Informativa sulla Privacy

Il Titolare del trattamento che decide le finalità e i mezzi del trattamento dei tuoi dati è:

• Denominazione: Lulla App
• Email di contatto: contact@getlulla.app
• Sito web: www.getlulla.app
• Giurisdizione: Romania

Per qualsiasi richiesta o domanda relativa al trattamento dei tuoi dati, puoi contattarci all'indirizzo contact@getlulla.app. Rispondiamo entro un massimo di 30 giorni di calendario dalla ricezione della richiesta, ai sensi dell'Art. 12(3) GDPR.

Qualora, in futuro, designassimo un Responsabile della Protezione dei Dati (DPO), i suoi dati di contatto verranno pubblicati qui e sul sito ufficiale.

La presente Informativa si applica a:

• l'app mobile Lulla (attualmente Android);
• il sito www.getlulla.app;
• i servizi backend correlati;
• le comunicazioni via email con il team Lulla.

L'Informativa non copre:

• i siti esterni a cui Lulla rimanda tramite link (ad esempio, supabase.com, google.com) — questi hanno le proprie informative sulla privacy;
• i servizi di Google Play, gestiti da Google e regolati da una propria informativa.

Tutti i trattamenti rispettano i principi fondamentali sanciti dall'Art. 5 GDPR:

• Liceità, correttezza, trasparenza — trattiamo i dati solo sulla base di un chiaro presupposto giuridico e ti informiamo tramite questo documento.
• Limitazione della finalità — utilizziamo i dati esclusivamente per le finalità descritte di seguito.
• Minimizzazione dei dati — raccogliamo solo ciò che è strettamente necessario.
• Esattezza — ti invitiamo a mantenere aggiornati i tuoi dati tramite Impostazioni → Profilo.
• Limitazione della conservazione — conserviamo i dati solo per il tempo necessario; cancellati su tua richiesta.
• Integrità e riservatezza — i dati sono crittografati in transito (TLS 1.3) e a riposo (AES-256).
• Responsabilizzazione (accountability) — possiamo dimostrare la conformità su richiesta.

4.1 Dati dell'account (obbligatori per l'uso del Servizio)

• Indirizzo email — utilizzato come identificativo unico e per il recupero dell'account;
• Nome / cognome / pseudonimo — mostrato nell'interfaccia (ad esempio, "Ciao, Alex");
• Ruolo in famiglia — Mamma / Papà / Tutore / Affidatario / Altro (utilizzato per personalizzare i testi);
• Token di autenticazione — generato al sign-in, conservato crittografato sul dispositivo e su Supabase Auth.

Se scegli di accedere tramite Google Sign-In, riceviamo da Google solo l'indirizzo email e l'ID Google associato, sulla base del tuo consenso espresso nella finestra di dialogo Google. Non riceviamo la password del tuo account Google.

4.2 Dati relativi al bambino (inseriti volontariamente da te)

• Nome del bambino (o soprannome);
• Data di nascita — utilizzata per il calcolo dell'età in mesi e per consigli specifici per età;
• Sesso — utilizzato per la selezione dell'iconografia (bambina / bambino / preferisco non dirlo);
• Foto avatar — opzionale; archiviata localmente sul tuo dispositivo (filesDir/baby_photos/), non caricata sui nostri server per impostazione predefinita.

Tu, in qualità di genitore o tutore legale, sei responsabile dell'inserimento di questi dati e dell'ottenimento di qualsiasi consenso legale necessario (ad esempio, l'accordo dell'altro genitore).

4.3 Dati sul sonno (inseriti da te tramite l'uso dell'app)

• Orari di inizio e fine delle sessioni di sonno — registrati dal cronometro integrato;
• Durata della sessione — calcolata automaticamente;
• Tipo di sonno — sonno notturno / sonno diurno (pisolino);
• Qualità — valutazione soggettiva su una scala (opzionale);
• Note / tag — testo libero aggiunto da te (opzionale);
• Sessioni di allattamento/pasti — orari e tipo (allattamento al seno / biberon / cibi solidi), opzionale.

