1. Titolare del trattamento

Titolare del trattamento è Jacopo Leonardi.
Email: privacy@bhoapp.com

2. Dati che raccogliamo e perché

Il trattamento si basa su:

• Art. 6 §1 lett. b GDPR — esecuzione del contratto di servizio: per i dati necessari al funzionamento dell'app (autenticazione, notifiche, stanze).
• Art. 6 §1 lett. a GDPR — consenso dell'utente: per i dati di profilo facoltativi e la posizione geografica.
• Art. 6 §1 lett. f GDPR — legittimo interesse: per la sicurezza del servizio, la prevenzione degli abusi, i log tecnici necessari alla stabilità e l'invio di notifiche push di servizio.

Non vendiamo i dati personali degli utenti a terze parti.

Dove il trattamento si basa sul consenso (art. 6 §1 lett. a GDPR), hai il diritto di revocare il consenso in qualsiasi momento, scrivendo a privacy@bhoapp.com o tramite le impostazioni dell'app, senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca (art. 7 §3 GDPR).

Dati di account obbligatori

• Numero di telefono — usato per l'autenticazione tramite Firebase. Viene archiviato sui nostri server esclusivamente come hash crittografico irreversibile (HMAC-SHA256); il numero in chiaro non è mai memorizzato.
• Token di dispositivo (FCM) — identificatore anonimo fornito da Firebase Cloud Messaging per l'invio di notifiche push.
• Token di scoperta — codice alfanumerico pseudonimo che permette ad altri utenti di trovare il tuo profilo tramite QR code o link diretto.

Dati di profilo facoltativi

• Nome utente, foto profilo, biografia.
• Username Instagram e badge di verifica, se scegli di collegare il tuo account Instagram tramite la funzione di importazione.

Contenuti pubblicati

• Foto e video caricati sul profilo pubblico.
• Foto e video caricati nelle stanze private (archiviati cifrati, vedi sezione 4).
• Reazioni emoji ai contenuti.
• Anteprima visiva sfocata (BlurHash) — per i contenuti nelle stanze private viene archiviato un hash visivo fortemente degradato, utilizzato per mostrare un'anteprima sfocata agli utenti non membri. Non consente di ricostruire il contenuto originale.

Dati di attività

• Timestamp di iscrizione alle stanze, di invio messaggi e di lettura.
• Notifiche di attività ricevute (visite al profilo, reazioni, approvazioni di accesso alle stanze).
• Appartenenza alle stanze (quali stanze hai creato o a cui partecipi).
• Dati di utilizzo anonimizzati — eventi aggregati di utilizzo dell'app (es. apertura, creazione post) associati a un identificatore crittograficamente anonimizzato non riconducibile all'account. Base giuridica: legittimo interesse (art. 6 §1 lett. f GDPR).

Posizione geografica

Se crei una stanza con sede pubblica sulla mappa, le coordinate geografiche approssimative della sede vengono archiviate in modo permanente e visibili a tutti gli utenti nelle vicinanze. La posizione del dispositivo viene letta solo al momento della creazione o modifica della sede e non viene tracciata continuamente. Questa funzione è opzionale e richiede il tuo consenso esplicito.

Ricerca contatti (opzionale)

Se utilizzi la funzione di ricerca contatti dalla rubrica, i numeri di telefono vengono trasmessi ai nostri server tramite connessione cifrata HTTPS per effettuare la corrispondenza con gli utenti registrati. I numeri non vengono memorizzati dopo la ricerca.

3. Messaggi nelle stanze private

I messaggi di testo e i contenuti multimediali condivisi nelle stanze private sono cifrati end-to-end con crittografia ChaCha20-Poly1305. Le chiavi crittografiche sono generate e conservate esclusivamente sui dispositivi dei membri della stanza. Bho! non dispone tecnicamente delle chiavi e non è in grado di accedere al contenuto di questi messaggi.

I messaggi cifrati vengono conservati sui nostri server finché la stanza è attiva o finché il contenuto non viene eliminato dall'autore.

4. Terze parti

• Google LLC — Firebase Authentication e Firebase Cloud Messaging: usati per l'autenticazione tramite numero di telefono e le notifiche push. Privacy policy: policies.google.com/privacy. Il trasferimento di dati verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea e/o del Data Privacy Framework EU-USA. Puoi richiedere informazioni sulle garanzie applicate scrivendo a privacy@bhoapp.com.
• CARTO (CartoDB): il dispositivo dell'utente carica le tessere della mappa direttamente dai server di CARTO, che possono registrare l'indirizzo IP. Privacy policy: carto.com/privacy.
• Hetzner Online GmbH: fornitore di infrastruttura cloud su cui sono archiviati i dati. Agisce in qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR; un accordo sul trattamento dei dati (DPA) è in vigore tra Bho! e il fornitore. Privacy policy: hetzner.com/legal/privacy-policy.

5. Dove sono archiviati i dati

I dati dell'account e i contenuti sono archiviati su server dedicati localizzati a Norimberga, Germania. I dati non vengono trasferiti al di fuori dell'Unione Europea salvo quanto indicato nella sezione Terze Parti.

5b. Sicurezza dei dati e log tecnici

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati trattati, tra cui la crittografia in transito (HTTPS/TLS) e la crittografia end-to-end per i contenuti delle stanze private. I log tecnici del server (indirizzi IP, timestamp delle richieste HTTP) vengono conservati per un massimo di 30 giorni a fini di sicurezza e prevenzione degli abusi, sulla base del legittimo interesse (art. 6 §1 lett. f GDPR), dopodiché vengono eliminati automaticamente.

6. Conservazione dei dati

• I dati dell'account vengono conservati finché l'account è attivo.
• Le notifiche di attività vengono conservate per 90 giorni.
• I token FCM vengono eliminati alla disconnessione.
• I contenuti cifrati nelle stanze vengono eliminati quando l'autore li cancella o quando la stanza viene eliminata.

Puoi richiedere la cancellazione completa del tuo account e di tutti i dati associati scrivendo a privacy@bhoapp.com. La cancellazione avverrà entro 30 giorni dalla richiesta.

7. I tuoi diritti (GDPR)

Se risiedi nell'Unione Europea hai diritto a:

• Accesso — ottenere copia dei dati che ti riguardano.
• Rettifica — correggere dati inesatti.
• Cancellazione — chiedere la rimozione dei tuoi dati.
• Portabilità — ricevere i tuoi dati in formato strutturato.
• Opposizione — opporti al trattamento in determinate circostanze.
• Reclamo — presentare reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

Per esercitare questi diritti scrivi a privacy@bhoapp.com.

8. Minori

Il servizio non è destinato a persone di età inferiore a 16 anni. Non raccogliamo consapevolmente dati di minori.

9. Modifiche alla policy

In caso di modifiche sostanziali alla presente policy gli utenti verranno informati tramite notifica in-app.

10. Contatti

privacy@bhoapp.com