Privacy Policy — ComuniCAA
📖 In sintesi (in 30 secondi):
ComuniCAA è un ausilio per la Comunicazione Aumentativa Alternativa. La maggior parte dei tuoi dati (quaderni, foto personali, voci registrate) resta sul tuo dispositivo e non viene mai inviata online. Salvi nel cloud solo se decidi tu, e in quel caso le foto private vengono rimosse automaticamente prima del caricamento. Non vendiamo i tuoi dati. Non facciamo profilazione pubblicitaria. Puoi cancellare tutto in qualsiasi momento.
1. Chi siamo
Il Comunicatore Dinamico ComuniCAA è un ausilio tecnologico per la Comunicazione Aumentativa Alternativa (CAA) fornito da GARD SRLS come soluzione completa (dispositivo pre-configurato + software integrato + configurazione iniziale + supporto), progettato per essere utilizzato da persone con bisogni comunicativi complessi (in particolare bambini con disturbi dello spettro autistico, ritardo cognitivo, disprassia verbale o altre condizioni che limitano la comunicazione verbale), dai loro caregiver familiari e da professionisti CAA (logopediste, educatori, terapisti). La presente Privacy Policy si applica al software integrato del Comunicatore Dinamico in tutte le sue componenti.
Il Titolare del trattamento dei dati personali è GARD SRLS — Forniture Sanitarie, con sede legale in Via Provinciale, 19 — 89010 Molochio (RC), Italia, P. IVA 03072100807. Il prodotto è un ausilio tecnologico per la Comunicazione Aumentativa e Alternativa.
2. Quali dati raccogliamo
2.1 Dati che NON raccogliamo
Per chiarezza, iniziamo da cosa NON tracciamo:
- ❌ Nessuna profilazione pubblicitaria. Non c'è AdSense, Facebook Pixel, Google Analytics o tracker di terze parti.
- ❌ Nessuna telemetria comportamentale sul singolo utente.
- ❌ Nessuna raccolta di posizione GPS, contatti rubrica, calendari o altri permessi di sistema non strettamente necessari.
- ❌ Nessuna vendita o cessione di dati personali a terzi per finalità commerciali.
2.2 Dati che restano sempre sul tuo dispositivo
Questi dati sono memorizzati esclusivamente sul tuo tablet/PC e non vengono mai trasmessi a server (tranne i casi specifici descritti nei punti 2.3 e 2.4):
- Quaderni di comunicazione (struttura pagine, celle, simboli, etichette, colori, layout)
- Foto personali caricate per personalizzare le celle (mamma, papà, oggetti familiari)
- Voci registrate dei familiari per il profilo vocale (audio in formato Base64)
- Statistiche di utilizzo aggregate (numero di tap su una cella, ultima data d'uso) per supportare il monitoraggio terapeutico
- Audit log delle modifiche fatte in modalità terapista (per trasparenza GDPR art. 30 verso la famiglia)
- Profilo comunicativo (età, livello rappresentazionale, modalità di accesso) configurato dal terapista
- Configurazioni accessibilità (dwell-time, scansione, alto contrasto, ecc.)
2.3 Dati raccolti solo se attivi l'account cloud (opzionale)
Se decidi di creare un account per sincronizzare i quaderni tra dispositivi (funzionalità per professionisti):
- Email account e password (gestita da Supabase Inc., partner tecnico)
- Quaderni caricati (struttura JSON, dimensioni in genere < 1 MB)
- Codici di invito per condivisione tra terapista e famiglia
⚠️ Privacy by Design: Quando carichi un quaderno sul cloud, l'app rimuove automaticamente tutte le foto personali e gli audio Base64 prima dell'upload. Solo la struttura del quaderno (layout celle, etichette testuali, simboli del pack ufficiale) viene trasmessa. Le foto/voci vengono ripristinate dalla libreria locale al momento del download.
