Informativa sulla Privacy NeuralTask (GDPR)

Il Titolare del trattamento dei dati personali coperti dalla presente Informativa sulla Privacy per NeuralTask (l'"App") è:

• Alessandro Di Giusto
• Email privacy: neuraltask@alessandrodigiusto.it

La presente Informativa sulla Privacy descrive come NeuralTask tratta i dati personali in relazione a: (i) utilizzo dell'App e delle sue funzionalità e (ii) iscrizione facoltativa alla newsletter su neuraltask.app. È intesa a riflettere un'architettura local-first per i contenuti utente ed è fornita in conformità al Regolamento (UE) 2016/679 (GDPR), ai requisiti della piattaforma Apple (inclusa App Tracking Transparency) e ad altra normativa applicabile.

3.1 Contenuti utente trattati prevalentemente localmente sul dispositivo

NeuralTask adotta un'architettura local-first: task, progetti, note, preferenze, cronologie locali, integrazioni Calendar/Reminders e molte logiche AI restano principalmente sul dispositivo dell'utente e/o nei servizi Apple sotto il controllo dell'utente.

Ciò include, ad esempio:

• task, progetti, note e preferenze creati nell'App;
• conversazioni con la funzione Coach all'interno dell'App;
• appuntamenti/eventi Apple Calendar gestiti dall'App;
• Apple Reminders gestiti dall'App.

Eccezione importante: quando l'utente usa una funzionalità cloud/internet-backed (ad esempio Cloud AI, Coach remoto, Neural Assist, analisi progetto/task via modello remoto o altre funzioni AI erogate dal backend), porzioni pertinenti del contenuto inserito dall'utente possono essere trasmesse al backend NeuralTask e al provider AI configurato lato server per generare la risposta. In tali flussi adottiamo misure di minimizzazione e sanitizzazione del payload, in particolare per la localizzazione.

Ciò corrisponde alla categoria User-Generated Content nelle categorie privacy dell'App Store (ad esempio task e input testuale): il trattamento avviene principalmente in locale, salvo i casi in cui l'utente richieda esplicitamente una funzionalità cloud.

3.2 Dati tecnici e identificatori pseudonimi dell'app

Possiamo trattare dati tecnici strettamente necessari per il funzionamento dell'app, la sicurezza, l'integrità del servizio e il miglioramento misurato del servizio. Ciò può includere le seguenti categorie di dati privacy dell'App Store:

• User ID: identificatori pseudonimi generati dall'app (ad esempio UUID di installazione e, ove le funzionalità account siano attive, identificatori utente Firebase Auth).
• Device ID: identificatori tecnici di dispositivo/app (incluso Advertising ID/IDFA ove consentito), identificatori di installazione e identificatori persistenti usati per sicurezza, quota AI e prevenzione frodi/abusi.
• Product Interaction: eventi di interazione in-app utilizzati per analytics e miglioramento del prodotto tramite servizi analytics configurati.
• Advertising Data: segnali di richiesta/risposta ads, impressioni, metadati di validazione reward e segnali antifrode per le rewarded ads AdMob.
• Analytics Data: metriche di utilizzo e coinvolgimento trattate tramite Firebase Analytics.
• Security / Anti-Abuse / AI Usage Data: record di quota giornaliera AI, timestamp richiesta, hash del device ID lato backend, hash IP per rate limiting/anti-abuso e segnali tecnici di verifica Auth/App Check.
• indirizzo IP ed eventi tecnici di sicurezza ove generati da infrastruttura/servizi integrati.

L'UUID Firebase/di installazione generato dall'app utilizzato da NeuralTask è un identificatore pseudonimo: non è destinato a identificare direttamente l'utente per nome, ma può comunque essere considerato dato personale ai sensi del GDPR quando può essere collegato a un'installazione app, a un dispositivo o a record correlati.

Per i flussi di consenso pubblicitario, NeuralTask utilizza Google User Messaging Platform (UMP) dove richiesto dalla legge. L'Advertising Identifier (IDFA) è utilizzato per la personalizzazione AdMob solo se: (i) l'esito del flusso di consenso UMP applicabile rende ammissibili gli annunci personalizzati e (ii) l'utente autorizza Apple App Tracking Transparency (ATT).

Se il consenso non è concesso, i segnali di consenso sono ambigui/non disponibili oppure ATT è negato/limitato/non autorizzato, NeuralTask richiede annunci non personalizzati (NPA) e non utilizza l'IDFA per la personalizzazione pubblicitaria.

