Privacy Policy
Ultimo aggiornamento: 25 maggio 2026
Questa è la policy della webapp wara² (l'applicazione cui accedi con un account). Per il sito di marketing toniandrea.it c'è una privacy separata, più snella. Qui i dati sono di più, quindi servono più dettagli.
1. Titolare del trattamento
Andrea Toni
P.IVA: 02196700468
Sede legale: Loc. Lezza 10 F/B, 55036 Pieve Fosciana (LU), Italia
Email: info@toniandrea.it
2. Cosa raccolgo e perché
| Dato | Finalità | Base giuridica | Conservazione |
|---|---|---|---|
| Email + password (hash bcrypt, mai in chiaro) | Identificarti al login, recupero accesso | Esecuzione contratto (Art. 6.1.b) | Fino a cancellazione account |
| Nome visualizzato (opzionale) | Personalizzare l'interfaccia, identificarti se condividi con amici | Esecuzione contratto | Fino a cancellazione |
| Contenuti che scrivi tu: progetti, task, note inbox, idee, lavori, foto, routine, liste spesa | Sono il prodotto stesso. Senza non avrebbe senso usarlo. | Esecuzione contratto | Fino a cancellazione |
| Telegram chat_id (solo se attivi il bot) | Mandarti notifiche push e ricevere messaggi dal bot | Consenso esplicito (Art. 6.1.a) | Fino a revoca o cancellazione |
| Token calendario (se generi il feed ICS) | Servirti un calendario privato pubblico-su-token al tuo Google/Apple Calendar | Consenso esplicito | Fino a revoca dal /profile |
| Tema/preferenze UI | Ricordarmi se preferisci dark/light, quale accento di colore | Esecuzione contratto | Fino a cancellazione |
| Foto/file allegati a lavori e inbox | Documentazione lavori per Coach Field, scarico mentale visivo per inbox | Esecuzione contratto | Fino a cancellazione (delete account rimuove anche i file dal disco) |
Cookie tecnico di sessione (coach_session) |
Tenerti loggato 30 giorni | Strettamente necessario (no consenso richiesto) | 30 giorni o fino a logout |
| Log server (IP, user-agent, path richiesto) | Sicurezza (anti-abuso) e diagnostica errori | Legittimo interesse (Art. 6.1.f) | 30 giorni rotanti |
Tracking di terze parti: ZERO. Niente Google Analytics, niente Meta Pixel, niente Hotjar, niente AdSense. La pagina di login e la dashboard non fanno richieste a server esterni se non per: font Google (caricato anonimamente da CDN), Tailwind CDN (foglio di stile), htmx CDN (libreria UI). Stiamo valutando di self-hostare anche quelli per togliere ogni dipendenza esterna.
3. Con chi condivido i tuoi dati
Con nessun terzo per finalità commerciali. Non vendo, non cedo, non profilo per pubblicità.
Le uniche eccezioni tecniche obbligate:
- Telegram (solo se hai attivato il bot): per mandarti notifiche, Telegram riceve il tuo chat_id e il testo della notifica. Privacy Telegram.
- Anthropic / OpenAI (solo se usi la chat AI in app): il testo che scrivi alla chat viene inviato ai loro server USA per generare la risposta. Non viene usato per training (API enterprise, opt-out by default). Privacy Anthropic · Privacy OpenAI.
- Amici cui condividi voci: se usi le funzioni di condivisione (inbox, task, liste spesa, gruppi), il contenuto specifico che condividi diventa visibile alla persona o al gruppo destinatario. Tu controlli cosa.
4. Dove stanno fisicamente i dati
Su infrastruttura italiana, gestita direttamente dal titolare. Backup giornalieri cifrati. Nessun trasferimento extra-UE per i dati core (account, contenuti). Solo per chiamate AI esplicite (chat, vedi punto 3) c'è trasferimento USA con base giuridica del consenso e Standard Contractual Clauses.
5. I tuoi diritti GDPR
Puoi esercitare tutti i diritti del Regolamento UE 2016/679 in due modi:
- Dal tuo /profile nella webapp: bottone "esporta dati" (in arrivo), bottone "elimina account" (Art. 17 — diritto all'oblio).
- Per email a info@toniandrea.it: accesso (Art. 15), rettifica (Art. 16), cancellazione (Art. 17), portabilità (Art. 20 — esporto JSON), opposizione (Art. 21), reclamo al Garante Privacy italiano (garanteprivacy.it).
Rispondo entro 30 giorni come previsto dalla legge.
6. Cancellazione account
Dal /profile c'è il bottone "elimina account". Richiede di ridigitare la tua email come conferma. Una volta cliccato, vengono cancellati per sempre e in modo definitivo:
- Account utente (email, password hash, profilo, preferenze)
- Tutti i tuoi progetti, task, voci inbox, idee, routine, lavori, liste spesa
- Tutte le condivisioni che hai creato (con amici, in gruppi)
- Foto e file allegati (rimossi dal disco fisicamente)
- Sessioni attive (sei deloggato da tutti i dispositivi)
- Token calendario
L'operazione è irreversibile. Se vuoi solo prendere una pausa, è meglio non usare l'app per un po' invece di cancellarla.
7. Sicurezza
- Password mai in chiaro — solo hash bcrypt (cost factor 12)
- HTTPS obbligatorio (TLS 1.3) ovunque
- Cookie sessione
HttpOnly+SameSite=Lax+Secure - CSRF middleware su tutte le richieste POST/PUT/DELETE
- Foto: accesso protetto da auth + ownership check, niente endpoint pubblici
- Cambio password invalida tutte le sessioni esistenti
- Notifica data breach entro 72h come previsto dal GDPR Art. 33
8. Bambini
wara² non è progettato per minori di 16 anni e non raccoglie consapevolmente dati di minori. Se sei genitore e pensi che tuo figlio abbia creato un account, scrivimi e lo elimino subito.
9. Modifiche
Se cambia qualcosa di sostanziale, ti mando una email all'indirizzo del tuo account. La data in alto riflette sempre l'ultimo aggiornamento.
Contatti: info@toniandrea.it