Informativa Privacy — Filo
Versione: 1.0 — DRAFT pre-validation Data: 29 maggio 2026 Ultimo aggiornamento: 29 maggio 2026
⚠️ Avviso importante. Questo documento è una bozza redatta dal team prodotto Filo come informativa pubblica preliminare per la fase di validation con i primi tester. Prima del lancio commerciale aperto al pubblico (Livello 5 della roadmap interna) verrà revisionato e firmato da un legale esperto in privacy GDPR. Il documento di riferimento tecnico-formale è
INFORMATIVA_FLUSSO_DATI_PER_AVVOCATO.md(interno).
1. Chi siamo
Filo è un servizio per genitori di adolescenti (10-16 anni) che osserva i pattern d'uso dello smartphone del figlio e li trasforma in suggerimenti di conversazione per il genitore. Non leggiamo mai messaggi, foto, ricerche o cronologia browser.
Titolare del trattamento: Giovanni Lobianco, Italia. Contatto: info@filofamiglia.it
In questa fase di validation il titolare è una persona fisica. Prima del lancio commerciale verrà costituita una società che diventerà titolare al posto della persona fisica; gli utenti riceveranno comunicazione preventiva e potranno opporsi al trasferimento.
2. Quali dati raccogliamo
2.1 Dati che raccogliamo sul telefono del figlio
Sul telefono del figlio (Android, e in futuro iPhone) raccogliamo soltanto pattern d'uso aggregati:
- Tempo trascorso in foreground per categoria d'app (es. social, messaggistica, gioco, education, entertainment) — mai per singolo nome di app
- Numero di sblocchi del telefono per fascia oraria
- Orario del primo sblocco mattutino e dell'ultimo sblocco serale
- Numero di nuove app installate negli ultimi 14 giorni (categorie, mai i nomi)
- Numero di notifiche ricevute per categoria
- Pattern bimodale delle sessioni (durata mediana vs media)
- Volume di sblocchi giornalieri (frequenza di "check")
Tutto questo è elaborato in forma aggregata sul telefono del figlio prima della trasmissione. Al server non arriva mai il dato grezzo (lista eventi di apertura), ma solo numeri sintetici (es. "categoria social: 47 minuti negli ultimi 7 giorni, +25% rispetto al periodo precedente").
2.2 Dati che NON raccogliamo MAI
Filo non legge e non trasmette MAI:
- ❌ Testo dei messaggi (WhatsApp, Telegram, iMessage, email, qualsiasi messaging)
- ❌ Foto, video, audio
- ❌ Cronologia browser
- ❌ Ricerche effettuate su Google o altri motori di ricerca
- ❌ Posizione GPS
- ❌ Lista contatti
- ❌ Cronologia chiamate
- ❌ Identificativi pubblicitari (Advertising ID)
- ❌ Nomi specifici di app installate (solo categoria)
- ❌ Contenuti dei post sui social
2.3 Dati che raccogliamo sul telefono del genitore
Sul telefono del genitore raccogliamo:
- Email del genitore (per creazione account, notifiche e accesso)
- Nome di battesimo del figlio scelto dal genitore (per personalizzare i report — può essere uno pseudonimo)
- Età approssimativa del figlio (per modulare il tone-of-voice dei report)
- Eventuali appunti del diario del genitore (testo libero che il genitore scrive sul figlio per arricchire il contesto dei report) — il figlio non legge mai questi appunti
- Tipo di dispositivo (Android, iPhone) e versione OS, per supporto tecnico
2.4 Cifratura a riposo
Il diario del genitore e le sintesi del caso famiglia ("memoria evolutiva", vedi sezione 3.2) sono cifrati a riposo nel database con cifratura AES-256-GCM. Nemmeno chi avesse accesso fisico al database può leggerli senza la chiave di cifratura, che è custodita separatamente sul server e mai esposta ai client.