4.4 Preferenze e impostazioni

• Impostazioni delle notifiche — ora della nanna, on/off per i promemoria, consigli quotidiani e riepiloghi settimanali;
• Lingua dell'app — la tua scelta tra le 8 lingue supportate;
• Tema visivo — preferenza personale;
• Blocco biometrico — preferenza per la protezione con impronta digitale / Face ID dell'accesso all'app;
• Ora target per la nanna — utilizzata per il calcolo del punteggio del sonno.

4.5 Dati relativi agli acquisti (se ti abboni a Premium)

• ID del prodotto acquistato (lulla_premium_monthly o lulla_premium_annual);
• Token di acquisto Google Play — utilizzato per verificare l'autenticità dell'acquisto;
• Data e stato dell'abbonamento — attivo, annullato, scaduto, in periodo di prova;
• Data di inizio del periodo di prova — utilizzata per programmare i promemoria del Giorno 5 / Giorno 6.

Importante: Lulla NON riceve mai i dati della tua carta di credito/debito, IBAN o altri dati finanziari. La transazione avviene esclusivamente tramite Google Play Billing; noi riceviamo solo un token che conferma l'acquisto.

4.6 Dati sul dispositivo (automatici)

• Versione dell'app Lulla — per il debug e la diagnostica;
• Versione di Android — per verificare la compatibilità;
• Identificativo unico generato all'installazione — utilizzato solo localmente, non condiviso;
• Codice di errore / stack trace — in caso di crash, conservato solo localmente in filesDir/last_crash.txt e mostrato al successivo avvio. Non viene inviato automaticamente a noi.

Non raccogliamo: IMEI, indirizzo MAC, il tuo indirizzo IP completo, numero di telefono, posizione GPS, i tuoi contatti, il calendario, il microfono o la fotocamera senza il tuo esplicito permesso. L'ID pubblicitario Android (AAID/GAID) viene raccolto esclusivamente se attivi l'attribuzione marketing tramite AppsFlyer con il tuo consenso esplicito (vedi sezione 4.10).

4.7 Dati di utilizzo (analytics)

Per comprendere come viene utilizzata l'app e per migliorarla, registriamo alcuni eventi anonimizzati nella tabella analytics_events del nostro database Supabase:

• eventi relativi al paywall (paywall_shown, paywall_cta_clicked, purchase_completed, trial_started);
• categoria di funzionalità che ha attivato l'evento (stats, stories, sounds, ecc.);
• ID del prodotto acquistato, se presente;
• motivo dell'annullamento o del fallimento di un pagamento.

Questi eventi NON contengono: nome del bambino, orari del sonno, foto, contenuto delle note o altri dati personali identificabili. Contengono solo identificativi categorici stabili e sono protetti tramite Row Level Security, in modo che solo tu possa visualizzare i tuoi eventi.

4.8 Dati dalla condivisione con la famiglia (Sharing v2 — opzionale)

Se scegli di utilizzare la funzione di condivisione con un partner:

• generiamo un codice di invito di 6 caratteri associato al tuo account;
• all'accettazione del codice da parte dell'altro genitore, il suo account viene collegato al tuo nucleo familiare;
• entrambi i genitori vedono gli stessi dati relativi al bambino (sonno, foto, statistiche).

Il codice di invito scade automaticamente dopo essere stato utilizzato una sola volta. Puoi revocare l'accesso di un partner da Impostazioni → Condivisione → Revoca accesso.

4.9 Newsletter (opzionale, con consenso esplicito)

Se ti iscrivi alla newsletter di Lulla dal sito, raccogliamo:

• il tuo indirizzo email;
• la data di iscrizione e la fonte (homepage / footer / popup);
• le preferenze di frequenza, se presenti.

Puoi disiscriverti in qualsiasi momento tramite un link presente in ogni email.

