🔐 Informativa sulla privacy di Luna
Aggiornata: giugno 2026

📋 TITOLARE DEL TRATTAMENTO
icoso Consulting SL («Luna FemTech»)
Rappresentata da: Daniel Osorio Fernandez
Calle Juan de Herrera 18, 4° e 5° piano
ES-39002 Santander (Cantabria), Spagna (UE)
Contatto privacy: privacy@icoso.es

🎯 BREVE E ONESTO
Luna cifra i tuoi dati sanitari sul tuo dispositivo (AES-256) prima che raggiungano i nostri server — a noi arriva solo codice illeggibile. In modalità standard è possibile recuperare la password (la chiave è custodita lato server); solo in modalità Privacy Massima l'accesso spetta esclusivamente alla tua chiave di recupero.

🔒 CIFRATURA (KEK/DEK)
• Tutti i dati sanitari (ciclo, sintomi, umore, TBC, diario) sono cifrati con una chiave dati casuale (DEK) AES-256
• La DEK è protetta dalla tua password (KEK)
• Modalità standard: recupero password possibile (DEK custodita lato server)
• Modalità Privacy Massima: solo tu possiedi la chiave (chiave di recupero) — nessun recupero lato server

📊 QUALI DATI TRATTIAMO
Conservati cifrati:
• Nome, avatar, dati del profilo
• Dati del ciclo, sintomi, umore, TBC
• Voci del diario
• Previsioni del ciclo (calcolate in modo deterministico nell'app)

Conservati non cifrati:
• Indirizzo e-mail (per l'accesso; autenticazione tramite il nostro servizio interno su server UE)
• Impostazioni dell'app (lingua, schema colori)
• Metadati operativi dei promemoria: frequenze, orari, categoria del farmaco, modalità contraccettiva. I valori (valori ormonali, nomi dei farmaci, note) sono cifrati — i campi operativi restano in chiaro perché lo scheduler locale deve leggerli per attivare i promemoria.

🤖 SERVIZI IA E API ESTERNE
• Claude AI (Anthropic via AWS Bedrock, regione eu-central-1 Francoforte): consigli su alimentazione e lifestyle. I dati vengono anonimizzati prima dell'invio — niente nomi, ID o date esatte. Inoltre, il nostro server rimuove prima dell'invio gli identificatori che potresti digitare tu stessa nella chat (indirizzi email, numeri di telefono, IBAN). Per ogni richiesta registriamo metadati anonimizzati per il controllo qualità (lingua, fase del ciclo, lunghezza della risposta, un hash pseudonimo del tuo identificatore) — NESSUN contenuto della chat, conservazione max. 180 giorni. L'elaborazione testuale IA resta interamente nell'UE.
• Immagini di ricette e illustrazioni: gpt-image-1 (OpenAI). La generazione delle immagini avviene negli USA (OpenAI, USA, tutelata dalle clausole contrattuali standard UE). Viene trasmesso solo un termine di ricerca in inglese del soggetto (es. salmon bowl) — nessun dato sanitario, nessun ID.
• Ricerca codice a barre: alla scansione di una confezione di farmaco, l'EAN viene inviato a banche dati pubbliche di prodotti (OpenFoodFacts) per suggerirne il nome. La richiesta passa dal nostro backend UE — i servizi esterni non vedono né la tua identità né il tuo IP. Gli EAN in cache nel nostro database non contengono identificativi utente.
• Autocompletamento località: inserendo facoltativamente il luogo di residenza, il nome digitato viene inviato tramite il nostro backend UE a OpenStreetMap Nominatim per mostrare suggerimenti. Il servizio esterno non vede né la tua identità né il tuo IP; la località scelta viene salvata solo nel tuo profilo (cifrato).
• Invio e-mail: le e-mail di registrazione e conferma vengono inviate tramite Scaleway Transactional Email (Parigi, UE). Viene trasmesso il tuo indirizzo e-mail; il trattamento resta nell'UE.
• Diagnostica errori: i report di crash ed errori vengono raccolti tramite Sentry (regione UE) per garantire stabilità e sicurezza. I contenuti personali vengono rimossi automaticamente (scrubbing) prima dell'invio. Puoi disattivare i report di crash in qualsiasi momento nelle Impostazioni (Privacy) — la modifica ha effetto dal successivo avvio dell'app.
• Gestione abbonamenti: acquisti e abbonamenti sono gestiti tramite RevenueCat (USA, tutelato dalle clausole contrattuali standard UE). Vengono trasmessi solo lo stato dell'abbonamento e un identificativo anonimizzato (un hash sha256 del tuo ID account, non l'ID stesso — RevenueCat non può collegarlo a te) — nessun dato sanitario.

