Informativa sulla Privacy
Informativa sulla Privacy di Thetawave AI
Ultimo aggiornamento: 9 maggio 2026
La presente Informativa sulla Privacy spiega come Thetawave AI, Inc., una società del Delaware ("Thetawave", "noi", "ci" o "nostro"), raccoglie, utilizza, divulga e protegge le informazioni quando Lei utilizza il nostro sito web (https://thetawave.ai), le nostre applicazioni mobili e i servizi correlati (i "Servizi").
Utilizzando i Servizi, Lei accetta le pratiche descritte nella presente Informativa. Qualora non sia d'accordo, La preghiamo di non utilizzare i Servizi. La presente Informativa è incorporata nei nostri Termini di Servizio.
Avvisi importanti
- Non addestriamo modelli di IA sui Suoi Contenuti dell'Utente. Le note, i documenti, gli audio, le immagini e gli altri materiali che Lei carica non sono utilizzati per addestrare i modelli di Thetawave, e contrattualmente richiediamo ai nostri fornitori terzi di IA e trascrizione di non addestrare i propri modelli sui Suoi input. Si veda la Sezione 5.
- Non visualizziamo pubblicità di terze parti sui Servizi, e non "vendiamo" le Sue informazioni personali per corrispettivo monetario come tale termine è definito ai sensi del California Consumer Privacy Act.
- Utenti globali. I Servizi sono operati dagli Stati Uniti. Rispettiamo le leggi applicabili in materia di protezione dei dati nell'UE/Regno Unito/Svizzera (GDPR/RGPD), in Giappone (APPI), in Corea del Sud (PIPA), a Hong Kong (PDPO), a Taiwan (PDPA), in Canada (PIPEDA) e negli Stati Uniti (CCPA/CPRA e leggi statali). Si vedano le Sezioni 7 e 12 per i diritti specifici per regione.
Indice
- Informazioni che Raccogliamo
- Come Utilizziamo le Informazioni
- Basi Giuridiche del Trattamento (SEE / Regno Unito / Svizzera)
- Come Condividiamo le Informazioni
- Trattamento IA dei Contenuti dell'Utente
- Cookie, Tecnologie di Tracciamento e Notifiche Push
- Trasferimenti Internazionali di Dati
- Conservazione dei Dati
- Sicurezza dei Dati
- Privacy dei Minori
- I Suoi Diritti sulla Privacy — Panoramica Globale
- Diritti e Avvisi Specifici per Regione
- 12.1 Spazio Economico Europeo, Regno Unito e Svizzera (GDPR)
- 12.2 California (CCPA/CPRA)
- 12.3 Altri Stati degli USA
- 12.4 Giappone (APPI)
- 12.5 Corea del Sud (PIPA)
- 12.6 Hong Kong (PDPO)
- 12.7 Taiwan (Personal Data Protection Act)
- 12.8 Canada (PIPEDA)
- 12.9 Altre Giurisdizioni
- Come Esercitare i Suoi Diritti
- Segnali Do-Not-Track
- Informativa sulla Privacy delle App Mobili (App Store / Google Play)
- Link e Servizi di Terze Parti
- Modifiche alla Presente Informativa
- Contatti
1. Informazioni che Raccogliamo
Raccogliamo tre categorie di informazioni:
1.1 Informazioni che Lei ci Fornisce
- Informazioni dell'account: nome, indirizzo e-mail, password (memorizzata sotto forma di hash), preferenze del profilo e — qualora Lei acceda con un fornitore di identità terzo (ad es. Google, Apple) — i dati di base del profilo che tale fornitore condivide con noi.
- Informazioni di abbonamento e pagamento: per gli acquisti web, i dati di fatturazione sono gestiti da Stripe (riceviamo le conferme delle transazioni e le ultime quattro cifre della Sua carta; non memorizziamo i numeri completi delle carte di pagamento); per gli acquisti in-app sul mobile, le conferme di transazione da Apple o Google.
- Comunicazioni: i messaggi che Lei invia all'assistenza (tramite e-mail), i feedback e le risposte ai sondaggi.
- Contenuti dell'Utente: note, documenti, registrazioni audio, immagini, video e altri materiali che Lei carica, crea o genera tramite i Servizi. I Suoi Contenuti dell'Utente possono essere considerati "sensibili" (ad es. registri accademici degli studenti, registrazioni vocali) e sono trattati come tali — si vedano le Sezioni 5 e 12.
Informazioni personali di terzi all'interno dei Contenuti dell'Utente. Qualora i Suoi Contenuti dell'Utente includano informazioni personali su terzi (ad esempio, il nome di un compagno di classe nelle Sue note, o la voce di un professore in una registrazione di una lezione), Lei agisce in qualità di titolare del trattamento di tali informazioni e dichiara di avere tutti i consensi necessari o altra base giuridica per condividerle con noi. Trattiamo tali informazioni di terzi esclusivamente per Suo conto al fine di erogare i Servizi a Lei, in conformità con la presente Informativa e con le Sezioni 6.4 e 9 dei nostri Termini di Servizio.
1.2 Informazioni Raccolte Automaticamente
Quando Lei utilizza i Servizi, noi e i nostri fornitori di analisi raccogliamo automaticamente:
- Dati del dispositivo e tecnici: indirizzo IP, tipo e versione del browser, sistema operativo, identificativi del dispositivo (inclusi gli identificativi pubblicitari mobili se non disabilitati a livello di sistema operativo), dimensioni dello schermo, lingua, fuso orario.