4.10 Dati di attribuzione marketing (AppsFlyer — solo con il tuo consenso)

Per capire quali campagne e canali portano nuovi genitori a Lulla e per misurare l'efficacia dei nostri annunci, utilizziamo AppsFlyer — una piattaforma di attribuzione mobile. AppsFlyer si attiva solo dopo che hai dato il tuo consenso esplicito nella finestra di dialogo mostrata alla prima apertura dell'app; puoi revocarlo in qualsiasi momento da Impostazioni → Analisi marketing.

Se accetti, AppsFlyer può trattare:

• l'ID pubblicitario Android (AAID/GAID) del dispositivo;
• identificatori tecnici del dispositivo (modello, versione Android, lingua, operatore);
• i dati Play Install Referrer (da quale fonte / campagna proviene l'installazione);
• eventi di installazione e di apertura dell'app.

Questi dati vengono trasmessi a AppsFlyer Ltd., che agisce come responsabile del trattamento / partner di attribuzione e può trattare i dati al di fuori dello Spazio Economico Europeo, sulla base di garanzie adeguate (clausole contrattuali standard). AppsFlyer non riceve il nome del tuo bambino, gli orari del sonno, le foto o le tue note. Se rifiuti o revochi il consenso, AppsFlyer non si avvia e nessun identificatore pubblicitario viene raccolto.

I dati vengono raccolti da tre fonti:

5.1 Direttamente da te

Quando:

• crei un account,
• completi il tuo profilo o quello del bambino,
• avvii il cronometro del sonno,
• inserisci manualmente una sessione,
• modifichi le impostazioni,
• contatti l'assistenza.

5.2 Automaticamente, tramite l'uso dell'app

Quando:

• avvii o interrompi il cronometro (timestamp generati dall'app),
• l'app sincronizza con il cloud (operazioni di scrittura/lettura in Supabase),
• vengono registrati gli eventi di analytics.

5.3 Da terze parti (con il tuo consenso)

Quando:

• accedi con Google Sign-In — riceviamo da Google la tua email e il tuo ID;
• ti abboni a Premium — Google Play ci invia il token di acquisto per la verifica.

Utilizziamo i tuoi dati esclusivamente per le seguenti finalità:

Non utilizziamo i tuoi dati per: pubblicità, profilazione commerciale, decisioni automatizzate con effetti significativi, addestramento di modelli AI, vendita a terzi, marketing di affiliazione.

Ogni trattamento si fonda su una o più basi giuridiche:

7.1 Esecuzione del contratto — Art. 6(1)(b)

Per fornirti il Servizio in conformità con i Termini e Condizioni che hai accettato:

• dati dell'account,
• dati relativi al bambino e al sonno (necessari per il funzionamento dell'app),
• preferenze,
• elaborazione dei pagamenti dell'abbonamento.

7.2 Il tuo consenso — Art. 6(1)(a)

Per trattamenti opzionali, che puoi attivare o disattivare in qualsiasi momento:

• notifiche push,
• newsletter,
• foto opzionali,
• funzione di condivisione con un partner.

Puoi revocare il consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento svolto prima della revoca.

7.3 Il nostro legittimo interesse — Art. 6(1)(f)

Attentamente bilanciato rispetto ai tuoi diritti:

• analytics anonimizzato per il miglioramento del Servizio;
• prevenzione delle frodi (ad esempio, tentativi multipli di ottenere periodi di prova gratuiti);
• log di sicurezza per il rilevamento di accessi non autorizzati;
• debug sulla base dei codici di errore.

Puoi opporti in qualsiasi momento a questi trattamenti (vedi sezione 11).

7.4 Obbligo legale — Art. 6(1)(c)

Quando siamo obbligati per legge:

• conservazione delle registrazioni fiscali delle transazioni (Codice fiscale rumeno — almeno 10 anni);
• risposta a richieste legittime delle autorità.

8.1 Età minima degli utenti

Lulla è destinata esclusivamente agli adulti (18+). Non raccogliamo consapevolmente dati direttamente da minori di 16 anni.