Tutte le richieste passano dal nostro backend UE — il tuo dispositivo non contatta mai direttamente servizi esterni. L'elaborazione testuale IA (Claude) resta nell'UE.

⚖️ BASI GIURIDICHE (GDPR)
• Art. 6(1)(a): Consenso — per il coaching IA e i suggerimenti di ricette
• Art. 6(1)(b): Esecuzione del contratto — per il monitoraggio del ciclo e le funzioni essenziali
• Art. 6(1)(f): Legittimo interesse — per la diagnostica di crash ed errori (Sentry) e per il controllo qualità anonimizzato delle risposte IA (solo metadati, nessun contenuto della chat; vedi "Servizi IA"). Puoi opporti in qualsiasi momento (art. 21), nel modo più semplice tramite l'interruttore dei report di crash nelle Impostazioni o via email a privacy@icoso.es.
• Art. 9(2)(a): Consenso esplicito — per i dati sanitari (categoria particolare)

🌍 INFRASTRUTTURA E TRASFERIMENTI EXTRA-UE
• Backend: Hetzner Cloud (UE)
• Database: gestito da noi su server di Hetzner Online GmbH (UE)
• Backup cifrati: Scaleway Object Storage (Parigi, UE) - solo testo cifrato, non leggibile in chiaro né da noi né da Scaleway
• I tuoi dati sanitari restano nell'UE.

Verso gli USA vengono trasferiti esclusivamente:
• Generazione di immagini (OpenAI): solo termini di ricerca in inglese — nessun dato sanitario, nessuna identità (clausole contrattuali standard UE).
• Gestione abbonamenti (RevenueCat): solo stato dell'abbonamento e identificativo anonimizzato (un hash sha256 del tuo ID account, non l'ID stesso — RevenueCat non può collegarlo a te) — nessun dato sanitario (clausole contrattuali standard UE).
Apple (App Store) e Google (Play) trattano i dati di pagamento e dello store come titolari autonomi secondo le proprie informative.

🍎 APPLE SALUTE E GOOGLE HEALTH CONNECT
Con il tuo consenso esplicito, Luna importa dati sanitari da Apple HealthKit o Google Health Connect (es. sonno, frequenza cardiaca a riposo, temperatura corporea) per migliorare le tue analisi del ciclo.
Questi dati servono esclusivamente alle funzioni dell'app — NON per pubblicità, NON vengono venduti NÉ condivisi con terzi.
Come tutti i tuoi dati sanitari, sono conservati cifrati end-to-end. Puoi revocare l'accesso in qualsiasi momento nelle impostazioni del dispositivo.

🛡️ DATI BIOMETRICI
• Face ID / Touch ID vengono elaborati solo localmente sul tuo dispositivo
• Non conserviamo dati biometrici
• La password salvata risiede nel Portachiavi iOS / Keystore Android (protezione hardware)

❌ COSA NON FACCIAMO
• Niente pubblicità, niente tracker, niente analytics
• Nessuna vendita né condivisione di dati
• Nessun algoritmo di profilazione

✅ I TUOI DIRITTI (GDPR)
• Art. 15: Accesso → Impostazioni > Scarica dati
• Art. 16: Rettifica → profilo modificabile in qualsiasi momento
• Art. 17: Cancellazione → Impostazioni > Elimina account (immediato, irreversibile)
• Art. 20: Portabilità → esportazione JSON di tutti i dati
• Art. 21: Opposizione al trattamento basato sul legittimo interesse (report di crash) → interruttore nelle Impostazioni o privacy@icoso.es
• Art. 7(3): Revoca del consenso → possibile in qualsiasi momento
• Art. 77: Diritto di reclamo presso un'autorità di protezione dei dati — es. l'AEPD spagnola (www.aepd.es) o l'autorità del tuo luogo di residenza

🔄 CONSERVAZIONE DEI DATI
• Se elimini il tuo account, i tuoi dati vengono rimossi immediatamente dai nostri sistemi attivi
• Le copie residue nei backup tecnici cifrati vengono eliminate entro 7 giorni con il ciclo giornaliero di backup; qualora un backup venisse eccezionalmente ripristinato, una procedura registrata rimuove di nuovo gli account già cancellati
• I report di errore (Sentry) vengono eliminati automaticamente dopo la conservazione standard del fornitore (90 giorni); all'eliminazione dell'account i tuoi eventi vengono attivamente rimossi

📧 Contatto: privacy@icoso.es

🌙 Made with ❤️ in the EU