Informativa sulla privacy
Titolare del trattamento: MindReset AI self-help platform, operated by MindReset AI Ltd, società registrata in England & Wales, con sede a Londra, Regno Unito — support@mindreset.ai
[NOTE: La registrazione ICO deve essere ottenuta tramite ico.org.uk prima del lancio pubblico. Costo annuale ~£40-60. La registrazione deve essere completata prima di qualsiasi attività di marketing o disponibilità pubblica.]
1. Cosa copre la presente Privacy Policy
La presente Privacy Policy spiega quali dati personali raccogliamo su di te quando utilizzi il Servizio, perché li raccogliamo, come li proteggiamo, con chi li condividiamo, per quanto tempo li conserviamo e quali diritti possiedi ai sensi del UK GDPR e, ove applicabile, del EU GDPR.
2. Dati che raccogliamo
| Categoria | Esempi | Finalità | Base giuridica |
|---|---|---|---|
| Dati dell’account | email address, hashed password, country (dedotto dall’IP), preferred language | creare e gestire il tuo account; fornire il Servizio | Esecuzione del contratto |
| Dati del questionario | le tue risposte al Readiness Check, classificazione risultante (Green / Yellow / Red), riepilogo delle motivazioni | classificare se il Servizio è appropriato per te; proteggere gli utenti da potenziali danni | Consenso esplicito (art. 9 §2 a UK GDPR) |
| Dati di conversazione (categoria particolare) | i messaggi che invii a MiniMind o ai moduli; reflections e risposte negli esercizi; mood ed energy check-ins | analisi AI per suggerire pratiche; supporto wellbeing personalizzato; monitoraggio dei tuoi progressi | Consenso esplicito (art. 9 §2 a UK GDPR) |
| Profilo di benessere | pattern derivati (ad esempio «elevated anxiety», «recent stable period»), osservazioni di stati e temi | personalizzazione; smart routing verso pratiche e moduli appropriati | Consenso esplicito (art. 9 §2 a UK GDPR) |
| Eventi di sicurezza | momenti di conversation segnalati che hanno attivato il nostro safety protocol, la nostra automated response, optional manual review notes | audit del safety protocol; conformità agli obblighi del Online Safety Act 2023 relativi alle priority offences | Interesse legittimo (registro di sicurezza) / Obbligo legale |
| Dati d'uso | tipo di dispositivo, browser, IP address, cookies, timestamps, visualizzazioni di pagina | sicurezza, anti-abuse, miglioramento del Servizio, analisi anonime | Interesse legittimo |
| Dati di pagamento | ultime 4 cifre della carta, transaction ID, billing email (i dati completi della carta sono conservati dal payment processor, non da noi) | billing, prevenzione delle frodi, registrazioni finanziarie | Esecuzione del contratto / Obbligo legale (diritto tributario) |
| Messaggi al supporto | emails inviati a support@mindreset.ai o ad altri nostri indirizzi | rispondere alle richieste; risolvere problemi | Interesse legittimo |
Non richiediamo il tuo vero nome, indirizzo fisico, data di nascita o identificativi governativi. Ti preghiamo di evitare di condividere dettagli personalmente identificabili su di te o su altre persone all’interno delle conversations con l’AI.
3. Come utilizziamo l’AI
I tuoi conversation data vengono elaborati dal nostro AI engine per generare risposte e suggerire pratiche.
- L’AI crea wellbeing observations non mediche (ad esempio, «the user describes physical tension when discussing work») per personalizzare meglio le pratiche
- L’AI non formula diagnosi mediche
- L’AI non prende decisioni che producano effetti giuridici su di te
- Puoi contattarci all’indirizzo support@mindreset.ai se ritieni che una automated response sia errata o dannosa; verrà effettuata una human review
Ai sensi dell’Article 22 UK GDPR, hai il diritto di non essere soggetto a una decisione basata esclusivamente su automated processing che produca effetti giuridici o similmente significativi. Le wellbeing observations e le practice suggestions generate dalla nostra AI non costituiscono tali decisioni.
4. Con chi condividiamo i dati
Non vendiamo né concediamo in affitto i tuoi dati personali. Li condividiamo esclusivamente con categorie di service providers necessarie per fornire il Servizio:
- Cloud hosting e database services
- AI infrastructure (per conversational e analytical features)
- Speech-to-text transcription (per voice input)
- Authentication e account management
- Elaborazione dei pagamenti
- Recapito di email transazionali
- Hosting del sito
Voice input. Se scegli di utilizzare il voice input su MiniMind, il tuo audio registrato viene trasmesso in modo sicuro al nostro speech-to-text provider per la transcription. Abbiamo attivato zero data retention presso questo provider: l’audio non viene conservato dopo la transcription né sull’infrastruttura MindReset né presso il provider. Solo il resulting text viene salvato come parte della tua conversation history. Se preferisci, puoi utilizzare il Servizio interamente tramite typing.
I providers specifici possono cambiare nel tempo. Un elenco aggiornato dei service providers che utilizziamo è disponibile su richiesta inviando un email a support@mindreset.ai.
Potremmo inoltre divulgare i tuoi dati quando legalmente obbligati da una court order o da un analogo legal process.
Utilizziamo le Standard Contractual Clauses (o meccanismi equivalenti UK IDTA) per qualsiasi international data transfer, integrate ove necessario da safeguards aggiuntive, inclusa encryption in transit e at rest.
