Informativa sulla privacy

Ultimo aggiornamento: 9 maggio 2026 · Versione 1.0

La versione francese (Politique de confidentialité) è la versione giuridicamente vincolante. Questa traduzione italiana è fornita per comodità. In caso di discrepanza, prevale la versione francese.

Questa informativa spiega come Ovarli raccoglie, utilizza, condivide e protegge i tuoi dati personali quando utilizzi il servizio. È redatta per essere leggibile e precisa, in conformità all'articolo 19 capoverso 4 della legge federale svizzera sulla protezione dei dati (LPD) e all'articolo 12 del Regolamento europeo generale sulla protezione dei dati (GDPR).

1. Identità del titolare del trattamento

Il titolare del trattamento dei tuoi dati personali ai sensi della LPD e del GDPR è:

• Ovarli, gestita da Vinny Jordan Mboyo, ditta individuale, Svizzera.
• Contatto: hello@ovarli.app
• Responsabile della protezione dei dati (DPO): non designato, contatto diretto tramite l'indirizzo sopra.

Ovarli non è tenuta a designare un rappresentante nell'Unione europea ai sensi dell'articolo 27 del GDPR considerate le dimensioni della struttura e il carattere non sistematico del trattamento su larga scala. Questa analisi sarà rivista in caso di evoluzioni future.

2. A chi si applica questa informativa

Questa informativa si applica a chiunque visiti ovarli.app, crei un account Ovarli o interagisca con il servizio in altro modo. Non copre i siti di terzi a cui Ovarli potrebbe rimandare, che hanno le proprie politiche.

3. Dati raccolti

3.1 Dati forniti direttamente da te

• Dati di registrazione: indirizzo email e password (memorizzata sotto forma di hash bcrypt, mai in chiaro). Se accedi tramite Google, il tuo identificatore Google e il tuo nome pubblico Google.
• Dati finanziari: tutto ciò che inserisci nell'applicazione: entrate, uscite, abbonamenti, veicoli, debiti, crediti, obiettivi, investimenti, criptovalute, piani di risparmio. Questi dati sono memorizzati sull'infrastruttura di Ovarli e visibili solo a te (al di fuori dell'accesso amministratore esplicito, vedi sezione 5).
• Dati di profilo: preferenza di lingua (FR/EN/DE/IT), tema (chiaro/scuro), valuta principale, parametri TOTP in caso di attivazione dell'autenticazione a due fattori.
• Comunicazioni: se ci scrivi (supporto, suggerimento, reclamo), conserviamo lo scambio.

3.2 Dati raccolti automaticamente

• Dati tecnici: indirizzo IP, user-agent del browser, timestamp di connessione, codice di risposta HTTP. Questi dati sono registrati dal nostro reverse proxy per scopi di sicurezza e diagnosi e conservati al massimo 30 giorni in log interni.
• Dati di autenticazione: un token di sessione (JWT) firmato da Ovarli, memorizzato nel browser (localStorage) per mantenerti connesso. La sua durata di vita massima lato server è di 30 giorni, ma un livello di protezione aggiuntivo ti disconnette automaticamente dopo 15 minuti di inattività nell'applicazione. Il token contiene il tuo identificatore interno, il tuo ruolo e la data di scadenza. La durata massima sarà ridotta (7 giorni con rinnovo scorrevole) in una versione futura.
• Dati di sicurezza 2FA: se attivi l'autenticazione a due fattori, un segreto TOTP base32 viene conservato per verificare i tuoi codici a 6 cifre. Le sfide 2FA temporanee sono automaticamente distrutte dopo 5 minuti.
• Errori applicativi: in produzione, gli errori lato server o lato browser vengono inoltrati a un servizio terzo di tracciamento errori (Sentry) dopo filtraggio dei dati identificativi (vedi sezione 5). In sviluppo nessun dato viene inoltrato.
• Cookie e archiviazione locale: vedi la nostra Informativa sui cookie. Nessuno strumento di misurazione del pubblico o marketing di terze parti è installato ad oggi.

3.3 Categorie particolari di dati

Ovarli non raccoglie né tratta intenzionalmente dati sensibili ai sensi dell'articolo 5 lettera c LPD o dell'articolo 9 GDPR (origine razziale o etnica, opinioni politiche, convinzioni religiose, dati sulla salute, orientamento sessuale, ecc.). I dati finanziari che inserisci sono protetti con un alto livello di cura per via della loro sensibilità funzionale, senza tuttavia rientrare in questa particolare categoria legale.

