Home

Informativa sulla Privacy

Ultimo aggiornamento: 26 marzo 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

  • Nome: Roberto Coscia
  • Email di contatto: infomemoniq@gmail.com
  • Sito web: memoniq.com

Per qualsiasi richiesta relativa ai dati personali, contattare il Titolare all'indirizzo email sopra indicato.

2. Base Giuridica del Trattamento

I dati personali sono trattati in conformità al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alla normativa vigente.

Le basi giuridiche del trattamento sono:

  • Esecuzione del contratto (Art. 6(1)(b) GDPR): il trattamento è necessario per fornire il servizio richiesto dall'utente.
  • Consenso (Art. 6(1)(a) GDPR): per il trasferimento dei dati a fornitori terzi di servizi AI situati al di fuori dello Spazio Economico Europeo.
  • Legittimo interesse (Art. 6(1)(f) GDPR): per la sicurezza del servizio, la prevenzione di abusi e il miglioramento del servizio.
  • Obbligo legale (Art. 6(1)(c) GDPR): per adempiere a obblighi di legge applicabili.

3. Categorie di Dati Personali Raccolti

3.1 Dati di registrazione

  • Indirizzo email
  • Password (memorizzata in forma crittografata hash)

3.2 Materiali di studio

  • File caricati (PDF, DOCX, PPTX, XLSX, TXT, immagini)
  • Testo estratto dai file caricati
  • Immagini estratte dai documenti
  • Metadati dei file (nome, dimensione, tipo)

3.3 Contenuti generati dall'AI

  • Riassunti, flashcard, quiz, mappe mentali generati dall'AI
  • Immagini educative reperite dal web

3.4 Dati di interazione

  • Messaggi di chat con il tutor AI
  • Risposte dell'AI
  • Trascrizioni vocali (se si utilizza la funzione vocale)
  • Comandi vocali e input di riconoscimento vocale (elaborati localmente tramite Web Speech API del browser, senza trasmissione a server esterni)
  • Feedback inviati

3.5 Dati di organizzazione

  • Nomi dei quaderni e categorie create dall'utente

3.6 Chiavi API dell'utente

  • Chiavi API dei provider AI (Google, Groq, OpenAI, ecc.) — salvate in forma crittografata (AES-256-GCM) nella tabella user_api_keys di Supabase e memorizzate localmente nel browser (localStorage) come cache
  • La sincronizzazione DB avviene automaticamente ad ogni salvataggio. Le chiavi in localStorage sono utilizzate per le chiamate API dirette ai provider
  • Preferenze provider (modelli, configurazioni)

3.7 Dati tecnici

  • Cookie tecnici di autenticazione (necessari per il funzionamento)
  • Dati di rate limiting (ID utente e timestamp delle richieste, memorizzati temporaneamente in memoria)

Non raccogliamo: dati di geolocalizzazione, dati biometrici, dati di profilazione pubblicitaria, dati di tracciamento di terze parti, indirizzi IP a fini di profilazione.

4. Finalità del Trattamento

FinalitàBase giuridica
Creazione e gestione dell'accountContratto
Generazione di riassunti, flashcard, quiz, mappe mentaliContratto
Funzionalità di chat con tutor AIContratto
Trascrizione audio (funzione vocale)Contratto + Consenso
Trasferimento dati a fornitori AI terziConsenso
Sicurezza, prevenzione abusi, rate limitingLegittimo interesse
Gestione feedback e segnalazioniLegittimo interesse

5. Destinatari e Servizi di Terze Parti

Per erogare il servizio, i dati dell'utente vengono trasmessi ai seguenti fornitori di servizi AI:

FornitoreServizioDati trasmessiSede
Google (Gemini)Generazione riassuntiTesto dei materialiUSA (DPF)
GroqChat AI, analisiMessaggi, testoUSA
SerperRicerca immaginiQuery di ricercaUSA
SupabaseAuth, DB, storageTutti i datiUE
StripePagamentiDati pagamento (gestiti da Stripe)USA (DPF)

Ogni fornitore opera in qualità di responsabile del trattamento ai sensi dell'Art. 28 GDPR. I DPA (Data Processing Agreement) sono disponibili su richiesta contattando il Titolare.

