Informativa sulla Privacy · Gusto
Ultimo aggiornamento: 13 maggio 2026 Titolare del trattamento: Gusto (Ben — contatto: privacy@swipegusto.com) Versione documento: 1.0 (V1 launch draft) Versione in lingua inglese: English version
1. Chi siamo e perché esiste questa informativa
Gusto è un'app iOS che ti aiuta a costruire una dieta settimanale personalizzata sulla base di gusti, obiettivi e contesto. Per offrire questo servizio trattiamo alcuni dati personali. Questa informativa, redatta secondo il Regolamento UE 2016/679 ("GDPR") e il D.Lgs. 196/2003 ("Codice Privacy") aggiornato, spiega quali dati raccogliamo, perché, per quanto tempo li conserviamo e quali diritti puoi esercitare.
Questa informativa si applica all'app Gusto per iOS e al sito swipegusto.com.
2. Categorie di dati che trattiamo
2.1 Dati che ci fornisci tu
| Dato | Quando viene raccolto | Finalità |
|---|---|---|
| Indirizzo email | Registrazione account (Sign in with Apple) | Autenticazione, comunicazioni di servizio |
| Nome visualizzato | Onboarding | Personalizzazione interfaccia |
| Dati antropometrici (peso, altezza, età, sesso, livello di attività, % massa grassa stimata, massa magra, BMR, TDEE) | Onboarding e aggiornamenti periodici | Calcolo fabbisogno calorico, generazione piano dietetico |
| Obiettivo (perdere/mantenere/aumentare peso) | Onboarding | Adattamento target calorico |
| Preferenze alimentari (stile di alimentazione, allergie, intolleranze, ingredienti non graditi, tempo max di cottura, porzioni, snack abilitati) | Onboarding e modifiche da Preferenze | Filtraggio piatti, ranking personalizzato |
| Condizioni di salute dichiarate (es. diabete, ipertensione, ipercolesterolemia) | Opzionale, da Preferenze | Filtri di sicurezza alimentare |
| Foto del corpo per stima composizione corporea | Onboarding e ri-stima ogni 56 giorni (opzionale) | Stima della % di massa grassa e magra |
| Sgarri descritti a voce o testo | Quando registri uno sgarro | Stima calorie/macro dello sgarro e adattamento del piano |
| Foto del frigo | Quando usi "analizza frigo" | Suggerimenti piatti basati su ingredienti disponibili |
| Feedback sui piatti (like/dislike, abbinamenti, sostituzioni, salti) | Durante l'uso dell'app | Apprendimento delle tue preferenze |
| Lista della spesa, piatti pinnati, dispensa | Durante l'uso dell'app | Funzionalità core |
2.2 Dati raccolti automaticamente
| Dato | Origine | Finalità |
|---|---|---|
| Eventi di consumo pasto (mangiato/sostituito/saltato/sgarro) | Tab "Oggi" | Tracciamento aderenza, ricomputazione piano |
| Idratazione giornaliera (ml di acqua) | Card idratazione | Tracciamento idratazione |
| Peso (lettura periodica) | Apple Salute (HealthKit, previo tuo consenso) | Adattamento TDEE settimanale |
| Calorie consumate / acqua scritte su HealthKit | Audit log scritture HealthKit | Tracciabilità per diagnostica e GDPR |
| Sottoscrizioni e prove gratuite | StoreKit / App Store | Erogazione PRO |
| Impression e click su contenuti sponsorizzati | Card sponsorizzate | Reportistica advertiser |
2.3 Categorie particolari (art. 9 GDPR)
I dati relativi a peso, composizione corporea, abitudini alimentari e condizioni di salute dichiarate possono qualificarsi come dati relativi alla salute, quindi categorie particolari ai sensi dell'art. 9 GDPR. Trattiamo questi dati solo sulla base del tuo consenso esplicito (art. 9.2(a) GDPR), che ti chiediamo in onboarding per ciascuna categoria sensibile. Puoi revocarlo in ogni momento da "Profilo → Impostazioni → Privacy" o cancellando l'account.
