Documento legale

Informativa sulla Privacy

Versione: 1.0In vigore da: 13 maggio 2026Titolare: ITRION SOFTWARE, S.L.

Indice

Filosofia di privacy
Titolare del trattamento
Responsabile della Protezione dei Dati
Quali dati trattiamo
Quali dati NON trattiamo
Finalità e basi giuridiche
Periodi di conservazione
Destinatari e responsabili
Trasferimenti internazionali
Diritti dell'interessato
Minori
Misure di sicurezza
Violazioni di sicurezza
Cooperazione con le autorità
Disposizioni per regione
Modifiche all'Informativa
Contatto e reclami

Traduzione meramente informativa. La versione giuridicamente vincolante è l'originale spagnolo su /legal/privacidad.html. In caso di discrepanza, prevale la versione spagnola.

1. Filosofia di privacy

ULOX è progettato con privacy by design e by default. Il server gestito da ITRION è tecnicamente cieco al contenuto delle comunicazioni e al contenuto archiviato dall'utente: non possiede le chiavi crittografiche necessarie per decifrare tali dati, non può leggere messaggi, file, note, password salvate né qualsiasi altra informazione dell'utente.

Questa caratteristica non è retorica: è strutturale. Si materializza nella cifratura end-to-end nella messaggistica, nella derivazione crittografica di pseudonimi che rompono l'associazione tra account base e universi, e nell'archiviazione sul server esclusivamente come blob opachi cifrati sul client.

Conseguenza tecnica. Come conseguenza architettonica della cifratura end-to-end e della cifratura sul client, ITRION non possiede le chiavi crittografiche necessarie per decifrare i contenuti dell'utente. Si tratta di una limitazione intrinseca al design del servizio conformemente al principio di privacy by design e by default (GDPR, Art. 25), non di una decisione orientata a ostacolare indagini legittime. ITRION coopera pienamente con le autorità competenti di fronte a richieste legali vincolanti, consegnando i dati enumerati nella sezione «Quali dati trattiamo» e prestando l'assistenza tecnica che sia ragionevolmente possibile all'interno del suo modello.

2. Titolare del trattamento

Titolare	ITRION SOFTWARE, S.L.
Codice fiscale	B19913797
Indirizzo	Calle Francisco Silvela, 110, 2° piano, 28028 Madrid, Spagna
Email generale	`privacy@ulox.org`
Web	ulox.org · ulox.app

3. Responsabile della Protezione dei Dati (DPO)

Quando la designazione del DPO sia obbligatoria conformemente all'articolo 37 GDPR, o quando ITRION decida di designarlo volontariamente, i suoi dati di contatto saranno i seguenti:

Contatto DPO	`dpo@ulox.org`

4. Quali dati trattiamo

L'insieme di dati personali che ITRION può arrivare a trattare in relazione al Servizio è deliberatamente minimo:

4.1. Dati dell'account

ULOX ID: identificatore alfanumerico scelto dall'utente. Non viene richiesto che sia identificabile. Non viene collegato a email né a numero di telefono.
Chiave master (hash): ITRION archivia unicamente l'hash crittografico (Argon2id) della chiave, non la chiave in sé.
Chiavi pubbliche crittografiche generate sul client.
Pseudonimi derivati: identificatori opachi in ogni LOX, generati crittograficamente. Non rivelano al server a quale account base appartengono.

4.2. Dati tecnici e di utilizzo

Indirizzi IP ricevuti nelle connessioni, presenti nei log tecnici per brevi periodi a fini di sicurezza e diagnostica.
Timestamp di ultima attività e presenza (last seen, online_until) associati all'account o allo pseudonimo. Questi dati sono i minimi indispensabili per la funzionalità di presenza.
Informazioni dello user agent (browser, sistema operativo) nei log di connessione, con scopo esclusivamente tecnico.
Iscrizioni a notifiche push, se l'utente le attiva, in forma di endpoint opaco fornito dal browser/sistema.