5-bis. Modello BYOK e Flusso dei Dati

Con il modello BYOK (Bring Your Own Key), le chiavi API dell'utente vengono salvate in forma crittografata (AES-256-GCM) nel database Supabase e memorizzate localmente nel browser come cache. Le chiavi vengono decriptate lato server esclusivamente al momento dell'esecuzione delle richieste AI e non vengono mai loggate, condivise o trasmesse a terzi. Le richieste ai provider AI vengono effettuate dal server di Memoniq utilizzando le chiavi dell'utente negli header di autenticazione.

L'utente può inoltre configurare provider AI BYOK aggiuntivi (es. OpenAI, Anthropic o qualsiasi provider con API compatibile OpenAI). In tal caso, i dati vengono trasmessi direttamente al provider configurato dall'utente, secondo i termini e le privacy policy del rispettivo provider.

Memoniq non riceve compensi, commissioni, referral fees o benefici economici di alcun tipo dal traffico API generato dagli utenti verso i provider terzi. Il modello BYOK è trasparente: l'utente usa direttamente i servizi dei provider senza alcuna intermediazione commerciale da parte del Fornitore.

5-ter. Modelli Locali (LM Studio)

Memoniq supporta l'uso di modelli AI locali tramite LM Studio (o qualsiasi server compatibile con l'API OpenAI su localhost). In questa configurazione:

  • Nessun dato lascia il dispositivo dell'utente
  • L'elaborazione avviene interamente in locale
  • Il Titolare non ha accesso ai dati elaborati localmente

5-quater. Kokoro TTS (Sintesi Vocale Locale)

La funzionalità Kokoro TTS esegue la sintesi vocale interamente sul dispositivo dell'utente tramite un server Python locale (porta 8880).

  • Il modello vocale (Kokoro-82M, ~330MB) viene scaricato da HuggingFace una sola volta
  • Nessun dato testuale o audio viene trasmesso a server esterni
  • L'attivazione è facoltativa e configurabile dall'utente

5-quinquies. Elaborazioni Lato Client

Le seguenti funzionalità vengono eseguite interamente nel browser dell'utente, senza trasmissione di dati a server esterni:

  • Riconoscimento vocale e comandi vocali: utilizzano la Web Speech API nativa del browser per il riconoscimento in tempo reale
  • Prosodia SSML: il markup SSML per il miglioramento della qualità vocale viene elaborato localmente prima dell'invio al motore TTS (msedge-tts o Kokoro)
  • Visual Exam: le immagini del materiale dell'utente mostrate durante la simulazione d'esame orale sono elaborate e visualizzate localmente

6. Trasferimenti Internazionali di Dati

Alcuni fornitori hanno sede negli USA. I trasferimenti avvengono tramite:

  • EU-US Data Privacy Framework: per fornitori certificati DPF (es. Google).
  • Clausole Contrattuali Standard: per fornitori non certificati DPF.

7. Periodo di Conservazione

  • Dati dell'account: fino alla cancellazione dell'account.
  • Materiali di studio: fino alla cancellazione dell'account o rimozione manuale.
  • Chat history: fino alla cancellazione manuale o dell'account.
  • Feedback: anonimizzato alla cancellazione dell'account.
  • Rate limiting: memoria volatile, eliminato al riavvio.

8. Diritti dell'Interessato

In conformità agli Artt. 15-22 GDPR:

  • Accesso (Art. 15)
  • Rettifica (Art. 16)
  • Cancellazione (Art. 17)
  • Limitazione (Art. 18)
  • Portabilità (Art. 20)
  • Opposizione (Art. 21)
  • Revoca del consenso (Art. 7(3))

Contatto: infomemoniq@gmail.com

9. Diritto di Reclamo

Garante per la protezione dei dati personali — Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it

10. Cookie

Solo cookie tecnici di sessione per l'autenticazione. Nessun cookie di profilazione o marketing.

11. Natura del Conferimento

Il conferimento dei dati di registrazione (email, password) è obbligatorio per l'accesso al servizio. Il conferimento dei materiali di studio è volontario ma necessario per usufruire delle funzionalità di generazione AI.

Il mancato conferimento dei dati obbligatori comporta l'impossibilità di creare un account e utilizzare il servizio.