- Dati di utilizzo: pagine visitate, funzionalità utilizzate, clic, tempo trascorso, URL di provenienza, query di ricerca all'interno dei Servizi e posizione approssimativa derivata dall'indirizzo IP.
- Dati diagnostici: rapporti di crash, log degli errori, metriche di prestazione.
1.3 Informazioni da Terze Parti
- Fornitori di identità: se Lei utilizza Google Sign-In, Apple Sign-In o servizi simili, riceviamo le informazioni di base del profilo che Lei autorizza.
- Processori di pagamento: Stripe, Apple e Google possono condividere con noi i dati delle transazioni quanto necessario per dare seguito agli acquisti.
- Fornitori di servizi: i nostri strumenti di analisi, tracciamento degli errori e assistenza clienti condividono dati aggregati e a livello di evento sull'utilizzo dei Servizi (si veda la Sezione 4).
Non acquistiamo informazioni personali da data broker e non riceviamo informazioni personali da reti pubblicitarie.
2. Come Utilizziamo le Informazioni
Utilizziamo le informazioni sopra descritte per:
- Fornire, gestire, mantenere e proteggere i Servizi, inclusa l'autenticazione del Suo account, la sincronizzazione dei Suoi contenuti tra dispositivi e l'elaborazione delle Sue transazioni;
- Generare output IA in risposta ai Suoi input (si veda la Sezione 5);
- Comunicare con Lei in merito al Suo account, alle transazioni, a importanti modifiche delle politiche e (con il Suo consenso o ove consentito dalla legge) ad aggiornamenti del prodotto;
- Fornire assistenza clienti e rispondere alle Sue richieste;
- Rilevare, indagare e prevenire frodi, abusi, incidenti di sicurezza e violazioni dei nostri Termini;
- Analizzare e migliorare i Servizi, comprese le analisi aggregate dell'utilizzo;
- Adempiere a obblighi di legge e far rispettare i nostri Termini;
- Con il Suo consenso, per qualsiasi altra finalità comunicata al momento della raccolta.
Non utilizziamo le Sue informazioni per processi decisionali automatizzati che producano effetti giuridici o analogamente significativi su di Lei senza revisione umana.
Comunicazioni di marketing e opt-out. Qualora Le inviamo comunicazioni di marketing o promozionali (con il Suo consenso o ove consentito dalla legge), Lei può rinunciarvi in qualsiasi momento:
- Cliccando il link "unsubscribe" in qualsiasi e-mail di marketing;
- Modificando le preferenze di notifica nelle impostazioni del Suo account; oppure
- Inviando un'e-mail a contact@thetawave.ai.
Le comunicazioni transazionali e relative all'account (ad es. avvisi di sicurezza, avvisi di fatturazione dell'abbonamento, modifiche importanti alla politica) non possono essere oggetto di rinuncia mentre il Suo account è attivo, in quanto necessarie per erogare i Servizi e adempiere ai nostri obblighi di legge.
3. Basi Giuridiche del Trattamento (SEE, Regno Unito, Svizzera)
Se Lei si trova nello Spazio Economico Europeo, nel Regno Unito o in Svizzera, trattiamo i Suoi dati personali sulle seguenti basi giuridiche:
| Finalità | Base Giuridica |
|---|---|
| Fornitura dei Servizi a Lei, inclusa l'inferenza IA sui Suoi input | Esecuzione di un contratto (Art. 6(1)(b) GDPR) |
| Elaborazione dei pagamenti e prevenzione delle frodi | Esecuzione di un contratto; obbligo di legge; interessi legittimi |
| Sicurezza del servizio e prevenzione degli abusi | Interessi legittimi nella protezione degli utenti e dei Servizi |
| Analisi del prodotto e miglioramento | Interessi legittimi; consenso per i cookie non essenziali |
| Comunicazioni di marketing | Consenso (che Lei può revocare in qualsiasi momento) |
| Conformità alle richieste legali | Obbligo di legge |
| Trattamento di dati di "categorie particolari" all'interno dei Contenuti dell'Utente (se presenti) | Suo consenso esplicito (Art. 9(2)(a)) |
Lei ha il diritto di opporsi al trattamento basato sugli interessi legittimi — si veda la Sezione 12.1.
4. Come Condividiamo le Informazioni
Condividiamo le Sue informazioni esclusivamente con le seguenti categorie di destinatari, tutti vincolati da obblighi contrattuali di riservatezza e protezione dei dati.
4.1 Fornitori di Servizi (Sub-responsabili)
Ci avvaliamo di fornitori di servizi terzi per gestire i Servizi per nostro conto. Essi sono autorizzati a utilizzare le Sue informazioni esclusivamente per fornire i loro servizi a noi e devono rispettare adeguati obblighi di riservatezza e sicurezza. Le categorie sottostanti riflettono il nostro attuale stack di sub-responsabili; tale elenco potrà evolversi al variare dei fornitori.
