Privacy Policy

Ultimo aggiornamento: 12 aprile 2026

La presente Privacy Policy descrive come NutriLogic (di seguito "l'App", "noi") raccoglie, utilizza, conserva e protegge i dati personali degli utenti, in conformità al Regolamento (UE) 2016/679 ("GDPR"), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, al Regolamento (UE) 2024/1689 ("EU AI Act") e alla Legge n. 35/2025 (disposizioni nazionali sull'intelligenza artificiale).

1. Titolare del trattamento

Ai sensi dell'art. 13, par. 1, lett. a) del GDPR, il Titolare del trattamento è:

Andrea Brognera (persona fisica)
Email: info@nutrilogic.fit
Sito: https://nutrilogic.fit

2. Responsabile della Protezione dei Dati (DPO)

Ai sensi dell'art. 37 del GDPR, la nomina di un Responsabile della Protezione dei Dati (DPO) non è obbligatoria per il Titolare in quanto:

Il Titolare è una persona fisica che non effettua trattamenti su larga scala;
Non è un'autorità pubblica o un organismo pubblico;
Le attività principali non consistono nel monitoraggio regolare e sistematico su larga scala degli interessati.

Per qualsiasi richiesta relativa al trattamento dei dati personali, è possibile contattare direttamente il Titolare all'indirizzo info@nutrilogic.fit.

3. Dati personali raccolti

3.1 Dati di registrazione e profilo

Nome, indirizzo email, foto profilo (acquisiti tramite Google o Apple Sign-In)
Identificativo univoco Firebase Authentication (UID)

3.2 Dati del profilo nutrizionale (dati sanitari)

Peso, altezza, età, sesso, livello di attività fisica
Obiettivo nutrizionale (perdere peso, mantenere, aumentare massa)
Target calorici e macronutrienti personalizzati
Giorni di allenamento

Classificazione dei dati: I dati relativi all'alimentazione, al peso corporeo e agli obiettivi nutrizionali costituiscono dati relativi alla salute ai sensi dell'art. 4, punto 15 e del Considerando 35 del GDPR, in quanto idonei a rivelare informazioni sullo stato di salute fisica dell'interessato. Il loro trattamento avviene esclusivamente sulla base del consenso esplicito dell'utente (art. 9, par. 2, lett. a) del GDPR).

3.3 Dati sui pasti

Descrizione degli alimenti consumati (testo, voce)
Foto dei pasti: elaborate in tempo reale dall'AI per l'analisi nutrizionale e NON conservate come immagini sui nostri server
Valori nutrizionali calcolati (calorie, proteine, carboidrati, grassi)
Data, orario e tipo di pasto

3.4 Piani alimentari

Piani settimanali generati dall'intelligenza artificiale
Preferenze e personalizzazioni dei piani

3.5 Chat con assistente AI

Cronologia dei messaggi scambiati con l'assistente nutrizionale AI
Segnalazioni su contenuti AI inappropriati

3.6 Dati di pagamento

Session ID Stripe, importo, pacchetto acquistato, data della transazione
I dati della carta di credito sono gestiti interamente da Stripe e NON vengono mai trasmessi ai nostri server né ivi conservati

3.7 Consensi e preferenze

Registro dei consensi prestati: nutrition_data, ai_processing, analytics
Audit trail con timestamp di ogni modifica dei consensi

3.8 Dati tecnici

Token FCM (Firebase Cloud Messaging) per notifiche push
Feedback e valutazioni in-app
Dati di errore e diagnostica (solo con consenso analytics, tramite Sentry)
Dati analytics anonimizzati (solo con consenso analytics, tramite Firebase Analytics)

4. Finalità e basi giuridiche del trattamento

Ai sensi dell'art. 13, par. 1, lett. c) e d) del GDPR:

