Informativa sulla privacy

Titolare del trattamento

Il titolare del trattamento dei dati personali su questo servizio è Luca Henrik Stosch, Einzelunternehmen — operante come "Nekonbini".

Indirizzo postale: Von-Bargen-Straße 39, 22041 Amburgo, Germania
E-mail: luca@sutoshu.com

Non è stato nominato un responsabile della protezione dei dati (non si applica alcun criterio dell'art. 37 GDPR).

Dati che trattiamo

• Account e accesso: il tuo indirizzo e-mail (usato come identificativo dell'account e per le e-mail di verifica), il tuo nome visualizzato quando lo imposti e il metodo di autenticazione utilizzato (password monouso via e-mail, Google o Apple). L'accesso con Google o Apple è gestito tramite Firebase Authentication; dal fornitore di identità riceviamo solo il tuo indirizzo e-mail verificato e (facoltativamente) il nome visualizzato.
• Stato di apprendimento: la tua libreria di parole e kanji salvati, lo stato della ripetizione spaziata (cronologia dei ripassi, pianificazione, livello della casella), le storie generate o importate, i progressi a livello di frase, i contatori XP e di serie, le tue impostazioni (lingua dell'interfaccia, fuso orario, livello JLPT obiettivo, obiettivo XP giornaliero) e i feature flag che tengono traccia di quali passaggi di onboarding hai completato. Questo è lo stato di apprendimento personalizzato che permette ai supporti di lettura, ai ripassi e alle superfici adattive di funzionare su tutti i tuoi dispositivi.
• Contenuti che invii: testi che importi o incolli, documenti che carichi per la tokenizzazione, prompt e risposte nelle conversazioni con il tutor IA, storie mnemoniche per i kanji che scrivi e qualsiasi reazione che lasci sulle voci kanji condivise dalla community. Parte di questi contenuti viene inoltrata ai fornitori IA (vedi "Responsabili del trattamento" più sotto) per produrre traduzioni, spiegazioni e risposte.
• Metadati di abbonamento, fatturazione e utilizzo IA: quale piano (se attivo) è associato al tuo account, quando scade e un registro per chiamata delle richieste IA effettuate per tuo conto — numero di token in input/output, fornitore utilizzato, funzione che ha attivato la chiamata e costo stimato. I pagamenti con carta sono gestiti da Stripe (vedi "Responsabili del trattamento" più sotto); non vediamo né archiviamo i numeri completi delle carte.
• Dati tecnici di funzionamento: log delle richieste lato server (timestamp, route, codice di stato, indirizzo IP, user-agent) necessari per gestire e mettere in sicurezza il servizio; eventi di errore registrati dal nostro servizio di error tracking (vedi "Telemetria" più sotto); e — solo con il tuo consenso — eventi aggregati di analisi delle visualizzazioni di pagina (vedi "Telemetria" più sotto). I tratti di scrittura a mano che disegni durante la pratica dei kanji vengono valutati sul server in tempo reale ma non archiviati.

Finalità e basi giuridiche

Trattiamo i dati di cui sopra per fornire il servizio di apprendimento personalizzato per cui ti sei registrato (sincronizzare la tua libreria, pianificare i ripassi, generare storie, gestire le conversazioni con il tutor IA) ai sensi dell'art. 6, par. 1, lett. b GDPR (esecuzione del contratto con te); per gestire, mettere in sicurezza e fare il debug del servizio — log del server, rilevamento abusi, error tracking — ai sensi dell'art. 6, par. 1, lett. f GDPR (nostro legittimo interesse a mantenere il servizio disponibile e privo di abusi); per misurare l'utilizzo aggregato del prodotto ai sensi dell'art. 6, par. 1, lett. a GDPR (il tuo consenso, che puoi revocare in qualsiasi momento); e per adempiere a obblighi di legge, in particolare al diritto tributario e contabile tedesco per i piani a pagamento, ai sensi dell'art. 6, par. 1, lett. c GDPR ove applicabile.

Analisi, error tracking e archiviazione sul tuo dispositivo

Nekonbini utilizza due servizi di terze parti per la telemetria. Li trattiamo in modo diverso perché hanno finalità diverse.

