Informativa sulla privacy
10 Minuten Coaching — Ultimo aggiornamento: aprile 2026
1. Titolare del trattamento
XD Consulting GmbH
Marchfeldstraße 17/2/25
1200 Vienna
Austria
Oggetto sociale: servizi nel settore dell'elaborazione automatica dei dati e delle tecnologie dell'informazione
Numero del registro delle imprese: FN 612534k
Foro / registro delle imprese: Tribunale del Commercio di Vienna
Partita IVA intracomunitaria: ATU79850859
GLN: 9110010394455
GISA: 26538570, 34919811
E-mail:
2. Panoramica dei trattamenti
| Categoria di dati | Dati concreti | Finalità | Base giuridica |
|---|---|---|---|
| Dati di profilo | Nome, fascia d'età , genere, professione, fase di vita, obiettivi, sfida principale, motivazioni, esperienza nel coaching | Personalizzazione del coaching | Art. 6, par. 1, lett. b) GDPR (esecuzione del contratto) |
| Dati di sessione | Storico delle conversazioni, riepiloghi delle sessioni, indicatori dell'umore | Svolgimento e contestualizzazione delle sessioni di coaching | Art. 6, par. 1, lett. b) GDPR (esecuzione del contratto) |
| Identificativo dispositivo | identifierForVendor (UUID specifico del fornitore) | Limitazione del traffico (rate limiting) per prevenire abusi | Art. 6, par. 1, lett. f) GDPR (interesse legittimo) |
| Dati di abbonamento | Stato dell'abbonamento (Free/Pro), verifica delle transazioni tramite StoreKit | Erogazione della prestazione acquistata | Art. 6, par. 1, lett. b) GDPR (esecuzione del contratto) |
| Dati di consenso | Marca temporale del consenso all'informativa privacy e al disclaimer | Prova del consenso | Art. 6, par. 1, lett. c) GDPR (obbligo legale) |
| Dati di utilizzo | Contatore della serie (streak), data dell'ultima sessione | Funzioni motivazionali nell'app | Art. 6, par. 1, lett. b) GDPR (esecuzione del contratto) |
| Dati di attestazione | Identificativo dispositivo, chiave crittografica pubblica (EC P-256), contatore delle firme, ricevuta Apple, identificativo della chiave, ambiente del dispositivo | Verifica di integrità del dispositivo (App Attest) per la protezione contro abusi delle API | Art. 6, par. 1, lett. f) GDPR (interesse legittimo) |
3. Categorie particolari di dati (art. 9 GDPR)
Nel corso delle sessioni di coaching potete condividere volontariamente informazioni qualificabili come categorie particolari di dati personali — in particolare indicatori dell'umore e contenuti di coaching che potrebbero consentire deduzioni sul vostro stato di salute.
Il trattamento di tali dati avviene esclusivamente sulla base del vostro consenso esplicito ai sensi dell'art. 9, par. 2, lett. a) GDPR. Tale consenso viene prestato al primo utilizzo dell'app e può essere revocato in qualsiasi momento (vedi sezione 9).
4. Memorizzazione locale
I vostri dati di profilo, gli storici delle sessioni e i riepiloghi vengono memorizzati localmente sul vostro dispositivo (SwiftData). Non avviene alcuna memorizzazione lato server dei contenuti di coaching. Mantenete il pieno controllo dei vostri dati e potete eliminarli in qualsiasi momento dalle impostazioni dell'app.
5. Backup iCloud
Se il backup iCloud è attivato sul vostro dispositivo, i dati dell'app memorizzati localmente possono essere inclusi in un backup del dispositivo nel vostro iCloud. Tale backup è avviato dall'utente ed è protetto dalla crittografia end-to-end di Apple. Per il trattamento dei dati da parte di Apple si applicano le relative informative privacy.
