Torna alla home
Documento legale

Privacy policy

Come trattiamo i tuoi dati su Infiltrato. Abbiamo costruito la piattaforma intorno a un'idea precisa: poter parlare senza esporre la propria identità, restando comunque verificati come membri di un luogo o di un'organizzazione. Questa pagina spiega come.

Ultima modifica: 2026-06-15Versione 1.0

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è Metrica S.r.l., con sede legale in Italia. Per qualsiasi comunicazione relativa al trattamento dei tuoi dati puoi scriverci a privacy@infiltrato.app oppure, per richieste di carattere generale, a support@infiltrato.app.

Il riferimento normativo principale è il Regolamento (UE) 2016/679 (GDPR), integrato dal D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018.

2. Tipologie di dati raccolti

Trattiamo solo i dati strettamente necessari al funzionamento del Servizio. Le categorie sono:

  • Dati identificativi minimi — indirizzo email principale (per il login OTP) ed eventuali email aggiuntive verificate per sbloccare bacheche di dominio (es. email universitaria, aziendale, ospedaliera).
  • Dati di profilo opzionali — nome visualizzato, immagine del profilo, biografia, riferimenti amministrativi geografici che dichiari in onboarding (comune, provincia, regione).
  • Contenuti pubblicati — Voci, commenti e voti che esprimi all'interno delle bacheche. Le Voci anonime sono separate, a livello tecnico, dal tuo identificativo utente (vedi sezione 3).
  • Dati tecnici — indirizzo IP, modello del dispositivo, sistema operativo, identificatori di installazione dell'app, log di errore, timestamp degli accessi. Servono per sicurezza, prevenzione abusi e diagnostica.
  • Dati di interazione anti-abuso — segnali aggregati usati dai sistemi antispam (frequenza di pubblicazione, segnalazioni ricevute, pattern di voto anomali).

Non raccogliamo: numero di telefono, dati di pagamento, dati di geolocalizzazione precisa (lat/long), dati biometrici, dati di salute, dati relativi a orientamento sessuale, opinioni politiche o religiose salvo quanto tu stesso decida di pubblicare nei contenuti.

3. Architettura dell'anonimato

È la parte più importante di questa policy, perché riguarda la promessa fondante di Infiltrato.

Quando pubblichi una Voce hai due opzioni:

  • Pubblicazione collegata al profilo — il post resta associato al tuo identificativo utente e gli altri membri della bacheca vedono il tuo nome accanto.
  • Pubblicazione anonima — il post viene salvato nella nostra base dati senza alcun riferimento al tuo identificativo utente. Al momento della dissociazione il sistema ti consegna un OTP a 6 cifre: è l'unico modo per riconnettere quel post al tuo profilo in futuro. L'OTP di riconnessione non è memorizzato dai nostri server: se lo perdi, il legame è perso per sempre — questa è una garanzia di anonimato, non un bug.

Restano comunque presenti, per il tempo strettamente necessario, alcuni segnali tecnici non riconducibili a te come individuo ma necessari a:

  • rilevare comportamenti abusivi (es. spam, contenuti illeciti);
  • applicare i limiti di pubblicazione per bacheca;
  • rispondere agli obblighi imposti dalla normativa (Direttiva e-commerce 2000/31/CE e DSA Reg. UE 2022/2065 sulla cooperazione con le autorità).

In nessun caso usiamo questi segnali per profilare comportamenti, vendere dati o costruire pubblicità mirata.

4. Finalità del trattamento

I dati elencati sono trattati esclusivamente per:

  • fornire e gestire il Servizio (autenticazione, accesso alle bacheche, pubblicazione, voto);
  • tutelare la sicurezza degli utenti e dell'infrastruttura (prevenzione abusi, moderazione, gestione delle segnalazioni);
  • adempiere a obblighi di legge (richieste delle autorità, conservazione log per fini di sicurezza informatica ai sensi dell'art. 132 D.Lgs. 196/2003);
  • comunicare con te per ragioni di servizio (notifiche di moderazione, aggiornamenti di policy, comunicazioni di sicurezza). Non inviamo newsletter commerciali in fase pre-launch.

5. Basi giuridiche

I trattamenti sopra elencati trovano fondamento giuridico in:

  • Art. 6, par. 1, lett. b GDPR — esecuzione del contratto di servizio che hai accettato al momento della registrazione (Termini di servizio);
  • Art. 6, par. 1, lett. f GDPR — interesse legittimo a tutelare la sicurezza dell'infrastruttura, prevenire abusi e cooperare con le autorità nei casi previsti dalla legge;
  • Art. 6, par. 1, lett. c GDPR — adempimento di obblighi normativi quando previsti (es. risposta a richieste dell'autorità giudiziaria);
  • Art. 6, par. 1, lett. a GDPR — consenso esplicito limitatamente a trattamenti facoltativi (es. invio di una futura newsletter, se e quando attivata, sempre revocabile con un click).

6. Periodi di conservazione

  • Account attivo — i dati sono conservati per tutta la durata dell'utilizzo del Servizio.
  • Email principale e di dominio — fino a chiusura dell'account, più 30 giorni di tolleranza per recupero accidentale.
  • Voci anonime — restano pubblicate nella bacheca a tempo indeterminato, salvo rimozione per violazione delle regole o richiesta dell'autore tramite OTP di riconnessione. Trattandosi di contenutinon riconducibili al tuo profilo nella base dati, la chiusura dell'account non implica la loro rimozione automatica.
  • Voci collegate al profilo — eliminate su tua richiesta in qualsiasi momento.
  • Log tecnici — fino a 12 mesi, ai sensi dell'art. 132 D.Lgs. 196/2003 e per finalità di sicurezza informatica.
  • Segnalazioni — conservate per il tempo necessario alla loro gestione, oltre a un periodo ragionevole per la difesa in eventuali contenziosi.

7. Destinatari e responsabili del trattamento

I tuoi dati sono trattati da personale autorizzato di Metrica S.r.l. con apposita istruzione scritta. Possiamo avvalerci di fornitori esterni (responsabili del trattamento ex art. 28 GDPR) per:

  • hosting dell'infrastruttura (server UE);
  • servizi di invio email transazionale (OTP, notifiche);
  • strumenti di monitoraggio e diagnostica;
  • servizi di assistenza al cliente (gestione segnalazioni e ticket).

Tutti i fornitori sono vincolati da contratti che impongono standard di sicurezza coerenti con il GDPR. L'elenco aggiornato dei responsabili del trattamento è disponibile su richiesta a privacy@infiltrato.app.

8. Trasferimenti extra-UE

In fase pre-launch i dati personali non vengono trasferiti fuori dallo Spazio Economico Europeo. Qualora in futuro dovessimo avvalerci di fornitori extra-UE, garantiremo sempre un livello di tutela adeguato attraverso una delle basi previste dal Capo V GDPR (decisioni di adeguatezza della Commissione, clausole contrattuali standard, garanzie adeguate).

9. I tuoi diritti

In qualsiasi momento puoi esercitare i seguenti diritti (artt. 15–22 GDPR):

  • Accesso — ottenere conferma del trattamento e copia dei dati;
  • Rettifica — correggere dati inesatti o integrarli;
  • Cancellazione — chiedere la rimozione dei tuoi dati nei limiti consentiti dalla legge (i contenuti anonimi non sono direttamente cancellabili da noi senza l'OTP di riconnessione, vedi sezione 3);
  • Limitazione — chiedere la sospensione del trattamento in casi specifici;
  • Portabilità — ricevere i tuoi dati in formato strutturato e machine-readable;
  • Opposizione — opporti al trattamento basato su interesse legittimo;
  • Revoca del consenso — quando il trattamento è basato sul consenso, in qualsiasi momento.

Per esercitarli scrivici a privacy@infiltrato.app indicando il diritto che vuoi esercitare. Ti risponderemo entro 30 giorni, eventualmente prorogabili nei casi previsti dall'art. 12 GDPR.

10. Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio del trattamento, fra cui:

  • cifratura in transito (TLS 1.2+) di tutte le comunicazioni;
  • autenticazione passwordless basata su OTP via email (cookie di sessione HttpOnly, SameSite);
  • isolamento della base dati rispetto all'ambiente applicativo, accessi tracciati e con minor-privilege;
  • backup periodici cifrati e procedure di disaster recovery;
  • segregazione architetturale delle Voci anonime rispetto ai dati identificativi (vedi sezione 3);
  • processi interni per la gestione di eventuali violazioni (data breach) e notifica al Garante entro 72 ore quando richiesto dall'art. 33 GDPR.

In fase pre-launch utilizziamo esclusivamente cookie e archiviazione locale di tipo tecnico:

  • cookie di sessione necessari al login OTP e al mantenimento dello stato autenticato;
  • token CSRF a protezione delle azioni che modificano dati;
  • flag locali (MMKV / localStorage) per ricordare lo stato di onboarding sul tuo dispositivo.

Non utilizziamo: cookie analitici di terze parti, cookie di profilazione, pixel pubblicitari, SDK di marketing. Quando in futuro introdurremo strumenti analitici aggregati (es. per misurare l'utilizzo generale del Servizio) lo dichiareremo con preavviso e consenso esplicito quando richiesto dalla normativa.

12. Trattamento dei dati dei minori

Infiltrato non è destinato a utenti di età inferiore ai 16 anni. Non raccogliamo intenzionalmente dati di minori di 16 anni. Se veniamo a conoscenza del fatto che un account è stato aperto da una persona di età inferiore, procediamo alla chiusura dell'account e alla cancellazione dei relativi dati nei limiti tecnici descritti nella sezione 6.

Se sei un genitore o tutore e ritieni che un minore ti riguardi abbia creato un account, scrivici a privacy@infiltrato.app e provvederemo con priorità.

13. Decisioni automatizzate e profilazione

Non effettuiamo decisioni automatizzate, incluso profilazione, che producano effetti giuridici o significativi nei tuoi confronti ai sensi dell'art. 22 GDPR. La visibilità dei contenuti è governata esclusivamente dal voto democratico dei membri della bacheca; non esiste un algoritmo proprietario che ti assegni un "rank" o decida cosa vedere.

Sistemi automatici sono impiegati esclusivamente in funzione anti-abuso (filtri spam, rilevamento di contenuti manifestamente illeciti); le loro decisioni rilevanti sono sempre sottoposte a revisione umana prima di produrre effetti sul tuo account.

14. Modifiche alla policy

Possiamo aggiornare questa policy per riflettere cambiamenti del Servizio, della normativa o delle nostre pratiche. Ti notifichiamo le modifiche sostanziali con almeno 30 giorni di preavviso tramite email e avviso in-app. La versione corrente e il riferimento storico delle modifiche sono sempre consultabili a partire da questa pagina.

15. Reclamo al Garante per la protezione dei dati

Hai sempre la facoltà di proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it, qualora ritenga che il trattamento dei tuoi dati violi la normativa applicabile. Ti incoraggiamo, ove possibile, a contattarci prima all'indirizzo privacy@infiltrato.app in modo da poter affrontare insieme il tuo caso.

16. Contatti e DPO

Per qualsiasi questione relativa a questa policy o all'esercizio dei tuoi diritti puoi scrivere a:

L'eventuale nomina formale di un Responsabile della Protezione dei Dati (DPO) — non obbligatoria allo stato attuale del Servizio ma che valutiamo proattivamente — verrà comunicata in questa pagina con i relativi recapiti.