| Categoria | Finalità | Fornitore/i Primario/i Attuale/i |
|---|---|---|
| Hosting cloud e database | Eseguire il nostro backend e archiviare i dati dell'account e i Contenuti dell'Utente | Supabase (PostgreSQL, autenticazione, archiviazione); fornitori di infrastruttura cloud |
| Inferenza IA (LLM) | Generare output IA (note, riepiloghi, flashcard, quiz, chat di studio) dai Suoi input | OpenAI, Anthropic, Google (si veda la Sezione 5) |
| Trascrizione audio | Convertire i Contenuti dell'Utente audio (ad es. registrazioni di lezioni) in testo per il successivo trattamento IA | Soniox, Inc., Deepgram, Inc. |
| Elaborazione pagamenti web | Elaborare gli abbonamenti acquistati tramite il sito web | Stripe, Inc. (https://stripe.com/privacy) |
| Acquisti in-app mobili e gestione abbonamenti | Elaborare e riconciliare gli acquisti su App Store / Google Play | Apple Inc., Google LLC, RevenueCat, Inc. |
| Analisi del prodotto | Comprendere come vengono utilizzati i Servizi | Mixpanel, Inc. |
| Tracciamento errori e diagnostica | Rilevare e correggere problemi | Sentry (Functional Software, Inc.) |
| Assistenza clienti | Rispondere alle richieste tramite e-mail | Infrastruttura e-mail (al momento nessuno strumento terzo di ticketing) |
Notifica di modifica dei sub-responsabili. Quando aggiungiamo o sostituiamo un sub-responsabile rilevante, aggiorneremo la presente Informativa almeno 14 giorni prima che la modifica abbia effetto. Per gli utenti con un abbonamento a pagamento attivo, forniremo inoltre comunicazione tramite e-mail o messaggio in-app. Qualora Lei si opponga a un nuovo sub-responsabile, può chiudere il Suo account prima che la modifica abbia effetto e richiedere un rimborso pro-rata ove richiesto dalla legge applicabile.
4.2 Altre Comunicazioni
- Conformità legale e sicurezza. Possiamo divulgare informazioni quando riteniamo in buona fede che la divulgazione sia necessaria per (a) rispettare la legge applicabile, un procedimento legale o una richiesta governativa; (b) far rispettare i nostri Termini; (c) proteggere i diritti, la sicurezza o i beni di Thetawave, dei nostri utenti o del pubblico; oppure (d) rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici.
- Trasferimenti aziendali. Qualora Thetawave sia coinvolta in una fusione, acquisizione, finanziamento, riorganizzazione o vendita di beni, le Sue informazioni potranno essere trasferite nell'ambito di tale operazione. Le invieremo una notifica (ad es. tramite e-mail e/o un avviso ben visibile sui Servizi) in caso di cambio di proprietà o di utilizzo delle Sue informazioni personali.
- Con il Suo consenso. Possiamo condividere le informazioni con altre parti quando Lei ce lo indica.
4.3 Cosa NON Facciamo
- Non vendiamo le Sue informazioni personali per corrispettivo monetario.
- Non condividiamo le Sue informazioni personali con terze parti per pubblicità comportamentale cross-context (non ne facciamo).
- Non consentiamo ai nostri fornitori di IA o trascrizione di addestrarsi sui Suoi Contenuti dell'Utente (Sezione 5).
"Vendita" / "condivisione" CCPA — nota difensiva. Il CCPA della California definisce in modo ampio i termini "vendita" e "condivisione". Nella misura in cui qualsiasi divulgazione ai nostri sub-responsabili di analisi, IA, trascrizione o tracciamento errori potesse essere interpretata come una "vendita" o "condivisione" ai sensi del CCPA/CPRA, trattiamo tale attività come soggetta a opt-out e onoriamo i segnali di opt-out (incluso il Global Privacy Control / GPC) ove tecnicamente fattibile. Si veda la Sezione 12.2 per ulteriori diritti della California.
5. Trattamento IA dei Contenuti dell'Utente
Questa sezione spiega come i Suoi input e Contenuti dell'Utente interagiscono con i modelli di IA. Questo è fondamentale per il funzionamento dei Servizi — La preghiamo di leggerlo.
5.1 Come Funzionano l'Inferenza IA e la Trascrizione
Quando Lei utilizza una funzionalità IA (ad es. generazione di note, riepilogo di un PDF, creazione di flashcard), il Suo input — che può includere i Suoi Contenuti dell'Utente o estratti degli stessi — viene trasmesso a uno dei nostri fornitori IA terzi (attualmente OpenAI, Anthropic e Google) per generare la risposta. Quando Lei carica audio (ad es. una registrazione di una lezione), questo viene prima trasmesso a uno dei nostri fornitori di trascrizione (Soniox, Deepgram) per essere convertito in testo, che viene poi trattato da un fornitore IA come descritto sopra.
La risposta Le viene restituita e archiviata nel Suo account Thetawave in associazione con i Suoi Contenuti dell'Utente. I fornitori IA e i fornitori di trascrizione possono trattenere brevemente input e output durante l'elaborazione come descritto nella Sezione 5.3, ma il record durevole dei Suoi Contenuti dell'Utente e degli Output generati dall'IA risiede nel Suo account Thetawave, non presso i fornitori.
5.2 Nessun Addestramento sui Suoi Contenuti
Thetawave non addestra alcun modello di IA o di apprendimento automatico sui Suoi Contenuti dell'Utente. Ci basiamo su impegni contrattuali di non addestramento e di conservazione limitata da parte di ciascuno dei nostri fornitori IA e di trascrizione. In particolare:
- OpenAI: Utilizziamo l'API di OpenAI. In base alla policy di utilizzo dei dati API di OpenAI, OpenAI non utilizza gli input o gli output API per addestrare i propri modelli.
- Anthropic: Utilizziamo l'API di Anthropic. In base ai termini commerciali di Anthropic, Anthropic non addestra i propri modelli su input o output trasmessi tramite l'API.