6. Comunicazione con le API
Quando svolgete una sessione di coaching, vengono trasmessi tramite connessione cifrata (HTTPS/TLS) i seguenti dati:
- App → Supabase Edge Function (UE / Francoforte): messaggi della conversazione (system prompt e ultimi 40 messaggi), identificativo del dispositivo (per rate limiting e attestazione), versione dell'app, firma App Attest e identificativo della chiave
- Supabase → API OpenAI (USA): messaggi della conversazione (senza identificativo del dispositivo, senza versione dell'app, senza dati di attestazione)
L'identificativo del dispositivo viene utilizzato esclusivamente per il rate limiting lato server e per la verifica di integrità e non viene trasmesso a OpenAI. La versione dell'app e i dati di attestazione vengono rimossi prima della trasmissione a OpenAI.
OpenAI non utilizza i dati trasmessi tramite API per addestrare i propri modelli (in conformità con l'API data usage policy di OpenAI). OpenAI conserva le richieste API per un massimo di 30 giorni a fini di rilevamento abusi.
Sintesi vocale (TTS): le risposte di coaching possono essere riprodotte come audio in via opzionale. Il testo della risposta viene trasmesso tramite la Supabase Edge Function all'API TTS di OpenAI. Si applicano le stesse misure di protezione previste per la comunicazione di chat (nessun identificativo dispositivo a OpenAI, trasmissione cifrata).
App Attest (verifica di integrità ): al primo avvio dell'app viene generata sul vostro dispositivo, tramite il servizio App Attest di Apple (DeviceCheck), una chiave crittografica. Apple verifica l'integrità del dispositivo e dell'installazione. L'oggetto di attestazione risultante viene trasmesso alla nostra Supabase Edge Function e ivi verificato. Ad ogni successiva richiesta API viene allegata una firma crittografica (assertion) per garantire l'autenticità della richiesta. La chiave privata rimane in ogni caso nella Secure Enclave del dispositivo. L'identificativo della chiave è memorizzato nel keychain di iOS (protetto da hardware, escluso dai backup).
7. Destinatari e trasferimenti extra UE
| Destinatario | Finalità | Ubicazione | Garanzie |
|---|---|---|---|
| Apple Inc. | Distribuzione dell'app, acquisti in-app (verifica delle transazioni e gestione dei pagamenti tramite StoreKit), backup iCloud, App Attest (tramite DeviceCheck) | USA | EU-US Data Privacy Framework (DPF) |
| Supabase Inc. | Edge Function proxy (tramite API, rate limiting); database PostgreSQL (credenziali di attestazione, contatori di rate limit) | UE (Francoforte) | Trattamento nell'UE; Clausole Contrattuali Tipo (CCT) |
| OpenAI Inc. | Modello linguistico IA per le risposte di coaching | USA | EU-US Data Privacy Framework (DPF); Clausole Contrattuali Tipo (CCT); nessun utilizzo dei dati API per l'addestramento dei modelli |
| Hostinger International Ltd. | Hosting web e DNS per il sito 10minutes.app (log del server con indirizzi IP, marche temporali, pagine visitate) | Lituania / UE | Trattamento nell'UE; contratto di responsabile esterno (DPA) |
Con Supabase, OpenAI e Hostinger sono stati stipulati contratti di responsabile esterno (DPA) ai sensi dell'art. 28 GDPR.
8. Tempi di conservazione
- Dati locali (profilo, sessioni, riepiloghi): fino alla cancellazione da parte dell'utente nelle impostazioni dell'app o disinstallazione della stessa.
- Challenge di attestazione (identificativo dispositivo + nonce): massimo 5 minuti nel database PostgreSQL di Supabase, cancellazione automatica.
- Credenziali di attestazione (identificativo dispositivo, chiave pubblica, contatore, ricevuta): massimo 90 giorni nel database PostgreSQL di Supabase, cancellazione automatica. In caso di reinstallazione le credenziali esistenti sono sostituite.
- Dati di rate limiting (identificativo dispositivo + contatore): massimo 48 ore nel database PostgreSQL di Supabase, cancellazione automatica.
- Log API OpenAI: massimo 30 giorni, cancellazione automatica da parte di OpenAI.
- Marche temporali del consenso: memorizzate localmente, fino alla cancellazione dei dati dell'app.