Finalità	Base giuridica	Dati trattati
Registrazione e gestione dell'account	Esecuzione del contratto (art. 6.1.b)	Nome, email, foto profilo, UID
Tracking nutrizionale e calcolo macronutrienti	Consenso esplicito per dati sanitari (art. 9.2.a)	Profilo nutrizionale, pasti, valori calcolati
Analisi AI di pasti (testo, foto, voce)	Consenso (art. 6.1.a) + Consenso esplicito (art. 9.2.a)	Descrizione pasti, foto, profilo nutrizionale
Generazione piano settimanale AI	Consenso (art. 6.1.a) + Consenso esplicito (art. 9.2.a)	Profilo nutrizionale, preferenze
Chat assistente nutrizionale AI	Consenso (art. 6.1.a) + Consenso esplicito (art. 9.2.a)	Messaggi, profilo nutrizionale
Verifica nutrizionale (FatSecret)	Consenso esplicito (art. 9.2.a)	Nomi alimenti (anonimizzati)
Elaborazione pagamenti e gestione crediti	Esecuzione del contratto (art. 6.1.b)	Session ID Stripe, importo, pacchetto
Erogazione crediti mensili gratuiti	Esecuzione del contratto (art. 6.1.b)	UID, saldo crediti
Notifiche push	Consenso (art. 6.1.a)	Token FCM
Email transazionali e report	Esecuzione del contratto (art. 6.1.b)	Email
Analytics anonimizzate	Consenso (art. 6.1.a)	Dati di utilizzo anonimizzati
Monitoraggio errori (Sentry)	Consenso (art. 6.1.a)	Dati diagnostici, stack trace
Sicurezza e integrità del servizio	Legittimo interesse (art. 6.1.f)	Log di accesso, rate limiting
Backup dei dati	Legittimo interesse (art. 6.1.f)	Tutti i dati Firestore

5. Servizi di terze parti e responsabili del trattamento

Ai sensi dell'art. 28 del GDPR, i seguenti soggetti agiscono come Responsabili del trattamento:

Servizio	Fornitore	Dati condivisi	Finalità
Firebase Authentication	Google LLC (USA)	Email, nome, foto profilo, UID	Autenticazione (Google, Apple, email/password)
Cloud Firestore	Google LLC (USA)	Tutti i dati dell'app (profilo, pasti, piani, chat, crediti, consensi)	Database principale
Firebase Analytics	Google LLC (USA)	Dati di utilizzo anonimizzati	Analytics (solo con consenso)
Firebase Cloud Messaging	Google LLC (USA)	Token dispositivo FCM	Notifiche push
Anthropic Claude	Anthropic PBC (USA)	Descrizioni pasti, foto pasti, profilo nutrizionale, messaggi chat	Analisi AI pasti, generazione piani, chat nutrizionale
FatSecret API	FatSecret Pty Ltd (Australia)	Nomi alimenti (query anonime, senza identificativi utente)	Verifica valori nutrizionali USDA
Stripe	Stripe Inc. (USA)	Dati di pagamento, email per ricevuta	Elaborazione pagamenti crediti
Resend	Resend Inc. (USA)	Indirizzo email destinatario	Email transazionali e report settimanali
Sentry	Sentry Inc. (USA)	Dati di errore, stack trace, contesto tecnico	Monitoraggio errori (solo con consenso analytics)

6. Trasferimenti di dati al di fuori dell'UE/SEE

Ai sensi degli artt. 44-49 del GDPR, i dati personali vengono trasferiti verso Paesi terzi secondo le seguenti garanzie:

Fornitore	Paese	Garanzia adeguata
Google LLC (Firebase)	USA	EU-US Data Privacy Framework (decisione di adeguatezza della Commissione Europea del 10 luglio 2023)
Anthropic PBC	USA	Clausole Contrattuali Standard (SCC) — Decisione di esecuzione (UE) 2021/914
Stripe Inc.	USA	EU-US Data Privacy Framework + Clausole Contrattuali Standard (SCC)
Resend Inc.	USA	Clausole Contrattuali Standard (SCC) — Decisione di esecuzione (UE) 2021/914
Sentry Inc.	USA	Clausole Contrattuali Standard (SCC) — Decisione di esecuzione (UE) 2021/914
FatSecret Pty Ltd	Australia	Clausole Contrattuali Standard (SCC) — Decisione di esecuzione (UE) 2021/914

L'utente può richiedere copia delle garanzie adeguate adottate scrivendo a info@nutrilogic.fit.

7. Intelligenza artificiale — Trasparenza

7.1 Informativa AI Act (Reg. UE 2024/1689, art. 50)

Ai sensi dell'art. 50 del Regolamento (UE) 2024/1689 ("EU AI Act"), informiamo che l'App integra sistemi di intelligenza artificiale generativa per le seguenti funzionalità:

Analisi nutrizionale dei pasti — Il sistema AI analizza descrizioni testuali, input vocali e fotografie di pasti per stimare i valori nutrizionali (calorie, proteine, carboidrati, grassi);
Generazione di piani alimentari settimanali — Il sistema AI genera suggerimenti di piani alimentari personalizzati in base al profilo nutrizionale dell'utente;
Chat con assistente nutrizionale — Il sistema AI fornisce risposte a domande relative all'alimentazione e alla nutrizione.