- Google: Utilizziamo l'API di Google AI / Gemini secondo termini che non consentono a Google di addestrare i propri modelli sui nostri contenuti API a pagamento.
- Soniox: Utilizziamo l'API commerciale di Soniox secondo termini che non consentono a Soniox di addestrare i propri modelli sui contenuti audio che trasmettiamo.
- Deepgram: Utilizziamo l'API commerciale di Deepgram secondo termini che non consentono a Deepgram di addestrare i propri modelli sui contenuti audio che trasmettiamo.
Qualora cambiassimo fornitori IA o di trascrizione, o qualora i termini che li regolano cambiassero in modo sostanziale, aggiorneremo la presente Informativa. Lei non dovrebbe caricare sui Servizi informazioni che non vorrebbe fossero trasmesse a uno di questi fornitori per il trattamento.
5.3 Nessuna Archiviazione Persistente presso i Fornitori IA / di Trascrizione (Oltre i Limiti Definiti dai Fornitori)
I fornitori IA e di trascrizione possono trattenere brevemente input e output per finalità di sicurezza, monitoraggio degli abusi e operative, in conformità con le proprie informative sulla privacy. Utilizziamo configurazioni enterprise / di livello API che minimizzano tale conservazione ove disponibili (ad es. modalità zero-data-retention o di conservazione breve).
5.4 Dati Aggregati e De-identificati
Possiamo utilizzare dati de-identificati o aggregati (che non possono ragionevolmente essere ricondotti a Lei) per analisi del prodotto, sicurezza e miglioramento del servizio. Utilizziamo tecniche di de-identificazione standard del settore (ad es. rimozione di identificativi diretti, aggregazione e altre misure tecniche progettate per garantire che le informazioni non possano ragionevolmente essere associate a un individuo), e proibiamo contrattualmente a qualsiasi parte che riceva dati de-identificati da noi di tentarne la ri-identificazione.
6. Cookie, Tecnologie di Tracciamento e Notifiche Push
6.1 Cookie e Tecnologie Simili
Noi e i nostri fornitori di servizi utilizziamo cookie, pixel, archiviazione locale, kit di sviluppo software (SDK) e tecnologie simili per gestire i Servizi. Non utilizziamo cookie per la pubblicità comportamentale tra siti. Ove richiesto dalla legge (incluso nel SEE, Regno Unito, Svizzera, Giappone e Corea per i cookie non essenziali), richiederemo il Suo consenso tramite un banner cookie prima di posizionare cookie non essenziali. Lei può gestire le Sue preferenze sui cookie tramite il banner cookie o le impostazioni del Suo browser.
I principali cookie e tecnologie simili che utilizziamo sono:
| Nome / Pattern | Tipo | Finalità | Fornitore | Conservazione Approx. |
|---|---|---|---|---|
sb-* (token di autenticazione) | Strettamente necessari | Autenticare la Sua sessione e mantenerLa autenticato | Supabase | Sessione / fino a 1 anno |
| Token CSRF / anti-falsificazione | Strettamente necessari | Prevenire la falsificazione di richieste cross-site | Thetawave | Sessione |
cookie_consent | Strettamente necessari | Ricordare le Sue scelte sul banner cookie | Thetawave | 1 anno |
theme, locale | Funzionali | Ricordare le Sue preferenze UI (ad es. modalità scura, lingua) | Thetawave | 1 anno |
mp_* | Analitici (opt-in ove richiesto) | Analisi del prodotto — misurare l'utilizzo delle funzionalità e migliorare i Servizi | Mixpanel | Fino a 1 anno |
| Tag di sessione Sentry | Strettamente necessari | Associare i rapporti di errore alle sessioni per il debug | Sentry | Fino a 30 giorni |
Qualora aggiungessimo o modificassimo categorie sostanziali di cookie, aggiorneremo questa tabella.
6.2 Notifiche Push
Qualora Lei opti per ricevere notifiche push tramite le nostre app mobili, raccogliamo e utilizziamo un token push specifico del dispositivo (fornito da Apple Push Notification service ("APNs") per iOS o Firebase Cloud Messaging ("FCM") per Android) esclusivamente per recapitare:
- Notifiche relative al servizio (ad es. trascrizione completata, promemoria di studio impostati da Lei);
- Notifiche relative all'account (ad es. avvisi di sicurezza);
- Con il Suo consenso aggiuntivo, notifiche occasionali di aggiornamenti del prodotto.
Lei può disabilitare le notifiche push in qualsiasi momento tramite le impostazioni di notifica del Suo dispositivo. La disabilitazione delle notifiche push non incide sulle altre parti dei Servizi.
7. Trasferimenti Internazionali di Dati
Thetawave ha sede negli Stati Uniti, e i nostri server e diversi dei nostri fornitori di servizi si trovano negli Stati Uniti e in altri Paesi. Quando Lei utilizza i Servizi, le Sue informazioni personali saranno trasferite, archiviate e trattate negli Stati Uniti e potenzialmente in altri Paesi, che possono avere leggi sulla protezione dei dati diverse da quelle del Suo Paese di residenza.
Ci basiamo sulle seguenti garanzie per proteggere i trasferimenti internazionali:
- SEE / Regno Unito / Svizzera: Clausole Contrattuali Standard ("SCCs") approvate dalla Commissione Europea (e l'addendum del Regno Unito / equivalenti svizzeri) con i nostri sub-responsabili, integrate da cifratura in transito e a riposo, controlli di accesso e (ove applicabile) valutazioni d'impatto sui trasferimenti. Al momento non siamo certificati ai sensi dell'EU-US Data Privacy Framework ("DPF"); ci affidiamo alle SCCs come meccanismo di trasferimento principale.
