Informativa sulla Privacy

1. Chi siamo

Untolds è gestito da un soggetto privato residente nell'Unione Europea (l'"Operatore", "noi"). Per qualsiasi domanda, richiesta o reclamo relativo alla privacy puoi contattarci a legal@untolds.chat.

Ai fini del Regolamento generale europeo sulla protezione dei dati (GDPR), l'Operatore è il titolare del trattamento dei dati personali descritti di seguito.

2. Ambito

Questa informativa copre il sito web e il servizio di chat Untolds (il "Servizio"). Non copre siti o servizi di terze parti a cui rimandiamo.

3. Dati che raccogliamo

3.1 Dati dell'account

Quando crei un account tramite il nostro fornitore di autenticazione (Clerk), raccogliamo e archiviamo il tuo indirizzo email, il nome utente e il nome visualizzato che hai scelto, nonché il codice invito che hai utilizzato per la registrazione. Conserviamo inoltre traccia del fatto che hai confermato di avere almeno 18 anni.

3.2 Dati di chat e contenuti

Archiviamo i messaggi che invii e i messaggi che le nostre personalità di IA inviano in risposta. I corpi dei messaggi sono cifrati a riposo. Archiviamo inoltre i prompt e i parametri utilizzati per generare immagini, video e audio, nonché i file di media risultanti.

3.3 Stato di gioco

Archiviamo lo stato delle tue interazioni con ciascuna personalità: il saldo virtuale di gioco ("Sparks", vedi i nostri Termini di Servizio), le metriche relazionali, i contenuti sbloccati, la cronologia delle trasgressioni e altri stati di gioco analoghi.

3.4 Dati tecnici

I nostri fornitori di hosting e infrastruttura trattano metadati di richiesta standard (indirizzo IP, user agent, timestamp) per finalità di sicurezza, prevenzione degli abusi e logging operativo. Non utilizziamo questi dati per costruire profili pubblicitari.

Per la misurazione aggregata del traffico utilizziamo Vercel Web Analytics, un prodotto di analytics first-party senza cookie fornito dal nostro hosting provider Vercel. Registra visualizzazioni di pagina, referrer, paese e tipo di dispositivo. Non imposta cookie, non scrive nel localStorage, non effettua fingerprinting del tuo dispositivo e non ti traccia su altri siti. Per ricavare un conteggio di visitatori calcola un hash a rotazione giornaliera, salato, di indirizzo IP e user agent, che viene scartato dopo 24 ore. Le statistiche risultanti sono aggregate e visibili solo a noi. Vedi la sezione 13 e la nostra Informativa sui Cookie.

3.5 Archiviazione locale del browser

Archiviamo piccole preferenze nel tuo browser (ad esempio la conferma di età 18+, le tue preferenze di interfaccia e la sessione di autenticazione gestita da Clerk). Non utilizziamo cookie pubblicitari o analitici di terze parti.

3.6 Dati di pagamento

I piani a pagamento e i pacchetti di Sparks vengono regolati in criptovaluta tramite il nostro processore di pagamenti terzo, NowPayments. NowPayments opera in modo indipendente come titolare del trattamento per il flusso di pagamento sulla propria piattaforma; noi siamo titolari del trattamento per la registrazione della transazione all'interno del Servizio. Le informazioni che riceviamo e archiviamo in relazione a ciascun pagamento sono limitate a:

• un identificativo di fattura o di pagamento NowPayments e il relativo stato (in attesa, confermato, fallito, scaduto);
• la criptovaluta e la rete utilizzate, l'hash della transazione on-chain ove applicabile e l'importo pagato;
• il prezzo equivalente in valuta fiat quotato, il piano o pacchetto acquistato e il relativo accredito applicato all'account;
• timestamp della transazione.

Non riceviamo, attraverso questo flusso, i tuoi dati di carta, i dettagli del conto bancario o documenti d'identità e non eseguiamo controlli Know-Your-Customer (KYC). NowPayments può raccogliere autonomamente ulteriori informazioni ai sensi della propria informativa sulla privacy e delle norme antiriciclaggio applicabili; in tal caso NowPayments è il titolare del trattamento per tali attività.