4. Perché raccogliamo questi dati (finalità e basi giuridiche)

Conformemente all'articolo 31 LPD e all'articolo 6 GDPR, ogni trattamento si basa su una base giuridica chiara:

• Esecuzione del contratto (articolo 6 § 1 lettera b GDPR): creazione e gestione del tuo account, fornitura delle funzionalità di Ovarli, invio di notifiche relative al tuo account (validazione, allerta sicurezza, scadenza piano).
• Interesse legittimo (articolo 6 § 1 lettera f GDPR): garantire la sicurezza del servizio, prevenire e rilevare frodi o abusi, misurare le prestazioni tecniche dell'infrastruttura, migliorare il servizio. Tale interesse è bilanciato con i tuoi diritti fondamentali e puoi opporti in qualsiasi momento (vedi sezione 9).
• Consenso (articolo 6 § 1 lettera a GDPR): per attivare strumenti di analisi del pubblico o di marketing, quando offerti, e per ricorrere al servizio IA Anthropic per generare raccomandazioni personalizzate (questa funzionalità è rigorosamente opt-in e soggetta a un'anonimizzazione preliminare dei dati finanziari).
• Obbligo legale (articolo 6 § 1 lettera c GDPR): conservare alcuni dati contabili e fiscali quando la fatturazione Stripe è attiva, ai sensi del diritto svizzero (in particolare l'articolo 958f del Codice delle obbligazioni).

5. Con chi condividiamo i tuoi dati

Ovarli non vende mai i tuoi dati personali. Condividiamo solo con le seguenti categorie di destinatari, nei limiti strettamente necessari:

5.1 Responsabili del trattamento (data processors)

Ogni responsabile è legato a Ovarli da un contratto conforme all'articolo 28 GDPR, che garantisce un livello di sicurezza appropriato e l'assenza di trattamento per finalità diverse da quelle specificate da Ovarli.

• Anthropic, Inc. (Stati Uniti): generazione delle raccomandazioni IA per gli utenti dei piani Pro e Premium, esclusivamente con il tuo consenso esplicito. I prompt inviati ad Anthropic sono anonimizzati (vedi sezione 11).
• Functional Software, Inc. (Sentry) (Stati Uniti o Unione europea a seconda del piano): tracciamento degli errori applicativi in produzione. I dati identificativi (token di sessione, password, codice 2FA, identificatore utente) vengono rimossi prima dell'invio da un filtro lato Ovarli.
• Stripe Payments Europe Ltd. (Irlanda): elaborazione dei pagamenti e gestione degli abbonamenti quando la fatturazione sarà attiva. Stripe è titolare del trattamento autonomo per i dati di pagamento (numero di carta). Ovarli non memorizza mai i tuoi dati bancari completi.
• Google LLC (Stati Uniti): autenticazione OAuth se scegli "Continua con Google". Google riceve la conferma del tuo accesso a Ovarli, ma non riceve alcun dato inserito in Ovarli.
• Hosting: i nostri server si trovano in Svizzera, gestiti da Ovarli su un'infrastruttura cloud privata (macchine virtuali noleggiate presso un host svizzero). I backup sono cifrati e conservati localmente.

5.2 Autorità

Ovarli può essere portata a divulgare dati personali a un'autorità amministrativa o giudiziaria svizzera competente, su requisizione legale e dopo verifica della conformità della richiesta al diritto svizzero. Quando la legge lo consente, informeremo l'utente interessato.

5.3 Successori

In caso di fusione, acquisizione o cessione di attivi, i tuoi dati potrebbero essere trasferiti al successore. Te lo notificheremmo in anticipo e ti daremmo la possibilità di chiudere il tuo account prima di qualsiasi acquisizione.

6. Trasferimenti internazionali di dati

Quando i tuoi dati sono trasferiti al di fuori della Svizzera o dello Spazio economico europeo, Ovarli si assicura che il trasferimento si basi su una base appropriata:

• Decisione di adeguatezza del Consiglio federale svizzero o della Commissione europea quando esiste per il paese destinatario.
• In assenza, clausole contrattuali tipo (Standard Contractual Clauses) come pubblicate dalla Commissione europea e completate da analisi d'impatto sui trasferimenti (TIA) per i destinatari negli Stati Uniti.

Destinatari interessati ad oggi: Anthropic (USA), Sentry (USA o UE a seconda del piano), Stripe (Irlanda, quindi UE), Google (USA).

7. Per quanto tempo conserviamo i tuoi dati

• Dati account attivo: conservati finché il tuo account è attivo. Puoi esportare i tuoi dati o richiedere la cancellazione dell'account in qualsiasi momento dal tuo profilo.
• Account cancellati (soft-delete): il tuo nome e il tuo indirizzo email vengono anonimizzati immediatamente alla cancellazione. I dati tecnici associati (budget, abbonamenti, registro dei consensi) vengono conservati per 30 giorni per consentire il recupero in caso di cancellazione accidentale, poi cancellati definitivamente.
• Audit del consenso IA: 7 anni da ogni transizione di opt-in / opt-out, in conformità ai requisiti di tracciabilità del consenso (nLPD / GDPR). Anonimizzato dopo la cancellazione dell'account associato.
• Token di sessione JWT: 30 giorni dall'emissione.
• Sfide 2FA temporanee: 5 minuti massimo.
• Log tecnici (reverse proxy, accesso): 30 giorni.
• Log degli errori e delle prestazioni (Sentry): 90 giorni, in conformità alla conservazione del nostro responsabile del trattamento. Anonimizzati (PII rimossi all'invio).
• Backup cifrati: 14 giorni a rotazione.
• Dati contabili e fiscali (in caso di fatturazione attiva): 10 anni dalla fine dell'esercizio, ai sensi dell'articolo 958f del Codice delle obbligazioni svizzero.
• Comunicazioni di supporto: 3 anni dall'ultima interazione.