4.3. Dati cifrati

Messaggi e file cifrati in transito e a riposo, archiviati come byte opachi.
Metadati cifrati (meta_blob) degli elementi dell'universo privato.
Binari cifrati archiviati nello storage di oggetti.

ITRION riconosce che questi dati cifrati possono contenere informazioni personali dell'utente, ma manca delle chiavi per decifrarli. Pertanto, non realizza trattamento del loro contenuto oltre l'archiviazione, trasmissione e consegna al destinatario legittimo conformemente al protocollo del Servizio.

5. Quali dati NON trattiamo

Per progettazione, ITRION non raccoglie né archivia in chiaro i seguenti dati:

Nome reale, cognomi, data di nascita, genere, nazionalità o qualsiasi identificatore civile.
Email o numero di telefono dell'utente.
Rubrica contatti del dispositivo.
Geolocalizzazione precisa.
Contenuto di messaggi, file, foto, video, audio, note o password salvate dall'utente.
Stringhe LOX in testo chiaro, né sul server né sul dispositivo. Le chiavi vengono derivate dinamicamente dal LOX sul client.
Associazione tra account base e gli pseudonimi che l'utente adotta all'interno di ogni LOX.

6. Finalità e basi giuridiche del trattamento

Finalità	Dati	Base giuridica (GDPR)
Prestazione del Servizio (registrazione, autenticazione, consegna di messaggi cifrati, sincronizzazione)	ULOX ID, hash di chiave, chiavi pubbliche, pseudonimi, blob cifrati	Esecuzione del contratto (Art. 6.1.b)
Sicurezza tecnica del Servizio, prevenzione di abusi, rilevamento di attacchi	IP, timestamp, user agent, contatori di connessione	Legittimo interesse (Art. 6.1.f) — protezione del Servizio e degli utenti
Adempimento di obblighi legali (richieste giudiziali, conservazione contabile, segnalazioni DSA)	I minimi indispensabili per rispondere alla richiesta	Obbligo legale (Art. 6.1.c)
Notifiche push (se l'utente le attiva)	Endpoint di iscrizione del browser/sistema	Consenso (Art. 6.1.a) — revocabile in qualsiasi momento
Gestione di richieste e supporto	I dati che l'utente stesso fornisce nella richiesta	Legittimo interesse / esecuzione del contratto

7. Periodi di conservazione

Dati dell'account: mentre l'account sia attivo. Dopo la cancellazione, vengono eliminati entro un massimo di 30 giorni naturali, salvo obbligo legale di conservazione.
Messaggi cifrati: fino alla loro consegna al destinatario e, se del caso, durante il periodo di ritenzione che l'utente stesso configura nel suo client. La politica tecnica del server prevede eliminazione automatica trascorsi periodi ragionevoli dopo la consegna.
Log di sicurezza e connessione (IP, timestamp, user agent): fino a novanta (90) giorni naturali. Questo termine permette di cooperare con richieste legali legittime delle autorità entro i tempi abituali del processo (ordine giudiziale, richiesta di polizia), e si considera proporzionale al fine perseguito. Trascorso tale periodo, i log vengono eliminati automaticamente, salvo quando esista un'indagine aperta debitamente formalizzata, nel qual caso si conserveranno unicamente i dati direttamente relativi all'indagine.
Dati soggetti a obbligo legale: il termine legale corrispondente (per esempio, dati contabili fino a 6 anni per clienti di pagamento, dati relativi a denunce giudiziali fino alla chiusura del procedimento).

8. Destinatari e responsabili del trattamento

ITRION non condivide né cede dati personali a terzi a fini pubblicitari né commerciali. ITRION non realizza profilazione dell'utente, non segmenta per inserzionisti e non partecipa a reti pubblicitarie.