8.2 Dati relativi al tuo bambino

I dati relativi al tuo bambino (nome, data di nascita, foto, ecc.) sono inseriti da te, in qualità di genitore o tutore legale, sulla base del tuo consenso, e sono protetti dagli stessi standard applicabili a tutti i dati in Lulla.

8.3 Categorie particolari di dati

Non trattiamo dati sanitari relativi al tuo bambino (Art. 9 GDPR). I dati sul sonno sono osservazioni comportamentali, non diagnosi mediche. Vedi il disclaimer medico nei Termini e Condizioni, sezione 7.

Per il funzionamento del Servizio, lavoriamo con i seguenti sub-responsabili, ciascuno con un Accordo sul Trattamento dei Dati (DPA) stipulato ai sensi dell'Art. 28 GDPR:

9.1 Supabase — backend principale

Informazioni sulla Row Level Security: Supabase applica politiche rigorose a livello di database che garantiscono che tu possa accedere solo ai dati del tuo account. Nessun altro utente può leggere o modificare i tuoi dati, anche se avesse accesso al database. Queste politiche fanno parte delle migrazioni open source dell'app, controllabili in modo indipendente.

9.2 Google Ireland Limited — Google Play Billing e Sign-In

9.3 Hetzner Online GmbH — hosting del sito web

9.4 Fornitore email (opzionale, se ti iscrivi alla newsletter)

Se ti iscrivi alla newsletter di Lulla, il tuo indirizzo email viene archiviato in un servizio di email marketing ospitato nell'UE (Mailerlite / Brevo / Resend — aggiorniamo qui il fornitore concretamente utilizzato al momento del lancio). Puoi disiscriverti in qualsiasi momento.

9.5 AppsFlyer — attribuzione marketing (opzionale, solo con il tuo consenso)

AppsFlyer si attiva solo con il tuo consenso esplicito (vedi sezione 4.10) e può essere disattivato in qualsiasi momento da Impostazioni → Analisi marketing. Se non dai il consenso, AppsFlyer non si avvia.

9.6 Elenco aggiornato

L'elenco aggiornato dei sub-responsabili è disponibile all'indirizzo www.getlulla.app/subprocessors e viene aggiornato con almeno 30 giorni di anticipo rispetto al cambiamento di un sub-responsabile significativo.

10.1 Principio fondamentale

Tutti i tuoi dati vengono trattati principalmente nell'Unione Europea (Germania, tramite Hetzner per il sito, e tramite AWS UE per Supabase).

10.2 Eccezioni puntuali

In determinati casi tecnici eccezionali, alcuni dati possono essere trasferiti al di fuori del SEE:

• Google Play (Irlanda) — per i pagamenti; Google opera tramite la sua entità europea (Google Ireland Limited);
• Supabase Inc. è registrata a Singapore, ma l'infrastruttura utilizzata si trova nell'UE;
• Service account Google Play per la verifica degli acquisti — comunicazione API crittografata con Google.
• AppsFlyer Ltd. (Israele / Stati Uniti) — solo se attivi l'attribuzione marketing con consenso; Israele beneficia di una decisione di adeguatezza della Commissione Europea e i trasferimenti verso gli Stati Uniti sono coperti da clausole contrattuali standard (vedi 4.10).

10.3 Garanzie

Qualsiasi trasferimento al di fuori del SEE è protetto da:

• Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914);
• Decisioni di adeguatezza della Commissione (ad esempio, EU-US Data Privacy Framework per gli Stati Uniti);
• misure aggiuntive contrattuali e tecniche (crittografia, controllo degli accessi).

Puoi richiedere in qualsiasi momento all'indirizzo contact@getlulla.app copia delle clausole e delle garanzie applicabili.

Ai sensi del GDPR (Artt. 15–22) e della Legge 190/2018, hai i seguenti diritti:

11.1 Diritto di accesso (Art. 15)

Puoi richiedere una copia di tutti i dati che deteniamo su di te. Questa copia è gratuita e te la inviamo entro un massimo di 30 giorni.

11.2 Diritto di rettifica (Art. 16)

Puoi modificare i dati inesatti direttamente da Impostazioni → Profilo o tramite email all'indirizzo contact@getlulla.app.

