Informativa sulla Privacy dell'App
Stato: Marzo 2026
Avviso Importante – Traduzione
Questo testo è una traduzione automatica fornita per vostra comodità. Non è legalmente vincolante.
Le versioni legalmente vincolanti di questa Informativa sulla Privacy sono disponibili su:
Tedesco – per gli utenti la cui lingua dell’app è impostata su tedesco: alma-app.eu/datenschutz
Inglese – per tutti gli altri utenti: alma-app.eu/privacy
Se qualcosa in questa traduzione differisce dalla versione tedesca o inglese, la versione vincolante applicabile prevale. Se non siete sicuri di quale versione vi applica, si applica la versione inglese.
Fatti Chiave a Colpo d’Occhio
Chi Sono: Bastian Matzen / Alma Softwareentwicklung (Ditta Individuale), Kienitzer Str. 113, 12049 Berlino, Germania. Contatto: privacy@alma-app.eu | www.alma-app.eu
I Vostri Dati Con Me:
✅ Sicuro: Archiviazione crittografata esclusivamente all’interno dell’UE (Francoforte sul Meno).
✅ Privato: Nessun trasferimento di dati a terzi (se non ai vostri contatti di emergenza in caso di emergenza).
✅ Volontario: I dati sulla salute e molti altri dettagli sono completamente facoltativi.
✅ Controllato: Potete visualizzare, modificare o eliminare tutto in qualsiasi momento.
✅ Trasparente: Nessun utilizzo nascosto dei dati, nessuna vendita dei vostri dati.
I Vostri Diritti: Accesso, rettifica, cancellazione, portabilità dei dati, opposizione, revoca del consenso – il tutto possibile in qualsiasi momento.
I reclami possono essere presentati a: Responsabile della protezione dei dati e libertà di informazione di Berlino (datenschutz-berlin.de). Gli utenti nello SEE possono anche contattare l’autorità di vigilanza del loro paese di residenza abituale. Gli utenti nel Regno Unito possono contattare l’Ufficio del Commissario per le Informazioni (ico.org.uk). Gli utenti in Svizzera possono contattare il Commissario federale per la protezione dei dati e l’informazione (FDPIC).
1. Titolare del Trattamento e Contatto
Sono il titolare dei dati responsabile del trattamento dei dati nel contesto dell’app Alma, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), del Regolamento sulla protezione dei dati del Regno Unito (UK GDPR), della Legge federale sulla protezione dei dati svizzera (FADP/DSG) e altre leggi sulla protezione dei dati vigenti:
Bastian Matzen Alma Softwareentwicklung (Ditta Individuale) Kienitzer Str. 113 12049 Berlino Germania
Opzioni di Contatto Per domande sulla privacy (preferite): privacy@alma-app.eu
Per supporto tecnico: support@alma-app.eu
Sito Web: www.alma-app.eu
1a. Rappresentante nel Regno Unito
In conformità all’articolo 27 dell’UK GDPR, abbiamo nominato il seguente rappresentante nel Regno Unito per le questioni sulla protezione dei dati:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Panoramica dell’App e Delle Sue Funzioni
Alma è un’app per la sicurezza personale e la comunicazione con due funzioni principali:
2.1 Alma Safety Net (Solo con Abbonamento Connect+)
Controlli di sicurezza automatici in finestre temporali definite.
Notifica automatica dei vostri contatti di emergenza se un controllo viene saltato.
Trasferimento facoltativo di informazioni sulla posizione e sulla salute in caso di emergenza.
2.2 Alma Moments (Gratuito)
Rete sociale per condividere momenti con fino a 30 contatti.
Post automatico nel feed social se un controllo viene saltato (se abilitato).
Richiesta della conferma reciproca dell’amicizia.
2.3 Età Minima
L’utilizzo dell’app Alma è consentito a persone di età 16 anni e superiore. Le persone di età inferiore a 16 anni non possono utilizzare l’app. Registrandosi, confermate di avere almeno 16 anni.
3. Quali Dati Vengono Trattati?
3.1 Dati Obbligatori Alla Registrazione
Per utilizzare l’app, ho bisogno dei seguenti dati (Base giuridica: Art. 6(1)(b) GDPR – Esecuzione di un contratto):
Indirizzo e-mail – per la creazione dell’account, la comunicazione e il ripristino della password.
Password – memorizzata in forma crittografata e utilizzata per la sicurezza dell’account.
Nome – per la personalizzazione e la visualizzazione ai vostri contatti.
Cognome – per l’identificazione completa.