12. Minori

Il servizio non è destinato a minori di 16 anni. In conformità all'Art. 8 GDPR e all'Art. 2-quinquies D.Lgs. 196/2003, l'utente dichiara di avere almeno 16 anni al momento della registrazione.

Se il Titolare dovesse venire a conoscenza che un utente è minore di 16 anni, procederà alla cancellazione immediata dell'account e di tutti i dati associati.

13. Decisioni Automatizzate e Trattamento AI

Il servizio utilizza algoritmi AI per generare contenuti educativi (riassunti, flashcard, quiz, podcast). Tali processi non costituiscono profilazione né decisioni automatizzate con effetti giuridici ai sensi dell'Art. 22 GDPR.

I contenuti generati dall'AI possono contenere errori o imprecisioni e non devono essere considerati come unica fonte di studio.

13-bis. Trasparenza AI (Reg. UE 2024/1689 — AI Act)

In conformità al Regolamento (UE) 2024/1689 (AI Act), informiamo che:

  • Natura del sistema: Memoniq utilizza modelli di AI generativa di terze parti (Google Gemini, Meta Llama via Groq) per generare contenuti educativi a partire dai materiali caricati dall'utente.
  • Classificazione di rischio: Il servizio non rientra nelle categorie di “rischio alto” (Allegato III) o “rischio inaccettabile” (Art. 5) dell'AI Act, in quanto genera contenuti educativi di supporto senza effetti giuridici o significativamente impattanti sull'utente.
  • Interazione AI: L'utente interagisce con sistemi AI nelle funzionalità di: generazione riassunti, chat tutor, sessioni vocali, podcast, quiz, flashcard, mappe mentali, miglioramento contenuti, simulazione esame orale con valutazione AI e analisi visiva delle immagini (visual grounding).
  • Supervisione umana: Tutti i contenuti AI sono presentati come bozze modificabili dall'utente. Nessuna decisione automatizzata vincolante viene presa dal sistema.
  • Dati di addestramento: Memoniq non addestra modelli AI propri. I modelli di terze parti sono pre-addestrati dai rispettivi fornitori. I materiali dell'utente non vengono utilizzati per addestrare modelli AI.
  • Limitazioni note: I modelli AI possono generare informazioni inesatte (“allucinazioni”), omettere dettagli, o interpretare erroneamente il materiale sorgente. L'utente deve sempre verificare i contenuti generati.

14. Misure di Sicurezza

Il Titolare adotta le seguenti misure tecniche e organizzative per proteggere i dati:

  • Crittografia delle comunicazioni (HTTPS/TLS)
  • Crittografia AES-256-GCM per le chiavi API degli utenti
  • Row Level Security (RLS) su tutte le tabelle del database
  • Password memorizzate con hash sicuri (bcrypt)
  • Security headers (CSP, HSTS, X-Frame-Options)
  • Protezione SSRF per le richieste di immagini esterne
  • Rate limiting per prevenire abusi

15. Modifiche all'Informativa

Il Titolare si riserva il diritto di modificare questa informativa in qualsiasi momento. Le modifiche saranno comunicate tramite pubblicazione su questa pagina con aggiornamento della data di “ultimo aggiornamento”.

L'uso continuato del servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.

16. Legge Applicabile e Foro Competente

La presente informativa è regolata dalla legge italiana e dal Regolamento (UE) 2016/679 (GDPR). Per qualsiasi controversia è competente il Foro di Napoli.

17. Diritti Aggiuntivi per Utenti Extra-UE

Oltre ai diritti previsti dal GDPR, gli utenti residenti in determinate giurisdizioni possono godere di diritti aggiuntivi in base alla normativa locale applicabile.

17.1 CCPA/CPRA (California, USA)

Gli utenti residenti in California godono dei seguenti diritti ai sensi del California Consumer Privacy Act (CCPA) e del California Privacy Rights Act (CPRA):

  • Diritto di conoscere: quali dati personali raccogliamo, le finalità del trattamento e le categorie di terze parti con cui li condividiamo.
  • Diritto alla cancellazione: richiedere la cancellazione dei propri dati personali, con le eccezioni previste dalla legge.
  • Diritto di opt-out dalla vendita: Memoniq non vende dati personali degli utenti a terze parti, né li condivide a fini pubblicitari.
  • Non discriminazione: l'esercizio dei diritti privacy non comporta alcuna discriminazione nell'erogazione del servizio.