- Giappone: Ove richiesto dall'APPI per il trasferimento transfrontaliero, otteniamo il Suo consenso o ci basiamo su garanzie equivalenti (incluse disposizioni contrattuali equivalenti alle SCCs con il destinatario).
- Corea del Sud: Ove richiesto dal PIPA per il trasferimento all'estero di informazioni personali, forniamo le comunicazioni richieste ai sensi dell'Articolo 28-8 PIPA e otteniamo il Suo consenso ove applicabile.
- Hong Kong, Taiwan, Canada: Garantiamo che i destinatari siano vincolati da obblighi contrattuali coerenti rispettivamente con il PDPO, il PDPA e il PIPEDA.
Utilizzando i Servizi, Lei comprende che le Sue informazioni saranno trasferite a livello internazionale come descritto sopra.
8. Conservazione dei Dati
Conserviamo le informazioni personali per il tempo necessario a fornire i Servizi e per le finalità descritte nella presente Informativa, a meno che la legge non imponga un periodo di conservazione più lungo.
| Categoria di Dati | Conservazione |
|---|---|
| Informazioni dell'account | Mentre il Suo account è attivo; eliminate entro 30 giorni dalla cancellazione dell'account (escludendo i backup) |
| Contenuti dell'Utente | Mentre il Suo account è attivo; eliminati entro 30 giorni dopo che Lei elimina il contenuto o il Suo account |
| Backup | Conservati fino a 90 giorni dopo l'eliminazione, quindi eliminati definitivamente |
| Registri di pagamento e fatturazione | Conservati per 7 anni per adempiere agli obblighi fiscali, contabili e di audit |
| Comunicazioni di assistenza clienti | Fino a 3 anni dopo la risoluzione |
| Dati diagnostici / di log | Fino a 12 mesi |
| Dati de-identificati o aggregati | Possono essere conservati a tempo indeterminato (non possono essere ricondotti a Lei) |
Lei può richiedere un'eliminazione anticipata in qualsiasi momento come descritto nella Sezione 13, salvo eccezioni limitate (ad es. ove la conservazione sia richiesta dalla legge).
9. Sicurezza dei Dati
Implementiamo misure di salvaguardia amministrative, tecniche e fisiche progettate per proteggere le Sue informazioni, tra cui:
- Cifratura in transito (TLS) e a riposo;
- Controlli di accesso e principi di minimo privilegio per il nostro personale;
- Pratiche sicure di sviluppo software e revisione del codice;
- Revisione di sicurezza dei fornitori per i sub-responsabili;
- Logging e monitoraggio; e
- Procedure di risposta agli incidenti.
Nessuna misura di sicurezza è perfetta e non possiamo garantire una sicurezza assoluta.
Notifica di violazione. Qualora veniamo a conoscenza di una violazione dei dati personali che incida sulle Sue informazioni, La notificheremo e notificheremo le autorità di vigilanza competenti come richiesto dalla legge applicabile, tra cui:
- GDPR / UK GDPR / FADP: notifica all'autorità di vigilanza entro 72 ore dalla conoscenza (ove fattibile), e agli interessati senza ingiustificato ritardo qualora sussista un rischio elevato per i loro diritti e libertà;
- Giappone APPI (Articolo 26): notifica alla Personal Information Protection Commission (PPC) e agli interessati tempestivamente, secondo le modalità e la tempistica previste dall'APPI;
- Corea del Sud PIPA (Articolo 34): notifica agli interessati senza indugio e — per violazioni che coinvolgano 1.000 o più persone o informazioni sensibili — notifica alla PIPC entro 24 ore;
- Leggi statali USA: notifica entro le tempistiche e secondo le procedure richieste da ciascuna legge statale applicabile in materia di notifica delle violazioni;
- Altre giurisdizioni: come richiesto dalla legge applicabile.
10. Privacy dei Minori
I Servizi non sono rivolti a bambini di età inferiore ai 13 anni e non raccogliamo consapevolmente informazioni personali da bambini di età inferiore ai 13 anni negli Stati Uniti o al di sotto dell'età minima per il consenso digitale nel loro Paese di residenza (ad es. 14 in Spagna, 15 in Francia, 16 in Germania).
Qualora Lei abbia un'età compresa tra 13 e 17 anni (o l'età della maggiore età nella Sua giurisdizione), può utilizzare i Servizi solo con il coinvolgimento e il consenso di un genitore o tutore legale.
Per i dettagli su come i genitori possano fornire consenso parentale verificabile ai sensi del COPPA e di leggi equivalenti (e su come revocarlo), si veda la Sezione 2.2 dei Termini di Servizio.
Qualora veniamo a conoscenza di aver raccolto informazioni personali da un minore al di sotto dell'età applicabile senza un consenso parentale verificato, le elimineremo il prima possibile. I genitori che ritengano che un minore abbia fornito informazioni personali senza consenso possono contattarci all'indirizzo contact@thetawave.ai.
Per le scuole e gli educatori che utilizzano i Servizi con gli studenti: siete responsabili dell'ottenimento di tutti i consensi richiesti da COPPA, FERPA, GDPR, APPI, PIPA e leggi equivalenti, e di fungere da autorità competente ai sensi di tali leggi.