Nessun tracciamento a fini pubblicitari (cross-app o cross-website tramite IDFA) avviene salvo che l'utente abbia concesso il permesso ATT.

Mappatura Apple App Privacy (sintesi):

• Usati per il Tracking (solo con autorizzazione ATT): Device ID (IDFA) e Advertising Data per misurazione/erogazione pubblicitaria personalizzata tramite AdMob, ove applicabile.
• Collegati all'utente o al contesto di installazione app: User ID, Device ID (identificatori tecnici non-IDFA), Product Interaction, Advertising Data e record tecnici/quota/sicurezza necessari per wallet, cloud AI, validazione rewarded-ad e controlli antifrode.
• Non collegati all'utente (ove tecnicamente trattati in tale modalità): reportistica analytics/performance aggregata o de-identificata che non include tracciamento basato su IDFA.

NeuralTask non utilizza permessi Health o Location per personalizzazione pubblicitaria o tracciamento.

3.3 Dati NeuralCoin e transazioni (Firebase)

Per gestire saldo e movimenti di NeuralCoin, NeuralTask memorizza in Firebase solo i dati necessari a tale finalità, associati all'UUID generato dall'app, ad esempio:

• saldo NeuralCoin e storico movimenti (accredito/spesa);
• motivo della spesa/accredito (ad esempio funzionalità AI, task, reward ads);
• identificatori tecnici di transazione/validazione e relativi timestamp;
• controlli antifrode e di coerenza relativi alle operazioni NeuralCoin.

Nessun contenuto di task/progetti, conversazioni Coach, dati Apple Calendar o contenuti Apple Reminders è memorizzato dal Titolare in Firebase.

Per gli acquisti in-app (pacchetti NeuralCoin):

• i pagamenti sono trattati da Apple (App Store / StoreKit);
• NeuralTask può ricevere e trattare metadati di transazione (ad esempio transactionId, productId, stato validazione, timestamp) per verificare e accreditare correttamente NeuralCoin;
• NeuralTask non raccoglie direttamente dati di carta di pagamento.

3.4 Funzionalità AI cloud (Firebase proxy + provider LLM lato server)

Quando l'utente usa funzioni AI remote/cloud, NeuralTask invia al proprio proxy backend solo i dati pertinenti alla generazione della risposta, ad esempio:

• prompt/testo inserito dall'utente e, se necessario, estratti pertinenti di task, progetti o conversazioni;
• istruzioni di sistema e parametri del modello richiesto;
• token Auth/App Check, metadati di quota giornaliera e sicurezza, e un identificatore tecnico di dispositivo che viene trattato in forma hash lato backend per finalità anti-abuso;
• se la funzione lo richiede, segnali contestuali derivati e minimizzati (ad esempio bucket ETA o etichette coarse come HOME, WORK, IN_TRANSIT, OUT), senza invio di coordinate GPS raw al nostro backend AI.

Nell'implementazione backend attuale, le richieste cloud AI passano attraverso Firebase Functions e vengono inoltrate al provider LLM configurato lato server, che nel codice backend attuale risulta essere OpenAI.

NeuralTask non è progettata per memorizzare in Firestore il testo completo dei prompt come contenuto di prodotto; tuttavia i prompt sono trattati transitoriamente per erogare la risposta e possono essere conservati record tecnici/quota/anti-abuso associati alla richiesta.

3.5 Dati newsletter (sito web: neuraltask.app)

Se un utente si iscrive volontariamente alla newsletter su neuraltask.app, il Titolare può trattare e memorizzare in Firebase:

• l'indirizzo email fornito dall'utente;
• stato/preferenze di iscrizione alla newsletter e relativi metadati tecnici richiesti per gestire l'iscrizione e la conformità normativa.

Ogni email newsletter include link che consentono al destinatario di disiscriversi e/o richiedere la cancellazione dell'email, in linea con i requisiti privacy europei applicabili.

Il sito web può inoltre generare log tecnici/server standard (ad esempio indirizzo IP, user-agent, timestamp e metadati di richiesta) per sicurezza, prevenzione abusi e affidabilità operativa. Salvo diversa esplicita indicazione in un avviso/banner dedicato del sito web, il sito non è inteso utilizzare cookie di profilazione per finalità di iscrizione newsletter.