Il modello AI utilizzato è Anthropic Claude, fornito da Anthropic PBC (USA).

7.2 Informativa Legge n. 35/2025

Ai sensi della Legge n. 35/2025 (disposizioni nazionali sull'intelligenza artificiale), si informa che:

I contenuti nutrizionali generati dall'AI sono stime algoritmiche e non costituiscono parere medico o nutrizionale professionale;
L'utente è informato in modo chiaro e visibile all'interno dell'App quando interagisce con un sistema di intelligenza artificiale;
Il consenso all'elaborazione AI è separato e specifico, e può essere revocato in qualsiasi momento dalle Impostazioni dell'App;
L'utente può segnalare contenuti AI inappropriati tramite l'apposita funzione presente nell'App.

7.3 Trattamento dei dati da parte di Anthropic

I dati alimentari e il profilo nutrizionale dell'utente vengono inviati ad Anthropic per l'elaborazione in tempo reale;
Anthropic non utilizza i dati inviati tramite API commerciali per addestrare i propri modelli AI (come da policy di Anthropic);
I dati sono trasmessi in forma cifrata (HTTPS/TLS) e non vengono conservati da Anthropic oltre il tempo necessario all'elaborazione della richiesta.

8. Processo decisionale automatizzato

Ai sensi dell'art. 13, par. 2, lett. f) del GDPR e dell'art. 22, si informa che:

L'App utilizza algoritmi di intelligenza artificiale per calcolare stime nutrizionali (calorie, macronutrienti) e generare suggerimenti alimentari;
Tali elaborazioni non producono decisioni con effetti giuridici né incidono in modo analogo significativamente sull'interessato;
L'utente è sempre libero di modificare, ignorare o eliminare qualsiasi suggerimento generato dall'AI;
I risultati dell'AI vengono verificati automaticamente tramite il database nutrizionale FatSecret (valori USDA) per garantire maggiore accuratezza.

9. Conservazione dei dati

Categoria di dati	Periodo di conservazione	Motivazione
Profilo utente e dati nutrizionali	Fino a cancellazione dell'account	Necessario per l'erogazione del servizio
Pasti registrati	Fino a cancellazione dell'account	Storico nutrizionale dell'utente
Piani alimentari	Fino a cancellazione dell'account	Consultazione dei piani generati
Chat AI (cronologia messaggi)	Fino a cancellazione dell'account	Continuità dell'assistenza
Foto dei pasti	Non conservate	Elaborate in tempo reale; vengono salvati solo i risultati dell'analisi
Dati di pagamento (stripe_fulfilled)	10 anni dalla transazione	Obbligo fiscale: DPR 600/1973 e DPR 633/1972
Registro consensi	Fino a cancellazione dell'account + 5 anni	Prova del consenso ex art. 7.1 GDPR
Feedback e segnalazioni	Fino a cancellazione dell'account	Miglioramento del servizio
Dati di utilizzo API	1 anno	Monitoraggio costi e prestazioni
Backup Firestore	90 giorni dal backup	Disaster recovery

Nota sui backup: In caso di cancellazione dell'account, i dati vengono eliminati immediatamente dal database principale. Tuttavia, copie dei dati possono permanere nei backup automatici di Firestore per un massimo di 90 giorni dalla data del backup, dopodiché vengono cancellati automaticamente in base alla policy di lifecycle configurata.

10. Diritti dell'utente

Ai sensi degli artt. 15-22 del GDPR, l'utente ha i seguenti diritti:

Diritto di accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e copia dei propri dati personali;
Diritto di rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti;
Diritto alla cancellazione (art. 17): ottenere la cancellazione dei propri dati ("diritto all'oblio"), salvo obblighi di legge;
Diritto di limitazione (art. 18): ottenere la limitazione del trattamento nelle circostanze previste dalla norma;
Diritto alla portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico. NutriLogic fornisce i dati in formato JSON;
Diritto di opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse per motivi connessi alla propria situazione particolare;
Diritto di non essere sottoposto a decisioni automatizzate (art. 22): diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici (si veda la Sezione 8);
Diritto di revoca del consenso (art. 7.3): revocare in qualsiasi momento uno o più consensi prestati, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Come esercitare i propri diritti

Eliminazione dell'account: Impostazioni > Elimina Account (cancellazione immediata e completa dal database principale)
Gestione dei consensi: Impostazioni > Privacy e Consensi (con audit trail)
Esportazione dei dati (portabilità): scrivere a info@nutrilogic.fit per ricevere i propri dati in formato JSON
Altre richieste: scrivere a info@nutrilogic.fit

Il Titolare riscontrerà la richiesta entro 30 giorni dalla ricezione, come previsto dall'art. 12, par. 3 del GDPR. In caso di complessità, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione.

11. Diritto di reclamo all'Autorità di controllo

Ai sensi dell'art. 77 del GDPR, l'utente ha il diritto di proporre reclamo all'Autorità di controllo competente:

Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma
Tel. (+39) 06.696771
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Sito: www.garanteprivacy.it

12. Misure di sicurezza

Il Titolare adotta le seguenti misure tecniche e organizzative ai sensi dell'art. 32 del GDPR:

Autenticazione tramite Firebase Authentication (Google, Apple, email/password) con verifica JWT su ogni richiesta API;
Firestore Security Rules che limitano l'accesso ai soli dati dell'utente autenticato (principio del minimo privilegio);
Rate limiting sugli endpoint API (30 richieste/minuto per utente);
CORS restrittivo (solo domini autorizzati);
Tutte le comunicazioni avvengono tramite protocollo HTTPS (crittografia TLS in transito);
I dati sono conservati su infrastruttura Google Cloud (regione europe-west), con crittografia a riposo;
Pagamenti gestiti interamente da Stripe (certificato PCI DSS Livello 1): nessun dato carta viene trasmesso ai nostri server;
Backup automatici giornalieri con retention di 90 giorni;
Monitoraggio errori in tempo reale tramite Sentry (attivato solo con consenso dell'utente).

13. Cookie e tecnologie di archiviazione locale

L'App è una Progressive Web App (PWA) e non utilizza cookie di profilazione né cookie pubblicitari.

Vengono utilizzate esclusivamente le seguenti tecnologie di archiviazione locale, necessarie per il funzionamento dell'App:

localStorage: conservazione del token di autenticazione Firebase e delle preferenze dell'utente (tema, lingua). Trattasi di cookie tecnici essenziali ai sensi dell'art. 122, comma 1 del D.Lgs. 196/2003, per i quali non è richiesto il consenso;
IndexedDB: cache locale di Firebase per il funzionamento offline dell'App.

14. Minori

Ai sensi dell'art. 8 del GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003, come introdotto dal D.Lgs. 101/2018, l'App non è destinata a minori di 14 anni.

Per i minori di età compresa tra 14 e 18 anni, il consenso al trattamento dei dati relativi alla salute (dati nutrizionali) deve essere prestato o autorizzato dal titolare della responsabilità genitoriale.

Se un genitore o tutore dovesse scoprire che un minore di 14 anni ha fornito dati personali senza il dovuto consenso, può contattarci all'indirizzo info@nutrilogic.fit per richiederne la cancellazione immediata.

15. Modifiche alla Privacy Policy

Il Titolare si riserva di aggiornare la presente Privacy Policy per adeguarla a modifiche normative o a nuove funzionalità dell'App.

In caso di modifiche sostanziali, l'utente verrà informato tramite notifica in-app o comunicazione email prima dell'entrata in vigore delle modifiche. L'uso continuato dell'App dopo la notifica costituisce presa visione delle modifiche. Per trattamenti basati sul consenso, verrà richiesto un nuovo consenso se necessario.

16. Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali, alla presente Privacy Policy o per esercitare i propri diritti:

Andrea Brognera — Titolare del trattamento
Email: info@nutrilogic.fit
Sito: https://nutrilogic.fit

Normative di riferimento: Regolamento (UE) 2016/679 (GDPR) — D.Lgs. 196/2003 (Codice Privacy) — D.Lgs. 101/2018 — Regolamento (UE) 2024/1689 (EU AI Act) — Legge n. 35/2025 — DPR 600/1973 — DPR 633/1972

Termini di Servizio

Torna all'app