11. I Suoi Diritti sulla Privacy — Panoramica Globale
A seconda del luogo in cui vive, Lei può avere diritti tra cui:
- Accesso: il diritto di sapere quali informazioni personali deteniamo su di Lei e di riceverne una copia;
- Rettifica: il diritto di correggere informazioni inesatte o incomplete;
- Cancellazione ("diritto all'oblio"): il diritto di richiedere la cancellazione delle Sue informazioni;
- Portabilità: il diritto di ricevere determinate informazioni in un formato portabile;
- Limitazione / opposizione: il diritto di limitare od opporsi a determinati trattamenti;
- Revoca del consenso: il diritto di revocare qualsiasi consenso prestato;
- Opt-out da "vendita" / "condivisione" / pubblicità mirata: il diritto di rinunciare, ove applicabile;
- Proporre reclamo a un'autorità di vigilanza.
Onoriamo questi diritti indipendentemente dal luogo in cui vive, nella misura ragionevolmente possibile. Si veda la Sezione 12 per dettagli specifici per regione e la Sezione 13 per come esercitare i Suoi diritti.
12. Diritti e Avvisi Specifici per Regione
12.1 Spazio Economico Europeo, Regno Unito e Svizzera (GDPR / UK GDPR / FADP)
Se Lei si trova nel SEE, nel Regno Unito o in Svizzera, ha i diritti descritti nella Sezione 11 ai sensi rispettivamente del Regolamento Generale sulla Protezione dei Dati (GDPR/RGPD), del UK GDPR e della Legge Federale Svizzera sulla Protezione dei Dati (FADP). Ha inoltre il diritto di:
- Proporre reclamo presso la Sua autorità locale di vigilanza sulla protezione dei dati (un elenco è disponibile su https://edpb.europa.eu/about-edpb/about-edpb/members_en per il SEE; l'ICO su https://ico.org.uk/ per il Regno Unito; e l'FDPIC su https://www.edoeb.admin.ch per la Svizzera).
Le basi giuridiche del nostro trattamento sono elencate nella Sezione 3.
Rappresentante UE (Articolo 27 GDPR). In base alla nostra valutazione della natura, dell'ambito, del contesto e delle finalità del nostro trattamento — e poiché il nostro trattamento di dati personali del SEE non è "su larga scala" rispetto alle categorie particolari di dati di cui all'Articolo 9 GDPR o ai dati relativi a condanne penali di cui all'Articolo 10 GDPR — non abbiamo nominato un rappresentante UE ai sensi dell'Articolo 27 GDPR. Gli utenti del SEE possono contattare direttamente contact@thetawave.ai per qualsiasi richiesta relativa al GDPR; risponderemo in modo coerente con la legge applicabile. Rivaluteremo questa determinazione al variare della nostra base utenti e delle attività di trattamento.
12.2 California (CCPA / CPRA)
Se Lei è residente in California, ha i diritti descritti nel California Consumer Privacy Act, come modificato dal California Privacy Rights Act ("CCPA/CPRA").
Categorie di Informazioni Personali che Raccogliamo
Negli ultimi 12 mesi abbiamo raccolto le seguenti categorie di informazioni personali (come definite nel Cal. Civ. Code § 1798.140):
| Categoria | Esempi | Raccolto? | Venduto? | Condiviso (pubblicità comportamentale cross-context)? |
|---|---|---|---|---|
| A. Identificativi | Nome, e-mail, indirizzo IP, ID dispositivo, nome account | Sì | No | No |
| B. Registri Cliente | Indirizzo di fatturazione, informazioni di pagamento | Sì | No | No |
| C. Classificazioni protette | Età (ove fornita), Paese | Limitato | No | No |
| D. Informazioni commerciali | Storia degli abbonamenti, registri delle transazioni | Sì | No | No |
| E. Informazioni biometriche | (Caratteristiche vocali nei Contenuti dell'Utente audio, se caricati) | Se Lei carica | No | No |
| F. Attività Internet | Dati di utilizzo, interazioni con i Servizi | Sì | No | No |
| G. Geolocalizzazione | Posizione approssimativa da IP | Sì | No | No |
| H. Dati sensoriali | Audio, immagini, video nei Contenuti dell'Utente (se carica) | Se Lei carica | No | No |
| I. Professionali/lavorativi | Non raccolti | No | — | — |
| J. Informazioni educative | Contenuti accademici nei Contenuti dell'Utente (note, materiali di studio) | Sì | No | No |
| K. Inferenze | Preferenze e modelli di studio derivati dall'utilizzo | Sì | No | No |
| L. PI Sensibili | Credenziali dell'account; contenuto preciso delle comunicazioni all'interno dei Servizi | Sì | No | No |
I Suoi Diritti come Residente della California
- Diritto di sapere quali informazioni personali abbiamo raccolto e come le utilizziamo e condividiamo;
- Diritto di richiedere la cancellazione, fatte salve le eccezioni di legge;
- Diritto di rettificare informazioni personali inesatte;
- Diritto di rinunciare a "vendita" o "condivisione" — non "vendiamo" né "condividiamo" le Sue informazioni personali per pubblicità comportamentale cross-context come tali termini sono definiti dal CCPA/CPRA, ma onoriamo i segnali di opt-out (incluso il Global Privacy Control / GPC) ove tecnicamente fattibile;
- Diritto di limitare l'uso di informazioni personali sensibili a quanto necessario per erogare i Servizi;
- Diritto alla non discriminazione per l'esercizio dei Suoi diritti.
"Shine the Light" (Cal. Civ. Code § 1798.83)
I residenti della California possono richiedere informazioni sulla divulgazione di informazioni personali a terze parti per finalità di marketing diretto. Non effettuiamo tale divulgazione.
