Informativa sulla privacy

1. Introduzione

La presente Informativa sulla privacy spiega come Launchborn LLC ("noi" o "nostro/a/i/e"), una società costituita ai sensi delle leggi dello Stato del Wyoming, Stati Uniti, raccoglie, utilizza e protegge le informazioni quando l'utente utilizza l'applicazione mobile e il sito web FlatSwipe (collettivamente, il "Servizio").

Accedendo o utilizzando il Servizio, l'utente accetta la raccolta e l'utilizzo delle informazioni in conformità con la presente Informativa sulla privacy. In caso di disaccordo, si prega di non utilizzare il Servizio.

2. Informazioni che raccogliamo

2.1 Informazioni sull'account

Quando l'utente crea un account, raccogliamo il suo indirizzo e-mail e le credenziali di autenticazione tramite il metodo di accesso scelto (codice monouso via e-mail, Google Sign-In o Apple Sign-In). Se l'utente utilizza il Servizio senza effettuare l'accesso, creiamo un identificativo di sessione anonimo.

2.2 Informazioni del profilo

L'utente può fornire informazioni aggiuntive sul profilo, tra cui nome visualizzato, numero di telefono, foto del profilo e metodi di contatto preferiti (Telegram, WhatsApp, Viber o Facebook Messenger). Le foto del profilo caricate vengono elaborate e archiviate nella nostra infrastruttura cloud.

2.3 Dati di verifica dell'identità

Se l'utente sceglie di verificare la propria identità, il nostro fornitore terzo di servizi di verifica Didit può raccogliere:

• Una foto di un documento d'identità rilasciato dal governo (passaporto, carta d'identità nazionale o patente di guida)
• Un selfie per il confronto facciale
• Dati del chip NFC del passaporto (se supportato dal dispositivo dell'utente)
• Dati estratti dal documento (nome, data di nascita, numero del documento)

Questi dati vengono elaborati da Didit sulla loro infrastruttura. Riceviamo esclusivamente lo stato di verifica (approvato o rifiutato) e un identificativo di sessione. Non conserviamo le foto dei documenti d'identità, i selfie o i dettagli dei documenti dell'utente sui nostri server.

2.4 Dati degli annunci

Se l'utente crea un annuncio, raccogliamo le informazioni fornite, tra cui titolo dell'immobile, descrizione, indirizzo, coordinate, prezzo, foto, servizi e altri dettagli della proprietà. Le foto caricate vengono elaborate (ridimensionate e convertite in formato WebP), moderate per la sicurezza dei contenuti e archiviate nell'object storage Cloudflare R2. Vengono distribuite tramite il nostro media CDN basato su Cloudflare, che esegue il ridimensionamento immediato (edge) per fornire immagini di dimensioni appropriate.

2.5 Dati di utilizzo e interazione

Raccogliamo informazioni su come l'utente interagisce con il Servizio, tra cui:

• Azioni di swipe (mi piace, salta) e annunci salvati
• Tocchi sui contatti (quando l'utente visualizza i dettagli di contatto di un proprietario)
• Filtri di ricerca e preferenze
• Pagine e schermate visitate
• Durata e frequenza delle sessioni nell'app

2.6 Dati sulla posizione

Con il permesso dell'utente, raccogliamo la posizione approssimativa per mostrare gli annunci di affitto nelle vicinanze e calcolare le distanze. I dati sulla posizione vengono elaborati tramite i servizi di Google Maps. L'utente può revocare l'accesso alla posizione in qualsiasi momento tramite le impostazioni del proprio dispositivo. Il Servizio resta funzionante senza l'accesso alla posizione, ma le funzionalità basate sulla distanza non saranno disponibili.

2.7 Dati del dispositivo e diagnostici

Raccogliamo automaticamente informazioni sul dispositivo (modello del dispositivo, versione del sistema operativo, identificativi univoci del dispositivo, indirizzo IP) e dati diagnostici (registri degli arresti anomali, metriche di prestazione) per migliorare la stabilità e le prestazioni del Servizio.

Nell'app mobile, i dati diagnostici e analitici vengono elaborati tramite Firebase Analytics e Firebase Crashlytics. Sul web, gli errori dell'applicazione vengono monitorati tramite Sentry (ospitato nell'UE/Germania, con i dati personali rimossi dai report di errore e con Session Replay disabilitato), mentre le analisi web sono fornite da Google Analytics 4 (caricato solo dopo che l'utente ha acconsentito ai cookie analitici).

Elaboriamo l'indirizzo IP dell'utente come parte di questi dati, anche in forma hashed, per finalità di limitazione della frequenza delle richieste e di prevenzione degli abusi.

