)
- Valutazione numerica (1-5 stelle)
- Commento testuale (opzionale)
3.Finalità e basi giuridiche del trattamento
I dati personali sono trattati per le seguenti finalità, ciascuna supportata da una specifica base giuridica ai sensi dell'art. 6 GDPR:
| Finalità | Base giuridica | Riferimento |
|---|---|---|
| Creazione e gestione dell'account utente | Esecuzione del contratto | Art. 6(1)(b) GDPR |
| Analisi AI delle chat e generazione del report psicologico | Consenso esplicito | Art. 6(1)(a) GDPR |
| Elaborazione dei pagamenti | Esecuzione del contratto | Art. 6(1)(b) GDPR |
| Invio email transazionali (report pronto, promemoria scadenza) | Esecuzione del contratto | Art. 6(1)(b) GDPR |
| Email di benvenuto all'iscrizione | Legittimo interesse | Art. 6(1)(f) GDPR |
| Rilevamento di situazioni di rischio psicologico (safety alert nel report) | Interesse vitale dell'interessato | Art. 6(1)(d) GDPR |
| Conservazione dei record di pagamento per obblighi fiscali | Obbligo legale | Art. 6(1)(c) GDPR |
| Miglioramento del Servizio e risoluzione di problemi tecnici | Legittimo interesse | Art. 6(1)(f) GDPR |
3.1 Categorie particolari di dati (Art. 9 GDPR)
L'analisi delle chat può rivelare informazioni relative allo stato emotivo e psicologico degli utenti, che costituiscono categorie particolari di dati ai sensi dell'art. 9 GDPR. Tali dati sono trattati esclusivamente sulla base del consenso esplicito dell'utente (Art. 9(2)(a) GDPR), fornito al momento del caricamento della chat tramite l'apposito checkbox di consenso informato.
4.Modalità del trattamento
4.1 Pipeline di elaborazione
Il trattamento avviene in modo prevalentemente automatizzato secondo le seguenti fasi:
- Caricamento — il file della chat viene caricato e archiviato temporaneamente su storage cifrato (Cloudflare R2)
- Parsing — il file viene analizzato per estrarre messaggi, timestamp, mittenti e file audio eventualmente presenti
- Trascrizione vocale — se applicabile, i messaggi vocali vengono trascritti tramite OpenAI Whisper e analizzati emotivamente tramite Hume AI
- Analisi psicologica — il testo della conversazione e le risposte al questionario vengono inviati a Claude (Anthropic) per l'analisi e la generazione del report
- Generazione report — viene prodotto un report in formato PDF, archiviato temporaneamente su storage cifrato
- Pulizia automatica — i file originali della chat vengono eliminati entro 1 ora; il report viene eliminato dopo 24 ore (o 30 giorni con estensione a pagamento)
4.2 Nessun utilizzo per addestramento di modelli AI
Nessuno dei servizi di intelligenza artificiale utilizzati (Anthropic, OpenAI, Hume AI) utilizza i dati degli utenti di Reflectio per l'addestramento dei propri modelli. Ciò è garantito contrattualmente dalle condizioni d'uso API di ciascun fornitore.
5.Servizi di terze parti (sub-responsabili del trattamento)
I dati personali possono essere comunicati ai seguenti fornitori di servizi, che agiscono in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR:
| Fornitore | Paese | Dati trattati | Finalità |
|---|---|---|---|
| Anthropic (Claude) | USA | Testo della chat, risposte al questionario, metadati della sessione | Analisi psicologica e generazione del report |
| OpenAI (Whisper) | USA | File audio dei messaggi vocali | Trascrizione vocale |
| Hume AI | USA | File audio dei messaggi vocali | Rilevamento emozioni dalla prosodia vocale |
| Cloudflare (R2) | UE/USA | File delle chat, file audio, report PDF | Archiviazione temporanea cifrata |
| Stripe | USA | Email, importi, ID sessione | Elaborazione pagamenti (PCI DSS compliant) |
| Clerk | USA | Email, nome, credenziali di autenticazione | Gestione account e autenticazione |
| Resend | USA | Email, nome, link al report | Invio email transazionali |
6.Trasferimento dei dati verso paesi terzi
Alcuni dei nostri sub-responsabili del trattamento hanno sede negli Stati Uniti d'America. I trasferimenti di dati personali verso gli USA avvengono sulla base di:
- EU-US Data Privacy Framework (DPF), per i fornitori certificati
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione 2021/914)
- Garanzie supplementari ove necessario, conformemente alle raccomandazioni dell'EDPB
L'utente può richiedere copia delle garanzie adeguate adottate contattandoci all'indirizzo privacy@reflectio.ai.