3. Foto del corpo · come funziona davvero
Le foto del corpo che fai durante l'onboarding o per la ri-stima ricevono un trattamento speciale, by design, per garantirti la massima privacy:
- La foto resta sul tuo dispositivo. Viene salvata nella sandbox di Gusto (
Documents/body-photos/) e non viene mai caricata su nessun nostro server di storage. - Trasmissione effimera per la sola analisi. La foto viene inviata in formato base64, una sola volta, a una funzione serverless (Supabase Edge Function
analyze-body) ospitata in UE (eu-west-1). La funzione la passa al modello di visione (Anthropic Claude Sonnet) per stimare composizione corporea. - Nessuna persistenza lato server. La nostra funzione non scrive la foto su Storage, non la logga, non la archivia. Anthropic non utilizza l'input per addestrare i propri modelli (vedi DPA con Anthropic, art. 6.1).
- Salviamo solo i numeri. Sulla tabella
body_estimation_eventsfiniscono esclusivamente i risultati numerici (% di massa grassa, massa magra, peso al momento della stima, eventuali note testuali del modello). Mai la foto, mai un hash della foto, mai un percorso allo storage. - Tu controlli quando cancellarla. Puoi rimuovere le foto dalla sandbox di Gusto da "Profilo → Storage → Rimuovi foto locali", oppure disinstallando l'app.
Se in futuro decidessimo di introdurre archiviazione cloud delle foto (oggi esclusa), te lo notificheremmo con un consenso esplicito separato prima di abilitarla sul tuo account.
4. Finalità e basi giuridiche
| Finalità | Base giuridica | Categoria di dati |
|---|---|---|
| Autenticazione e gestione account | Esecuzione del contratto (art. 6.1(b) GDPR) | Email, identificativi |
| Generazione piano dietetico personalizzato | Consenso esplicito (art. 9.2(a)) per dati salute + Contratto (art. 6.1(b)) | Antropometrici, condizioni salute, preferenze |
| Analisi visione foto corpo | Consenso esplicito (art. 9.2(a)) | Foto (solo in transito) e risultati numerici |
| Apprendimento gusti cross-utente (matrix factorization, clustering archetipi) | Legittimo interesse (art. 6.1(f)) bilanciato con anonimizzazione su cancellazione | Feedback, impression, eventi di consumo (anonimizzati post-delete) |
| Erogazione abbonamento PRO | Esecuzione del contratto | Eventi sottoscrizione |
| Advertising contestuale (utenti free) | Consenso (cookie/IDFA) + Legittimo interesse per impression aggregate | Impression, click |
| Sicurezza, anti-frode, diagnostica | Legittimo interesse | Log tecnici |
| Adempimenti di legge | Obbligo legale (art. 6.1(c)) | Fatturazione (gestita da Apple per IAP) |
Hai il diritto di opporti al trattamento basato su legittimo interesse: scrivici a privacy@swipegusto.com.
5. Tempi di conservazione
| Categoria | Conservazione |
|---|---|
| Account attivo (profilo, piani, dispensa) | Per tutta la durata dell'account |
| Eventi comportamentali (feedback, impression, consumo, sgarri) | 24 mesi se l'account è attivo; in caso di cancellazione, vengono anonimizzati (campo user_id → NULL) e mantenuti per l'addestramento dei modelli, senza più alcun collegamento alla tua identità |
| Eventi di stima corporea | 36 mesi dalla data di rilevazione |
| Log di scrittura HealthKit | 12 mesi (audit di sicurezza) |
| Eventi di sottoscrizione | 10 anni (obblighi contabili e fiscali) |
| Foto del corpo (sul dispositivo) | Finché non le cancelli tu, oppure finché non disinstalli l'app |
| Log diagnostici tecnici | 30 giorni rotanti |
L'anonimizzazione segue il trigger anonymize_on_delete (vedi tabelle meal_consumed_events, sgarro_events, feedback_events, impressions, duel_responses). Il user_id viene messo a NULL, il record perde qualsiasi possibilità di re-identificazione.
6. A chi comunichiamo i dati
Per erogare il servizio, ci avvaliamo dei seguenti fornitori (responsabili del trattamento ex art. 28 GDPR):
| Fornitore | Servizio | Localizzazione | Trasferimento extra-UE |
|---|---|---|---|
| Supabase, Inc. | Database PostgreSQL, autenticazione, Edge Functions, Storage | UE (eu-west-1) | No |
| Anthropic, PBC | Inferenza AI (visione, generazione piano, analisi sgarro) | USA | Sì, garantito da Clausole Contrattuali Standard (SCC) UE 2021/914 e Anthropic DPA |
| Apple Inc. | Autenticazione (Sign in with Apple), HealthKit, IAP/StoreKit, push notification (APNs) | Globale | Sì, garantito da SCC e DPA Apple |
| GitHub, Inc. (Microsoft) | Hosting pagine legali, CI/CD | USA | Sì, garantito da SCC |
| Google Ireland Ltd. (AdMob) | Pubblicità contestuale (solo utenti free) | UE/USA | Sì, garantito da SCC |
Non vendiamo i tuoi dati a terzi. Non condividiamo i tuoi dati personali identificativi con inserzionisti. AdMob riceve solo identificativi pseudonimi (IDFA, se concesso) e contesto generico.
