AltreviteAltrevite

Privacy Policy — Altrevite

Privacy Policy — Altrevite

Ultimo aggiornamento: 9 marzo 2026

1. Titolare del trattamento

MaGa Srl Via Privata Borghesio 4, 25081 Bedizzole (BS), Italia P.IVA: 04391330984 PEC: magaholding@pec.it Codice SDI: M5UXCR1 REA CCIAA: BS - 611083 Legale rappresentante: Matteo Gazzurelli Email di contatto per la privacy: privacy@altrevite.com

2. Ambito di applicazione

La presente Privacy Policy descrive le modalità di raccolta, utilizzo, conservazione e protezione dei dati personali degli utenti che accedono e utilizzano la piattaforma web "Altrevite" (di seguito "Servizio" o "Piattaforma"), accessibile all'indirizzo https://altrevite.com e relativi sottodomini.

Il trattamento dei dati personali è effettuato in conformità al Regolamento (UE) 2016/679 ("GDPR"), al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy"), al Regolamento (UE) 2024/1689 ("AI Act") per gli aspetti relativi alla trasparenza dei contenuti generati dall'intelligenza artificiale, e alla restante normativa vigente in materia di protezione dei dati personali e intelligenza artificiale.

3. Dati personali raccolti

3.1 Dati forniti direttamente dall'utente

  • Dati di registrazione: indirizzo email, nome visualizzato, immagine profilo (se autenticazione tramite Google o Apple Sign-In).
  • Dati di simulazione: nome del personaggio, sesso, paese e città di nascita, data di nascita, parametri genetici, tratti di personalità, preferenze narrative, impostazioni sui filtri dei contenuti.
  • Dati "What If" (modalità opzionale, solo utenti Premium): risposte a domande biografiche, persone importanti (nome, ruolo, descrizione), età di partenza, punto di divergenza narrativo. Tali dati sono forniti volontariamente dall'utente e possono contenere informazioni autobiografiche.
  • Dati di pagamento: i dati di pagamento (carta di credito, dati di fatturazione) sono raccolti e gestiti esclusivamente da Stripe Inc. in qualità di responsabile del trattamento dei pagamenti. MaGa Srl non ha mai accesso ai dati completi della carta di credito. Riceviamo da Stripe esclusivamente: ID cliente Stripe, stato dell'abbonamento, date di inizio/fine periodo, tipo di piano.
  • Preferenze e impostazioni: lingua, voce per narrazione vocale, filtri contenuti (violenza, malattie, morte infantile), stile narrativo.

3.2 Dati raccolti automaticamente

  • Dati di autenticazione: token di sessione, metodo di accesso (Google, email/password, Apple Sign-In), timestamp di accesso.
  • Dati di utilizzo e analytics: pagine visitate, funzionalità utilizzate, durata delle sessioni, eventi in-app, funnel di conversione, metriche di retention (DAU/MAU). Tali dati sono raccolti tramite Firebase Analytics e, opzionalmente, PostHog.
  • Dati tecnici: tipo e versione del browser, sistema operativo, risoluzione dello schermo, indirizzo IP (anonimizzato ove possibile).
  • Dati di diagnostica: report di errore e crash tramite Firebase Crashlytics, log di performance.
  • Cookie e tecnologie di tracciamento: si rimanda alla sezione 9 per i dettagli.

3.3 Dati generati dal Servizio

  • Contenuti narrativi: testi, eventi, memorie, statistiche e timeline generati dall'intelligenza artificiale (Google Gemini) durante le simulazioni. Tali contenuti sono contrassegnati come generati dall'AI ai sensi dell'Art. 50 del Regolamento (UE) 2024/1689.
  • Contenuti audio: narrazioni vocali sintetiche generate tramite tecnologia text-to-speech (TTS).
  • Contenuti visivi: immagini generate dall'AI per avatar e scene (ove disponibili).
  • Dati derivati: Life Quality Score, achievement sbloccati, statistiche aggregate sul personaggio.