3. Come usiamo i dati
3.1 Generazione del report
I pattern d'uso aggregati del figlio + il contesto inserito dal genitore (eventi recenti, diario) vengono trasmessi al server in Germania e processati da una pipeline di intelligenza artificiale a 4 stadi:
- Sanificazione del testo del genitore — un modello linguistico separa fatti osservativi da interpretazioni
- Analisi deterministica dei pattern — codice puro identifica i "segnali" significativi
- Generazione del report — un modello linguistico produce un report di 3 sezioni in italiano (cosa è cambiato, una possibile lettura, una conversazione da provare)
- Validazione del report — un secondo passaggio del modello verifica che il report non contenga termini diagnostici, allarmismo, consigli generici
Il report viene poi consegnato al telefono del genitore via notifica push.
3.2 Memoria evolutiva del caso famiglia
Dal terzo report in poi, Filo mantiene una sintesi cumulativa dei report precedenti di quella specifica famiglia, per dare continuità ai report futuri (es. "il mese scorso Filo aveva notato X, oggi vede Y, ecco come si collegano"). Questa sintesi è cifrata a riposo, non viene aggregata con dati di altre famiglie, ed è cancellabile su richiesta del genitore.
3.3 Notifiche
Inviamo al genitore notifiche push (Android via Firebase Cloud Messaging, iOS via APNs di Apple) e email transazionali (via Resend) per:
- Disponibilità di un nuovo report
- Reminder gentili a usare il diario
- Allerta in caso di pattern di particolare attenzione clinica (sempre attive indipendentemente dal piano)
4. Base giuridica del trattamento
- Esecuzione del contratto (art. 6.1.b GDPR) — per fornire il servizio sottoscritto dal genitore
- Consenso esplicito (art. 6.1.a GDPR) — il genitore consente esplicitamente al trattamento dei pattern d'uso del figlio al momento dell'attivazione
- Consenso esplicito del minore (art. 8 GDPR, recepimento italiano: età 14+) — per minori che hanno compiuto 14 anni viene richiesto il loro consenso esplicito direttamente nell'app figlio, oltre a quello del genitore. Per minori sotto i 14 anni, basta il consenso del genitore titolare della potestà
- Interesse legittimo (art. 6.1.f GDPR) — per la cifratura dei log di sicurezza necessari alla protezione del servizio
5. Destinatari dei dati (sub-processors)
I dati vengono condivisi esclusivamente con i seguenti fornitori, ciascuno sotto contratto di responsabilità ex art. 28 GDPR:
| Fornitore | Dato condiviso | Scopo | Ubicazione |
|---|---|---|---|
| Hetzner Online GmbH | Tutti i dati sopra | Hosting server applicativo + database Postgres | Germania (UE) |
| Anthropic PBC | Pattern aggregati + diario sanificato, MAI nominativi | Generazione AI dei report (modelli Claude) | Stati Uniti d'America |
| Resend Inc. | Email del genitore | Invio email transazionali | Stati Uniti d'America |
| Google Ireland Ltd (Firebase) | Token di push notification (anonimo) | Notifiche push Android | Irlanda (UE) |
| Apple Inc. (APNs) | Token di push notification (anonimo) | Notifiche push iOS | Stati Uniti d'America |
| Google LLC (Play Store) | Pacchetto APK firmato | Distribuzione app Android (no dati utente) | Irlanda (UE) |
| Apple Inc. (App Store / TestFlight) | Pacchetto IPA firmato | Distribuzione app iOS (no dati utente) | Stati Uniti d'America |
Nessun dato viene condiviso con inserzionisti pubblicitari, broker dati, social network o analytics di terze parti.
6. Trasferimenti extra-UE
Tre fornitori sono USA-based: Anthropic, Resend, Apple. Il trasferimento avviene sulla base di:
- Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione UE
- EU-US Data Privacy Framework (DPF), per i fornitori che ne aderiscono
Per Anthropic specificamente, il trasferimento è considerato necessario perché la pipeline AI di Filo richiede l'uso dei modelli Claude (Anthropic non ha datacenter UE al momento). I dati condivisi con Anthropic sono pattern aggregati anonimizzati + diario sanificato — non includono email del genitore né dati identificativi del figlio.