7. Trasferimenti extra-UE
Quando i dati vengono trasferiti fuori dall'UE (es. inferenza AI verso Anthropic USA), il trasferimento è coperto da Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914) e, ove applicabili, da misure supplementari (es. cifratura in transito, contratti DPA, minimizzazione dati).
8. I tuoi diritti
In base agli articoli 15–22 GDPR puoi esercitare in ogni momento:
| Diritto | Cosa significa | Come esercitarlo |
|---|---|---|
| Accesso (art. 15) | Sapere quali dati abbiamo e ottenerne copia | Profilo → Esporta i miei dati (JSON) o email a privacy@swipegusto.com |
| Rettifica (art. 16) | Correggere dati inesatti | Direttamente in app da "Preferenze" |
| Cancellazione (art. 17) | "Diritto all'oblio" | Profilo → Cancella account (hard delete su dati L1, anonimizzazione su dati L2) |
| Limitazione (art. 18) | Sospendere il trattamento | Email a privacy@swipegusto.com |
| Portabilità (art. 20) | Ricevere i dati in formato strutturato e riusabile | Profilo → Esporta i miei dati (JSON) |
| Opposizione (art. 21) | Opporsi al trattamento basato su legittimo interesse | Email a privacy@swipegusto.com |
| Revoca del consenso | Per trattamenti basati su consenso | Profilo → Privacy oppure cancellazione account |
| Reclamo all'Autorità Garante | Garante per la protezione dei dati personali | garanteprivacy.it |
Rispondiamo entro 30 giorni (estendibili fino a 90 in casi complessi, con informativa).
9. Sicurezza
Adottiamo misure tecniche e organizzative adeguate (art. 32 GDPR):
- Cifratura in transito: TLS 1.3 su tutte le comunicazioni con i nostri server.
- Cifratura at-rest: AES-256 lato database (Supabase) e cifratura disco lato dispositivo (iOS Data Protection).
- Row Level Security PostgreSQL: ogni utente può leggere solo i propri dati (policy
auth.uid() = user_id). - Service role bypass solo per worker autenticati interni che operano su dati aggregati o anonimizzati.
- Sign in with Apple: nessuna gestione di password lato Gusto.
- Minimizzazione: raccogliamo solo i dati strettamente necessari (es. niente foto sul server, niente geolocalizzazione precisa, niente rubrica).
- Audit log per scritture sensibili (HealthKit, modifica profilo, sottoscrizioni).
- Backup Supabase gestiti con ritenzione 7 giorni (Pro plan).
In caso di data breach che presenti un rischio per i tuoi diritti, ti notificheremo senza ingiustificato ritardo (art. 34 GDPR) e informeremo il Garante entro 72 ore (art. 33 GDPR).
10. Minori
Gusto non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se vieni a conoscenza che un minore di 16 anni ha registrato un account, scrivici a privacy@swipegusto.com e lo cancelleremo.
11. Cookie e tecnologie simili (app)
L'app non utilizza cookie. Su utenti free, AdMob può utilizzare l'identificativo pubblicitario di Apple (IDFA) solo se concedi il consenso tramite il prompt ATT (App Tracking Transparency). Se non lo concedi, vedrai pubblicità non personalizzata.
12. Modifiche all'informativa
Quando aggiorniamo questa informativa, cambiamo la data di "Ultimo aggiornamento" in alto. Per modifiche sostanziali, ti notificheremo in app prima dell'entrata in vigore. Le versioni precedenti restano archiviate in GitHub gusto-website history.
13. Contatti
- Titolare del trattamento: Gusto · Ben
- Email privacy: privacy@swipegusto.com
- Email supporto: support@swipegusto.com
- Domicilio: indicare al primo avvio operativo / DPO non obbligatorio (no monitoraggio sistematico large-scale)
- Autorità di controllo: Garante per la protezione dei dati personali — garanteprivacy.it