4. Cosa non raccogliamo

• Non conserviamo dati di carta né strumenti bancari. I piani a pagamento e i pacchetti di Sparks sono regolati in criptovaluta tramite il nostro processore di pagamenti NowPayments (vedi sezioni 3.6 e 7); riceviamo soltanto i metadati di transazione descritti in tali sezioni. Gli Sparks in-app restano token di gioco senza alcun valore monetario o reale.
• Non raccogliamo dati biometrici né documenti d'identità.
• Non incorporiamo tracker pubblicitari di terze parti, pixel social o prodotti analitici che profilano gli utenti tra siti diversi.
• Non raccogliamo consapevolmente alcun dato da soggetti minori di 18 anni (vedi sezione 11).

5. Perché trattiamo i tuoi dati (basi giuridiche)

• Esecuzione di un contratto (GDPR Art. 6(1)(b)): per fornire il Servizio per il quale ti sei registrato, erogare la chat, generare media, persistere il tuo stato.
• Legittimi interessi (GDPR Art. 6(1)(f)): per mantenere il Servizio sicuro, prevenire gli abusi, far rispettare i nostri Termini, effettuare debug e adempiere ai nostri obblighi di legge in materia di contenuti vietati.
• Consenso (GDPR Art. 6(1)(a)): per la conferma di età 18+ e per qualsiasi funzionalità opzionale a cui scegli espressamente di aderire.
• Obbligo legale (GDPR Art. 6(1)(c)): ove siamo tenuti a conservare o divulgare dati, in particolare in risposta a richieste valide delle autorità di pubblica sicurezza relative a contenuti illegali.

6. Come utilizziamo i tuoi dati

• Per erogare l'esperienza di chat e generare i media di IA che richiedi.
• Per far rispettare i nostri Termini e le nostre regole di sicurezza dei contenuti, inclusa la revisione automatizzata e manuale di prompt e output.
• Per investigare sospetti abusi, frodi o violazioni della legge e per cooperare con le autorità ove richiesto dalla legge.
• Per migliorare la qualità del Servizio: debug, monitoring e tuning di modelli e prompt. Non vendiamo i tuoi dati personali.

7. Responsabili del trattamento e sub-responsabili

Ci affidiamo a un piccolo numero di fornitori di fiducia per operare il Servizio. Ciascuno di essi tratta i dati solo su nostre istruzioni, in base ad accordi scritti. L'elenco attuale è:

• Fornitore di autenticazione, gestisce sign-in, credenziali e record di account.
• Fornitore di hosting applicativo ed edge networking - serve il sito web e instrada le richieste.
• Fornitore di database gestito, ospita il nostro database PostgreSQL primario (account, messaggi cifrati a riposo e stato di gioco).
• Fornitore di compute GPU serverless, esegue la pipeline di generazione di immagini, video e audio su macchine sotto il nostro controllo.
• Fornitore di object storage, archivia i media generati e caricati dagli utenti. I media sensibili (ad esempio foto caricate dall'utente) sono cifrati prima del caricamento, così che i byte siano illeggibili senza chiavi in nostro possesso.
• Fornitore/i di API di modelli linguistici, ricevono il testo delle tue conversazioni esclusivamente per produrre una risposta della personalità, in base a contratti enterprise con condizioni di zero-retention / no-training.
• Fornitore di analytics aggregate (Vercel Web Analytics) , fornisce statistiche di traffico aggregate e senza cookie (visualizzazioni di pagina, referrer, paese, tipo di dispositivo). Nessun cookie, nessun localStorage, nessun tracciamento cross-site, nessun fingerprinting del dispositivo.
• Processore di pagamenti in criptovaluta (NowPayments) , gestisce il checkout dei piani a pagamento e dei pacchetti di Sparks. NowPayments agisce come titolare autonomo del trattamento per il flusso di pagamento sulla propria piattaforma; noi riceviamo unicamente i metadati di transazione descritti nella sezione 3.6.

Trattiamo come informazioni commercialmente sensibili l'identità specifica, la versione e la configurazione dei fornitori e modelli terzi alla base del Servizio e non pubblichiamo tali dettagli. Se per ragioni regolatorie o di compliance hai bisogno di sapere se un fornitore specifico tratta i tuoi dati, contattaci a legal@untolds.chat.