8. Come proteggiamo i tuoi dati

• Password memorizzate sotto forma di hash (bcrypt, costo 10).
• Connessione esclusivamente HTTPS, certificati Let's Encrypt rinnovati automaticamente.
• Autenticazione a due fattori (TOTP RFC 6238) disponibile su tutti gli account.
• Disconnessione automatica dopo 15 minuti di inattività nell'applicazione.
• Blocco dell'account dopo tentativi di accesso falliti, anti-enumerazione email.
• Limiti di tasso sugli endpoint sensibili, validazione rigorosa degli input lato server.
• Backup cifrati, ripristino testato regolarmente.
• Accesso amministratore strettamente limitato, registrato e legato a un account nominativo.
• Aggiornamento regolare delle dipendenze e audit automatizzato delle vulnerabilità ad ogni modifica.

Nessun sistema è completamente al riparo da incidenti. In caso di violazione suscettibile di comportare un rischio per i tuoi diritti e libertà, Ovarli notifica l'autorità di controllo competente (IFPDT in Svizzera) entro 72 ore e ti informa direttamente quando la violazione è suscettibile di comportare un rischio elevato, conformemente agli articoli 24 LPD e 33-34 GDPR.

9. I tuoi diritti

Conformemente agli articoli da 25 a 28 LPD e da 15 a 22 GDPR, hai i seguenti diritti:

• Diritto di accesso: ottenere una copia dei tuoi dati personali.
• Diritto di rettifica: correggere dati inesatti o incompleti.
• Diritto alla cancellazione: chiedere l'eliminazione del tuo account e dei tuoi dati, fatti salvi gli obblighi legali di conservazione.
• Diritto alla limitazione: chiedere la sospensione del trattamento in alcuni casi.
• Diritto di opposizione: opporti al trattamento basato sull'interesse legittimo.
• Diritto alla portabilità: ricevere i tuoi dati in un formato strutturato e leggibile da macchina.
• Diritto di revocare il consenso in qualsiasi momento, senza effetto sui trattamenti precedenti.

Per esercitare questi diritti, scrivici a hello@ovarli.app. Rispondiamo entro un termine massimo di 30 giorni. La cancellazione dell'account e l'esportazione sono accessibili anche direttamente dal tuo profilo.

Se ritieni che il trattamento dei tuoi dati non rispetti la legge, hai il diritto di proporre reclamo presso:

• In Svizzera: Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Feldeggweg 1, 3003 Berna, edoeb.admin.ch.
• Nell'Unione europea: l'autorità di controllo del tuo Stato membro di residenza abituale, luogo di lavoro o luogo dove la presunta violazione è stata commessa.

10. Cookie e tecnologie simili

La nostra Informativa sui cookie dettaglia i cookie, l'archiviazione locale e le tecnologie simili utilizzate da Ovarli, nonché il modo in cui puoi esercitare la tua scelta.

11. Profilazione e decisioni automatizzate

Ovarli non effettua alcuna decisione esclusivamente automatizzata che produca effetti giuridici nei tuoi confronti o che ti riguardi in modo analogamente significativo ai sensi dell'articolo 22 GDPR. Le raccomandazioni generate dall'IA (Anthropic) sono suggerimenti informativi, mai decisioni automatizzate. Resti libero di seguirli o meno.

Prima di qualsiasi invio ad Anthropic, i dati finanziari utilizzati come contesto sono anonimizzati: rimozione degli identificatori di account, delle email, delle etichette potenzialmente identificanti, e arrotondamento degli importi a fasce generiche per limitare la re-identificazione.

12. Minori

Il servizio è riservato alle persone maggiorenni (18 anni e oltre). Ovarli non raccoglie consapevolmente dati personali di minori. Se ritieni che un minore abbia creato un account, contattaci a hello@ovarli.app e procederemo rapidamente alla chiusura dell'account interessato.

13. Modifiche di questa informativa

Possiamo aggiornare questa informativa per riflettere evoluzioni tecniche, legali o organizzative. Le modifiche sostanziali saranno notificate via email e/o tramite un banner nel servizio almeno 30 giorni prima della loro entrata in vigore. Il numero di versione e la data dell'ultimo aggiornamento sono indicati in alto in questa pagina.

14. Contatto

Per qualsiasi domanda relativa ai tuoi dati personali o a questa informativa, scrivici a hello@ovarli.app. Ci impegniamo a rispondere entro un termine ragionevole, e al massimo entro 30 giorni per le richieste di esercizio dei diritti.

Politica redatta dal team di Ovarli sulla base della LPD (legge federale sulla protezione dei dati del 25 settembre 2020), del GDPR (regolamento UE 2016/679) e delle pratiche pubbliche di editori SaaS svizzeri riconosciuti. Una revisione legale professionale è raccomandata prima di qualsiasi apertura pubblica più ampia. Per segnalare un'imprecisione, scrivete a hello@ovarli.app.