3.6 Servizi di sistema Apple / permessi (se abilitati dall'utente)

Se l'utente concede specifici permessi, NeuralTask può interagire con funzionalità del dispositivo e servizi Apple, ad esempio:

• Calendar;
• Reminders;
• Notifications;
• Health / Fitness (HealthKit), se l'utente abilita funzionalità correlate (ad esempio insight su routine o allenamento);
• Location (inclusi Visits, geocoding/classificazione POI, ricerche luoghi/indirizzi, stime tempi di percorrenza e promemoria di partenza tramite servizi Apple), se l'utente abilita smart insights o altre funzionalità basate sulla posizione.

Tali dati sono utilizzati solo per fornire la funzionalità richiesta. I dati Apple Calendar/Reminders, la localizzazione e i dati Health restano principalmente sul dispositivo e/o nei servizi Apple dell'utente; i relativi contenuti non vengono sincronizzati come archivio centrale del Titolare.

Questi permessi sono utilizzati solo per funzionalità dell'app e non sono utilizzati per pubblicità o tracciamento. Questa funzionalità è distinta dal tracking per advertising (IDFA).

NeuralTask non invia coordinate GPS raw al proprio backend AI/Firebase. Se l'utente attiva funzioni cloud che sfruttano contesto o benessere, il backend può ricevere solo versioni derivate/minimizzate o riassunti sanitizzati del contesto necessari a generare la risposta.

Laddove gli insight di posizione richiedano geocoding o classificazione POI, NeuralTask può utilizzare servizi di sistema Apple (ad esempio CLGeocoder / MKLocalSearch), che possono comportare la trasmissione di coordinate ad Apple per tale finalità.

3.7 Funzionalità futura di backup/account (non attiva salvo espressa implementazione)

Se NeuralTask introdurrà in futuro una funzionalità di backup/account, i contenuti personali dell'utente (inclusi task, progetti, conversazioni Coach, appuntamenti Apple Calendar gestiti dall'App e Apple Reminders gestiti dall'App) saranno cifrati e archiviati nel drive/storage personale dell'utente. La funzionalità è intesa in modo che nessuno diverso dall'utente possa accedere a tali contenuti di backup.

Trattiamo i dati per le seguenti finalità:

A. Erogazione delle funzionalità principali dell'App (funzionalità local-first)

Esempi:

• gestione task/progetti effettuata localmente sul dispositivo;
• organizzazione e personalizzazione del workflow utente;
• gestione locale delle conversazioni Coach;
• integrazione con Apple Calendar e Apple Reminders ove autorizzata dall'utente.

Base giuridica: esecuzione di un contratto / erogazione del servizio richiesto (Art. 6.1.b GDPR). Molte di queste operazioni avvengono localmente sul dispositivo dell'utente e non sono accessibili al Titolare.

B. Gestione saldi NeuralCoin, validazioni e transazioni

Esempi:

• accredito/spesa di NeuralCoin associati all'UUID generato dall'app;
• validazione di acquisti in-app e reward ads;
• prevenzione di frodi, abusi e richieste duplicate relative a operazioni NeuralCoin.

Base giuridica: esecuzione del contratto (Art. 6.1.b GDPR) e legittimo interesse del Titolare alla sicurezza e integrità del servizio (Art. 6.1.f GDPR).

C. Erogazione di funzionalità AI cloud e tutoring remoto

Esempi:

• generare risposte AI remote per Coach, Neural Assist, consigli strategici, analisi progetto/task e funzioni analoghe;
• gestire quota giornaliera AI, anti-abuso, rate limiting e sicurezza del proxy AI;
• inoltrare il prompt sanitizzato al provider LLM configurato lato server.

Base giuridica: esecuzione del contratto / erogazione della funzionalità richiesta dall'utente (Art. 6.1.b GDPR) e legittimo interesse del Titolare alla sicurezza, prevenzione abusi e continuità del servizio (Art. 6.1.f GDPR).

D. Erogazione di Rewarded Ads (Google AdMob)

Esempi:

• mostrare reward ads per accreditare NeuralCoin;
• gestire il consenso ads nei territori in cui è richiesto;
• misurazione e prevenzione di frodi pubblicitarie.

Base giuridica: consenso (Art. 6.1.a GDPR), ove richiesto dalla normativa applicabile (ad esempio EEA/UK per ads e identificatori pubblicitari); in altri casi, legittimo interesse/necessità tecnica in conformità alla normativa applicabile.