Per esercitare questi diritti: infomemoniq@gmail.com

17.2 LGPD (Brasile)

Gli utenti residenti in Brasile godono dei diritti previsti dall'Art. 18 della Lei Geral de Proteção de Dados (LGPD), che rispecchiano sostanzialmente i diritti GDPR (accesso, rettifica, cancellazione, portabilità, opposizione, revoca del consenso). Il contatto per l'esercizio dei diritti è lo stesso indicato nella Sezione 1.

17.3 PIPEDA (Canada)

Gli utenti residenti in Canada godono dei seguenti diritti ai sensi del Personal Information Protection and Electronic Documents Act (PIPEDA):

  • Consenso: il trattamento dei dati avviene sulla base del consenso dell'utente, ottenuto al momento della registrazione e dell'utilizzo del servizio.
  • Diritto di accesso: l'utente può richiedere l'accesso ai propri dati personali in nostro possesso.
  • Diritto di rettifica: l'utente può richiedere la correzione di dati personali inesatti o incompleti.

17.4 DPDPA (India)

Gli utenti residenti in India godono dei seguenti diritti ai sensi del Digital Personal Data Protection Act (DPDPA):

  • Diritto di accesso: ottenere un riepilogo dei propri dati personali e delle attività di trattamento.
  • Diritto di rettifica: richiedere la correzione di dati personali inesatti o incompleti.
  • Diritto alla cancellazione: richiedere la cancellazione dei propri dati personali quando non più necessari per la finalità originaria.
  • Grievance redressal: l'utente può presentare reclamo al Titolare del trattamento all'indirizzo email indicato nella Sezione 1.

18. EU Data Act (Reg. UE 2023/2854)

In conformità al Regolamento (UE) 2023/2854 (Data Act), Memoniq garantisce i seguenti diritti relativi ai dati generati dall'utente:

  • Portabilità dei dati generati: l'utente ha diritto di accedere e esportare tutti i dati generati durante l'utilizzo del servizio, inclusi riassunti, flashcard, quiz, mappe mentali, podcast e chat.
  • Formato leggibile dalla macchina: i dati sono esportabili in formato JSON strutturato, oltre che in PDF, DOCX e PPTX.
  • Assenza di lock-in: i dati dell'utente sono sempre disponibili su richiesta tramite le impostazioni dell'account. Non vengono applicati ostacoli tecnici, contrattuali o economici al trasferimento dei dati.

19. Cybersecurity (Direttiva NIS2 — 2022/2555)

In linea con i principi della Direttiva (UE) 2022/2555 (NIS2), Memoniq adotta le seguenti pratiche di cybersecurity:

  • Notifica incidenti di sicurezza: in caso di incidente che comprometta i dati personali, il Titolare notificherà l'autorità competente entro 72 ore e informerà senza ritardo gli utenti impattati, specificando la natura della violazione, i dati coinvolti e le misure adottate.
  • Procedura di risposta agli incidenti: è attiva una procedura interna di incident response per la rilevazione, il contenimento e la risoluzione tempestiva degli incidenti di sicurezza.
  • Valutazioni di sicurezza periodiche: vengono effettuate valutazioni di sicurezza regolari per identificare e mitigare potenziali vulnerabilità dell'infrastruttura e dell'applicazione.

20. Accessibilità (European Accessibility Act — EAA)

In conformità alla Direttiva (UE) 2019/882 (European Accessibility Act), Memoniq si impegna a garantire l'accessibilità del servizio:

  • Standard WCAG 2.1 AA: il servizio è progettato per conformarsi alle linee guida WCAG 2.1 livello AA, con particolare attenzione a contrasto cromatico, navigazione da tastiera e compatibilità con tecnologie assistive.
  • Miglioramento continuo: l'accessibilità viene costantemente monitorata e migliorata con ogni aggiornamento del servizio.
  • Segnalazioni: per segnalare problemi di accessibilità o richiedere formati alternativi, contattare: infomemoniq@gmail.com
Termini di ServizioTorna alla DashboardHome