2.8 Informazioni di pagamento

Gli acquisti di abbonamenti su dispositivi mobili vengono elaborati tramite Apple App Store o Google Play attraverso il nostro partner di gestione degli abbonamenti RevenueCat. Gli acquisti web vengono elaborati tramite Stripe. Non raccogliamo né conserviamo i numeri delle carte di credito o i dati bancari dell'utente. Riceviamo esclusivamente lo stato dell'abbonamento, gli identificativi delle transazioni e i timestamp degli acquisti.

2.9 Cookie e archiviazione locale

Il nostro sito web utilizza cookie essenziali e l'archiviazione locale del browser per le sessioni di autenticazione e le preferenze dell'utente (come la selezione della lingua). Con il consenso dell'utente, utilizziamo anche cookie analitici tramite Google Analytics 4 per comprendere come viene utilizzato il Servizio. I cookie analitici vengono impostati solo dopo che l'utente ha fornito il consenso e possono essere rifiutati o revocati in qualsiasi momento. Non utilizziamo cookie pubblicitari.

3. Come utilizziamo le informazioni dell'utente

Utilizziamo le informazioni raccolte per:

• Fornire, mantenere e migliorare il Servizio
• Personalizzare l'esperienza dell'utente e mostrare annunci pertinenti
• Elaborare le transazioni di abbonamento e gestire l'account dell'utente
• Inviare comunicazioni transazionali (ad es. codici di accesso monouso via e-mail)
• Tradurre automaticamente i contenuti degli annunci nella lingua preferita dell'utente tramite intelligenza artificiale
• Moderare i contenuti generati dagli utenti (testo e immagini) per la conformità alle policy tramite intelligenza artificiale
• Rilevare e raggruppare annunci duplicati per una migliore esperienza utente
• Monitorare e analizzare le tendenze di utilizzo e le prestazioni dell'app
• Rilevare e prevenire frodi, abusi e incidenti di sicurezza
• Adempiere agli obblighi di legge

4. IA ed elaborazione automatizzata

Utilizziamo l'intelligenza artificiale per elaborare determinati contenuti generati dagli utenti:

4.1 Moderazione dei contenuti

I testi degli annunci (titoli, descrizioni) e le immagini caricate vengono automaticamente analizzati per verificare la conformità alle policy tramite i modelli di moderazione di OpenAI. I contenuti segnalati possono essere automaticamente rifiutati. L'utente può contattarci per richiedere una revisione manuale di qualsiasi decisione di moderazione automatizzata.

4.2 Traduzione automatica

I contenuti degli annunci e le informazioni del profilo utente possono essere tradotti automaticamente in più lingue utilizzando i modelli linguistici di OpenAI per rendere il Servizio accessibile agli utenti di diverse regioni. I contenuti originali dell'utente vengono inviati all'API di OpenAI per l'elaborazione della traduzione.

4.3 Rilevamento dei duplicati

Utilizziamo sistemi automatizzati per rilevare e raggruppare annunci duplicati o quasi duplicati in base alle coordinate di posizione, ai prezzi e ad altri attributi degli annunci. Ciò viene fatto per migliorare la qualità della ricerca e non comporta la condivisione di dati con terze parti.

Ai sensi delle leggi applicabili sulla protezione dei dati (incluso l'articolo 22 del GDPR), l'utente ha il diritto di richiedere una revisione umana di qualsiasi decisione presa esclusivamente mediante elaborazione automatizzata che lo riguardi in modo significativo. Per esercitare tale diritto, contattarci all'indirizzo indicato di seguito.

5. Condivisione delle informazioni

Non vendiamo le informazioni personali dell'utente. Condividiamo le informazioni con le seguenti categorie di fornitori di servizi, ciascuno dei quali elabora i dati esclusivamente per le finalità descritte:

5.1 Infrastruttura e database

• Google Firebase (Google Cloud Platform) — autenticazione, database (Firestore), funzioni serverless e archiviazione file legacy. I dati sono ospitati nell'UE (europe-west4, Paesi Bassi).
• Cloudflare — object storage delle immagini (R2), distribuzione dei media tramite Workers e CDN (incluso il ridimensionamento immediato edge e il proxy dei tile delle mappe) ed elaborazione asincrona delle immagini (Queues). Le immagini caricate vengono memorizzate nella cache sulla rete edge globale di Cloudflare per una distribuzione rapida.