I Contenuti Generati dall'Utente, ovvero i messaggi che digiti, i prompt che scrivi, le configurazioni di personalità che crei e i file che carichi - non vengono utilizzati per addestrare alcun modello di IA, né da noi né dai nostri fornitori di modelli. Ci affidiamo a endpoint enterprise con condizioni di zero-retention o no-training. Aggiorneremo questa informativa e notificheremo gli utenti in anticipo nel caso ciò cambi.

I Contenuti Generati dalla Piattaforma, ovvero le risposte delle personalità, le immagini, i video e le clip audio prodotti dal Servizio stesso, sono di proprietà dell'Operatore e sono disciplinati dalla sezione 8 dei Termini di Servizio. L'Operatore può utilizzare testo, immagini e video Generati dalla Piattaforma per qualsiasi finalità, incluso l'addestramento dei modelli. L'audio Generato dalla Piattaforma è trattato come sensibile ed è soggetto alle restrizioni aggiuntive descritte nella sezione 9.

7a. Sistemi di IA utilizzati e disclosure ai sensi dell'AI Act UE

Ai sensi dell'Articolo 50 del Regolamento (UE) 2024/1689 (l'"AI Act UE"), effettuiamo le seguenti disclosure sui sistemi di IA integrati nel Servizio. I corrispondenti obblighi di trasparenza nei confronti degli utenti compaiono anche nei nostri Termini di Servizio (sezione 3.3).

• Tipo di sistema.Untolds è un'applicazione di IA generativa che combina un agente di chat (testo) con generazione di immagini, video brevi e audio. È un sistema di IA a rischio limitato ai sensi dell'AI Act UE — nello specifico, un sistema di IA destinato a interagire con persone fisiche (Art. 50(1)) e un sistema di IA che genera contenuti sintetici di immagini, audio e video (Art. 50(2) e 50(4)). Non è classificato come ad alto rischio ai sensi dell'Allegato III e non effettua riconoscimento delle emozioni, categorizzazione biometrica, social scoring né alcun'altra pratica vietata dall'Articolo 5.
• Categorie di modelli.Le risposte delle personalità sono prodotte da uno o più modelli di IA per finalità generali (GPAI) testuali di terze parti accessibili tramite API. La generazione di immagini, video brevi e audio si basa su una pipeline di modelli di diffusione, image-edit, video e text-to-speech open-weights eseguiti su compute GPU sotto il nostro controllo. Trattiamo come informazioni proprietarie gli identificatori specifici, le versioni dei modelli e la configurazione della pipeline e non li pubblichiamo; le categorie sopra costituiscono l'ampiezza della disclosure pubblica che effettuiamo ai sensi dell'Art. 50.
• Marcatura dei contenuti sintetici.Tutte le immagini, i video e l'audio prodotti dal Servizio sono etichettati nell'interfaccia come generati dall'IA e, ove tecnicamente possibile, sono marcati con segnali di provenienza leggibili da macchina (ad esempio C2PA content credentials o watermark) affinché gli strumenti a valle possano riconoscerli come sintetici. La rimozione od occultamento di tali segnali è vietata dai Termini.
• Supervisione umana e salvaguardie. Input e output passano attraverso filtri di sicurezza stratificati (filtraggio per parole chiave in ingresso, regole di system-prompt, controlli sui tag post-generazione e regole di rifiuto a livello di personalità) progettati per bloccare materiale pedopornografico, sessualizzazione non consensuale di persone reali identificabili, violenza reale e contenuti snuff e bestialità. Tali filtri non possono essere disabilitati dagli utenti.
• Il nostro ruolo: deployer, non fornitore di GPAI. L'Operatore distribuisce, configura e integra modelli GPAI di terze parti e open-weights all'interno del Servizio. L'Operatore non è il fornitore di tali modelli sottostanti ai sensi dell'AI Act. Indirizza eventuali domande o reclami ai sensi dell'AI Act a legal@untolds.chat; inoltreremo al fornitore upstream competente ove appropriato.
• Applicabilità a fasi.I divieti dell'Articolo 5 si applicano dal 2 febbraio 2025 e sono implementati come descritto nella sezione 6 dei Termini di Servizio. Gli obblighi di trasparenza dell'Articolo 50 si applicano dal 2 agosto 2026; le disclosure presenti in questa sezione e nella sezione 3.3 dei Termini sono effettuate in conformità con l'Articolo 50 e, ove la data di applicazione formale non sia ancora raggiunta, in via volontaria.
• Il diritto a una spiegazione (Art. 86) non si applica. L'Articolo 86 dell'AI Act si applica esclusivamente ai sistemi di IA ad alto rischio. Il Servizio non è ad alto rischio, pertanto il diritto AI-Act a una spiegazione individuale di una decisione automatizzata non si applica. I tuoi diritti ai sensi del GDPR, inclusi gli Articoli 15 (accesso) e 21 (opposizione), restano pienamente esercitabili e sono descritti nella sezione 12.
• Alfabetizzazione in materia di IA (Art. 4). L'Operatore e il personale eventualmente coinvolto nella gestione del Servizio possiedono e mantengono un livello sufficiente di alfabetizzazione in materia di IA rispetto ai sistemi utilizzati, ai rischi che essi pongono e alle salvaguardie descritte nella presente informativa e nei Termini.