3.2 Dati di Profilo Facoltativi
Potete fornire volontariamente i seguenti dati (Base giuridica: Art. 6(1)(a) GDPR – Consenso):
Foto del profilo – per la personalizzazione e le funzioni social.
Data di nascita – per la verifica dell’età.
Numero di telefono – come metodo di contatto alternativo.
Indirizzo – per le informazioni di emergenza.
Biografia – per le funzioni social.
Città – per le funzioni social e la ricerca.
3.3 Dati Sulla Salute (Solo Connect+, Completamente Facoltativo)
Queste categorie speciali di dati secondo l’Art. 9 GDPR sono trattate solo con vostro consenso esplicito.
Dati raccolti: Gruppo sanguigno, allergie, farmaci, condizioni mediche, animali domestici, informazioni sulla chiave di casa, altre informazioni di emergenza.
Base giuridica: Art. 9(2)(a) GDPR (Consenso esplicito).
Sicurezza: Questi dati sono archiviati utilizzando la crittografia AES-256 e trasmessi solo ai vostri contatti di emergenza confermati in caso di emergenza.
3.4 Dati di Localizzazione (Facoltativo)
Il tracciamento della posizione è completamente facoltativo e può funzionare in tre modalità (Base giuridica: Art. 6(1)(a) GDPR – Consenso):
Salva al Controllo – La posizione viene catturata manualmente solo al controllo.
Invia Sempre – La posizione viene aggiornata in background. Tecnicamente, viene salvata solo l’ultima posizione nota; la precedente viene sovrascritta.
Disabilitato – Nessuna posizione viene catturata o condivisa.
Nota: I dati di localizzazione vengono eliminati automaticamente dopo 30 giorni di inattività.
3.5 Dati di Controllo
Durante i controlli vengono catturati i seguenti dati:
Ora del controllo – per il monitoraggio della sicurezza (Conservazione: 90 giorni per Connect+).
Informazioni sul dispositivo – per l’analisi degli errori (Conservazione: 90 giorni).
Ultima posizione nota – per le notifiche di emergenza (Conservazione: max. 30 giorni, sovrascritto).
3.6 Dati Sociali (Alma Moments)
Quando si utilizzano le funzioni social, vengono trattati i seguenti dati: Post (testo, immagini, video), commenti, mi piace, connessioni ed emoji emoticons.
Base giuridica: Art. 6(1)(b) GDPR (Esecuzione di contratto per fornire funzioni social) e Art. 6(1)(a) GDPR (per contenuto volontario).
3.7 Dati Tecnici
Per il funzionamento dell’app vengono trattati i seguenti dati tecnici:
Tipo di dispositivo e SO – per l’ottimizzazione dell’app e l’analisi degli errori (Base giuridica: Art. 6(1)(f) GDPR).
Versione dell’app – per il supporto e gli aggiornamenti (Base giuridica: Art. 6(1)(f) GDPR).
Token FCM – per le notifiche push (Base giuridica: Art. 6(1)(b) GDPR).
Fuso orario – per l’ora di controllo corretta (Base giuridica: Art. 6(1)(b) GDPR).
File di log del server – per la sicurezza dell’infrastruttura e la difesa dagli attacchi (Base giuridica: Art. 6(1)(f) GDPR).
3.8 Comunicazione di Marketing (Facoltativo)
Solo se avete dato il consenso durante la registrazione o successivamente nelle impostazioni selezionando la casella, tratterò il vostro indirizzo e-mail e il vostro nome per inviare suggerimenti, notizie dell’app e aggiornamenti (Newsletter).
Base giuridica: Art. 6(1)(a) GDPR (Consenso).
Annulla iscrizione: Potete annullare l’iscrizione in qualsiasi momento tramite il link di annullamento in ogni e-mail o nelle impostazioni di notifica dell’app. Il ritiro del consenso non incide sulla liceità del trattamento basato sul consenso prima del ritiro.
4. Finalità del Trattamento dei Dati
Tratto i vostri dati per i seguenti scopi:
Esecuzione del Contratto (Art. 6(1)(b) GDPR): Fornitura dell’app, controlli, avvisi, gestione dell’abbonamento.
Consenso (Art. 6(1)(a) GDPR): Dati sulla salute, condivisione della posizione, informazioni di profilo facoltative, marketing.
Interessi Legittimi (Art. 6(1)(f) GDPR): Prevenzione delle frodi, sicurezza tecnica, risoluzione dei problemi.
Obblighi Legali (Art. 6(1)(c) GDPR): Obblighi di conservazione, richieste da parte delle autorità.