Tutti i dati memorizzati lato server sono pseudonimizzati (associazione esclusivamente tramite identificativo del dispositivo) e cancellati automaticamente alla scadenza del relativo termine. Non è possibile la cancellazione manuale di singoli record lato server, in quanto non esiste un account utente. La disinstallazione e la reinstallazione dell'app generano un nuovo identificativo del dispositivo, di modo che i dati server precedenti non sono più riconducibili a un dispositivo e vengono automaticamente eliminati alla scadenza dei termini.
9. I vostri diritti (artt. 15–22 GDPR)
Vi spettano i seguenti diritti sui vostri dati personali:
- Diritto di accesso (art. 15): potete chiedere informazioni sui vostri dati.
- Diritto di rettifica (art. 16): potete chiedere la correzione di dati inesatti. I dati di profilo sono modificabili direttamente nell'app.
- Diritto alla cancellazione (art. 17): potete chiedere la cancellazione dei vostri dati. I dati locali possono essere cancellati direttamente dalle impostazioni dell'app.
- Diritto di limitazione del trattamento (art. 18).
- Diritto alla portabilità (art. 20): potete richiedere i vostri dati in formato strutturato e leggibile da dispositivo automatico.
- Diritto di opposizione (art. 21): potete opporvi al trattamento basato sull'interesse legittimo.
- Diritto di revoca del consenso: i consensi prestati possono essere revocati in qualsiasi momento, con effetto per il futuro.
Per esercitare i vostri diritti contattateci all'indirizzo .
Diritto di reclamo: avete il diritto di proporre reclamo all'autorità di controllo competente. In Italia: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it. L'autorità di controllo principale del titolare è l'autorità austriaca per la protezione dei dati (Datenschutzbehörde), Barichgasse 40–42, 1030 Vienna, www.dsb.gv.at.
10. Sito web (10minutes.app)
Quando visitate il nostro sito web, l'host (Hostinger) registra automaticamente nei file di log del server i seguenti dati:
- Indirizzo IP (anonimizzato o completo, a seconda della configurazione del server)
- Data e ora dell'accesso
- Pagina visitata (URL)
- URL di provenienza (referrer)
- Browser e sistema operativo utilizzati
- Volume di dati trasferito
Il trattamento si basa sull'art. 6, par. 1, lett. f) GDPR (interesse legittimo alla fornitura tecnica e alla sicurezza del sito). I log del server vengono cancellati automaticamente dopo un massimo di 30 giorni. Il sito non utilizza cookie né strumenti di tracciamento.
11. Cookie e tracciamento
L'app e il sito web non utilizzano cookie, né strumenti di analisi, né SDK pubblicitari, né SDK di tracciamento di terze parti. Non viene effettuato alcun tracciamento del comportamento di utilizzo.
12. Processo decisionale automatizzato
Le risposte di coaching generate dall'IA non costituiscono decisioni automatizzate ai sensi dell'art. 22 GDPR che producano effetti giuridici nei vostri confronti o vi incidano in modo analogo significativo. Le risposte servono unicamente come spunti di coaching e non hanno carattere vincolante.
13. Sicurezza dei dati
Adottiamo le seguenti misure tecniche per proteggere i vostri dati:
- iOS Data Protection (cifratura hardware dei dati locali)
- Trasmissione cifrata tramite HTTPS/TLS
- Nessuna memorizzazione lato server dei contenuti di coaching
- L'identificativo del dispositivo non viene trasmesso al fornitore di IA
- Limitazione lato server del numero di messaggi (massimo 40 per richiesta)
- Apple App Attest: verifica crittografica di integrità con firme ECDSA (Secure Enclave)
- Protezione anti-replay tramite contatori di firma monotoni a ogni richiesta API
- Protocollo challenge-response per impedire la falsificazione delle attestazioni
- Memorizzazione sicura delle chiavi nel keychain di iOS (protezione hardware, esclusa dai backup)
14. Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare la presente informativa per adeguarla a evoluzioni normative o modifiche dell'app. La versione vigente è sempre disponibile a questo indirizzo. Le modifiche sostanziali vi saranno comunicate tramite un aggiornamento dell'app.
15. Contatti
Per domande sulla protezione dei dati: