myeliv memorizza solo i dati che tu stesso/a inserisci o che autorizzi espressamente. Non vendiamo dati e non pubblichiamo pubblicità. Trasmettiamo dati personali solo nella misura necessaria per fornire l'app, per elaborare i pagamenti, per la sicurezza informatica o per gestire le tue richieste. I destinatari sono in particolare fornitori di hosting, di banche dati, di pagamento, di e-mail e di IA. Nella misura in cui agiscono su nostre istruzioni, sono vincolati contrattualmente come responsabili del trattamento; nella misura in cui singoli fornitori perseguono finalità proprie o sono legalmente responsabili in modo indipendente, lo indichiamo separatamente nelle sezioni 6 e 7.
Tutti i dati personali vengono trattati e memorizzati su server europei in Francia (conformi al GDPR). Eccezione: i dati di pagamento vengono trattati direttamente da Stripe (Irlanda/USA) — myeliv non memorizza i dettagli di pagamento completi.
Marco Ziglioli, che opera con la denominazione «myeliv»
Via San Gottardo 180
CH-6648 Minusio
Svizzera
📧 Protezione dei dati: datenschutz@myeliv.app
📧 Generale: marco@myeliv.app
🌐 myeliv.app
Attualmente non è nominato/a alcun/a responsabile della protezione dei dati, in quanto secondo la nostra valutazione attuale non sussiste un obbligo legale di designazione. Qualora ciò dovesse cambiare o un/a responsabile venisse nominato/a volontariamente, pubblicheremo i suoi recapiti qui senza indugio.
myeliv ha sede in Svizzera. Poiché la nostra offerta, in lingua tedesca e — dopo la pubblicazione delle traduzioni — anche in francese e italiano, può essere rivolta a persone con domicilio nell'UE o nello SEE, trattiamo dati personali nell'ambito di applicazione del GDPR. Per questo motivo abbiamo designato, ai sensi dell'art. 27 GDPR, un rappresentante nell'Unione europea:
📌 Nota: il rappresentante UE sarà designato nei prossimi giorni. Fino alla pubblicazione dei suoi recapiti, il titolare sopra indicato resta direttamente contattabile per tutte le questioni di protezione dei dati.
[Nome del rappresentante UE, ad es. EDPO Ireland Ltd.]
[Via e numero civico]
[Codice postale e località]
[Stato membro dell'UE]
E-mail: [rappresentante-mail@fornitore.eu]
Per tutte le questioni di protezione dei dati — in particolare per l'esercizio dei tuoi diritti ai sensi degli artt. 15-22 GDPR — puoi rivolgerti a tua scelta al rappresentante sopra indicato o direttamente a noi.
La seguente tabella mostra per ciascuna attività di trattamento: categoria di dati, finalità, base giuridica, fonte, destinatari e durata di conservazione.