8. Trasferimenti internazionali

Alcuni dei fornitori sopra indicati hanno sede al di fuori dello Spazio economico europeo, principalmente negli Stati Uniti. Ove i dati siano trasferiti al di fuori del SEE, ci affidiamo alle Clausole contrattuali tipo della Commissione europea e alle salvaguardie supplementari dei fornitori.

9. Conservazione

• Dati dell'account: conservati per la durata del tuo account. Quando elimini il tuo account, cancelliamo o anonimizziamo in modo irreversibile i tuoi dati entro 30 giorni, salvo i casi in cui siamo legalmente tenuti a conservarli più a lungo.
• Contenuti Generati dall'Utente (messaggi, prompt, upload): conservati per la durata del tuo account o fino a quando elimini la relativa conversazione o asset. Cancellati con il tuo account entro 30 giorni.
• Testo, immagini e video Generati dalla Piattaforma (non sensibili): tali output sono di proprietà dell'Operatore e, come descritto nella sezione 8.1 dei Termini di Servizio, possono essere conservati e riutilizzati da noi indipendentemente dal ciclo di vita del tuo account, anche dopo l'eliminazione dello stesso.
• Audio Generato dalla Piattaforma (sensibile): le note vocali e le altre clip audio prodotte dal Servizio sono output sintetici di sintesi vocale; il Servizio non registra, non cattura e non elabora audio dal microfono o dal dispositivo dell'utente. Tali output restano di proprietà dell'Operatore alla pari degli altri Contenuti Generati dalla Piattaforma (vedi sezione 8.2 dei Termini di Servizio) e possono essere utilizzati internamente per qualsiasi finalità, incluso l'addestramento dei modelli. Come carve-out per contenuti sensibili, ci impegniamo volontariamente a non divulgare audio Generato dalla Piattaforma a terze parti diverse dai responsabili del trattamento dell'infrastruttura elencati nella sezione 7, che agiscono su nostre istruzioni; e cancelliamo i file audio associati al tuo account come parte dei tuoi dati utente quando elimini il tuo account, entro la stessa finestra di 30 giorni prevista per i dati dell'account.
• Backup: i backup cifrati possono persistere fino a 30 giorni dopo l'eliminazione prima di essere sovrascritti.
• Registri di sicurezza: ove abbiamo bloccato contenuti o adottato provvedimenti per una violazione dei Termini, possiamo conservare un record minimo (timestamp, identificatore dell'account, motivo) per il tempo necessario a far rispettare le nostre regole.

10. Sicurezza

I messaggi di chat sono cifrati a riposo. Tutto il traffico verso il Servizio è veicolato su TLS. Le credenziali di autenticazione sono gestite da Clerk e non sono mai archiviate da noi in chiaro. Limitiamo l'accesso interno ai dati di produzione a quanto strettamente necessario per operare il Servizio.

Nessun sistema è perfettamente sicuro. Se vieni a conoscenza di una vulnerabilità o di una possibile violazione, contattaci a legal@untolds.chat.

11. Minori

Il Servizio è destinato esclusivamente agli adulti. Devi avere almeno 18 anni per utilizzarlo. Non raccogliamo consapevolmente dati personali da soggetti minori di 18 anni. Se veniamo a conoscenza che un account appartiene a un minore, lo risolveremo, cancelleremo i dati associati e, ove appropriato, segnaleremo alle autorità competenti.