Per le rewarded ads, NeuralTask applica un flusso pubblicitario con gating: (1) valutazione/presentazione consenso Google User Messaging Platform (UMP) ove richiesto, (2) richiesta Apple App Tracking Transparency (ATT) solo quando la personalizzazione è candidabile, (3) avvio/inizializzazione AdMob e quindi (4) preload ed erogazione ads.

Se il consenso non supporta la personalizzazione, se ATT non è autorizzato oppure se i segnali di consenso sono non disponibili/ambigui (inclusi segnali/chiavi TCF mancanti o non utilizzabili), NeuralTask utilizza un fallback compliance-first verso pubblicità non personalizzata (NPA).

La pubblicità non personalizzata può comunque utilizzare informazioni limitate per erogazione ads, frequency capping, prevenzione frodi, sicurezza e reportistica/misurazione aggregata, in conformità alla normativa applicabile e alle policy del provider.

Senza autorizzazione ATT, NeuralTask non utilizza IDFA, non abilita tracking per personalizzazione pubblicitaria e mostra solo annunci non personalizzati/a personalizzazione limitata.

E. Analytics e monitoraggio prodotto

Esempi:

• misurare trend di product interaction e coinvolgimento per migliorare affidabilità e UX;
• monitorare utilizzo funzionalità, funnel e qualità dei rilasci tramite strumenti analytics configurati;
• supportare decisioni di prodotto e miglioramento continuo del servizio.

Base giuridica: legittimo interesse (Art. 6.1.f GDPR) per sicurezza/affidabilità e miglioramento del servizio, e consenso ove richiesto dalla normativa applicabile o da requisiti di piattaforma.

F. Iscrizione newsletter e comunicazioni (neuraltask.app)

Esempi:

• invio email newsletter a utenti che si sono iscritti volontariamente sul sito web;
• gestione richieste di disiscrizione e cancellazione email tramite link inclusi nelle email newsletter;
• mantenimento di record necessari a gestire preferenze newsletter e conformità.

Base giuridica: consenso (Art. 6.1.a GDPR). Il consenso può essere revocato in qualsiasi momento tramite i link forniti in ciascuna email newsletter.

G. Sicurezza, prevenzione abusi e continuità del servizio

Esempi:

• log tecnici, controlli antifrode, verifica transazioni, quota AI, rate limiting e protezione infrastrutturale relativi ai servizi backend (inclusi Firebase, proxy AI e validazione ad/reward).

Base giuridica: legittimo interesse (Art. 6.1.f GDPR) e/o obblighi legali (Art. 6.1.c GDPR).

H. Conformità legale, fiscale e contabile

Esempi:

• obblighi di conservazione per record/transazioni, ove applicabili.

Base giuridica: obbligo legale (Art. 6.1.c GDPR).

NeuralTask utilizza servizi di terze parti che possono trattare dati personali per conto del Titolare (ruolo di responsabile del trattamento/service provider) e/o come titolari autonomi per specifiche finalità, a seconda del servizio, della configurazione del prodotto e dei termini contrattuali applicabili.

In particolare, i servizi Google (inclusi AdMob e Firebase) possono agire come titolari autonomi per alcune attività quali erogazione ads, misurazione e prevenzione frodi secondo le policy Google, e al contempo agire come responsabili/service provider per alcuni servizi configurati, ove applicabile. I servizi AI cloud possono inoltre coinvolgere un provider LLM configurato lato server per la generazione delle risposte remote.

Riferimenti utili: Google Privacy Policy, Google Mobile Ads / AdMob Privacy Guidance e Firebase Privacy and Security.

5.1 Google AdMob (Rewarded Ads)

Utilizzato per:

• erogare rewarded ads (ad esempio per ottenere NeuralCoin);
• misurare e proteggere il traffico pubblicitario;
• gestire il consenso pubblicitario nei paesi in cui è richiesto.

Dati coinvolti (esempi):

• identificatori pubblicitari/di dispositivo (ove consentito);
• dati tecnici di erogazione ads;
• segnali antifrode e conferme reward.

Consenso & personalizzazione: ove richiesto dalla legge, agli utenti possono essere presentate scelte di consenso pubblicitario tramite UMP (inclusi annunci personalizzati e non personalizzati, ove applicabile). NeuralTask richiede ATT solo quando l'esito UMP rende candidabile la pubblicità personalizzata. Se ATT è negato/limitato/non autorizzato, NeuralTask richiede annunci non personalizzati e/o annunci con personalizzazione limitata.

