← Torna alla home

Privacy Policy

Ultimo aggiornamento: 10 aprile 2026

Questa informativa descrive come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali quando utilizzi Narraya e i suoi servizi.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

Narraya di Marco Ranica

Ditta individuale

Email: [email protected]

Per qualsiasi domanda relativa alla protezione dei tuoi dati personali puoi contattarci a [email protected].

2. Tipologie di dati raccolti

Dati forniti volontariamente

  • Indirizzo email e nome visualizzato forniti durante la registrazione
  • Contenuti creativi: testi, capitoli, note, schede personaggio e qualsiasi altro contenuto creato nella piattaforma
  • Dati di pagamento e fatturazione — gestiti interamente da Stripe. Narraya non archivia dati di carta di credito
  • Testi inviati alle funzionalità AI per l'elaborazione di analisi
  • File importati tramite integrazioni cloud storage opzionali (Google Drive, Dropbox) — solo su esplicita azione dell'utente

Dati raccolti automaticamente

  • Log tecnici di accesso e di sicurezza
  • Dati di navigazione aggregati e anonimi (tramite Plausible Analytics, senza cookie)
  • Informazioni tecniche sul dispositivo e sul browser

3. Finalità e basi giuridiche del trattamento

Trattiamo i tuoi dati esclusivamente per le seguenti finalità, ciascuna con la propria base giuridica ai sensi dell'art. 6 GDPR:

FinalitàBase giuridica
Erogazione del servizio NarrayaEsecuzione del contratto (art. 6.1.b)
Gestione account e autenticazioneEsecuzione del contratto (art. 6.1.b)
Gestione pagamenti e fatturazioneObbligo legale (art. 6.1.c) + Contratto (art. 6.1.b)
Elaborazione AI dei testi dell'utenteEsecuzione del contratto (art. 6.1.b)
Sicurezza della piattaforma e prevenzione abusiLegittimo interesse (art. 6.1.f)
Analisi aggregata e anonima dell'utilizzoLegittimo interesse (art. 6.1.f)
Comunicazioni di servizioLegittimo interesse (art. 6.1.f)
Adempimenti legali e fiscaliObbligo legale (art. 6.1.c)

Narraya non vende dati personali e non effettua profilazione a fini pubblicitari.

4. Uso dell'intelligenza artificiale e trattamento dei testi

Narraya utilizza strumenti di intelligenza artificiale per offrire funzionalità di analisi dei testi. È importante distinguere due casi:

Elaborazione locale (LanguageTool)

Le funzionalità di controllo grammaticale utilizzano un'istanza di LanguageTool ospitata sui nostri server in Germania (UE). I testi analizzati non lasciano mai il nostro server e nessun dato viene trasmesso a terze parti per questa funzionalità.

Nessun trasferimento extra-UE. Nessun sub-processor coinvolto.

API AI esterne

Per le funzionalità di analisi avanzata, i testi vengono inviati ai seguenti provider AI esclusivamente per produrre l'analisi richiesta:

Ollama Cloud (Ollama Inc., USA)

I testi vengono elaborati in modo transiente: non vengono conservati oltre il tempo necessario a completare la richiesta. Ollama dichiara di non utilizzare i dati degli utenti per addestrare i propri modelli.

Nota: per alcuni modelli cloud, Ollama potrebbe instradare le richieste verso sub-provider terzi. Questo costituisce un rischio residuo di cui l'utente deve essere consapevole.

Google Gemini API (Google LLC, USA)

I testi inviati tramite API non vengono utilizzati da Google per addestrare i modelli di base. Tuttavia, Google può conservare i prompt per un massimo di 55 giorni a fini di monitoraggio abusi, come dichiarato nella documentazione di Vertex AI.

Narraya non autorizza alcun provider AI a utilizzare i dati degli utenti per addestrare i propri modelli.

5. Integrazioni con servizi di cloud storage

Narraya consente di collegare il proprio account Google Drive o Dropbox per importare file nella piattaforma.

  • L'integrazione è opzionale e attivata esclusivamente su iniziativa dell'utente tramite flusso OAuth standard. Narraya non accede automaticamente allo storage dell'utente.
  • Narraya richiede solo i permessi minimi necessari (lettura dei file selezionati). Non modifica, cancella o condivide i file presenti nello storage dell'utente.
  • Solo i file selezionati esplicitamente dall'utente vengono importati e salvati nella piattaforma. Narraya non mantiene accesso persistente allo storage dell'utente oltre quanto necessario all'importazione.
  • Base giuridica: esecuzione del contratto (art. 6.1.b) e consenso esplicito tramite autorizzazione OAuth (art. 6.1.a).
  • Google Drive e Dropbox sono titolari autonomi del trattamento dei dati presenti nei rispettivi servizi. Narraya è responsabile solo dei dati una volta importati.
  • L'utente può revocare l'autorizzazione OAuth in qualsiasi momento dalle impostazioni del provider (Google Account, Dropbox) e/o dalle impostazioni di Narraya.