5. Trasferimenti internazionali
I tuoi dati possono essere trattati al di fuori del Regno Unito e dell’UE, principalmente negli Stati Uniti. Quando ciò avviene, facciamo affidamento su:
- Una adequacy decision del Regno Unito o dell’UE (ove disponibile)
- Standard Contractual Clauses approvate dalla Commissione Europea o dalla UK ICO
- Altre safeguards appropriate consentite ai sensi del UK GDPR o del EU GDPR
Puoi richiedere dettagli sulle safeguards specifiche applicate a qualsiasi trasferimento inviando un email a support@mindreset.ai.
6. Sicurezza
Adottiamo misure tecniche e organizzative adeguate per proteggere i vostri dati:
- TLS 1.2 o versione superiore per tutti i dati in transito
- Crittografia AES-256 dei dati a riposo per i dati archiviati (fornita da Supabase)
- Password sottoposte ad hashing mediante algoritmi conformi agli standard di settore (gestiti da Clerk)
- Accesso basato sui ruoli ai nostri sistemi backend; gli accessi vengono registrati e sottoposti ad audit
- Obblighi di riservatezza per chiunque abbia accesso ai dati
- Revisioni periodiche della sicurezza e monitoraggio delle vulnerabilità delle dipendenze
- Backup crittografati con periodo di conservazione limitato
Nessun sistema di sicurezza può garantire una protezione assoluta. In caso di violazione dei dati personali che possa incidere sui vostri diritti e libertà, notificheremo l’ICO entro 72 ore e, ove richiesto, informeremo senza ingiustificato ritardo gli utenti interessati.
7. Conservazione dei dati
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati dell’account | Account attivo: fino alla sua eliminazione da parte dell’utente. Account inattivo: eliminato 12 mesi dopo l’ultimo accesso. |
| Dati di screening | 12 mesi dopo l’ultimo accesso oppure immediatamente dopo l’eliminazione dell’account |
| Dati delle conversazioni | 12 mesi dopo l’ultimo accesso oppure immediatamente dopo l’eliminazione dell’account |
| Profilo di benessere | Uguale ai dati delle conversazioni |
| Eventi di sicurezza | 7 anni (obbligo legale di conservazione delle tracce di audit) — depersonalizzati dopo l’eliminazione dell’account |
| Dati di pagamento | 6 anni (obbligo previsto dalla normativa fiscale del Regno Unito) |
| Backup | Massimo 30 giorni |
| Messaggi di assistenza | 24 mesi dall’ultimo contatto |
L’utente può richiedere la cancellazione anticipata di qualsiasi dato, salvo nei casi in cui siamo legalmente obbligati a conservarlo (ad esempio, documentazione finanziaria ai sensi della normativa fiscale o eventi di sicurezza ai sensi dell’Online Safety Act).
8. I vostri diritti
Ai sensi del UK GDPR (e del GDPR dell’UE, ove applicabile), avete il diritto di:
- Accesso — richiedere una copia dei dati personali che conserviamo su di voi
- Rettifica — correggere dati inesatti
- Cancellazione — richiedere la cancellazione dei vostri dati («diritto all’oblio»), fatti salvi gli obblighi legali di conservazione
- Limitazione — richiedere la limitazione del trattamento dei vostri dati
- Opposizione — opporvi al trattamento basato sul legittimo interesse
- Portabilità — ricevere i vostri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
- Revoca del consenso — per qualsiasi trattamento basato sul consenso
Per esercitare uno qualsiasi di tali diritti:
- Utilizzate la sezione «Dati» nelle impostazioni del vostro account (ove disponibile), oppure
- Inviate la vostra richiesta via e-mail a support@mindreset.ai
Risponderemo entro un mese oppure vi informeremo entro un mese qualora fosse necessario ulteriore tempo (fino a ulteriori due mesi) a causa della complessità della richiesta.
Qualora non siate soddisfatti del modo in cui trattiamo i vostri dati, avete il diritto di presentare un reclamo all’Information Commissioner’s Office (ICO) del Regno Unito tramite ico.org.uk oppure alla vostra autorità locale per la protezione dei dati nell’UE.
9. Cookie
Utilizziamo:
- Cookie strettamente necessari — per l’autenticazione (sessione Clerk), la sicurezza e il funzionamento essenziale del sito. Tali cookie non possono essere disabilitati
- Cookie analitici facoltativi — per comprendere le modalità di utilizzo e migliorare il Servizio. Alla prima visita vi sarà richiesto di accettare o rifiutare tali cookie
Non utilizziamo cookie pubblicitari, pixel di tracciamento a fini di marketing né strumenti di tracciamento di terze parti.
10. Dati dei minori
Il Servizio è destinato ad adulti di età pari o superiore a 18 anni. Non raccogliamo consapevolmente dati personali relativi a soggetti di età inferiore a 18 anni. Se ritenete che un minore di 18 anni ci abbia fornito dati personali, vi preghiamo di contattarci all’indirizzo support@mindreset.ai e provvederemo alla loro cancellazione.
11. Modifiche alla presente Informativa
Potremmo aggiornare periodicamente la presente Informativa sulla privacy per riflettere modifiche nelle nostre pratiche o nella normativa applicabile. Le modifiche sostanziali saranno comunicate via e-mail e/o tramite l’app almeno 30 giorni prima della loro entrata in vigore. L’uso continuato del Servizio dopo la data di efficacia costituisce accettazione dell’Informativa aggiornata.
12. Contatti
Per domande relative alla privacy o per esercitare i vostri diritti:
- E-mail: support@mindreset.ai
- Indirizzo postale: [NOTA: Da aggiungere quando sarà disponibile un indirizzo commerciale registrato.]