12.3 Altri Stati degli USA
Se risiede in Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Montana (MTCDPA), Iowa (ICDPA), Tennessee (TIPA), Delaware (DPDPA), New Jersey (NJDPA), New Hampshire (NHPA), Maryland (MODPA), Minnesota (MCDPA), Indiana (INCDPA), Nebraska (NDPA), Rhode Island (RIDPA), o Kentucky (KCDPA), ha diritti analoghi a quelli sopra descritti, inclusi (a seconda del Suo stato) i diritti di accesso, rettifica, cancellazione, portabilità e di opt-out dalla pubblicità mirata, dalla "vendita" e da determinati tipi di profilazione. Ove richiesto, Lei ha il diritto di proporre appello contro il nostro rifiuto di una richiesta — si veda la Sezione 13.
Lei può inoltre avere il diritto di nominare un agente autorizzato a presentare una richiesta per Suo conto. Richiederemo una verifica prima di onorare le richieste degli agenti autorizzati.
12.4 Giappone (個人情報保護法 / APPI)
Se Lei si trova in Giappone, trattiamo le Sue informazioni personali in conformità con l'Act on the Protection of Personal Information (APPI).
- Le finalità di utilizzo sono descritte nella Sezione 2. Non utilizzeremo le Sue informazioni personali per finalità diverse senza il Suo consenso, salvo quanto consentito dall'APPI.
- Trasferimento transfrontaliero: Come descritto nella Sezione 7, le Sue informazioni saranno trasferite negli Stati Uniti e in altri Paesi. Utilizzando i Servizi, Lei acconsente a tale trasferimento ai sensi dell'Articolo 28 APPI. Mettiamo a disposizione, su richiesta, informazioni sui sistemi di protezione dei dati dei Paesi destinatari e sulle garanzie che abbiamo posto in essere.
- I Suoi diritti: Lei ha il diritto di richiedere divulgazione, rettifica, integrazione, cancellazione, sospensione dell'uso, sospensione della trasmissione a terzi, e di ricevere una copia delle Sue informazioni personali da noi detenute.
- Operatore Aziendale di Trattamento dei Dati Personali: Thetawave AI, Inc. è l'operatore aziendale che tratta le Sue informazioni personali. Contatto: contact@thetawave.ai.
- Notifica di violazione: Come richiesto dall'Articolo 26 APPI, notificheremo alla Personal Information Protection Commission (PPC) e agli interessati le violazioni qualificanti.
- Reclami: Qualora non possiamo risolvere la Sua preoccupazione, può consultare la Personal Information Protection Commission (PPC) del Giappone.
12.5 Corea del Sud (개인정보 보호법 / PIPA)
Se Lei si trova in Corea del Sud, trattiamo le Sue informazioni personali in conformità con il Personal Information Protection Act (PIPA) e le leggi correlate.
- Finalità della raccolta e dell'uso: come descritto nella Sezione 2.
- Elementi raccolti: come descritto nella Sezione 1.
- Periodo di conservazione: come descritto nella Sezione 8.
- Trasferimento transfrontaliero (PIPA Art. 28-8): Le Sue informazioni personali possono essere trasferite agli Stati Uniti e ad altri Paesi ai fornitori IA, fornitori di trascrizione, fornitori di hosting e altri sub-responsabili elencati nella Sezione 4. Otteniamo il Suo consenso per tale trasferimento ove richiesto e forniamo le comunicazioni richieste dal PIPA.
- I Suoi diritti: accesso, rettifica, cancellazione, sospensione del trattamento e revoca del consenso. Ai sensi dell'Articolo 35 PIPA, risponderemo alle richieste di accesso e rettifica entro 10 giorni (estensibili di ulteriori 10 giorni ove ragionevolmente necessario).
- Privacy Officer / 개인정보 보호책임자: Contattare contact@thetawave.ai.
- Notifica di violazione (PIPA Art. 34): Notificheremo agli interessati senza indugio e — per violazioni che coinvolgano 1.000 o più persone o informazioni sensibili — notificheremo alla PIPC entro 24 ore.
- Reclami: Lei può presentare reclamo presso la Personal Information Protection Commission (PIPC, 개인정보보호위원회) o la Korea Internet & Security Agency (KISA), incluso il Privacy Complaint Center (privacy.go.kr / 118).
12.6 Hong Kong (個人資料(私隱)條例 / PDPO)
Se Lei si trova a Hong Kong, trattiamo i Suoi dati personali in conformità con la Personal Data (Privacy) Ordinance (PDPO) e con i Six Data Protection Principles. Lei ha il diritto di richiedere accesso e rettifica dei Suoi dati personali. Le richieste possono essere inviate a contact@thetawave.ai. I reclami possono essere proposti presso l'Office of the Privacy Commissioner for Personal Data (PCPD).
12.7 Taiwan (個人資料保護法 / PDPA)
Se Lei si trova a Taiwan, trattiamo le Sue informazioni personali in conformità con il Personal Data Protection Act (PDPA). Lei ha il diritto di chiedere informazioni, richiedere una copia, integrare o rettificare, richiedere la cessazione della raccolta/trattamento/uso e richiedere la cancellazione delle Sue informazioni personali. Le richieste possono essere inviate a contact@thetawave.ai. Ove richiesto, otteniamo il Suo consenso prima del trasferimento internazionale delle Sue informazioni personali.
