Documento legale

Informativa sulla privacy

Versione 1.2 · Ultimo aggiornamento: 2026-06-23 · Termini di servizio

Preambolo

La presente Informativa sulla privacy stabilisce le regole per il trattamento dei dati personali degli Utenti dell’Applicazione Kalorka.app e degli Utenti Ospiti che utilizzano la modalità senza account. L’Informativa adempie all’obbligo di informazione ai sensi dell’Articolo 13 del GDPR.

Il presente documento è conforme ai Termini di servizio dell’Applicazione.

I. Titolare del trattamento dei dati personali

Il Titolare del trattamento dei dati personali degli Utenti è:

TFB Group sp. z o.o.
ul. św. Filipa 23/4, 31-150 Kraków
KRS: 0000499144 · NIP: 6762474679 · REGON: 123048916

Email di contatto per questioni relative al GDPR: info@kalorka.app, info@tfbgroup.pl

Il Titolare non è tenuto a nominare un responsabile della protezione dei dati (DPO) ai sensi dell’Articolo 37 del GDPR — la scala e la natura del trattamento non soddisfano le condizioni per la nomina obbligatoria.

II. Finalità del trattamento dei dati

  1. Esecuzione del servizio — analisi delle foto degli alimenti tramite AI, salvataggio dei risultati, gestione dell’Account, sistema di referral.
  2. Autorizzazione dell’Account — gestione delle sessioni, magic link email, OAuth (Google, Apple), token di referral.
  3. Comunicazione transazionale — magic link, notifiche relative a modifiche dell’Account, promemoria di retention (inviti a tornare nell’Applicazione), avvisi operativi.
  4. Sicurezza — limitazione della frequenza, protezione dagli abusi, limite dei costi dell’Applicazione Ospite, traccia di audit delle email in entrata.
  5. Statistiche e miglioramento del servizio — telemetria anonima degli eventi (IP sottoposto a hash, User-Agent categorizzato), senza identificare le persone.
  6. Newsletter / marketing — solo dopo il rilascio del consenso (opt-in). Attualmente, l’Applicazione non invia newsletter.
  7. Obiettivo giornaliero (profilo nutrizionale) — calcolo del fabbisogno calorico giornaliero stimato (TDEE) e degli obiettivi di macronutrienti sulla base dei dati forniti volontariamente dall’Utente (peso, altezza, anno di nascita, sesso, livello di attività). La funzione è facoltativa — viene avviata solo quando l’Utente decide di impostare un obiettivo nelle impostazioni dell’Account.

III. Basi giuridiche (Articolo 6 GDPR)

  • Articolo 6(1)(b) — esecuzione di un contratto (Termini di servizio dell’Applicazione) — per le finalità II.a) Esecuzione del servizio, II.b) Autorizzazione dell’Account e II.g) Obiettivo giornaliero (dati del profilo nutrizionale forniti volontariamente dall’Utente nell’ambito di una funzione facoltativa);
  • Articolo 6(1)(f) — legittimo interesse del Titolare — per le finalità II.c) Comunicazione transazionale (promemoria di retention), II.d) Sicurezza, II.e) Statistiche;
  • Articolo 6(1)(a) — consenso dell’Utente — per la finalità II.f) Newsletter / marketing;
  • Articolo 6(1)(c) — obbligo legale — per casi specifici derivanti dalla normativa (ad es. risposte a richieste delle autorità di contrasto).

IV. Quali dati trattiamo

A. Dati dell’Account

  • indirizzo email
  • user_id (UUID generato da Supabase)
  • provider di registrazione (Google / Apple / magic link email)
  • data di registrazione + data dell’ultimo accesso
  • URL dell’avatar (se restituito da OAuth)

B. Dati funzionali

  • foto degli alimenti (Supabase Storage, bucket privato, URL firmati TTL 300s)
  • risultati dell’analisi AI (ingredienti, calorie, macronutrienti, raw_response JSON)
  • modifiche ai risultati (meal_user_edited)
  • cronologia di Scans + Credits

C. Dati tecnici

  • cookie anonymous_id (modalità Ospite)
  • token di referral (cookie + database)
  • cookie di sessione Supabase (httpOnly + secure + SameSite)
  • log di analytics (IP sottoposto a hash — SHA-256 + salt, User-Agent categorizzato)

D. Dati comportamentali

  • numero e frequenza degli Scans effettuati
  • stato dell’iscrizione ai promemoria di retention (iscritto / disiscritto)
  • click sui link nelle email (contrassegnati da parametri UTM)