Gli annunci non personalizzati possono comunque comportare trattamento limitato di informazioni per erogazione ads, frequency capping, prevenzione frodi, sicurezza e reportistica/misurazione, secondo la normativa applicabile e le policy Google.

L'IDFA è accessibile solo dopo autorizzazione ATT. Se ATT non è autorizzato, l'app mostra solo annunci non personalizzati o a personalizzazione limitata e non effettua tracking per finalità pubblicitarie.

Non utilizziamo dati Health o Location per la personalizzazione pubblicitaria.

5.2 Firebase (Google) - auth, record backend, quota/sicurezza AI, dati NeuralCoin e email newsletter facoltativa

Utilizzato per:

• bootstrap auth anonima/account, gestione sessioni e App Check;
• memorizzare saldi NeuralCoin e dati di transazione/validazione associati a un UUID generato dall'app;
• gestire record di quota, sicurezza, anti-abuso e dashboard summary relativi alle funzionalità AI cloud;
• supportare controlli di integrità/sicurezza backend relativi a NeuralCoin e operazioni del servizio;
• memorizzare l'indirizzo email fornito volontariamente dall'utente su neuraltask.app per finalità newsletter (se inviato dall'utente).

Dati coinvolti (esempi):

• UID Firebase Auth (anonimo o account), UUID/device identifier pseudonimi generati dall'app;
• saldo NeuralCoin, metadati di transazione, validazione e antifrode;
• record quota AI, timestamp richiesta, esiti di verifica Auth/App Check, hash del device ID e record hash-based IP per anti-abuso/rate limiting;
• dashboard summaries tecnici (ad esempio saldo wallet e quota AI del giorno) associati all'account/sessione;
• indirizzo email newsletter e relativo stato/preferenze di iscrizione (solo iscrizione da sito web);
• log tecnici necessari per operatività/sicurezza backend.

Importante: Firebase non è utilizzato dal Titolare per memorizzare contenuti task/progetti dell'utente, conversazioni Coach, appuntamenti Apple Calendar o contenuti Apple Reminders gestiti dall'App.

5.3 Provider AI cloud tramite proxy sicuro (implementazione backend attuale)

Provider AI cloud: Nell'implementazione backend attuale, NeuralTask utilizza OpenAI come provider di modelli linguistici (LLM) per le funzionalità cloud AI. Il proxy backend aiProxyChat (Firebase Function) inoltra le richieste a OpenAI. NeuralTask non condivide con OpenAI coordinate GPS raw, identificatori nominativi (nome/cognome), dati sanitari non derivati, dati di pagamento completi o credenziali di accesso.

Dati inviati al provider AI cloud: Quando l'utente utilizza una funzionalità cloud AI, il proxy backend invia al provider LLM solo i dati strettamente necessari alla generazione della risposta. Questi includono:

• il prompt/testo inserito dall'utente, preventivamente sanitizzato e minimizzato (privacy-sanitized);
• estratti pertinenti di task, progetti o conversazioni necessari a contestualizzare la richiesta;
• parametri del modello (ad esempio temperatura, modello richiesto) e messaggi di sistema necessari a configurare la risposta;
• contesto derivato e minimizzato (ad esempio etichette HOME, WORK, IN_TRANSIT o fasce orarie), senza coordinate GPS raw né dati sanitari non derivati;
• metadati tecnici di quota/giornalieri e token di autenticazione per il proxy (non condivisi con il provider LLM finale).

Finalità: Il trattamento dei dati presso il provider AI cloud è limitato alla generazione delle risposte per le funzionalità cloud AI di NeuralTask, tra cui:

• generazione di risposte e suggerimenti per il Coach AI;
• analisi progetti/task e suggerimenti strategici (Neural Assist);
• produzione di insight e raccomandazioni basate sul contesto;
• qualsiasi altra funzionalità AI remota esplicitamente richiesta dall'utente.

Base giuridica: esecuzione del contratto / erogazione della funzionalità richiesta dall'utente (Art. 6.1.b GDPR) e legittimo interesse del Titolare alla sicurezza, prevenzione abusi e continuità del servizio (Art. 6.1.f GDPR).