5.2 Pagamenti e abbonamenti

• RevenueCat — gestione del ciclo di vita degli abbonamenti, convalida degli acquisti e fatturazione web (RevenueCat Web Billing) sulle piattaforme mobili e web.
• Stripe — il processore di pagamento alla base di RevenueCat Web Billing per gli abbonamenti web. Stripe riceve direttamente i dettagli del metodo di pagamento ed è un processore certificato PCI DSS Livello 1.
• Apple App Store — elabora gli acquisti in-app degli abbonamenti su iOS e gestisce la distribuzione dell'app.
• Google Play — elabora gli acquisti in-app degli abbonamenti su Android e gestisce la distribuzione dell'app.

5.3 Verifica dell'identità

• Didit — verifica dei documenti d'identità e riconoscimento facciale per il badge opzionale "Verificato". Didit elabora i dati biometrici ai sensi della propria informativa sulla privacy. Riceviamo esclusivamente lo stato di verifica.

5.4 IA ed elaborazione dei contenuti

• OpenAI — moderazione dei contenuti testuali e delle immagini e traduzione multilingue dei contenuti degli annunci. I testi e le immagini generati dagli utenti vengono inviati all'API di OpenAI per l'elaborazione. La moderazione delle immagini viene eseguita all'edge di Cloudflare (all'interno del nostro media worker) tramite OpenAI prima che un'immagine venga pubblicata. La policy sull'utilizzo dei dati dell'API di OpenAI prevede che gli input dell'API non vengano utilizzati per l'addestramento dei modelli.
• OpenRouter — instradamento delle richieste verso modelli di IA, utilizzato come fornitore di riserva per la moderazione e la traduzione dei contenuti e per la generazione di bozze di annunci negli strumenti di amministrazione. I testi e le immagini generati dagli utenti possono essere trasmessi a OpenRouter, che inoltra la richiesta a uno dei vari fornitori di modelli sottostanti (inclusi OpenAI, Google e altri).

5.5 Invio di e-mail

• Resend — invio di e-mail transazionali (codici di accesso monouso). Resend riceve l'indirizzo e-mail dell'utente esclusivamente per inviare e-mail di autenticazione per nostro conto.

5.6 Mappe e posizione

• Google Maps Geocoding API — reverse-geocoding lato server delle coordinate degli annunci in indirizzi leggibili. Questa operazione viene eseguita dal nostro backend; il dispositivo dell'utente non contatta direttamente Google per questo scopo.
• Cloudflare (proxy dei tile delle mappe) — sul web, i tile delle mappe vengono distribuiti tramite il nostro proxy Cloudflare (con Google come fonte upstream dei tile), in modo che l'indirizzo IP dell'utente non venga inviato direttamente a Google durante la visualizzazione delle mappe pubbliche.
• Apple Maps (iOS) e Google Maps (Android) — rendering nativo delle mappe nell'app mobile. Quando si utilizzano le funzionalità delle mappe, la posizione approssimativa dell'utente può essere trasmessa al rispettivo fornitore di mappe per la propria piattaforma.

5.7 Dati valutari

• Open Exchange Rates — tassi di conversione valutaria aggiornati periodicamente. Nessun dato dell'utente viene condiviso con questo servizio.

5.8 Protezione dai bot e prevenzione degli abusi

• Cloudflare Turnstile — protezione dai bot sul web e attestazione per Firebase App Check tramite scambio di token.
• Firebase App Check — attestazione dell'app su dispositivi mobili tramite Apple App Attest (iOS) e Google Play Integrity (Android).
• Google reCAPTCHA — prevenzione degli abusi per la verifica del numero di telefono.

Questi servizi ricevono l'indirizzo IP dell'utente e segnali relativi al suo dispositivo o browser al fine di distinguere gli utenti legittimi dal traffico automatizzato.

5.9 Monitoraggio degli errori e analisi

• Sentry — monitoraggio degli errori dell'applicazione per il web (ospitato nell'UE, con i dati personali rimossi dai report di errore).
• Google Analytics 4 — analisi dell'utilizzo web, caricato solo dopo che l'utente ha acconsentito ai cookie analitici.
• Firebase Analytics / Crashlytics — analisi dell'utilizzo e diagnostica degli arresti anomali per l'app mobile.

5.10 Obblighi di legge

Potremmo divulgare le informazioni dell'utente se richiesto dalla legge, o nella convinzione in buona fede che tale azione sia necessaria per adempiere a procedimenti legali, proteggere i nostri diritti o la nostra sicurezza, o indagare su potenziali violazioni dei nostri Termini di servizio.

5.11 Trasferimenti aziendali

In caso di fusione, acquisizione o vendita di attività, le informazioni dell'utente possono essere trasferite nell'ambito di tale transazione. Informeremo l'utente di qualsiasi tale modifica.

