Security
Ultimo aggiornamento: 17/05/2026
1. Panoramica
Kaiku gestisce dati sensibili di benessere: conversazioni, umore, metriche di salute e riflessioni sulla relazione. Proteggiamo questi dati su più livelli, in modo che anche in caso di fuga del database i messaggi cifrati restino illeggibili senza la chiave. Questa pagina descrive le misure tecniche concrete che manteniamo in modo continuo.
AES-256-GCM Encryption
Messages, memories and other sensitive content are encrypted using AES-256-GCM.
Automatic Anonymization
Summaries are anonymized. Real names never stored in titles.
Access Control
74 Row Level Security rules protect user data.
AI Security
Your messages are not used to train AI models.
You Are in Control
Download data, set auto-deletion, or delete everything.
7. Posizione dei dati — UE
Tutti i dati di database e analytics sono archiviati su server con base nell'UE. Alcuni fornitori di IA si trovano in parte negli Stati Uniti, ma i trasferimenti utilizzano le Clausole Contrattuali Standard (decisione UE 2021/914) e, se applicabile, il Data Privacy Framework UE-USA. L'elenco esatto dei fornitori è nell'Informativa sulla privacy.
8. Quali dati vengono raccolti
Il meno possibile — solo ciò che serve a far funzionare il servizio. Raccogliamo conversazioni, preferenze utente e dati di salute se colleghi un wearable. La posizione non viene raccolta a meno che tu non condivida il percorso GPS di un allenamento. I contatti non vengono raccolti a meno che tu non li alleghi. L'analisi di prodotto è attiva solo con il tuo consenso e raccoglie statistiche d'uso pseudonime (visualizzazioni di pagina, uso delle funzioni) — senza il tuo nome né il contenuto dei messaggi; vedi l'Informativa sui cookie.
9. Conformità
I nostri impegni:
- ✓GDPR Art. 9 — consenso esplicito per il trattamento di dati sensibili
- ✓AES-256-GCM — crittografia a riposo
- ✓TLS 1.3 — crittografia in transito
- ✓Posizione dei dati in UE
- ✓DPIA — valutazione d'impatto sulla protezione dei dati effettuata
- ✓Limitazione delle richieste — protezione DDoS
- ✓Registri di accesso — gli accessi vengono registrati
- ✓Eliminazione definitiva entro 30 giorni dalla richiesta
10. Violazioni dei dati
Se una violazione di dati personali può comportare un rischio per i tuoi diritti, notifichiamo l'autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta (GDPR art. 33), e te lo comunichiamo senza ingiustificato ritardo se la violazione può comportare un rischio elevato per i tuoi diritti (art. 34) — con linguaggio chiaro, descrivendo la natura della violazione, le probabili conseguenze, le misure adottate e una persona di contatto.