7.Periodo di conservazione dei dati
| Tipologia di dato | Periodo di conservazione |
|---|---|
| File della chat caricato (su storage) | Eliminato entro 1 ora dal completamento dell'analisi |
| File audio dei messaggi vocali (su storage) | Eliminati entro 1 ora dalla trascrizione |
| Timeline della chat (messaggi parsati nel database) | Eliminata/anonimizzata dal database entro 1 ora |
| Report PDF (su storage) | 24 ore dalla generazione (30 giorni con estensione a pagamento) |
| Risposte al questionario e statistiche di anteprima | Conservate fino alla cancellazione dell'account |
| Dati dell'account (email, nome) | Fino alla cancellazione dell'account da parte dell'utente |
| Record di pagamento | 10 anni (obbligo fiscale italiano, art. 2220 c.c.) |
| Recensioni | Fino alla rimozione da parte dell'utente o del moderatore |
| Dati tecnici (log del server) | 90 giorni |
La pulizia automatica dei file caricati e dei report scaduti viene eseguita ogni ora tramite processi automatizzati.
8.Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR e degli artt. 7-10 del D.Lgs. 196/2003, l'utente ha diritto di:
- Diritto di accesso (Art. 15) — ottenere conferma dell'esistenza di un trattamento e ricevere copia dei propri dati personali
- Diritto di rettifica (Art. 16) — correggere dati personali inesatti o integrare dati incompleti
- Diritto alla cancellazione (Art. 17) — richiedere la cancellazione dei propri dati personali ("diritto all'oblio")
- Diritto di limitazione (Art. 18) — richiedere la limitazione del trattamento in determinate circostanze
- Diritto alla portabilità (Art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare
- Diritto di opposizione (Art. 21) — opporsi al trattamento dei dati basato su legittimo interesse o interesse pubblico
- Diritto di revoca del consenso (Art. 7) — revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca
Come esercitare i diritti
L'utente può esercitare i propri diritti:
- Inviando un'email a privacy@reflectio.ai con oggetto "Esercizio diritti GDPR"
- Eliminando il proprio account tramite l'interfaccia utente (comporta la cancellazione immediata di tutti i dati associati)
Risponderemo entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12(3) GDPR. In caso di richieste particolarmente complesse, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione.
9.Processo decisionale automatizzato e profilazione
Il Servizio utilizza processi decisionali interamente automatizzati per la generazione del report psicologico. L'utente è informato che:
- L'analisi è prodotta esclusivamente da intelligenza artificiale, senza intervento umano nel processo di elaborazione
- Il report non costituisce una diagnosi psicologica né un parere clinico professionale
- Non vengono prese decisioni con effetti giuridici o significativi sulla base dell'analisi automatizzata
- L'utente ha il diritto di richiedere un riesame umano e di contestare il risultato contattando privacy@reflectio.ai
10.Cookie e tecnologie di tracciamento
Il Servizio utilizza esclusivamente:
- Cookie tecnici/essenziali: necessari per il funzionamento del sito (sessione di autenticazione, preferenza di lingua). Non richiedono consenso ai sensi dell'art. 122 del D.Lgs. 196/2003.
- Nessun cookie di profilazione o di terze parti a scopo pubblicitario.
- Nessun servizio di analytics di terze parti che utilizzi cookie di tracciamento.
11.Pagamenti
I pagamenti sono elaborati da Stripe, Inc., certificato PCI DSS Level 1. Reflectio non raccoglie, trasmette né conserva i dati completi della carta di credito dell'utente. I dati di pagamento vengono gestiti interamente all'interno dell'infrastruttura sicura di Stripe. Per maggiori informazioni sulla privacy di Stripe: stripe.com/privacy
12.Utenti minorenni
Il Servizio non è destinato a minori di 16 anni ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003. Non raccogliamo consapevolmente dati personali di soggetti di età inferiore a 16 anni. Se un genitore o tutore viene a conoscenza che un minore ha fornito dati personali senza il consenso genitoriale, è pregato di contattarci a privacy@reflectio.ai per la tempestiva rimozione.
13.Misure di sicurezza
Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per proteggere i dati personali, tra cui:
- Crittografia dei dati in transito (TLS/HTTPS) e archiviazione su storage cifrato
- Eliminazione automatica dei dati secondo le tempistiche indicate nella sezione 7
- Accesso ai dati limitato al personale strettamente necessario secondo il principio del need-to-know
- Autenticazione sicura tramite provider certificato (Clerk)
- Nessuna conservazione locale dei dati delle carte di pagamento (PCI DSS compliance tramite Stripe)
- Monitoraggio degli accessi e logging delle operazioni sui dati
14.Modifiche alla presente informativa
Ci riserviamo il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione aggiornata della data di ultimo aggiornamento. In caso di modifiche sostanziali che incidano sulle finalità o sulle modalità del trattamento, informeremo gli utenti registrati tramite email prima che le modifiche diventino efficaci.
15.Autorità di controllo e contatti
Ai sensi dell'art. 77 GDPR, l'utente ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:
Garante per la Protezione dei Dati Personali
Sito web: www.garanteprivacy.it
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Telefono: +39 06 69677 1
Indirizzo: Piazza Venezia 11, 00187 Roma, Italia
Per qualsiasi domanda relativa alla presente informativa o al trattamento dei dati personali, è possibile contattarci all'indirizzo: privacy@reflectio.ai
Reflectio non fornisce diagnosi psicologiche. L'analisi è uno strumento di riflessione personale.
Reflectio © 2026