Informativa sulla Privacy — Fiabino
BOZZA — S13. Documento redatto come base di lavoro, non è consulenza legale: va revisionato da un legale prima della pubblicazione. I campi tra 〔parentesi〕 sono DA COMPLETARE con i dati reali del titolare. Vedi la checklist in fondo.
Ultimo aggiornamento: 〔DATA〕 Titolare del trattamento: 〔NOME E COGNOME〕 (persona fisica 〔/ ditta individuale〕), 〔INDIRIZZO〕, 〔C.F. / P.IVA se applicabile〕 Contatto privacy: 〔privacy@fiabino.com〕 Ambito: lancio iniziale rivolto a Italia / Unione Europea (quadro GDPR e GDPR-K).
1. In breve (per chi ha fretta)
Fiabino è un’app che permette ai genitori di creare storie per bambini generate con intelligenza artificiale. Teniamo alla privacy delle famiglie:
- L’account è del genitore (un adulto). L’app non è destinata all’uso autonomo da parte di bambini.
- Nessuna pubblicità, nessun tracciamento di terze parti, nessun fingerprinting, nessuna vendita di dati.
- Raccogliamo il minimo indispensabile per far funzionare il servizio.
- L’IA che genera le storie è configurata per non conservare e non addestrarsi sui testi inviati.
2. A chi è rivolta l’app
Fiabino è pensata per essere usata da un adulto (il genitore o chi ne fa le veci), che crea e gestisce le storie per il proprio bambino. Non chiediamo né raccogliamo intenzionalmente dati personali direttamente dai bambini. Per registrarti devi avere almeno 〔18〕 anni o l’età della maggiore età nel tuo Paese.
3. Privacy dei bambini (GDPR-K)
Poiché l’app riguarda contenuti per bambini, applichiamo tutele rafforzate. (Il lancio iniziale è rivolto all’UE: si applica il GDPR e la tutela rafforzata dei minori. Se in futuro l’app sarà distribuita negli Stati Uniti, integreremo gli obblighi COPPA, incluso il consenso verificabile del genitore.)
- L’account e ogni decisione sui dati fanno capo al genitore adulto.
- Non profiliamo i bambini e non mostriamo loro pubblicità comportamentale.
- Invitiamo i genitori a non inserire dati personali del bambino (es. cognome, indirizzo, scuola) nelle istruzioni delle storie: per personalizzare basta un nome di fantasia o di battesimo.
- Se veniamo a conoscenza di aver raccolto inavvertitamente dati di un minore senza la base giuridica adeguata, li cancelliamo appena possibile.
4. Quali dati trattiamo
a) Dati dell’account
- Per gli account registrati: indirizzo email e password (conservata solo in forma cifrata dal nostro fornitore di autenticazione). In futuro, se userai “Accedi con Apple/Google”, riceveremo un identificativo dal provider (ed eventualmente un’email, anche anonimizzata da Apple).
- Per l’uso anonimo di prova: un identificativo tecnico casuale, senza email.
b) Contenuti delle storie
- I parametri che scegli (tema, fascia d’età) e le istruzioni libere che scrivi (2-3 frasi).
- Il testo della storia generato.
- Per gli account registrati questi dati sono salvati nel cloud nella tua libreria personale; per l’uso anonimo di prova le storie restano solo sul tuo dispositivo e non vengono caricate.
c) Dati d’uso del servizio
- Conteggi tecnici (es. numero di storie generate nel periodo) per applicare i limiti del piano.
- Eventi di prodotto in forma aggregabile e senza contenuti né dati personali (es. “storia generata”, con tema e fascia d’età, ma mai le tue istruzioni o il testo della storia).
d) Dati relativi all’abbonamento
- Se acquisti un abbonamento, l’acquisto è gestito da Apple/Google e dal nostro fornitore di abbonamenti. Riceviamo lo stato dell’abbonamento (attivo/scaduto), non i dati della tua carta di pagamento, che non vediamo né conserviamo.
5. Cosa NON facciamo
- ❌ Nessun SDK pubblicitario o di tracciamento di terze parti.
- ❌ Nessuna pubblicità comportamentale.
- ❌ Nessun fingerprinting del dispositivo.
- ❌ Nessuna vendita o condivisione dei tuoi dati per finalità di marketing di terzi.
- ❌ Nessuna profilazione dei bambini.