Nota sul Processo Decisionale Automatizzato: Non avviene alcun processo decisionale automatizzato o profilazione ai sensi dell’Art. 22 GDPR che produce effetti legali che vi riguardano. L’attivazione degli allarmi si basa esclusivamente su finestre temporali e regole (logica If-Then) definite personalmente da voi.
5. Destinatari dei Dati e Responsabili del Trattamento
5.1 Fornitori di Servizi
Lavoro con i seguenti fornitori di servizi per gestire l’app:
Google Firebase (Google Ireland Ltd.) – per hosting, database e autenticazione. Ubicazione: Francoforte sul Meno (europe-west3). Garanzia sulla protezione dei dati: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – per la gestione dell’abbonamento (dati trattati: stato dell’abbonamento, ora di acquisto, ID utente app pseudonimo, metadati delle transazioni). Ubicazione: USA (AWS). Garanzia sulla protezione dei dati: EU Standard Contractual Clauses (SCCs), DPA. Per i trasferimenti dal Regno Unito: UK International Data Transfer Agreement (IDTA) o UK Addendum alle EU SCCs. Per i trasferimenti dalla Svizzera: conformità ai requisiti FADP/DSG.
Mailgun (Sinch) – per la consegna della posta. Ubicazione: UE. Garanzia sulla protezione dei dati: DPA, conforme a GDPR.
Algolia – per la ricerca di utenti. Ubicazione: UE. Garanzia sulla protezione dei dati: DPA, conforme a GDPR.
5.2 Trasferimento di Dati Condizionale (Canali di Notifica)
Il trasferimento a questi servizi avviene solo se il vostro contatto di emergenza sceglie esplicitamente questi canali:
Meta (WhatsApp Cloud API) – solo se WhatsApp è scelto dal contatto. Meta è certificata secondo l’EU-US Data Privacy Framework. Per i trasferimenti dal Regno Unito, si applica inoltre l’UK Extension all’EU-US DPF.
Telegram – L’utilizzo di Telegram avviene solo se il vostro contatto di emergenza sceglie attivamente questo canale. In questo caso, il vostro contatto acconsente direttamente al trattamento dei dati da parte di Telegram (potenzialmente su server al di fuori dell’UE).
5.3 Nessun Trasferimento di Dati a Terzi
I vostri dati non vengono venduti.
Nessun trasferimento per scopi pubblicitari di terzi.
Nessun trasferimento ai broker di dati.
Eccezione: I vostri contatti di emergenza ricevono le informazioni che avete divulgato in caso di emergenza.
6. Archiviazione ed Eliminazione dei Dati
6.1 Luogo di Archiviazione
Tutti i dati sono archiviati principalmente nell’Unione Europea (Francoforte sul Meno, regione Google Cloud europe-west3).
6.2 Durata dell’Archiviazione ed Eliminazione Automatica
Cronologia dei Controlli: Eliminata automaticamente dopo 90 giorni.
Dati di Localizzazione: Eliminati automaticamente dopo 30 giorni di inattività (o continuamente sovrascritti).
File di Log del Server: Eliminati automaticamente dopo 90 giorni (per analisi degli errori/difesa dagli attacchi).
Link di Invito: Eliminati automaticamente dopo 7 giorni.
Dati sulla Salute: Eliminazione dopo 12 mesi di inattività.
Dati dell’Account: Eliminazione dopo 24 mesi di inattività.
Promemoria Prima dell’Eliminazione dell’Inattività:
Dopo 12 mesi senza accesso: Eliminazione automatica dei dati sulla salute; e-mail di promemoria inviata.
Dopo 13 mesi senza risposta: Ulteriore promemoria.
Dopo 23 mesi di inattività: E-mail di avviso finale.
Dopo 24 mesi senza risposta: Eliminazione completa dell’account.
Eccezione per Abbonamenti Attivi: Finché è attivo un abbonamento Connect+ a pagamento, non avviene alcuna eliminazione automatica per inattività.
Dati di Fatturazione: I dati di fatturazione (nome, indirizzo, informazioni sulla transazione) vengono archiviati per 10 anni in conformità agli obblighi di conservazione fiscale (§ 147 AO). Questi dati vengono conservati separatamente dai dati di utilizzo.
Gli account eliminati vengono rimossi in modo permanente e irrevocabile dopo un periodo di grazia di 30 giorni.