Conservazione e uso dei dati da parte del provider:

• NeuralTask non è progettata per memorizzare in Firestore il testo completo dei prompt come contenuto di prodotto. I prompt sono trattati in modo transitorio per erogare la risposta. I record tecnici associati (quota, timestamp, hash identificativi) sono conservati secondo i periodi indicati nella Sezione 7 (tipicamente 30 giorni per record quota e 7 giorni per record hash-based IP).
• OpenAI (il provider LLM) elabora i prompt esclusivamente per generare la risposta richiesta. Secondo le policy OpenAI, i dati inviati tramite API sono utilizzati solo per erogare il servizio e non sono utilizzati per addestrare o migliorare i modelli OpenAI, salvo esplicita adesione dell'utente a programmi di miglioramento separati (che NeuralTask non attiva). Per maggiori dettagli, consultare l'OpenAI API Data Usage Policies.
• NeuralTask non ha controllo sulle pratiche di trattamento dati di OpenAI oltre quanto descritto nelle policy pubbliche di OpenAI. L'utente è invitato a consultare le policy del provider per informazioni complete.

5.4 Firebase Analytics (Google)

Utilizzato per:

• comprendere trend di product interaction e utilizzo funzionalità;
• analizzare il coinvolgimento e i pattern di utilizzo per migliorare la qualità dell'app;
• supportare reportistica aggregata e decisioni sulla qualità dei rilasci.

Dati coinvolti (esempi): eventi analytics di product interaction, metadati tecnici app/dispositivo e identificatori pseudonimi utilizzati per misurazione analytics.

5.5 Servizi di sistema Apple (Calendar / Reminders / Notifications)

Utilizzati per:

• creare/gestire eventi calendario e promemoria quando l'utente concede il permesso;
• erogare notifiche dell'app;
• supportare integrazioni di sistema richieste dall'utente.

Nota: i dati gestiti tramite queste integrazioni restano all'interno del dispositivo dell'utente e/o dei servizi Apple sotto il controllo dell'utente. Il Titolare non memorizza centralmente tali contenuti personali.

5.6 Apple (App Store / StoreKit)

Utilizzato per:

• processare acquisti in-app di pacchetti NeuralCoin;
• fornire metadati transazionali necessari per validazione/accredito.

Nota: i dati di pagamento sono trattati da Apple secondo le proprie policy; NeuralTask riceve principalmente dati transazionali utili a verifica e gestione del saldo virtuale.

Alcuni provider terzi (ad esempio Google AdMob, Firebase, servizi Apple e il provider AI cloud configurato lato server) possono trattare dati al di fuori dello Spazio Economico Europeo.

In tali casi, il Titolare adotta misure ragionevoli per garantire che i trasferimenti avvengano in conformità al GDPR, ad esempio tramite:

• decisioni di adeguatezza (ove applicabili);
• clausole contrattuali standard (SCCs);
• altre garanzie previste dalla legge.

I dati sono conservati per il tempo strettamente necessario alle finalità indicate e in conformità ai principi di minimizzazione e limitazione della conservazione. I periodi di conservazione sotto riportati sono indicativi e possono variare in base a obblighi legali, indagini su frodi/sicurezza, gestione contenziosi e requisiti tecnici.

• Contenuti utente creati nell'App (task, progetti, conversazioni Coach, dati Apple Calendar/Reminders gestiti dall'App): restano principalmente sul dispositivo dell'utente (e/o sotto il relativo account/servizi Apple dell'utente, ove applicabile) finché l'utente non li elimina. Quando l'utente usa una funzione AI cloud, il prompt/estratto necessario alla risposta viene trattato per la durata necessaria all'erogazione del servizio e non è progettato per essere archiviato in Firestore come contenuto di prodotto.
• UUID Firebase + dati NeuralCoin: conservati finché necessario a garantire integrità del saldo, prevenzione frodi/abusi, gestione contestazioni e conformità a obblighi legali/fiscali/contabili applicabili.
• Record quota/sicurezza AI cloud: i record uid-scoped di utilizzo quota AI sono attualmente configurati con retention backend di circa 30 giorni; i record hash-based IP usage/lock sono attualmente configurati con retention di circa 7 giorni; dashboard summaries e record affini restano finché necessari alla funzionalità o fino a cancellazione account/sessione, salvo obblighi legali o esigenze di sicurezza.
• Dati Firebase Analytics: conservati secondo impostazioni di retention analytics configurate e policy di servizio Google/Firebase, limitatamente a quanto necessario per analytics e miglioramento del servizio.
• Email newsletter (iscrizione da sito web): conservata fino a disiscrizione o richiesta di cancellazione da parte dell'utente (incluse le richieste tramite link disponibili in ciascuna email newsletter), con conservazione limitata di record eventualmente necessari a documentare consenso/disiscrizione/compliance e a gestire pretese legali.
• Funzionalità futura di backup (se implementata): i contenuti di backup sarebbero cifrati e archiviati nel drive/storage personale dell'utente sotto il controllo dell'utente, non come copia centralmente accessibile del Titolare.
• Log tecnici/di sicurezza: tipicamente per un periodo limitato, ad esempio fino a circa 90 giorni, salvo sia necessario un periodo più lungo per incidenti di sicurezza, prevenzione abusi, troubleshooting o obblighi legali.

Ai sensi del GDPR, l'utente può esercitare i seguenti diritti, nei limiti previsti dalla legge:

• diritto all'informazione;
• diritto di accesso;
• diritto di rettifica;
• diritto alla cancellazione ("diritto all'oblio");
• diritto alla limitazione del trattamento;
• diritto alla portabilità dei dati;
• diritto di opposizione;
• diritto di revocare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento effettuato prima della revoca);
• diritto di proporre reclamo all'Autorità di controllo competente (in Italia: Garante per la protezione dei dati personali).

Per esercitare i tuoi diritti, contatta: neuraltask@alessandrodigiusto.it.

Per i dati che restano solo sul tuo dispositivo (contenuti app locali, contenuti Apple Calendar/Reminders gestiti dall'App), molti controlli sono esercitati direttamente dall'utente tramite App, impostazioni dispositivo, Apple Calendar e Apple Reminders.

Il Titolare può richiedere informazioni aggiuntive per verificare l'identità del richiedente. Le richieste saranno gestite senza ingiustificato ritardo e, in generale, entro 1 mese dal ricevimento, salvo i casi previsti dal GDPR.

Architettura attuale dell'app: NeuralTask mantiene un design local-first per i contenuti personali, ma gestisce anche record cloud associati a sessione/account per wallet NeuralCoin, acquisti, quota/sicurezza AI, dashboard summaries, newsletter e altre operazioni backend necessarie.

Eliminazione direttamente dall'app: la versione attuale dell'app consente dall'area impostazioni di eliminare in modo permanente sia la sessione guest sia un account registrato. In tale flusso l'app richiama una cancellazione backend dei dati cloud associati e, nel caso guest, crea automaticamente una nuova sessione anonima pulita dopo il completamento.

L'utente può richiedere o effettuare, ove applicabile:

• cancellazione dei contenuti locali dell'app direttamente da App/dispositivo;
• cancellazione di elementi Apple Calendar/Reminders tramite app/servizi Apple sotto il controllo dell'utente;
• cancellazione di account/sessione guest e dei relativi dati cloud associati direttamente dalle impostazioni dell'app;
• cancellazione/disiscrizione dell'email newsletter tramite i link inclusi in ciascuna email newsletter o scrivendo a neuraltask@alessandrodigiusto.it;
• cancellazione/anonimizzazione dei dati lato server associati a sessione/account, ove tecnicamente possibile e compatibilmente con obblighi legali, fiscali, di sicurezza e prevenzione frodi.

Se non hai più accesso all'app, puoi comunque contattare il Titolare: per individuare i record corretti potremmo chiederti identificatori tecnici disponibili (ad esempio email account o identificatore di installazione, se disponibile).

Cosa accade dopo una richiesta valida di cancellazione

• i dati centralmente memorizzati applicabili (ad esempio wallet/NeuralCoin, record quota/sicurezza AI, dashboard summaries, newsletter e record backend transazionali associati alla sessione/account) saranno cancellati o anonimizzati, salvo ove la conservazione sia richiesta per finalità legali, fiscali, di sicurezza, prevenzione frodi o difesa in contenzioso;
• eventuali copie di backup sono gestite secondo normali cicli tecnici di retention;
• per future funzionalità di backup (se introdotte), i contenuti di backup resterebbero nel drive/storage personale dell'utente e sotto il controllo dell'utente, in base al design di tale funzionalità.