6. Conservazione dei dati

Conserviamo diversi tipi di dati per periodi differenti:

• Dati dell'account — conservati per tutta la durata dell'account attivo.
• Dati e foto degli annunci — conservati finché l'annuncio è attivo. Gli annunci disattivati e le foto associate vengono eliminati entro 30 giorni.
• Dati di interazione (swipe, tocchi sui contatti) — conservati fino a 12 mesi per finalità analitiche, quindi aggregati e resi anonimi.
• Verifica dell'identità — conserviamo esclusivamente lo stato di verifica. I dati biometrici sono detenuti e cancellati da Didit secondo la loro politica di conservazione.
• Registri di pagamento — gli identificativi delle transazioni e lo stato degli abbonamenti vengono conservati per il periodo richiesto dalle leggi fiscali e contabili applicabili.

Se l'utente richiede la cancellazione dell'account, elimineremo i suoi dati personali entro 30 giorni, salvo nei casi in cui siamo tenuti a conservarli per finalità legali o regolamentari. I dati analitici anonimi e aggregati possono essere conservati a tempo indeterminato.

7. Diritti dell'utente

A seconda della giurisdizione, l'utente può avere il diritto di:

• Accedere ai dati personali in nostro possesso
• Richiedere la correzione di informazioni inesatte
• Richiedere la cancellazione del proprio account e dei dati personali
• Richiedere la portabilità dei propri dati in un formato leggibile da dispositivo automatico
• Revocare il consenso alla raccolta dei dati sulla posizione in qualsiasi momento
• Opporsi o richiedere la limitazione di determinati trattamenti di dati
• Richiedere una revisione umana delle decisioni automatizzate che lo riguardano (si veda la Sezione 4)
• Presentare un reclamo all'autorità locale per la protezione dei dati

Per esercitare uno qualsiasi di questi diritti, contattarci all'indirizzo indicato di seguito. Risponderemo alla richiesta entro 30 giorni.

8. Sicurezza dei dati

Implementiamo misure tecniche e organizzative conformi agli standard del settore per proteggere le informazioni dell'utente, tra cui:

• Trasmissione dei dati crittografata (TLS) per tutte le comunicazioni
• Firebase Security Rules che applicano il controllo degli accessi basato sulla proprietà
• Autenticazione e autorizzazione lato server per tutti gli endpoint API
• Limitazione della frequenza delle richieste per operazioni sensibili (autenticazione, moderazione)
• Verifica della firma HMAC per tutti i webhook in entrata
• Segreti gestiti tramite Google Cloud Secret Manager
• Immagini degli annunci archiviate in un bucket Cloudflare R2 privato, accessibile esclusivamente tramite il nostro media proxy autenticato — il bucket stesso non espone alcun URL pubblico
• Indirizzi IP in forma hashed per la limitazione della frequenza delle richieste e la prevenzione degli abusi

Tuttavia, nessun metodo di trasmissione elettronica o archiviazione è sicuro al 100% e non possiamo garantire una sicurezza assoluta.

9. Privacy dei minori

Il Servizio non è destinato a persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente informazioni personali da minori. Se veniamo a conoscenza di aver raccolto informazioni personali da un minore di 18 anni, adotteremo misure per eliminare tempestivamente tali dati.

10. Trasferimenti internazionali di dati

Il nostro database principale e la nostra infrastruttura cloud sono ospitati nell'Unione Europea (Paesi Bassi) tramite Google Cloud Platform. Tuttavia, alcuni dei nostri fornitori di servizi elaborano i dati in altre giurisdizioni:

• Cloudflare (rete edge globale; regione di archiviazione R2 impostata su "auto") — per l'archiviazione delle immagini e la distribuzione dei media
• OpenAI (Stati Uniti) — per la moderazione dei contenuti e la traduzione
• OpenRouter (Stati Uniti) — per l'instradamento verso modelli di IA (moderazione di riserva, traduzione e generazione di bozze)
• Stripe (Stati Uniti) — per l'elaborazione dei pagamenti
• RevenueCat (Stati Uniti) — per la gestione degli abbonamenti
• Resend (Stati Uniti) — per l'invio di e-mail

Utilizzando il Servizio, l'utente acconsente al trasferimento delle proprie informazioni a questi fornitori. Garantiamo che tutti i trasferimenti vengano effettuati con adeguate misure di protezione, incluse le clausole contrattuali standard ove richiesto dalla legge applicabile.

11. Modifiche alla presente informativa

Potremmo aggiornare la presente Informativa sulla privacy di volta in volta. Informeremo l'utente di modifiche sostanziali pubblicando l'informativa aggiornata su questa pagina e aggiornando la "Data di entrata in vigore" sopra indicata. L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione dell'informativa rivista.

Contattaci

Per domande o dubbi relativi alla presente Informativa sulla privacy, contattarci: