Conformità RGPD
Ultimo aggiornamento: 24 marzo 2026
CalmCall, operato da CalmCall SRL (Bucarest, Romania), si impegna a conformarsi pienamente al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche rispetto al trattamento dei dati personali e alla libera circolazione di tali dati (« RGPD »).
Poiché CalmCall tratta dati sensibili sulla salute mentale, ci impegniamo a rispettare i più elevati standard di protezione e trasparenza.
1. Responsabile della Protezione dei Dati (RPD)
Abbiamo designato un Responsabile della Protezione dei Dati che Lei può contattare per qualsiasi richiesta riguardante i Suoi dati personali:
- Posizione: Responsabile della Protezione dei Dati
- Società: CalmCall SRL
- Email: dpo@calmcall.ai
- Indirizzo: Bucarest, Romania
- Tempo di risposta: Massimo 30 giorni calendario
2. Basi Legali per il Trattamento dei Dati
Trattiamo i Suoi dati personali sulla base delle seguenti basi giuridiche previste dal RGPD:
- Consenso esplicito (Art. 6(1)(a) e Art. 9(2)(a)): Per il trattamento di dati sensibili sulla salute mentale (conversazioni IA, valutazioni emotive, registrazioni di diario). Il consenso è richiesto al momento della creazione dell'account e può essere revocato in qualsiasi momento.
- Esecuzione del contratto (Art. 6(1)(b)): Per fornire i servizi CalmCall, la gestione degli account e il trattamento dei pagamenti.
- Obbligo legale (Art. 6(1)(c)): Per conformarsi ai requisiti fiscali, contabili e legali applicabili.
- Interesse vitale (Art. 6(1)(d)): In casi eccezionali di rilevamento di un rischio imminente per la vita dell'utente.
- Interesse legittimo (Art. 6(1)(f)): Per il miglioramento dei servizi, la sicurezza e la prevenzione delle frodi — rispettando i diritti e gli interessi degli utenti.
3. Durate di Conservazione dei Dati
I dati sono conservati rigorosamente per il tempo necessario al fine per il quale sono stati raccolti:
| Categoria di Dati | Durata di Conservazione |
|---|---|
| Dati dell'account (email, nome) | Durata dell'account + 30 giorni |
| Conversazioni IA | Durata dell'account + 30 giorni (cancellazione individuale disponibile) |
| Diario terapeutico | Durata dell'account + 30 giorni |
| Dati di pagamento | 5 anni (obbligo legale fiscale) |
| Log tecnici | 90 giorni |
| Cookie analitici | 13 mesi (secondo le raccomandazioni della CNIL) |
| Backup crittografati | 90 giorni dopo la cancellazione dei dati sorgente |
| Corrispondenza di supporto | 2 anni |
4. Sottocontrattisti Terzi
Collaboriamo con i seguenti sottocontrattisti terzi, tutti conformi al RGPD con accordi di trattamento dei dati firmati (DPA):
- Hetzner Online GmbH (Germania): Hosting e infrastruttura server. Server situati nell'UE (Germania).
- Stripe Inc. (USA/Irlando): Trattamento dei pagamenti. Certificato PCI DSS di Livello 1. Clausole contrattuali standard per il trasferimento UE-USA.
- OpenAI (USA): Trattamento IA per il compagno vocale. Dati trattati secondo il DPA con clausole contrattuali standard. I dati degli utenti non vengono utilizzati per l'addestramento dei modelli.
- ElevenLabs (USA): Sintesi vocale per il compagno IA. Clausole contrattuali standard.
- Google Analytics (USA/Irlando): Analisi del traffico anonimizzato. IP anonimizzate, nessun cookie di identificazione.