7. Periodo di conservazione
| Categoria | Periodo |
|---|---|
| Account genitore (email + dati di servizio) | Fino a cancellazione richiesta dal genitore, comunque max 24 mesi dopo l'ultima attività |
| Pattern d'uso aggregati del figlio | 12 mesi rolling (poi cancellati automaticamente) |
| Report generati | 24 mesi dalla data del report |
| Diario del genitore | Fino a cancellazione richiesta, comunque max 24 mesi |
| Memoria evolutiva famiglia | Fino a cancellazione richiesta dal genitore |
| Log di sicurezza | 12 mesi |
La cancellazione manuale di un account è disponibile dalla sezione Impostazioni → Privacy → Cancella account dell'app, e produce la cancellazione fisica di tutti i dati entro 30 giorni dalla richiesta (eccezioni: log fiscali e contabili obbligatori per legge italiana).
8. Diritti dell'interessato
Il genitore titolare dell'account e il figlio (per i propri dati) possono in qualsiasi momento esercitare i diritti previsti dal GDPR (artt. 15-22):
- Accesso — ricevere copia di tutti i dati che ti riguardano
- Rettifica — correggere dati inesatti
- Cancellazione — diritto all'oblio
- Limitazione del trattamento
- Portabilità — ricevere i dati in formato strutturato e leggibile da macchina (JSON)
- Opposizione al trattamento
- Revoca del consenso in qualsiasi momento (non pregiudica la liceità del trattamento precedente)
Per esercitare questi diritti, scrivere a info@filofamiglia.it. Rispondiamo entro 30 giorni (prorogabili a 60 per casi complessi, con motivazione).
Il figlio sopra i 14 anni può esercitare autonomamente i propri diritti scrivendo allo stesso indirizzo. Il genitore non ha diritto di vedere il diario di un altro genitore (es. nel caso di due genitori che usano la stessa famiglia Filo).
9. Reclami all'autorità
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (autorità di controllo italiana): www.garanteprivacy.it
10. Sicurezza
Adottiamo le seguenti misure di sicurezza:
- Comunicazione cifrata in transito (TLS 1.2/1.3, HSTS) su tutti gli endpoint
- Cifratura a riposo (AES-256-GCM) per il diario e la memoria evolutiva
- Autenticazione genitore via password monouso (OTP via email) + biometrica (Face ID / Touch ID / fingerprint), nessuna password da ricordare
- Server self-hosted in datacenter Hetzner certificato ISO 27001 (Germania, UE)
- Audit log immutabile delle azioni amministrative
- Aggiornamenti di sicurezza automatici del sistema operativo del server
- Firewall a perimetro + locale
- Limitazione richieste API per prevenire abusi
- Nessun analytics di terze parti, nessun tracker, nessun cookie pubblicitario
11. Minori di 14 anni
Per gli utenti minori di 14 anni il trattamento è basato esclusivamente sul consenso del genitore titolare della potestà, come previsto dall'art. 2-quinquies del Codice Privacy italiano (Decreto Legislativo 196/2003 come modificato dal D.lgs. 101/2018). Filo non viene mai installato sul telefono di un minore senza il consenso esplicito del genitore.
Sopra i 14 anni richiediamo il consenso esplicito anche al minore tramite una schermata dedicata nell'app figlio. Il minore può revocare il proprio consenso in qualsiasi momento.
12. Cookie e tecnologie simili
Le app Filo (Android e iOS) non usano cookie né tecnologie di tracciamento equivalenti. La landing page web app.filofamiglia.it usa solo cookie tecnici essenziali per il funzionamento del sito. Nessun cookie pubblicitario o di tracciamento di terze parti.
13. Modifiche all'informativa
Possiamo aggiornare questa informativa per riflettere cambiamenti nel servizio o nella normativa. Le modifiche significative ti verranno comunicate via email almeno 30 giorni prima dell'entrata in vigore. La versione corrente e lo storico delle versioni sono sempre disponibili su questa pagina.
14. Contatti
- Email: info@filofamiglia.it
- Titolare del trattamento: Giovanni Lobianco, Italia
Documento redatto il 29 maggio 2026. Prossima revisione prevista: prima del lancio commerciale L5, con il supporto di un legale specializzato in privacy GDPR.