2.5 Dati raccolti per il consenso GDPR (anonimi)
Per dimostrare di aver raccolto il tuo consenso (art. 7.1 GDPR), registriamo un log anonimizzato sul nostro server Supabase:
- Timestamp del consenso (data/ora)
- Versione della Privacy Policy accettata
- ID anonimo di sessione (UUID generato sul tuo dispositivo, nessun collegamento al tuo nome o email)
- Tipo di consenso (granted / updated / withdrawn)
Questo log non contiene il tuo indirizzo IP, il tuo dispositivo, né alcun altro identificatore.
3. Perché raccogliamo questi dati (finalità)
| Categoria dati | Finalità |
| Quaderni e configurazioni locali | Permettere il funzionamento dell'ausilio (creare e usare strumenti di comunicazione personalizzati) |
| Foto personali | Personalizzare l'ausilio con immagini riconoscibili dall'utente (famigliari, oggetti reali) |
| Voci registrate | Riprodurre parole con la voce dei caregiver familiari (più riconoscibile per molti utenti) |
| Statistiche d'uso | Permettere al terapista di monitorare i progressi clinici (es. crescita lessicale) |
| Audit log modifiche | Trasparenza verso la famiglia su cosa il terapista modifica nel quaderno (art. 30 GDPR) |
| Account cloud (opzionale) | Sincronizzare quaderni tra più dispositivi del professionista |
| Log consensi anonimi | Dimostrare conformità all'art. 7.1 GDPR (prova del consenso) |
4. Su quale base legale
Le basi giuridiche del trattamento sono diverse a seconda del tipo di dato:
- Art. 6.1.b GDPR (esecuzione del contratto): per le funzionalità essenziali dell'ausilio (configurazione locale, account cloud, statistiche d'uso). Senza questi dati l'app non può funzionare.
- Art. 6.1.a + Art. 9.2.a GDPR (consenso esplicito): per le foto personali. Sono opzionali e richiedono un consenso attivo da parte tua.
- Art. 6.1.c GDPR (obbligo legale): per il log anonimo dei consensi (necessario per dimostrare la conformità all'art. 7.1 GDPR).
- Art. 6.1.f GDPR (legittimo interesse): per la sicurezza e la prevenzione di abusi (es. limiti di rate sull'API).
5. Trattamento di dati di minori
👶 Età minima per uso autonomo: 16 anni.
Per persone minori di 16 anni, l'utilizzo dell'app deve essere autorizzato dal genitore o dal tutore legale (art. 8 GDPR italiano, D.Lgs. 196/2003 art. 2-quinquies).
Considerato che ComuniCAA è progettato proprio per minori con bisogni comunicativi complessi, i nostri trattamenti sono pensati per minimizzare i rischi:
- Tutti i dati personali del minore restano sul dispositivo del genitore/terapista e non vengono trasmessi a server salvo esplicita azione del caregiver (es. caricamento cloud).
- Le foto e le voci dei minori non vengono mai inviate al cloud — l'app le strippa automaticamente prima dell'upload (Privacy by Design).
- L'account cloud richiede credenziali (email + password) di un adulto responsabile (genitore o terapista). Nessuna funzione consente la registrazione diretta di un minore.
- La modalità Terapista è protetta da PIN per impedire al minore di modificare configurazioni sensibili.
6. Foto personali e voci registrate
Questa è una categoria di dati particolarmente sensibile, e ti spieghiamo nel dettaglio come la trattiamo:
6.1 Foto personali
- Le foto vengono salvate solo sul tuo dispositivo in formato Base64 dentro il quaderno locale.
- Quando carichi il quaderno sul cloud, le foto vengono automaticamente rimosse dal payload prima dell'invio. Solo la struttura del quaderno (etichette testuali, layout) viene trasmessa.
- Le foto vengono ripristinate dalla libreria locale quando il quaderno viene riaperto su un dispositivo che ha le foto salvate (meccanismo "harvest").
- Quando il quaderno viene condiviso con altro utente (es. terapista → famiglia), le foto possono essere incluse solo se entrambi gli utenti hanno dato consenso esplicito.