Gli unici terzi che possono avere accesso tecnico a dati del Servizio sono responsabili del trattamento che prestano infrastruttura imprescindibile, vincolati da contratto di nomina conformemente all'articolo 28 GDPR:

Fornitori di hosting: i server dove si esegue il Servizio. Dati accessibili: blob cifrati opachi, identificatori di account, log tecnici. Senza accesso al contenuto in chiaro.
Fornitori di DNS e rete di consegna di contenuto (CDN): per risoluzione di nomi e consegna dell'applicazione web. Dati accessibili: metadati di connessione.
Fornitori di notifiche push: servizi dei produttori del sistema operativo o del browser (Apple, Google, Mozilla, Microsoft) che consegnano notifiche al dispositivo. Dati accessibili: endpoint e payload opaco cifrato o senza contenuto sensibile.
Fornitori di posta elettronica per i canali *@ulox.org: attualmente un server di posta proprio (Mailcow) gestito da ITRION, situato nell'Unione Europea.

L'elenco completo e aggiornato dei responsabili è disponibile per qualsiasi interessato su privacy@ulox.org.

9. Trasferimenti internazionali di dati

L'infrastruttura principale del Servizio si trova nell'Unione Europea. ITRION si impegna a mantenere la totalità del trattamento all'interno dello Spazio Economico Europeo.

Quando concorrano trasferimenti internazionali di dati personali verso paesi al di fuori del SEE (per esempio, verso fornitori di notifiche push di Apple o Google), ITRION garantirà che tali trasferimenti si realizzino al riparo di una delle garanzie previste nel GDPR (articoli 44 e seguenti): decisioni di adeguatezza, clausole contrattuali tipo (SCC) o regole aziendali vincolanti (BCR), a seconda del caso.

10. Diritti dell'interessato

Come titolare di dati personali, l'utente dispone dei seguenti diritti, esercitabili in qualsiasi momento:

Accesso: conoscere quali suoi dati personali tratta ITRION.
Rettifica: correggere dati inesatti o incompleti.
Cancellazione («diritto all'oblio»): ottenere l'eliminazione dei suoi dati, salvo obbligo legale di conservazione.
Opposizione: opporsi a trattamenti basati su legittimo interesse.
Limitazione: richiedere la sospensione del trattamento mentre si verifica una controversia.
Portabilità: ricevere i dati in formato strutturato, di uso comune e lettura meccanica, quando sia tecnicamente possibile.
Ritiro del consenso: revocare consensi precedentemente concessi (per esempio, notifiche push).
Non essere oggetto di decisioni automatizzate individuali: ITRION non prende decisioni automatizzate con effetti giuridici significativi sull'utente.

L'esercizio si realizza inviando richiesta a privacy@ulox.org, accompagnando, se del caso, i dati minimi necessari per identificare il titolare e la richiesta. ITRION risponderà entro un termine massimo di un (1) mese, prorogabile fino a due (2) mesi aggiuntivi in supposti complessi.

Limitazione tecnica importante. Data la cifratura end-to-end e il modello di pseudonimi, ITRION può non essere in grado di localizzare tutti i dati associati a un utente concreto se il richiedente non fornisce gli identificatori corrispondenti. ITRION collaborerà nella misura in cui sia tecnicamente possibile.

11. Minori

Il Servizio non è diretto a minori al di sotto dell'età minima fissata nella Politica sui Minori. ITRION non raccoglie consapevolmente dati personali di minori al di sotto di tale età. Se si rilevasse tale raccolta, si procederà alla cancellazione immediata dei dati e alla chiusura dell'account.

12. Misure di sicurezza

ITRION applica misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio (Art. 32 GDPR), tra cui spiccano:

Cifratura end-to-end delle comunicazioni dell'utente (XSalsa20-Poly1305, X25519).
Cifratura sul client dei contenuti archiviati in universi privati.
Derivazione crittografica di chiavi da password con Argon2id (parametri MODERATE: 256 MiB, 3 iterazioni).
Comunicazioni HTTPS/TLS esclusivamente.
Isolamento di servizi in container e reti segmentate.
Copie di sicurezza cifrate con chiave che non si conserva nella stessa ubicazione dei dati.
Registro di accessi amministrativi e controllo di accesso per ruoli.
Audit periodici e processi interni di revisione.