Importante: Dopo la richiesta di eliminazione dell’account, l’utilizzo termina immediatamente. Da questo momento in poi, non verranno attivati né avvisi di controllo, né allarmi, né altre notifiche – né per voi, né per i vostri contatti di emergenza. Inoltre, il vostro profilo in Alma Moments non sarà più visibile. L’eliminazione fisica finale di tutti i dati avviene dopo il periodo di grazia di 30 giorni.
7. Sicurezza dei Dati
Utilizzo standard di sicurezza moderni:
Crittografia: TLS 1.2+ per la trasmissione dei dati (Transit) e l’archiviazione su server crittografati con AES-256 (At Rest) per i dati sensibili.
Controllo di Accesso: Firebase Security Rules, autenticazione rigorosa.
Sicurezza dell’App: Firebase App Check, protezione biometrica facoltativa (Connect+), blocco delle impostazioni separato.
8. I Vostri Diritti
Avete i seguenti diritti in qualsiasi momento (secondo Art. 15-21 GDPR):
Accesso ed Esportazione Dati: Nell’app in Impostazioni → Privacy.
Rettifica: Potete modificare da soli tutti i dati del profilo e sulla salute nell’app.
Cancellazione: Potete eliminare i singoli dati o l’intero account direttamente nell’app.
Limitazione del Trattamento (Art. 18 GDPR): Potete richiedere la limitazione del trattamento, ad esempio se contestate l’accuratezza dei vostri dati o se il trattamento è illegittimo.
Ritiro del Consenso: Potete ritirare il consenso (ad es. posizione, dati sulla salute, marketing) in qualsiasi momento nelle impostazioni. Il ritiro non incide sulla liceità del trattamento effettuato prima del ritiro.
Diritto di Opposizione (Art. 21 GDPR): Se il trattamento dei dati si basa su interessi legittimi (Art. 6(1)(f) GDPR), avete il diritto di opporvi in qualsiasi momento per motivi derivanti dalla vostra situazione particolare.
Diritto di Presentare un Reclamo: Potete contattare l’autorità di vigilanza competente sulla protezione dei dati. Per gli utenti in Germania, questa è la Responsabile della protezione dei dati e libertà di informazione di Berlino (datenschutz-berlin.de). Gli utenti nello Spazio economico europeo (SEE) possono contattare l’autorità di vigilanza del loro paese di residenza abituale, luogo di lavoro o luogo della presunta violazione. Un elenco delle autorità di vigilanza è disponibile su edpb.europa.eu. Gli utenti nel Regno Unito possono contattare l’Ufficio del Commissario per le Informazioni (ICO): ico.org.uk. Gli utenti in Svizzera possono contattare il Commissario federale per la protezione dei dati e l’informazione (FDPIC): edoeb.admin.ch.
9. Situazioni Speciali di Trattamento
9.1 Notifica di Emergenza (Solo Connect+)
Nel caso di un controllo saltato, i vostri contatti di emergenza verranno notificati. Verranno trasmessi solo i dati che avete memorizzato nel vostro profilo e autorizzato per la divulgazione (ad es. posizione, informazioni sulla salute). Base giuridica:
Art. 6(1)(b) GDPR (Esecuzione del Contratto)
Art. 9(2)(a) GDPR (Consenso Esplicito per Dati sulla Salute)
Supplementarmente Art. 9(2)(c) GDPR (Protezione di Interessi Vitali), per garantire l’integrità fisica in caso di emergenza.
9.2 Invito dei Contatti di Emergenza
Per proteggere la privacy dei terzi, non inserite le informazioni di contatto di altre persone direttamente nell’app.
Creazione del Link: Generali un link di invito personale nell’app.
Invio: Inviate questo link alla vostra persona di fiducia attraverso un canale di vostra scelta (ad es. WhatsApp, E-mail).
Registrazione: La vostra persona di fiducia apre il link e inserisce in modo indipendente le sue informazioni di contatto e il canale di notifica desiderato. Finché il link non viene utilizzato, nessun dato dei vostri contatti viene archiviato. I link non utilizzati scadono dopo 7 giorni.
9.3 Voi come Contatto di Emergenza
Se accettate un invito, acconsentite al fatto che i vostri dati di contatto forniti (Nome, E-mail/Telefono/Handle) vengano archiviati per scopi di notifica di emergenza. Potete annullare l’iscrizione in qualsiasi momento tramite un link di esclusione nei messaggi.
9.4 Configurazione Remota (Connect+)
Potete concedere temporaneamente a una persona di fiducia l’accesso (tramite un codice generato) per configurare l’app per voi e gestire le impostazioni. Dopo il collegamento riuscito, questo accesso rimane finché non lo revocate nell’app. Per la vostra sicurezza, tutte le modifiche apportate dalla persona di fiducia vengono registrate (Registro di Audit).