6.2 Voci registrate
- Gli audio del profilo vocale (registrati con il microfono del dispositivo) vengono salvati in localStorage in formato Base64.
- Stesso trattamento delle foto: strippati prima dell'upload cloud, ripristinati dal localStorage al download.
✓ Best practice: Foto e voci di minori restano sotto il controllo esclusivo della famiglia. Non vengono mai trasmessi a server senza esplicita azione consapevole.
8. Salvataggio cloud opzionale (Supabase)
Il salvataggio cloud è una funzionalità opzionale destinata principalmente ai professionisti che vogliono sincronizzare i quaderni tra più dispositivi.
- Provider: Supabase Inc., con sede in USA. Il progetto ComuniCAA è ospitato in regione UE Irlanda, all'interno dello Spazio Economico Europeo.
- Dati trasferiti: email account, password (cifrata con bcrypt), struttura quaderni (senza foto/voci personali, vedi §6).
- Cifratura: tutti i trasferimenti avvengono in HTTPS/TLS 1.3. I dati a riposo sono cifrati con AES-256.
- Conservazione: i quaderni cloud sono conservati fino alla richiesta di cancellazione (vedi §10).
- Sub-processore: Supabase Inc. agisce come Responsabile del trattamento (Data Processor) ai sensi dell'art. 28 GDPR. La DPA (Data Processing Agreement) è disponibile su richiesta.
9. Per quanto tempo conserviamo i dati
| Dato | Durata di conservazione |
| Dati locali sul dispositivo | Fino alla restituzione del Comunicatore Dinamico al Fornitore o cancellazione manuale dei dati da parte dell'Utente |
| Account cloud (email, password) | Fino alla richiesta di cancellazione dell'account, poi 30 giorni di soft-delete (recuperabile), poi cancellazione definitiva |
| Quaderni cloud | Stessa policy dell'account (vedi sopra) |
| Log consensi anonimi | 5 anni (obbligo di conservazione per art. 7.1 GDPR) |
| Log tecnici Supabase (richieste API) | 30 giorni rolling |
10. I tuoi diritti
In qualsiasi momento puoi esercitare i seguenti diritti previsti dagli artt. 15-22 GDPR:
- Diritto di accesso: ottenere conferma e copia dei tuoi dati che trattiamo
- Diritto di rettifica: correggere dati inesatti
- Diritto alla cancellazione ("diritto all'oblio"): cancellare i tuoi dati
- Diritto alla limitazione del trattamento
- Diritto alla portabilità dei dati: ricevere i tuoi dati in formato strutturato (JSON) e trasferirli ad altro servizio
- Diritto di opposizione al trattamento per motivi legittimi
- Diritto a revocare il consenso in qualsiasi momento (la revoca non pregiudica la liceità del trattamento precedente)
- Diritto di proporre reclamo all'Autorità di controllo (Garante Privacy per l'Italia)
Per esercitare questi diritti, scrivi a privacy@gardmedical.com (in alternativa: info@gardmedical.com). Risponderemo entro 30 giorni dalla ricezione della richiesta (art. 12 GDPR), prorogabili di altri 60 giorni in caso di richieste complesse.
11. Trasferimenti dati extra-UE
Trattiamo i dati prevalentemente all'interno dello Spazio Economico Europeo. I trasferimenti extra-UE riguardano esclusivamente:
- Supabase Inc. — solo se attivi l'account cloud. Il progetto è ospitato in regione UE Irlanda ma il fornitore ha sede negli Stati Uniti. Trasferimento garantito da DPA e Standard Contractual Clauses approvate dalla Commissione Europea.
Per gli utenti che utilizzano l'app esclusivamente in modalità locale (senza account cloud e senza AI), nessun dato lascia il dispositivo.