Per le attività di trattamento basate sul consenso (in particolare pubblicità/identificatori pubblicitari, ove applicabile, e iscrizione newsletter su neuraltask.app):

• l'utente può scegliere se concedere o meno il consenso;
• l'utente può revocare o modificare il consenso pubblicitario tramite le opzioni privacy/consenso disponibili nell'App (ove previste), inclusa la revisione delle opzioni privacy UMP disponibili;
• l'utente può gestire il permesso Apple App Tracking Transparency (ATT) nelle impostazioni iOS (Privacy e Sicurezza > Tracking);
• l'utente può gestire i permessi Location e Health nelle impostazioni iOS (e permessi app Salute, ove applicabile) per le funzionalità dell'app;
• la reinstallazione dell'App (e/o il reset delle relative impostazioni privacy del dispositivo) può comportare una nuova visualizzazione del flusso consenso/permessi;
• i destinatari newsletter possono disiscriversi e/o richiedere cancellazione email direttamente tramite i link inclusi in fondo a ciascuna email newsletter.

Se il consenso pubblicitario è revocato, non disponibile oppure l'autorizzazione ATT non è concessa, NeuralTask applica un fallback verso pubblicità non personalizzata (ove vengano mostrati annunci), non utilizza IDFA per personalizzazione pubblicitaria e non effettua tracking per finalità pubblicitarie.

In termini pratici, ATT agisce come gate finale per il tracking: senza autorizzazione ATT, NeuralTask può comunque mostrare annunci, ma solo in modalità non personalizzata/a personalizzazione limitata.

La revoca del consenso non incide sui trattamenti effettuati prima della revoca.

NeuralTask adotta un design local-first per i contenuti utente al fine di ridurre l'esposizione centralizzata delle informazioni personali. Il Titolare adotta inoltre adeguate misure tecniche e organizzative per i componenti lato server effettivamente utilizzati, ad esempio Firebase Auth/App Check, record Firebase relativi a ID pseudonimi, wallet/NeuralCoin, quota/sicurezza AI, prompt sanitizzati verso il proxy cloud, telemetria Firebase Analytics e dati email newsletter, ove applicabile.

Se sarà implementata una futura funzionalità backup/account, il design previsto è che i contenuti utente siano cifrati e memorizzati nel drive/storage personale dell'utente in modo che nessuno diverso dall'utente possa accedere ai contenuti di backup.

Nessun sistema è completamente invulnerabile; tuttavia, NeuralTask adotta misure ragionevoli e proporzionate per ridurre i rischi.

NeuralTask non è destinata a minori di 16 anni senza il consenso di un genitore/tutore legale, ove richiesto dalla normativa applicabile.
Se ritieni che un minore abbia fornito dati personali senza autorizzazione, contatta il Titolare all'indirizzo neuraltask@alessandrodigiusto.it per richiederne la rimozione.

Il Titolare può aggiornare periodicamente la presente informativa per riflettere modifiche legali, tecniche o funzionali dell'App e/o del servizio newsletter del sito web.

In caso di modifiche significative, gli utenti saranno informati tramite:

• aggiornamento della data "Ultimo aggiornamento";
• notifica in-app e/o altri canali appropriati (se necessario).

Per domande privacy, richieste sui diritti dell'interessato o richieste di cancellazione dati:

• Email privacy: neuraltask@alessandrodigiusto.it
• Titolare: Alessandro Di Giusto
• Gestione newsletter: link di disiscrizione e cancellazione email sono disponibili in ciascuna email newsletter.

• Apple App Review Guidelines (privacy policy, data collection, deletion): https://developer.apple.com/app-store/review/guidelines/
• Apple App Privacy Details in App Store Connect: https://developer.apple.com/help/app-store-connect/manage-app-privacy/
• Apple App Tracking Transparency framework: https://developer.apple.com/documentation/apptrackingtransparency
• European Commission - Data subject rights (GDPR): https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
• European Commission - Handling data subject rights requests (timing/1 month): https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
• Firebase - Privacy and Security: https://firebase.google.com/support/privacy/
• Firebase Analytics (Google Analytics for Firebase): https://firebase.google.com/docs/analytics
• Google AdMob (iOS) - GDPR / disclosure and EEA-UK consent: https://developers.google.com/admob/ios/privacy/gdpr
• GDPR (EUR-Lex / Regulation (EU) 2016/679): https://eur-lex.europa.eu/eli/reg/2016/679/oj