E. Dati del profilo nutrizionale (facoltativo — funzione “Obiettivo giornaliero”)

  • peso (kg), altezza (cm), anno di nascita, sesso
  • livello di attività fisica
  • obiettivo calorico giornaliero e obiettivi di macronutrienti (proteine / carboidrati / grassi)

Questi dati sono forniti volontariamente dall’Utente e trattati solo quando l’Utente utilizza la funzione facoltativa “Obiettivo giornaliero”. Sono utilizzati esclusivamente per calcolare un obiettivo calorico e di macronutrienti giornaliero stimato. I calcoli sono indicativi e non costituiscono consulenza medica né sostituiscono la consultazione di un medico o di un dietista. L’Utente può modificare o cancellare questi dati in qualsiasi momento nelle impostazioni dell’Account; la cancellazione dell’Account li elimina insieme agli altri dati.

V. Responsabili del trattamento (terze parti)

Il Titolare si avvale dei seguenti responsabili del trattamento (soggetti che trattano per conto del Titolare — Articolo 28 del GDPR):

ResponsabileAmbitoRegioneMeccanismo di trasferimento
Supabase Inc.Database + Auth + archiviazione fotoUE (eu-central-1)DPA + SCC
Vercel Inc.Hosting dell’applicazione + funzioni serverlessMulti-regione UE (fra1)DPA + SCC
Resend Inc.Email (in uscita + in entrata)UE (eu-west-1)DPA + SCC
Anthropic PBCAnalisi AI delle foto (Claude Sonnet + Haiku)Multi-regione USADPA + SCC + NESSUN addestramento
Google LLCAccesso OAuth (facoltativo)Multi-regioneDPF (Data Privacy Framework)
Apple Inc.Accedi con Apple (facoltativo)Multi-regioneDPF
Upstash Inc.Redis (limitazione della frequenza + limite dei costi)UEDPA + SCC
Zendesk Inc. + TFB GroupHelpdesk (dopo inoltro /api/inbound/email)Multi-regioneDPA + SCC

DPA = Accordo sul trattamento dei dati · SCC = Clausole contrattuali standard · DPF = EU-US Data Privacy Framework

Ulteriori destinatari / responsabili del trattamento (abbonamenti e pagamenti)

  • RevenueCat, Inc. — fornitore dell’infrastruttura per la gestione e la sincronizzazione dello stato degli abbonamenti e dei diritti degli utenti tra l’applicazione mobile, gli store Apple App Store / Google Play e i sistemi Kalorka. Può trattare l’identificativo dell’utente o dell’applicazione, informazioni sul prodotto in abbonamento, stato dell’abbonamento, date di acquisto/rinnovo/scadenza, token o conferma di acquisto fornita dallo store e metadati tecnici per la verifica dei diritti. Finalità: verifica dell’accesso a pagamento attivo e concessione dei diritti.
  • Stripe, Inc. — precedente fornitore per l’elaborazione dei pagamenti web. Da giugno 2026, Kalorka non avvia nuovi pagamenti tramite Stripe né fornisce un nuovo percorso di acquisto tramite Stripe. I dati delle transazioni storiche (identificativi di pagamento, importi, date, crediti concessi, metadati di fatturazione) possono essere conservati per finalità contabili, probatorie, fiscali, di sicurezza e di gestione dei reclami.

VI. Trasferimento dei dati fuori dal SEE

Alcuni dei responsabili del trattamento del Titolare hanno sede al di fuori dello Spazio Economico Europeo (principalmente negli USA — Anthropic, Google, Apple, Zendesk). Il trasferimento dei dati a tali soggetti avviene sulla base di:

  • Clausole contrattuali standard (SCC) — approvate dalla Commissione europea (Decisione 2021/914);
  • Data Privacy Framework (DPF) — quadro UE-USA per la protezione dei dati (decisione della Commissione europea del 10 luglio 2023) — per i soggetti che si sono autocertificati.

Il Titolare NON trasferisce dati verso paesi privi di un livello adeguato di protezione dei dati personali.