L'età viene attualmente accertata tramite autodichiarazione al cancello di età 18+ e al momento della registrazione; non utilizziamo attualmente sistemi di verifica dell'identità di terze parti né stime biometriche dell'età. Il prodotto è progettato a strati: la vista predefinita del sito web pubblico mostra esclusivamente immagini adatte ad un pubblico generalista, le anteprime di nudo leggero sono fornite sfocate e rivelate solo dopo un tap esplicito sulla singola immagine da parte dell'utente, e i contenuti sessualmente espliciti Generati dalla Piattaforma non vengono mai pubblicati, esistono esclusivamente come output privati all'interno di una chat uno-a-uno con una personalità. Le sezioni 2.1, 2.4 dei Termini di Servizio (idoneità, giurisdizione e controlli parentali) descrivono in dettaglio queste misure e si applicano allo stesso modo al trattamento dei dati ai sensi della presente informativa.

12. I tuoi diritti ai sensi del GDPR

Se ti trovi nel SEE o nel Regno Unito, hai i seguenti diritti relativamente ai tuoi dati personali:

• Accesso (Art. 15), ottenere conferma e copia dei dati che ti riguardano.
• Rettifica (Art. 16), correggere dati inesatti o incompleti.
• Cancellazione (Art. 17), chiederci di eliminare i tuoi dati, fatte salve limitate eccezioni.
• Limitazione (Art. 18), limitare il trattamento dei tuoi dati in circostanze specifiche.
• Portabilità (Art. 20), ricevere i tuoi dati in formato strutturato e leggibile da macchina.
• Opposizione (Art. 21), opporti al trattamento basato sui nostri legittimi interessi.
• Revoca del consenso (Art. 7(3)), in qualsiasi momento, ove ci basiamo sul consenso.
• Reclamoall'autorità nazionale di controllo competente.

Per esercitare uno qualsiasi di questi diritti, scrivi a legal@untolds.chat. Risponderemo entro un mese, come previsto dall'Art. 12(3) GDPR.

Indipendentemente dal GDPR, hai inoltre il diritto, ai sensi dell'Articolo 85 dell'AI Act UE, di presentare reclamo all'autorità nazionale di vigilanza del mercato del tuo Stato membro se ritieni che il Servizio violi l'AI Act. Tale diritto si aggiunge al diritto di reclamo in materia di protezione dei dati sopra indicato.

13. Cookie e tecnologie analoghe

Utilizziamo esclusivamente storage essenziale: la sessione di autenticazione impostata da Clerk, la conferma locale di età 18+ e le tue preferenze in-app. Non impostiamo cookie pubblicitari né cookie analitici di terze parti. La misurazione aggregata del traffico è effettuata da Vercel Web Analytics, che è senza cookie e non scrive sul tuo terminale (vedi sezione 3.4 e la nostra Informativa sui Cookie). Non mostriamo un cookie banner perché non è richiesto alcun consenso per storage strettamente necessario ai sensi della Direttiva ePrivacy UE.

14. Modifiche a questa informativa

Possiamo aggiornare questa informativa di tanto in tanto. Quando apportiamo modifiche sostanziali, aggiorneremo la data di efficacia sopra indicata e, ove richiesto, ti notificheremo via email o in-app prima dell'entrata in vigore della modifica.

15. Policy correlate

Questa Informativa sulla Privacy si affianca agli altri nostri documenti legali. L'indice completo è disponibile su /it/legal. Documenti complementari:

• Termini di Servizio— le regole che disciplinano l'uso del Servizio.
• Informativa sui Cookie— cosa archiviamo nel tuo browser.
• Policy Minori— come limitiamo l'accesso e rispondiamo agli utenti sospettati di essere minorenni.
• Policy di Rimozione dei Contenuti — come chiedere la rimozione di un contenuto.
• Policy sui Contenuti Bloccati — categorie sempre bloccate.
• Policy DMCA / Copyright— procedura di takedown per copyright.
• Policy sui Reclami— come presentare un reclamo e canali di escalation esterni.

16. Contatti

Domande, richieste o reclami: legal@untolds.chat.