4. Finalità e basi giuridiche del trattamento

| Finalità | Base giuridica (Art. GDPR) | Dati trattati | |---|---|---| | Erogazione del Servizio (creazione account, simulazioni, salvataggio progressi) | Art. 6(1)(b) — Esecuzione del contratto | Dati di registrazione, dati di simulazione, contenuti generati | | Gestione abbonamenti e pagamenti | Art. 6(1)(b) — Esecuzione del contratto | Dati di pagamento (tramite Stripe), stato abbonamento | | Miglioramento del Servizio e analytics | Art. 6(1)(f) — Legittimo interesse | Dati di utilizzo, dati tecnici, diagnostica | | Protezione da abusi e frodi | Art. 6(1)(f) — Legittimo interesse | Token App Check (reCAPTCHA Enterprise), rate limiting | | Comunicazioni di servizio (aggiornamenti, modifiche ai termini) | Art. 6(1)(b) — Esecuzione del contratto | Email | | Comunicazioni promozionali | Art. 6(1)(a) — Consenso | Email (solo previo consenso esplicito, con possibilità di revoca in ogni momento) | | Adempimenti legali e fiscali | Art. 6(1)(c) — Obbligo legale | Dati di fatturazione, transazioni | | Conformità agli obblighi di trasparenza AI (Art. 50 AI Act) | Art. 6(1)(c) — Obbligo legale | Metadati sui contenuti AI-generated |

5. Intelligenza artificiale e trattamento dei dati

5.1 Modelli AI utilizzati

Altrevite utilizza modelli di intelligenza artificiale generativa (Google Gemini, tramite Firebase AI Logic) per generare contenuti narrativi testuali, e tecnologie text-to-speech per la narrazione vocale. I modelli specifici utilizzati possono variare nel tempo e sono configurati tramite Firebase Remote Config.

5.2 Dati inviati ai modelli AI

I dati del personaggio (attributi, memorie, eventi, personalità), il contesto del paese di simulazione e le azioni del giocatore vengono inviati ai modelli AI per generare le narrazioni. Nella modalità "What If", i dati autobiografici forniti volontariamente dall'utente sono anch'essi trasmessi al modello AI per personalizzare la simulazione.

5.3 Trattamento dei dati da parte dei fornitori AI

I dati inviati al modello AI sono trattati in conformità alla privacy policy di Google Cloud e ai termini di Firebase AI Logic. Secondo i termini vigenti, i dati inviati tramite Firebase AI Logic non vengono utilizzati da Google per addestrare i propri modelli di base.

5.4 Natura fittizia dei contenuti

I contenuti generati dall'AI sono di natura fittizia e non costituiscono dati personali riferibili all'utente, salvo nella modalità "What If" dove l'utente inserisce volontariamente informazioni autobiografiche. In tal caso, i contenuti generati possono riflettere — in forma narrativa e fittizia — elementi della vita reale dell'utente.

5.5 Trasparenza dei contenuti AI (Art. 50 Regolamento (UE) 2024/1689)

Ai sensi dell'Art. 50 del Regolamento (UE) 2024/1689 ("AI Act"), tutti i contenuti generati dall'intelligenza artificiale all'interno della Piattaforma (testi narrativi, audio TTS, immagini AI) sono chiaramente identificati come tali. In considerazione della natura evidentemente creativa e fittizia del Servizio, tale disclosure avviene in forma minima e non intrusiva, come consentito dalla normativa.

5.6 Profilazione e processi decisionali automatizzati

Non viene effettuata alcuna profilazione automatizzata con effetti giuridici o analoghi significativi ai sensi dell'Art. 22 GDPR. Le simulazioni sono esperienze narrative di intrattenimento e non producono decisioni che incidano sulla sfera giuridica o personale dell'utente.

5.7 Filtri contenuti

L'utente può controllare la sensibilità dei contenuti generati tramite i filtri contenuti disponibili nelle impostazioni (violenza, malattie, morte infantile, ecc.).

6. Responsabili del trattamento e trasferimento dati

MaGa Srl si avvale dei seguenti responsabili del trattamento (data processor), con i quali sono in essere accordi di trattamento dati conformi all'Art. 28 GDPR:

| Fornitore | Servizio | Sede | Garanzie per trasferimento extra-UE | |---|---|---|---| | Google LLC (Firebase) | Hosting, database, autenticazione, analytics, AI Logic, crash reporting, storage, App Check, Remote Config | USA | Clausole Contrattuali Standard (SCC) ex Art. 46(2)(c) GDPR, EU Data Processing Amendment | | Stripe Inc. | Pagamenti e fatturazione | USA | Clausole Contrattuali Standard (SCC), Data Processing Agreement | | PostHog Inc. (opzionale) | Product analytics, session replay | USA/UE | DPA, hosting EU ove disponibile |

I trasferimenti di dati verso paesi terzi (in particolare gli USA) avvengono sulla base di adeguate garanzie ai sensi dell'Art. 46 GDPR, incluse le Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914.

L'utente può richiedere copia delle garanzie adeguate scrivendo a privacy@altrevite.com.

7. Conservazione dei dati

| Categoria di dati | Durata di conservazione | Criterio | |---|---|---| | Dati dell'account e del profilo | Per tutta la durata dell'account. Cancellati entro 30 giorni dalla richiesta di cancellazione. | Necessità contrattuale | | Dati di simulazione (personaggi, memorie, timeline) | Per tutta la durata dell'account. Cancellati entro 30 giorni dalla cancellazione dell'account o della singola simulazione. | Necessità contrattuale | | Dati di pagamento (su Stripe) | Secondo la policy di retention di Stripe e gli obblighi fiscali italiani (minimo 10 anni ex Art. 2220 c.c.). | Obbligo legale | | Dati di analytics e diagnostica | Massimo 14 mesi (Firebase Analytics) o secondo configurazione PostHog. | Legittimo interesse | | Log di sicurezza e antifrode | Massimo 12 mesi. | Legittimo interesse | | Dati di consenso (cookie, marketing) | Per tutta la durata del consenso e fino a 12 mesi dopo la revoca, a fini di prova. | Obbligo legale / Legittimo interesse |

Al termine del periodo di conservazione, i dati vengono cancellati in modo irreversibile o anonimizzati in forma aggregata.

8. Processo decisionale automatizzato

Ai sensi dell'Art. 22 GDPR, il Servizio non effettua processi decisionali basati unicamente sul trattamento automatizzato che producano effetti giuridici o incidano in modo significativo sulla persona dell'utente. La generazione narrativa AI è un'attività di intrattenimento e non produce decisioni con impatto sulla sfera giuridica, economica o personale dell'utente al di fuori del contesto del gioco.

9. Cookie e tecnologie di tracciamento

La Piattaforma utilizza le seguenti categorie di cookie e tecnologie analoghe, in conformità alla Direttiva 2002/58/CE ("Direttiva ePrivacy"), al D.Lgs. 196/2003 e alle Linee Guida del Garante Privacy italiano sui cookie del 10 giugno 2021:

Cookie strettamente necessari (Art. 122, comma 1, D.Lgs. 196/2003) — Necessari per il funzionamento del Servizio (autenticazione Firebase, sessione, preferenze). Non richiedono consenso.

Cookie analitici — Firebase Analytics e PostHog per comprendere l'utilizzo del Servizio. Attivati previo consenso dell'utente tramite il banner cookie al primo accesso, in conformità alle Linee Guida del Garante.

Cookie di terze parti — reCAPTCHA Enterprise (Google) per la protezione da abusi. Stripe per l'elaborazione dei pagamenti.

L'utente può gestire le proprie preferenze sui cookie in qualsiasi momento tramite il pannello di gestione cookie accessibile dalla Piattaforma, nonché tramite le impostazioni del proprio browser. Il rifiuto dei cookie analitici non pregiudica l'accesso al Servizio.