Base giuridica: Art. 6(1)(b) GDPR (Esecuzione del Contratto, funzione avviata dall’utente).
10. Autenticazione di Terzi
Google Sign-In: I dati trasmessi includono e-mail, nome, foto del profilo. (Privacy: policies.google.com/privacy)
Apple Sign-In: I dati trasmessi includono e-mail (o indirizzo di inoltro) e nome. (Privacy: apple.com/legal/privacy)
11. Notifiche Push
Utilizzo le notifiche push per promemoria di controllo, allarmi e interazioni sociali.
Base giuridica: Art. 6(1)(b) GDPR (per funzioni contrattuali come gli allarmi) e Art. 6(1)(f) GDPR (per notifiche sociali).
Controllo: Potete gestire la maggior parte dei tipi di notifica nelle impostazioni dell’app. Le notifiche di sicurezza critiche fanno parte del servizio principale.
12. Analisi e Risoluzione dei Problemi
12.1 Firebase Analytics
Utilizzo Firebase Analytics in una configurazione minimizzante di dati per garantire la stabilità dell’app e correggere gli errori.
Misure di Privacy: Gli ID degli annunci (IDFA/AAID) non vengono raccolti. L’anonimizzazione IP è abilitata.
Scopo: Statistiche anonimizzate di arresti anomali e utilizzo per l’ottimizzazione tecnica.
Base giuridica: Art. 6(1)(f) GDPR (Interesse legittimo nel funzionamento senza errori e nella sicurezza dell’app).
12.2 Firebase Crashlytics
In caso di arresto anomalo dell’app, i dettagli tecnici (stack trace, informazioni sul dispositivo) vengono inviati per correggere l’errore. Nessun dato direttamente identificabile viene archiviato nel rapporto di arresto anomalo.
12.3 ePrivacy e Comunicazioni Elettroniche
L’accesso a determinate funzioni del dispositivo e l’archiviazione di informazioni tecniche sul dispositivo (ad es. token FCM) può essere soggetto alle leggi nazionali che implementano la direttiva ePrivacy (2002/58/EC). Nel Regno Unito, si applicano le Privacy and Electronic Communications Regulations 2003 (PECR). In Svizzera, si applicano le disposizioni della Legge sulle telecomunicazioni (TCA/FMG). Dove il consenso è richiesto secondo la legge applicabile, viene ottenuto prima dell’accesso pertinente.
13. Modifiche a Questa Informativa sulla Privacy
Mi riservo il diritto di modificare questa Informativa sulla Privacy. In caso di modifiche significative, verrete informati tramite l’app o e-mail. La versione attuale è sempre disponibile nell’app e sul sito Web.
14. Trasferimenti Internazionali di Dati
L’archiviazione principale dei dati avviene nell’Unione Europea (Francoforte sul Meno). Quando i dati vengono trasferiti a fornitori di servizi al di fuori dello SEE (vedi Sezione 5), mi affido alle seguenti garanzie:
EU-US Data Privacy Framework (DPF): Per i trasferimenti a aziende con sede negli USA certificate secondo il DPF (ad es. Google, Meta).
EU Standard Contractual Clauses (SCCs): Per i trasferimenti ad aziende non certificate secondo il DPF (ad es. RevenueCat).
Per i trasferimenti dal Regno Unito: Utilizzo l’UK International Data Transfer Agreement (IDTA) o l’UK Addendum alle EU SCCs, nonché l’UK Extension all’EU-US DPF, dove applicabile.
Per i trasferimenti riguardanti la Svizzera: Rispetto i requisiti della Legge federale sulla protezione dei dati svizzera (FADP/DSG), incluso il riconoscimento delle decisioni di adeguatezza dal Consiglio federale e l’uso di clausole contrattuali standard dove necessario.
Per ulteriori dettagli sui singoli fornitori di servizi, vedete la Sezione 5.
15. Utenti Al di Fuori dell’UE/SEE, Regno Unito e Svizzera
Per gli utenti in paesi non coperti da GDPR, UK GDPR o Swiss FADP, il Fornitore applica le stesse misure tecniche e organizzative di quanto per gli utenti nell’ambito del GDPR. Le disposizioni obbligatorie sulla protezione dei dati del paese di residenza abituale dell’utente rimangono invariate.
16. Contatto
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlino
Email: privacy@alma-app.eu
Sito Web: www.alma-app.eu