13. Violazioni di sicurezza

In caso di violazione di sicurezza che possa supporre un rischio per i diritti e libertà dell'utente, ITRION adempirà gli obblighi di notifica all'autorità di controllo entro un termine massimo di 72 ore (Art. 33 GDPR) e, quando proceda, comunicherà la violazione agli utenti colpiti (Art. 34 GDPR) attraverso i canali disponibili.

14. Cooperazione con le autorità

ITRION coopera con autorità giudiziarie, amministrative e corpi e forze di sicurezza legalmente competenti nel quadro della legislazione applicabile e dei trattati internazionali di cooperazione.

Di fronte a una richiesta legale vincolante, ITRION consegna i dati di cui effettivamente dispone, entro i termini e con la diligenza esigibili, e presta alle autorità l'assistenza tecnica che sia ragionevolmente possibile. ITRION manca della capacità tecnica per decifrare il contenuto cifrato dell'utente, dato che le chiavi crittografiche non sono in suo potere; questa limitazione deriva dal modello di privacy by design del servizio e si fa constare in buona fede in ogni risposta alle richieste, senza che in nessun caso supponga un rifiuto di cooperare.

Il canale di cooperazione con le autorità è law-enforcement@ulox.org.

15. Disposizioni specifiche per regione

15.1. Unione Europea e SEE

Gli utenti residenti nell'UE/SEE possono presentare reclamo all'autorità di controllo competente. In Spagna, l'autorità è l'Agencia Española de Protección de Datos (AEPD), accessibile su www.aepd.es. In Italia, l'autorità è il Garante per la protezione dei dati personali (garanteprivacy.it).

15.2. Regno Unito

Gli utenti residenti nel Regno Unito possono presentare reclamo all'Information Commissioner's Office (ICO) su ico.org.uk. Si applicano UK GDPR e Data Protection Act 2018.

15.3. Stati Uniti — California (CCPA/CPRA)

I residenti in California dispongono di diritti analoghi: diritto di sapere, di eliminare, di correggere e di opporsi alla vendita o condivisione di dati personali. ITRION non vende né condivide dati personali conformemente alle definizioni del CCPA/CPRA. Richieste a privacy@ulox.org.

15.4. Stati Uniti — Resto degli stati

I residenti in altri stati con normativa di privacy applicabile (Virginia, Colorado, Connecticut, Utah, Texas, ecc.) potranno esercitare i diritti previsti nella loro legislazione indirizzando la richiesta a privacy@ulox.org.

15.5. Brasile (LGPD)

I residenti in Brasile potranno esercitare i diritti previsti nella Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), inclusi conferma, accesso, correzione, anonimizzazione, portabilità, eliminazione e revoca del consenso. L'autorità di controllo è la Autoridade Nacional de Proteção de Dados (ANPD).

15.6. Canada (PIPEDA/Provinciali)

I residenti in Canada potranno esercitare i diritti previsti nella PIPEDA e normative provinciali applicabili. L'autorità federale è l'Office of the Privacy Commissioner of Canada (OPC).

15.7. Resto del mondo

ITRION applicherà i principi e diritti del GDPR come standard minimo a tutti gli utenti. Qualsiasi reclamo può essere indirizzato a privacy@ulox.org.

16. Modifiche a questa Informativa

ITRION potrà aggiornare questa Informativa sulla Privacy per riflettere cambiamenti legali, tecnici o di servizio. Gli aggiornamenti saranno pubblicati su questa stessa pagina indicando la data di revisione. Quando i cambiamenti siano sostanziali, si informerà l'utente attraverso il Servizio con l'anticipazione ragionevole.

17. Contatto e reclami

Per qualsiasi richiesta o esercizio di diritti:

Privacy generale: privacy@ulox.org
Responsabile della Protezione dei Dati: dpo@ulox.org
Postale: ITRION SOFTWARE, S.L. — «Dipartimento di Privacy», Calle Francisco Silvela, 110, 2° piano, 28028 Madrid, Spagna.

Senza pregiudizio di quanto sopra, l'utente ha diritto a presentare reclamo all'autorità di controllo competente nella sua giurisdizione quando consideri che il trattamento dei suoi dati personali violi la normativa applicabile.