VII. Periodo di conservazione dei dati

Categoria di datiPeriodo di conservazione
Dati dell’account (email, user_id, provider)fino alla cancellazione dell’Account + 30 giorni di backup
Foto degli alimenti (Storage)fino alla cancellazione dell’Account + 30 giorni di backup
Risultati dell’analisi AI (parsed_result)fino alla cancellazione dell’Account + 30 giorni di backup
Profilo nutrizionale (obiettivo giornaliero: peso, altezza, anno di nascita, sesso, attività + obiettivo kcal/macro)fino alla cancellazione dell’Account + 30 giorni di backup
Dati degli ospiti (cookie anonymous_id)30 giorni dall’ultima attività
Log tecnici (analytics, hash IP)12 mesi
Log delle email in entrata (audit dell’inoltro)6 mesi
Log di limitazione della frequenza (Upstash Redis)24 ore (finestra mobile)
Iscrizione ai promemoria di retention (opt-out)fino alla disiscrizione o alla cancellazione dell’Account

I dati di fatturazione e i dati relativi ai pagamenti storici sono conservati per il periodo richiesto dalla normativa fiscale e contabile — almeno 5 anni, calcolati dalla fine dell’anno solare in cui è sorto l’obbligo. A tale riguardo, il diritto alla cancellazione dei dati (Articolo 17 del GDPR) è limitato dall’obbligo legale gravante sul titolare (Articolo 17(3)(b) del GDPR).

VIII. Diritti dell’Utente (Articoli 15-22 GDPR)

Ogni Utente ha il diritto di:

  • Accedere ai propri dati (Articolo 15 del GDPR);
  • Rettificare dati inesatti (Articolo 16);
  • Cancellare i dati (“diritto all’oblio”, Articolo 17);
  • Limitare il trattamento (Articolo 18);
  • Portabilità dei dati (Articolo 20);
  • Opporsi al trattamento basato sul legittimo interesse (Articolo 21);
  • Revocare il consenso in qualsiasi momento (Articolo 7(3)).

Esercizio dei diritti: contatto via email all’indirizzo info@kalorka.app. Risposta entro un massimo di 30 giorni dal ricevimento della richiesta (in conformità all’Articolo 12(3) del GDPR).

L’Utente ha inoltre il diritto di proporre reclamo all’autorità di controllo — Presidente dell’Ufficio per la Protezione dei Dati Personali, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

IX. Cookie e tecnologie simili

L’Applicazione utilizza cookie e meccanismi di localStorage del browser per le seguenti finalità:

A. Cookie necessari (funzionamento dell’Applicazione)

  • Cookie di sessione Supabase Auth (httpOnly + secure + SameSite=Lax)
  • Cookie Anonymous_id (modalità Ospite — 30 giorni)
  • Cookie del token di referral (kalorka_referral_token — 30 giorni)
  • Token CSRF (httpOnly, sessione)

B. localStorage funzionale

  • Preferenze UI (rotazione quick-look dell’intro pool)
  • Flag di sessione (ad es. has_seen_pwa_install_prompt)

C. Cookie analitici

L’Applicazione utilizza solo telemetria anonima lato server (IP sottoposto a hash + User-Agent categorizzato). L’Applicazione NON utilizza Google Analytics, Facebook Pixel o altri tracker esterni cross-site.

D. Cookie di marketing

L’Applicazione NON utilizza cookie di marketing né tracker pubblicitari.

Banner di consenso ai cookie: Attualmente l’Applicazione NON richiede un banner di consenso ai cookie — utilizza solo cookie necessari e funzionali (in conformità all’Articolo 173(1)(1) e all’Articolo 173(2) della Legge sulle telecomunicazioni, per i cookie esclusivamente tecnici non è richiesto il consenso dell’Utente).

Il banner sarà implementato se/quando l’Applicazione aggiungerà in futuro meccanismi di analytics esterni o tracciamento di marketing.

X. Sicurezza dei dati

  • Tutte le trasmissioni di dati sono protette dal protocollo HTTPS (TLS 1.3) — certificato gestito da Vercel.
  • Le password degli Utenti NON sono conservate — l’Applicazione utilizza solo magic link email e OAuth (Google / Apple).
  • Le foto degli alimenti sono conservate in un bucket privato Supabase Storage con accesso tramite URL firmato con durata di 300 secondi.
  • Il database Postgres è protetto dal meccanismo RLS (Row Level Security) — ogni record richiede autenticazione ed è isolato per Utente.
  • I meccanismi di limitazione della frequenza (Upstash Redis) e il limite dei costi (limiti giornalieri di utilizzo dell’API AI) proteggono l’Applicazione dagli abusi.
  • Backup automatici — snapshot giornalieri del database da parte di Supabase (conservazione di 7 giorni nel piano Pro).

XI. Disposizioni finali

  1. Versione dell’Informativa sulla privacy: 1.2. Ultimo aggiornamento: 2026-06-23.
  2. Le modifiche all’Informativa sulla privacy richiedono la notifica agli Utenti con 14 giorni di anticipo (analogamente ai Termini di servizio — §XIII).
  3. Si prega di inviare le domande relative all’Informativa sulla privacy all’email info@kalorka.app.
  4. La presente Informativa costituisce parte integrante dei Termini di servizio dell’Applicazione.