12.8 Canada (PIPEDA)
Se Lei si trova in Canada, trattiamo le Sue informazioni personali in conformità con il Personal Information Protection and Electronic Documents Act (PIPEDA) e con le leggi provinciali applicabili (ad es. la Legge 25 del Quebec). Ha diritti di accesso, rettifica e revoca del consenso. I reclami possono essere proposti presso l'Office of the Privacy Commissioner of Canada su https://www.priv.gc.ca/.
12.9 Altre Giurisdizioni
Rispettiamo le leggi sulla protezione dei dati applicabili alla Sua residenza anche se non specificamente elencate sopra. Qualora Lei risieda in una giurisdizione con leggi applicabili (ad es. LGPD del Brasile, Privacy Act dell'Australia, DPDP Act dell'India, PDPL degli Emirati Arabi Uniti, o altre), La preghiamo di contattare contact@thetawave.ai con qualsiasi richiesta sui diritti; risponderemo in modo coerente con la legge applicabile.
13. Come Esercitare i Suoi Diritti
Per esercitare qualsiasi diritto sopra descritto:
- Inviare un'e-mail a contact@thetawave.ai con oggetto "Privacy Request"; oppure
- Utilizzare qualsiasi controllo sulla privacy in-app che mettiamo a disposizione.
Per proteggere le Sue informazioni, potremmo dover verificare la Sua identità (tipicamente confermando il controllo dell'indirizzo e-mail associato al Suo account). Qualora Lei stia utilizzando un agente autorizzato, potremmo richiedere prova dell'autorizzazione.
Risponderemo alle richieste verificabili entro il termine richiesto dalla legge applicabile, tra cui:
| Legge | Tempo di Risposta |
|---|---|
| GDPR / UK GDPR | Un mese, prorogabile fino a due mesi aggiuntivi per richieste complesse o numerose |
| CCPA / CPRA | 45 giorni, prorogabili di ulteriori 45 giorni ove ragionevolmente necessario |
| Altre leggi statali USA sulla privacy | Come richiesto da ciascuna legge (tipicamente 45 o 60 giorni) |
| Corea PIPA | 10 giorni, prorogabili di ulteriori 10 giorni |
| Giappone APPI | Senza ingiustificato ritardo; mireremo a rispondere entro 30 giorni |
| Altre giurisdizioni | Come richiesto dalla legge applicabile |
Non La discrimineremo per aver esercitato i Suoi diritti.
Qualora rifiutassimo una richiesta, ne spiegheremo il motivo e — ove applicabile — Lei avrà il diritto di proporre appello contro la nostra decisione. Per proporre appello, risponda alla nostra e-mail di risposta entro 60 giorni. Qualora il Suo appello venga respinto, Lei può presentare reclamo alla Sua autorità di vigilanza per la protezione dei dati o all'attorney general.
14. Segnali Do-Not-Track
La maggior parte dei browser offre un segnale "Do Not Track" (DNT). Poiché non esiste un'interpretazione standard del settore dei segnali DNT, i Servizi attualmente non rispondono ai segnali DNT. Onoriamo tuttavia i segnali di opt-out richiesti dalla legge (ad es. il Global Privacy Control / GPC ove applicabile).
15. Informativa sulla Privacy delle App Mobili (App Store / Google Play)
Oltre alla presente Informativa, forniamo informative sulla privacy attraverso i meccanismi di piattaforma richiesti da Apple e Google:
- Le Apple App Store privacy nutrition labels e l'iOS Privacy Manifest (
PrivacyInfo.xcprivacy) descrivono le categorie di dati che l'applicazione iOS raccoglie e come le utilizza, nel formato richiesto da Apple. - Il Google Play Data Safety form descrive le categorie di dati che l'applicazione Android raccoglie, condivide, e le pratiche di sicurezza che seguiamo, nel formato richiesto da Google.
Le informative in tali moduli sono intese come coerenti con la presente Informativa. In caso di discrepanza non intenzionale tra le informative di piattaforma e la presente Informativa, prevale la presente Informativa, e provvederemo ad aggiornare le informative di piattaforma per allinearle.
16. Link e Servizi di Terze Parti
I Servizi possono contenere link a siti web di terze parti o integrazioni (ad es. fornitori di identità, processori di pagamento, fornitori IA). La presente Informativa non si applica a tali terze parti. La invitiamo a consultare le loro informative sulla privacy prima di fornire loro le Sue informazioni.
17. Modifiche alla Presente Informativa
Possiamo aggiornare la presente Informativa sulla Privacy di volta in volta. La data di "Ultimo aggiornamento" all'inizio riflette la versione più recente. Qualora apportiamo modifiche sostanziali, La notificheremo tramite e-mail o tramite avviso ben visibile sui Servizi almeno 14 giorni prima che le modifiche abbiano effetto (o prima ove richiesto dalla legge applicabile). Le modifiche sostanziali che riguardino un sub-responsabile sono inoltre soggette ai requisiti di notifica della Sezione 4.1. L'utilizzo continuato dei Servizi dopo la data di efficacia costituisce accettazione.
18. Contatti
Per domande, richieste o reclami sulla privacy:
Thetawave AI, Inc. Attn: Privacy E-mail: contact@thetawave.ai Sito web: https://thetawave.ai
Thetawave AI si impegna a proteggere la Sua privacy e a essere trasparente su come gestiamo i Suoi dati. Qualora qualcosa nella presente Informativa non Le sia chiaro, La preghiamo di contattarci — saremo lieti di aiutarLa.