| Categoria di dati | Finalità | Base giuridica | Destinatari | Conservazione |
|---|---|---|---|---|
| Indirizzo e-mail (obbligatorio) | Accesso tramite OTP, senza password | Art. 6 par. 1 lett. b GDPR | Supabase (Parigi, eu-west-3); Resend (Parigi / AWS eu-west-1 Irlanda) | Fino alla cancellazione del conto; Resend max. 30 giorni bounce-tracking |
| Invio e-mail (OTP, rapporti, servizio) | E-mail di sistema | Art. 6 par. 1 lett. b GDPR | Resend (Parigi / AWS Irlanda) | 30 giorni bounce-tracking |
| Nome, anno di nascita (facoltativo) | Comunicazione personale, stima dell'età | Art. 6 par. 1 lett. b GDPR | Supabase (Parigi) | Fino alla cancellazione del conto |
| Check-in quotidiani (funzione principale) | Visualizzazione delle tue immissioni, panoramica degli andamenti, preparazione di appuntamenti medici | Art. 6 par. 1 lett. b + art. 9 par. 2 lett. a GDPR | Supabase (Parigi) | Fino alla cancellazione del conto |
| Voci di diario (facoltativo) | Note personali — visibili solo a te | Art. 6 + art. 9 par. 2 lett. a GDPR | Supabase (Parigi) | Fino alla cancellazione del conto |
| Medicamenti (facoltativo) | Lista locale | Art. 9 par. 2 lett. a GDPR — solo locale | Solo il tuo dispositivo (LocalStorage) | Finché non li cancelli |
| Dati di dispositivi indossabili (facoltativo) | Panoramica dell'andamento estesa, confronto con le tue autovalutazioni | Art. 6 + art. 9 par. 2 lett. a GDPR | Supabase (Parigi) | Fino alla cancellazione / disconnessione |
| Documenti scansionati (facoltativo, su richiesta) | Sintesi IA | Art. 9 par. 2 lett. a GDPR | Mistral AI (Parigi) — temporaneo | Max. 30 giorni monitoraggio abusi; ZDR richiesto (poi cancellazione immediata) |
| Dati meteo (automatico, anonimo) | Sensibilità climatica | Art. 6 par. 1 lett. b GDPR | API Open-Meteo (UE) | Non memorizzati da myeliv |
| Dati di pagamento (obbligatorio per Premium) | Gestione abbonamento — myeliv non memorizza dettagli completi | Art. 6 par. 1 lett. b GDPR | Stripe Inc. / Stripe Payments Europe | Obblighi legali (CH: 10 anni) |
| Log tecnici (automatico) | Risoluzione di errori, sicurezza | Art. 6 par. 1 lett. f GDPR | Supabase / Vercel (UE) | Max. 30 giorni |
| Giustificativi di fatturazione (obbligatorio) | Contabilità | Art. 6 par. 1 lett. c GDPR | Stripe, contabilità | 10 anni (CO art. 958f) |
Dati obbligatori vs. facoltativi (art. 13 par. 2 lett. e GDPR): La fornitura del tuo indirizzo e-mail è obbligatoria per la creazione del conto; senza di esso non possiamo fornire alcun accesso. I dati sanitari nei check-in, nel diario, nei caricamenti IA e nella sincronizzazione con dispositivi indossabili sono facoltativi — senza di essi le rispettive funzioni non sono disponibili interamente o parzialmente; il tuo conto rimane comunque integro.
Consenso ai dati sanitari (art. 9 par. 2 lett. a GDPR): Nella misura in cui inserisci dati sanitari o attivi funzioni con riferimento alla salute (check-in, diario, scansione documenti, collegamento con dispositivi indossabili), il trattamento avviene sulla base del tuo consenso espresso. Lo presti utilizzando consapevolmente la rispettiva funzione, nel caso della scansione documenti inoltre tramite una conferma esplicita. Puoi revocare il tuo consenso in qualsiasi momento con effetto per il futuro — con la stessa semplicità con cui lo hai prestato: disattivando la funzione nelle impostazioni dell'app o cancellando completamente il tuo conto. La revoca non pregiudica la liceità del trattamento effettuato fino a quel momento.
Se utilizzi la funzione «Scansiona documento», l'immagine o il PDF viene trasmesso per l'analisi a Mistral AI (Francia 🇫🇷).
myeliv utilizza l'API Mistral con sede e ubicazione del server a Parigi (FR). Sulla tariffa utilizzata, i tuoi contenuti non vengono utilizzati per l'addestramento di modelli di IA. Mistral AI conserva input e output secondo le proprie condizioni d'uso per un massimo di 30 giorni esclusivamente a scopo di monitoraggio degli abusi; successivamente vengono cancellati automaticamente. Per il trattamento dei tuoi dati sanitari abbiamo richiesto a Mistral l'attivazione di Zero Data Retention (ZDR); non appena ZDR è attivo, i tuoi input e output vengono cancellati immediatamente dopo la creazione della sintesi e non vengono memorizzati per il monitoraggio degli abusi. Puoi richiedere lo stato attuale in qualsiasi momento a datenschutz@myeliv.app.