11.3 Diritto alla cancellazione ("diritto all'oblio", Art. 17)

Puoi cancellare il tuo account e tutti i dati associati tramite:

• Impostazioni → Account → Cancella account;
• oppure email all'indirizzo contact@getlulla.app con oggetto "Richiesta di cancellazione dati".

I dati vengono cancellati entro un massimo di 30 giorni. Eccezioni: dati conservati per adempiere a un obbligo legale (ad esempio, registrazioni fiscali delle transazioni — minimo 10 anni ai sensi del Codice fiscale).

11.4 Diritto alla limitazione del trattamento (Art. 18)

Puoi chiedere di sospendere il trattamento di determinati dati nelle condizioni previste dall'Art. 18 (ad esempio, durante la verifica di una rettifica).

11.5 Diritto alla portabilità dei dati (Art. 20)

Puoi ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile automaticamente (ad esempio, JSON o CSV). Puoi esportare in qualsiasi momento report PDF / CSV dei dati sul sonno dalla schermata Statistiche dell'app. Per un'esportazione completa di tutti i dati in formato machine-readable, scrivi a contact@getlulla.app.

11.6 Diritto di opposizione (Art. 21)

Puoi opporti ai trattamenti basati sul nostro legittimo interesse (analytics, comunicazioni di marketing). Siamo tenuti a conformarci, salvo motivi legittimi e cogenti che prevalgano sui tuoi interessi.

11.7 Diritto a non essere sottoposto a decisioni automatizzate (Art. 22)

Lulla NON adotta decisioni automatizzate che producano effetti giuridici o che ti riguardino in modo analogamente significativo. Tutte le funzionalità principali dell'app (statistiche, punteggi, riepiloghi) hanno carattere meramente orientativo.

11.8 Diritto di revocare il consenso

Laddove il trattamento sia basato sul tuo consenso, puoi revocarlo in qualsiasi momento:

• Notifiche — Impostazioni → Notifiche → Off;
• Newsletter — link di disiscrizione in ogni email;
• Condivisione — Impostazioni → Condivisione → Revoca;
• Intero account — Impostazioni → Account → Cancella account.

La revoca del consenso non pregiudica la liceità dei trattamenti precedenti.

11.9 Diritto di proporre reclamo

Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi proporre reclamo a:

• Autorità Nazionale di Supervisione del Trattamento dei Dati Personali (ANSPDCP — Romania)
  B-dul G-ral Gheorghe Magheru 28-30, settore 1, Bucarest
  Tel: +40.318.059.211 / +40.318.059.212
  Email: anspdcp@dataprotection.ro
  Web: www.dataprotection.ro
• Garante per la Protezione dei Dati Personali (Italia)
  Piazza Venezia 11, 00187 Roma
  Tel: +39 06 696771
  Web: www.garanteprivacy.it
• oppure all'autorità di controllo del tuo Stato membro UE di residenza abituale.

Ti incoraggiamo tuttavia a contattarci prima all'indirizzo contact@getlulla.app — possiamo risolvere la maggior parte dei problemi direttamente e rapidamente.

11.10 Come esercitare questi diritti

Invia una richiesta all'indirizzo contact@getlulla.app dall'indirizzo email associato all'account. Ci riserviamo il diritto di richiedere documenti aggiuntivi di identificazione qualora sussistano ragionevoli dubbi sulla tua identità (Art. 12(6) GDPR). Rispondiamo entro un massimo di 30 giorni, con possibilità di proroga di ulteriori 60 giorni per richieste complesse (ti informeremo se necessario).

Dopo la cancellazione dell'account, tutti i dati attivi vengono eliminati entro un massimo di 30 giorni. I backup vengono sovrascritti entro un massimo di 7 giorni dalla cancellazione degli account attivi. I dati soggetti a obbligo legale di conservazione sono conservati in modo isolato e utilizzati esclusivamente per adempiere a tale obbligo.

Implementiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati (Art. 32 GDPR):

13.1 Misure tecniche

• Crittografia in transito: TLS 1.3 per tutte le comunicazioni;
• Crittografia a riposo: AES-256 per i dati archiviati in Supabase e nei backup;
• Row Level Security (RLS): politiche a livello di database che garantiscono l'isolamento dei dati tra utenti;
• Token JWT a durata limitata che si rinnovano automaticamente;
• Hashing della password: bcrypt con salt unico per utente (gestito da Supabase Auth);
• Anon key + RLS — le chiavi API pubbliche nell'app non possono accedere direttamente a dati sensibili, perché RLS le filtra;
• Nessuna service_role key nell'app mobile — le chiavi sensibili restano esclusivamente sul server.

13.2 Misure organizzative

• L'accesso ai dati degli utenti è limitato ai membri del team che ne hanno strettamente bisogno;
• Accordo sul Trattamento dei Dati (DPA) firmato con ciascun sub-responsabile;
• Politica interna di gestione degli incidenti;
• Audit periodico delle politiche RLS.

13.3 Notifica delle violazioni

In caso di violazione della sicurezza che presenti un rischio per i tuoi diritti, ti notificheremo senza ingiustificato ritardo, e in ogni caso entro 72 ore dal momento in cui ne veniamo a conoscenza (Art. 33 GDPR). Notificheremo inoltre l'ANSPDCP e, se applicabile, il Garante per la protezione dei dati personali italiano.

14.1 App mobile

L'app NON utilizza cookie. Le preferenze e i dati di autenticazione vengono archiviati localmente tramite:

• DataStore Preferences (preferenze utente);
• Encrypted SharedPreferences (token di autenticazione biometrica);
• Room Database (dati sul sonno, profili del bambino — tutti locali).

14.2 Sito web getlulla.app

Il sito utilizza solo cookie tecnici strettamente necessari, senza tracciamento o pubblicità:

Non utilizziamo cookie analitici (Google Analytics, ecc.), di marketing (Facebook Pixel, ecc.) o di remarketing.

I font sono ospitati localmente sul nostro server (non utilizziamo Google Fonts esterni).

Inviamo comunicazioni di marketing solo con il tuo consenso esplicito. Se ti iscrivi alla newsletter:

• riceverai email occasionali (max. 2 al mese) con novità su Lulla, articoli sul sonno dei bambini, offerte;
• ogni email contiene un link di disiscrizione;
• puoi disiscriverti anche scrivendo direttamente a contact@getlulla.app;
• non vendiamo né condividiamo il tuo indirizzo email con terzi.

Le comunicazioni transazionali (conferma account, verifica email, avviso di sicurezza) non sono opzionali — sono necessarie per il funzionamento del Servizio.

Possiamo aggiornare questa Informativa per riflettere:

• modifiche alle nostre pratiche di trattamento dei dati;
• aggiunta di nuove funzionalità;
• modifiche dei sub-responsabili;
• aggiornamenti legislativi.

16.1 Notifica delle modifiche

Le modifiche significative saranno notificate tramite:

• email inviata all'indirizzo associato all'account;
• avviso prominente nell'app;
• aggiornamento della data "Ultimo aggiornamento" all'inizio di questo documento.

16.2 Entrata in vigore

Le modifiche significative entrano in vigore con almeno 30 giorni di preavviso. La continuazione dell'utilizzo del Servizio dopo l'entrata in vigore delle modifiche costituisce accettazione. Se non sei d'accordo con le modifiche, puoi cancellare l'account.

16.3 Versioni precedenti

Le versioni precedenti di questa Informativa sono disponibili su richiesta tramite email all'indirizzo contact@getlulla.app.

Per qualsiasi domanda, richiesta di esercizio dei diritti o segnalazione relativa al trattamento dei tuoi dati personali:

• Email: contact@getlulla.app
• Sito web: www.getlulla.app
• Oggetto consigliato: "GDPR — [tipo di richiesta]"
• Termine di risposta: massimo 30 giorni di calendario
• Lingue di comunicazione: italiano, rumeno, inglese