10. Diritti dell'interessato

Ai sensi degli Artt. 15-22 GDPR, l'utente ha diritto di:

  • Accesso (Art. 15): ottenere conferma del trattamento e una copia dei dati personali trattati.
  • Rettifica (Art. 16): correggere dati inesatti o integrare dati incompleti.
  • Cancellazione (Art. 17): richiedere la cancellazione dei dati ("diritto all'oblio"), nei limiti previsti dalla legge.
  • Limitazione (Art. 18): limitare il trattamento in determinate circostanze (es. contestazione dell'esattezza dei dati).
  • Portabilità (Art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare.
  • Opposizione (Art. 21): opporsi al trattamento basato sul legittimo interesse, inclusa la profilazione. In caso di opposizione al trattamento per finalità di marketing diretto, il trattamento cessa immediatamente.
  • Revoca del consenso (Art. 7): revocare in qualsiasi momento il consenso prestato per cookie analitici e/o comunicazioni promozionali, senza pregiudizio per la liceità del trattamento effettuato prima della revoca.

Come esercitare i diritti: scrivere a privacy@altrevite.com o tramite PEC a magaholding@pec.it, indicando il diritto che si intende esercitare e allegando copia di un documento d'identità ove necessario per la verifica dell'identità.

Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di complessità o numero elevato di richieste, previa comunicazione all'interessato.

L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive ai sensi dell'Art. 12(5) GDPR.

Reclamo: l'utente ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it — Piazza Venezia 11, 00187 Roma — email: protocollo@gpdp.it — PEC: protocollo@pec.gpdp.it).

11. Sicurezza dei dati

MaGa Srl adotta misure tecniche e organizzative appropriate ai sensi dell'Art. 32 GDPR per proteggere i dati personali da accesso non autorizzato, alterazione, divulgazione o distruzione, tra cui:

  • Autenticazione sicura tramite Firebase Auth con supporto multi-provider (Google, Apple, email/password).
  • Regole di sicurezza Firestore con verifica di autenticazione e ownership su ogni operazione di lettura/scrittura.
  • Crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256 encryption at rest su Firebase/GCP).
  • Firebase App Check con reCAPTCHA Enterprise per la protezione da accessi automatizzati e abusi.
  • Rate limiting sulle chiamate AI per utente per prevenire abusi.
  • Gestione dei pagamenti completamente delegata a Stripe (PCI DSS Level 1 compliant) senza transito di dati della carta sui nostri sistemi.
  • Ambienti separati (development, staging, production) con accessi controllati e principio del minimo privilegio.
  • Backup periodici e procedure di disaster recovery.

12. Minori

Il Servizio non è destinato a minori di 16 anni ai sensi dell'Art. 8 GDPR e dell'Art. 2-quinquies del D.Lgs. 196/2003. Non raccogliamo consapevolmente dati personali di soggetti di età inferiore ai 16 anni. Qualora venissimo a conoscenza di aver raccolto dati di un minore senza il consenso del genitore o tutore, provvederemo alla cancellazione tempestiva dei dati e dell'eventuale account.

Gli utenti di età compresa tra 16 e 18 anni possono utilizzare il Servizio con il consenso di un genitore o tutore legale.

13. Modifiche alla Privacy Policy

MaGa Srl si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento per adeguarla a modifiche normative, organizzative o tecnologiche. Le modifiche saranno comunicate agli utenti tramite notifica in-app e/o email con almeno 15 giorni di preavviso prima dell'entrata in vigore. La data di ultimo aggiornamento è indicata in cima al documento.

In caso di modifiche sostanziali che incidano sul trattamento dei dati personali, sarà richiesto un nuovo consenso ove necessario.

14. Contatti

Per qualsiasi domanda relativa alla presente Privacy Policy o al trattamento dei dati personali:

MaGa Srl Via Privata Borghesio 4, 25081 Bedizzole (BS), Italia Email: privacy@altrevite.com PEC: magaholding@pec.it