Analisi — consenso richiesto

Utilizziamo un servizio di analisi aggregata per capire come viene usato il servizio. L'analisi si carica solo dopo che accetti dal banner del consenso; gli indirizzi IP non vengono archiviati in forma identificabile. Puoi revocare o modificare la tua scelta in qualsiasi momento dal banner del consenso o dalle impostazioni del tuo account; questo interrompe gli ulteriori eventi di analisi per il resto della sessione e nelle visite successive.

Error tracking — legittimo interesse

Usiamo un servizio di error tracking per catturare errori non gestiti e crash così da poterli correggere. Gli eventi di errore includono l'URL della pagina (con le query string rimosse per evitare di trasmettere token di autenticazione), la versione del browser, uno stack trace e — per gli utenti autenticati — l'ID utente interno per collegare la segnalazione all'utente che ha riscontrato il problema. Non vengono raccolti cookie né indirizzi IP. L'error tracking si basa sul nostro legittimo interesse a gestire un servizio funzionante (art. 6, par. 1, lett. f GDPR); puoi opporti a questo trattamento scrivendo al contatto indicato sopra.

Archiviazione sul tuo dispositivo

La tua scelta sul consenso e lo stato di autenticazione vengono archiviati nel localStorage del tuo browser. Un piccolo insieme di altre chiavi conserva le preferenze dell'interfaccia (ultima lingua selezionata, stato del layout). Si tratta di archiviazione tecnica sul tuo dispositivo, non di cookie di tracciamento di terze parti; cancellando i dati del sito dal browser vengono rimossi.

Responsabili del trattamento e servizi di terze parti

I seguenti fornitori di servizi trattano dati personali per nostro conto o, per le parti del loro servizio che gestiscono autonomamente, come titolari autonomi. Questo elenco è aggiornato alla data di "ultimo aggiornamento" indicata in fondo alla pagina; lo aggiorniamo prima che un nuovo responsabile del trattamento venga integrato nel servizio.

• Amazon Web Services EMEA SARL (Lussemburgo) — hosting dell'applicazione e del database nell'Unione Europea (Germania). AWS può, in qualità di sub-responsabile, ricorrere alla sua società madre statunitense ai sensi dell'EU-US Data Privacy Framework e delle Clausole Contrattuali Standard UE (vedi "Trasferimenti internazionali" più sotto).
• Resend (Resend Inc., Stati Uniti, ai sensi dell'EU-US Data Privacy Framework e delle Clausole Contrattuali Standard UE) — invia e-mail transazionali come la password monouso a sei cifre utilizzata per l'accesso via e-mail.
• Stripe Payments Europe Ltd. (Irlanda, con trasferimento negli Stati Uniti verso Stripe Inc. ai sensi dell'EU-US Data Privacy Framework e delle Clausole Contrattuali Standard UE) — gestisce i pagamenti degli abbonamenti.
• Firebase Authentication (Google Ireland Limited / Google LLC) — gestisce l'accesso federato tramite Google e Apple. I dati scambiati sono il tuo indirizzo e-mail verificato e (se fornito) il tuo nome visualizzato. Firebase è un servizio statunitense; vedi "Trasferimenti internazionali di dati" più sotto per la base giuridica.
• Sentry (istanza UE) — cattura errori non gestiti e crash. L'istanza che usiamo è ospitata nell'Unione Europea; i dati degli eventi restano nell'UE. Vedi "Telemetria" più sopra per cosa viene inviato in ciascun evento.
• Google Analytics 4 (Google Ireland Limited / Google LLC) — viene caricato solo se hai dato il consenso all'analisi. Vedi "Telemetria" più sopra. Google è un responsabile del trattamento con sede negli Stati Uniti; vedi "Trasferimenti internazionali di dati" più sotto per la base giuridica.
• Tra i sub-responsabili IA figurano OpenAI (USA), Google (UE/USA), Mistral AI (FR) e OpenRouter (USA) come intermediario di routing. Quando usi una funzione basata sull'IA, inviamo il testo rilevante — per esempio la frase che stai leggendo, il tuo prompt di chat o il documento che hai importato — più il contesto minimo necessario per la risposta. L'insieme attivo può cambiare mentre ottimizziamo qualità e costo dei modelli; aggiorniamo questo elenco prima che un nuovo fornitore vada in produzione.