6. Perché trattiamo i dati e su quali basi giuridiche (GDPR)
| Finalità | Base giuridica |
|---|---|
| Creare l’account e farti accedere | Esecuzione del contratto (art. 6.1.b) |
| Generare, salvare e mostrarti le storie | Esecuzione del contratto |
| Applicare i limiti del piano e prevenire abusi | Legittimo interesse (art. 6.1.f) / contratto |
| Gestire gli abbonamenti | Esecuzione del contratto / obblighi di legge |
| Migliorare il servizio tramite statistiche aggregate senza PII | Legittimo interesse |
| Inviarti email di servizio (es. reset password) | Esecuzione del contratto |
7. Intelligenza artificiale generativa
Le storie sono generate da un modello di IA. Per produrle, dal nostro server (mai direttamente dal tuo dispositivo) inviamo al fornitore del gateway IA (OpenRouter) i parametri e le istruzioni della storia. Questo trattamento è configurato in modo che il fornitore e i modelli sottostanti non conservino i contenuti oltre l’elaborazione e non li usino per addestrare i modelli (impostazioni “zero data retention” e divieto di raccolta dati). 〔Da confermare con la firma del DPA con OpenRouter — vedi S12.〕
L’IA può produrre testi imprecisi o non desiderati: la storia va sempre supervisionata da un adulto (vedi i Termini di servizio).
8. Fornitori e responsabili del trattamento
Ci avvaliamo di fornitori selezionati che trattano i dati per nostro conto:
| Fornitore | Ruolo | Dati trattati |
|---|---|---|
| Supabase | Autenticazione, database, funzioni server | Account, storie, dati d’uso |
| OpenRouter | Gateway IA per la generazione | Parametri e istruzioni delle storie (no retention/training) |
| RevenueCat | Gestione abbonamenti | Stato abbonamento, identificativo utente |
| Apple / Google | App store e pagamenti in-app | Dati di acquisto (gestiti da loro) |
| Resend | Invio email di servizio (in produzione) | Indirizzo email |
〔Verificare le regioni di hosting dei fornitori e tenere aggiornato l’elenco dei sub-responsabili.〕
9. Trasferimenti internazionali
Alcuni fornitori possono trattare i dati al di fuori dello Spazio Economico Europeo. In tal caso il trasferimento è tutelato da Clausole Contrattuali Standard della Commissione UE o da garanzie equivalenti. 〔Indicare le regioni effettive una volta configurati i progetti, es. Supabase EU.〕
10. Per quanto tempo conserviamo i dati
- Storie e account registrati: finché mantieni l’account; vengono cancellati su tua richiesta o alla chiusura dell’account.
- Storie di prova anonime: restano sul tuo dispositivo finché non le elimini o disinstalli l’app.
- Statistiche aggregate senza PII: conservate in forma non identificativa.
- Dati richiesti da obblighi di legge (es. fiscali sugli acquisti): per i tempi previsti dalla legge.
11. I tuoi diritti
Hai diritto di: accedere ai tuoi dati, rettificarli, cancellarli, limitarne il trattamento, opporti, e alla portabilità. Puoi anche revocare un eventuale consenso in qualsiasi momento. Per esercitare i diritti scrivi a 〔privacy@fiabino.com〕. Hai inoltre diritto di reclamo al Garante per la protezione dei dati personali (in Italia) o all’autorità del tuo Paese.
12. Cancellazione dell’account e dei dati
Puoi richiedere la cancellazione dell’account e di tutte le storie associate 〔dall’app / scrivendo a privacy@fiabino.com〕. La cancellazione è irreversibile.
13. Sicurezza
Adottiamo misure tecniche e organizzative adeguate (cifratura in transito, controlli d’accesso a livello di database, principio del privilegio minimo). Nessun sistema è però sicuro al 100%.
14. Modifiche a questa informativa
Potremo aggiornare questa informativa; in caso di modifiche sostanziali te lo segnaleremo nell’app o via email. La data in alto indica l’ultimo aggiornamento.
15. Contatti
Per qualunque domanda sulla privacy: 〔privacy@fiabino.com〕.
✅ Checklist “DA COMPLETARE” prima della pubblicazione
- Titolare del trattamento (persona fisica): nome e cognome, indirizzo, C.F./P.IVA se ditta individuale
- Email di contatto privacy dedicata (es.
privacy@fiabino.com) - Età minima di registrazione (18 o maggiore età locale)
- Regioni di hosting effettive dei fornitori (Supabase, ecc.) + eventuali SCC
- Esito firma DPA con OpenRouter (S12) e conferma ZDR/no-training
- Eventuale nomina DPO (di norma non necessaria per uno sviluppatore individuale, ma da valutare)
- Revisione legale completa (GDPR / GDPR-K UE)
- Allineare l’elenco sub-responsabili a quello effettivo al lancio
- (Futuro) Se si aggiunge il mercato USA → integrare conformità COPPA