12. Cookie e tecnologie simili
ComuniCAA utilizza esclusivamente tecnologie tecniche e di sessione, indispensabili per il funzionamento del servizio:
- localStorage / IndexedDB: per salvare quaderni, foto, voci, configurazioni sul tuo dispositivo. Non sono cookie tracker, sono storage tecnico locale.
- Cache API / Service Worker: per il funzionamento offline della PWA (Progressive Web App).
- Token di autenticazione (solo se hai un account cloud): JWT di Supabase, gestito in localStorage.
Non utilizziamo: cookie pubblicitari, tracker di profilazione, analytics di terze parti, pixel di social network. Pertanto non è richiesto un cookie banner ai sensi del Provvedimento Generale Cookie del Garante Privacy del 10 giugno 2021.
13. Sicurezza dei dati
Adottiamo misure tecniche e organizzative per proteggere i tuoi dati (art. 32 GDPR):
- Trasmissione: HTTPS/TLS 1.3 per tutte le comunicazioni online
- Cifratura a riposo: AES-256 per i dati salvati su Supabase
- Hashing password: bcrypt con salt random
- Autenticazione: JWT firmato con chiavi RSA
- Privacy by Design: stripping automatico di foto/voci dal cloud upload
- PIN locale per proteggere la modalità terapista da accessi accidentali del minore
- Audit log di tutte le modifiche fatte in modalità terapista (per trasparenza famiglia)
- Backup keystore Android su 4 supporti separati (locale + cloud + USB + password manager) per garantire continuità in caso di perdita
- Aggiornamenti regolari via OTA (Over-The-Air) per patch di sicurezza tempestive
In caso di violazione dei dati personali (data breach) che possa comportare rischi per i diritti e le libertà degli interessati, notificheremo il Garante Privacy entro 72 ore dalla scoperta (art. 33 GDPR) e gli interessati direttamente in caso di rischio elevato (art. 34 GDPR).
14. Modifiche a questa policy
Ci riserviamo il diritto di modificare questa Privacy Policy per riflettere cambiamenti normativi o di servizio. In caso di modifiche significative:
- Aggiorneremo la data e il numero di versione in cima al documento
- Mostreremo un avviso in-app al primo accesso successivo alla modifica
- Per modifiche che ampliano l'ambito del trattamento, richiederemo un nuovo consenso esplicito
L'archivio delle versioni precedenti è disponibile su richiesta a privacy@gardmedical.com.
15. Contatti e reclami
Per richieste di accesso ai dati, esercizio dei diritti GDPR e questioni legate alla privacy:
📧 privacy@gardmedical.com
Per supporto generale e domande sull'app:
📧 info@gardmedical.com
📬 GARD SRLS — Via Provinciale, 19 — 89010 Molochio (RC), Italia
📜 PEC: gardsrl2@pec.it
Responsabile della Protezione dei Dati (DPO): non designato. Ai sensi dell'art. 37 del Reg. UE 2016/679, la nomina di un DPO è obbligatoria per soggetti che effettuano monitoraggio sistematico su larga scala o trattamento su larga scala di categorie particolari di dati. ComuniCAA non rientra in queste fattispecie: i dati personali sensibili (foto, voci, configurazioni) sono trattati esclusivamente sul dispositivo dell'utente; il cloud opzionale (Supabase) riceve solo dati strutturali anonimizzati e privi di dati identificativi della persona utilizzatrice. La situazione viene monitorata in base alla crescita degli utilizzatori e la nomina di un DPO sarà valutata nel caso il volume e la natura dei trattamenti raggiunga le soglie indicate dall'art. 37 GDPR. Per qualsiasi richiesta in materia di protezione dati il punto di contatto è la mail privacy@gardmedical.com.
Reclami all'Autorità di controllo:
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma, Italia
Web: www.garanteprivacy.it
Email: protocollo@gpdp.it
GARD SRLS
P. IVA 03072100807 — Via Provinciale, 19 — 89010 Molochio (RC), Italia
Versione documento: 1.0 — Data ultima revisione: 6 maggio 2026