Trasferimenti internazionali di dati

La maggior parte dei dati che conserviamo su di te è archiviata nell'Unione Europea. Alcuni dei responsabili del trattamento elencati sopra hanno sede negli Stati Uniti; i tuoi dati vengono trasferiti a tali fornitori quando utilizzi una funzione che dipende da loro. Ci basiamo sulla decisione di adeguatezza della Commissione Europea relativa all'EU-US Data Privacy Framework quando il destinatario è certificato sotto quel framework, e sulle Clausole Contrattuali Standard UE (Modulo Due, titolare-a-responsabile) come tutela aggiuntiva.

Per quanto tempo conserviamo i tuoi dati

Conserviamo i dati dell'account, lo stato di apprendimento e i contenuti che hai inviato per tutto il tempo in cui il tuo account è attivo; quando ci chiedi di cancellare il tuo account, questi dati vengono rimossi entro 30 giorni. Quando si applica l'obbligo legale di conservazione contabile ai sensi del § 147 AO e del § 257 HGB (abbonamenti a pagamento), i dati di fatturazione e di pagamento sottostanti vengono conservati per il periodo di legge (attualmente fino a 10 anni), dopo che il resto del tuo account è stato cancellato. Le richieste di password monouso via e-mail vengono eliminate automaticamente una volta che il codice è stato utilizzato o è scaduto. I log del server, gli eventi di errore e i dati di analisi vengono ruotati automaticamente dai nostri fornitori secondo i loro tempi di conservazione predefiniti; non li prolunghiamo.

I tuoi diritti

Ai sensi del GDPR hai i seguenti diritti sui tuoi dati personali. Per esercitarne uno, contattaci all'indirizzo e-mail indicato nella sezione Titolare del trattamento qui sopra, dall'indirizzo e-mail associato al tuo account. Rispondiamo entro 30 giorni dal ricevimento della richiesta; se una richiesta è particolarmente complessa te lo comunichiamo e spieghiamo il motivo della proroga.

• Diritto di accesso (art. 15) — richiedere una copia dei dati personali che conserviamo su di te.
• Diritto di rettifica (art. 16) — chiederci di correggere dati inesatti o incompleti.
• Diritto alla cancellazione (art. 17) — chiederci di cancellare il tuo account e i dati ad esso associati.
• Diritto alla portabilità dei dati (art. 20) — richiedere un'esportazione dei dati che ci hai fornito in un formato leggibile da una macchina.
• Diritto di opposizione (art. 21) — opporti al trattamento basato sul legittimo interesse, inclusi i log del server e l'error tracking.
• Diritto di revocare il consenso (art. 7, par. 3) — per il trattamento basato sul consenso (analisi), revoca il tuo consenso in qualsiasi momento dal banner dei cookie; ciò non pregiudica la liceità del trattamento effettuato prima della revoca.
• Diritto di proporre reclamo — proporre reclamo a un'autorità di controllo nel tuo Paese di residenza. Per Amburgo l'autorità competente è il Commissario di Amburgo per la protezione dei dati e la libertà di informazione (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit).

Minori

Nekonbini è destinato a utenti di età pari o superiore a 16 anni. Non raccogliamo consapevolmente dati personali da persone di età inferiore a 16 anni. Se ritieni che un minore si sia registrato, contattaci all'indirizzo indicato nella sezione Titolare del trattamento qui sopra e cancelleremo l'account.

Sicurezza

I dati sono ospitati nell'UE su infrastrutture sotto contratto. L'autenticazione utilizza token di sessione firmati emessi dopo verifica senza password. Non archiviamo password. L'accesso alla produzione è limitato all'operatore.

Modifiche a questa informativa

Aggiorneremo questa pagina quando il nostro trattamento cambierà in modo sostanziale — in particolare quando viene aggiunto un nuovo responsabile o sub-responsabile, oppure quando aggiungiamo funzioni che introducono nuove categorie di dati. La data di "ultimo aggiornamento" qui sotto cambia ad ogni modifica sostanziale; per le modifiche che incidono sui tuoi diritti o richiedono un nuovo consenso informeremo anche gli utenti autenticati direttamente nell'app.