6. Sub-processor e terze parti

I dati personali possono essere comunicati ai seguenti fornitori di servizi, che agiscono in qualità di Responsabili del trattamento (art. 28 GDPR):

ProviderServizioPaeseMeccanismo trasferimentoPrivacy Policy
Google LLC (Firebase)AutenticazioneUSADPF EU-USALink
Google LLC (Gemini API)AI inferenceUSADPF EU-USALink
Stripe Inc.PagamentiUSA/IrlandaDPF EU-USALink
Cloudflare Inc.CDN + Storage (R2)USADPF EU-USALink
Ollama Inc.AI inference (cloud)USASCC (art. 46 GDPR)Link
Resend Inc.Email transazionaleUSADPF EU-USALink
Google LLC (Drive)Cloud storage (opzionale)USADPF EU-USALink
Dropbox Inc.Cloud storage (opzionale)USADPF EU-USALink
Hetzner Online GmbHVPS, Database, RedisGermania (UE)N/A (UE)Link
Hostinger International Ltd.Gestione dominiCipro/Lituania (UE)N/A (UE) + SCC per subLink

LanguageTool non compare in questa tabella in quanto è ospitato internamente sui server di Narraya in Germania (UE) e non costituisce un sub-processor esterno.

7. Trasferimento dati extra-UE

Alcuni dei nostri fornitori hanno sede negli Stati Uniti. Per ciascun trasferimento di dati extra-UE adottiamo i seguenti meccanismi, in ordine di priorità:

  1. DPF: Data Privacy Framework EU-USA (DPF): decisione di adeguatezza della Commissione Europea C(2023) 4745 del 10/07/2023, confermata dal Tribunale UE nel settembre 2025. Applicabile a: Google, Stripe, Cloudflare, Resend, Dropbox.
  2. SCC: Standard Contractual Clauses (SCC): clausole contrattuali tipo approvate dalla Commissione Europea (Decisione UE 2021/914), come misura di garanzia per provider non certificati DPF. Applicabile a: Ollama Inc.

Nessun provider extra-UE viene utilizzato senza un meccanismo di trasferimento dichiarato e documentato.

8. Periodo di conservazione dei dati

Conserviamo i tuoi dati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

CategoriaDurataMotivazione
Contenuti utente (testi, bozze)Durata dell'account + 30 giorni dopo la cancellazioneEsecuzione del contratto
Dati dell'accountDurata dell'account + 30 giorniEsecuzione del contratto
Log tecnici e di sicurezza90 giorniLegittimo interesse
Dati fiscali e di pagamento10 anniObbligo legale italiano
Testi inviati alle API AINon conservati da Narraya — elaborazione transienteN/A
Dati analitici (Plausible)Aggregati e anonimi — nessun dato personaleN/A

Al termine del periodo di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile.

9. Diritti dell'interessato (GDPR)

Ai sensi degli artt. 15-22 del GDPR, hai i seguenti diritti:

  • Accesso (art. 15): richiedere conferma dell'esistenza e copia dei tuoi dati personali
  • Rettifica (art. 16): correggere dati inesatti o incompleti
  • Cancellazione (art. 17): richiedere l'eliminazione del tuo account e dei tuoi dati
  • Limitazione (art. 18): richiedere la limitazione del trattamento in determinati casi
  • Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e leggibile
  • Opposizione (art. 21): opporti al trattamento basato sul legittimo interesse
  • Revoca del consenso (art. 7.3): revocare in qualsiasi momento un consenso prestato, senza pregiudizio per la liceità del trattamento precedente

Per esercitare i tuoi diritti, scrivi a [email protected]. Risponderemo entro 30 giorni dalla ricezione della richiesta.

Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali ([email protected] — www.garanteprivacy.it).

10. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali, tra cui:

  • Crittografia TLS in transito per tutte le comunicazioni
  • Crittografia a riposo per il database
  • Controllo degli accessi basato su ruoli e principio del minimo privilegio
  • Autenticazione sicura tramite JWT con token a breve durata + refresh token HttpOnly
  • Log di sicurezza e monitoraggio delle anomalie
  • Backup regolari con conservazione sicura

Nessun sistema è immune al 100%, ma ci impegniamo costantemente a migliorare le nostre misure di sicurezza.

11. Notifica di violazione dei dati

In conformità agli articoli 33 e 34 del GDPR, in caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà degli interessati, Narraya:

  • Notificherà il Garante Privacy entro 72 ore dalla scoperta (art. 33 GDPR)
  • Informerà gli utenti interessati senza indebito ritardo se la violazione comporta un rischio elevato (art. 34 GDPR)
  • Comunicherà: natura della violazione, categorie di dati coinvolti, probabili conseguenze e misure adottate

Se sospetti una violazione dei tuoi dati personali, contattaci immediatamente a [email protected].

12. Modifiche alla presente informativa

Questa informativa può essere aggiornata a seguito di modifiche ai servizi o agli obblighi legali. In caso di modifiche sostanziali, ti informeremo tramite email e aggiorneremo la data in cima alla pagina.

13. Contatti e Autorità di controllo

Titolare del trattamento:

Narraya di Marco Ranica

Email: [email protected]

Autorità di controllo competente:

Garante per la Protezione dei Dati Personali

www.garanteprivacy.it[email protected]

Cookie PolicyTerms of ServiceHome