5. Trasferimenti di Dati Transfrontalieri
Tutti i dati sono memorizzati su server all'interno dell'Unione Europea. Quando il trasferimento di dati verso paesi al di fuori dello Spazio Economico Europeo è necessario (ad esempio, per il trattamento IA), ci assicuriamo che:
- Clausole Contrattuali Standard (CCS) approvate dalla Commissione Europea siano implementate
- I sottocontrattisti dispongano di certificazioni di conformità pertinenti (SOC 2, ISO 27001, PCI DSS)
- Misure tecniche aggiuntive si applicano: crittografia end-to-end, pseudonimizzazione, minimizzazione dei dati
- Valutazioni d'impatto (Valutazioni d'Impatto dei Trasferimenti) vengono effettuate per ogni trasferimento
6. Richieste di Cancellazione dei Dati
Lei può richiedere la cancellazione completa dei Suoi dati personali tramite:
- Dal conto: Impostazioni > Privacy > Cancellare tutti i dati
- Email: Inviare una richiesta a dpo@calmcall.ai
- Modulo: Compilare il modulo di richiesta RGPD sul sito web
Processo di cancellazione:
- Conferma dell'identità entro un massimo di 3 giorni lavorativi
- Cancellazione dei dati principali entro un massimo di 30 giorni
- Cancellazione dei backup entro un massimo di 90 giorni
- Conferma della cancellazione finale via email
Nota: Alcuni dati possono essere conservati a causa di obblighi legali (dati fiscali — 5 anni).
7. Politica sui Cookie — Dettagli
Classificazione completa dei cookie utilizzati su CalmCall:
Cookie Strettamente Necessari
- session_id: Identificativo di sessione. Durata: sessione del browser. Non può essere disattivato.
- csrf_token: Protezione contro attacchi CSRF. Durata: sessione. Non può essere disattivato.
- auth_token: Token di autenticazione. Durata: 30 giorni o alla disconnessione. Non può essere disattivato.
Cookie Funzionali
- language: Preferenza di lingua. Durata: 1 anno. Può essere disattivato.
- theme: Preferenza di tema visivo. Durata: 1 anno. Può essere disattivato.
- cookie_consent: Preferenze di consenso. Durata: 1 anno.
Cookie Analitici
- _ga: Google Analytics — identificazione anonima degli utenti. Durata: 13 mesi. Può essere disattivato.
- _ga_*: Google Analytics — stato di sessione. Durata: 13 mesi. Può essere disattivato.
Non utilizziamo cookie di marketing, pubblicità o remarketing.
8. Valutazione d'Impatto sulla Protezione dei Dati (VIPD)
Poiché CalmCall tratta dati sensibili sulla salute mentale su larga scala, abbiamo effettuato una Valutazione d'Impatto sulla Protezione dei Dati (VIPD) in conformità all'Art. 35 RGPD. La VIPD viene riesaminata annualmente o in caso di cambiamenti significativi nelle attività di trattamento. I risultati della VIPD sono disponibili su richiesta presso le autorità di controllo.
9. I Suoi Diritti
Ai sensi del RGPD, Lei ha i seguenti diritti:
- Diritto di accesso (Art. 15) — ottenere una copia dei Suoi dati
- Diritto di rettifica (Art. 16) — correggere dati inesatti
- Diritto alla cancellazione (Art. 17) — richiedere la cancellazione dei dati
- Diritto alla limitazione (Art. 18) — limitare il trattamento
- Diritto alla portabilità (Art. 20) — ricevere dati in un formato strutturato
- Diritto di opposizione (Art. 21) — opporsi al trattamento
- Diritto di revocare il consenso (Art. 7(3)) — in qualsiasi momento, senza effetto retroattivo
- Diritto di presentare un reclamo (Art. 77) — presso l'autorità di controllo
10. Autorità di Controllo
Se ritiene che i Suoi diritti siano stati violati, può presentare un reclamo presso:
- Romania: Autorità Nazionale per la Sorveglianza del Trattamento dei Dati Personali (ANSPDCP) — www.dataprotection.ro
- Cipro: Ufficio del Commissario per la Protezione dei Dati Personali — www.dataprotection.gov.cy
11. Contatto
Per qualsiasi domanda o richiesta riguardante il RGPD e la protezione dei dati personali:
- Email RPD: dpo@calmcall.ai
- Email generale: contact@calmcall.ai
- Società: CalmCall SRL, Bucarest, Romania