Prima di ogni trasmissione ti viene richiesto espressamente il consenso (art. 9 GDPR — categorie particolari di dati sanitari). Puoi revocare questo consenso in qualsiasi momento non utilizzando la funzione o cancellando il tuo conto.
⚠️ Avviso: Le sintesi IA possono contenere errori. Verifica i contenuti importanti sulla base del documento originale e con personale medico specializzato.
Se colleghi un dispositivo indossabile, myeliv riceve dati non direttamente da te, bensì dal rispettivo fornitore della piattaforma. All'attivazione vieni informato/a sulle categorie di dati trasmessi e devi dare il consenso esplicito.
| Fornitore | Fonte dati | Stato | Protezione dei dati |
|---|---|---|---|
| Apple Health (via Shortcuts) | Passi, sonno, frequenza cardiaca | Disponibile | apple.com/privacy |
| Garmin Connect | Passi, frequenza cardiaca | In preparazione | garmin.com/privacy |
| Fitbit | Passi, frequenza cardiaca | Pianificato | fitbit.com/privacy |
I dati recuperati dai dispositivi indossabili vengono memorizzati sui server Supabase a Parigi solo con il tuo consenso esplicito. Puoi interrompere la connessione in qualsiasi momento nelle impostazioni dell'app e cancellare i dati trasmessi.
La seguente tabella mostra per ciascun fornitore se e su quale base avviene una trasmissione verso paesi al di fuori dello SEE. Nella misura in cui i fornitori trattano o accedono a dati personali in paesi senza un livello di protezione dei dati riconosciuto adeguato, basiamo la trasmissione sulle garanzie pertinenti — in particolare le clausole contrattuali tipo ai sensi dell'art. 46 GDPR, l'EU-US Data Privacy Framework o lo Swiss-US Data Privacy Framework. Copie delle clausole contrattuali tipo sono disponibili su richiesta a datenschutz@myeliv.app.
| Fornitore | Sede principale | Riferimento a paesi terzi | Base di trasmissione | Ruolo |
|---|---|---|---|---|
| Supabase | Parigi (eu-west-3, UE) | Nessuno | Nessun trasferimento — server UE | Responsabile del trattamento (DPA concluso) |
| Vercel | Regione UE | Nodi CDN globali possibili; nessuna archiviazione dati fuori UE | CCT secondo Vercel DPA | Responsabile del trattamento (DPA concluso) |
| Mistral AI | Parigi (UE) | Nessuno | Nessun trasferimento — server UE | Responsabile del trattamento (DPA concluso) |
| Resend | Parigi 🇫🇷 / AWS eu-west-1 (Irlanda 🇮🇪) | Resend, Inc. è società statunitense (Delaware); accesso dagli USA nell'ambito del supporto e della gestione della piattaforma non escluso | CCT UE (modulo titolare–responsabile) ai sensi del DPA Resend; in via integrativa EU-US Data Privacy Framework, nella misura applicabile | Responsabile del trattamento (DPA concluso) |
| Stripe | Irlanda / USA | Trasferimento US possibile | CCT tra Stripe Europe e Stripe Inc. | Responsabile del trattamento per l'elaborazione dei pagamenti in senso stretto (DPA concluso); titolare autonomo del trattamento per gli obblighi in materia antiriciclaggio, di vigilanza finanziaria e per la propria prevenzione delle frodi |
| Open-Meteo | UE | Nessuno | Nessun trasferimento — API anonima | Fornitore indipendente |
myeliv ha sede in Svizzera. Gli accessi a dati personali di utenti UE dalla Svizzera si basano sulla decisione di adeguatezza della Commissione europea per la Svizzera (ai sensi dell'art. 45 GDPR). La Svizzera è quindi considerata paese terzo sicuro.
| Fornitore | Finalità | Luogo di memorizzazione | Protezione dei dati |
|---|---|---|---|
| Supabase | Banca dati, autenticazione, Edge Functions | Parigi (eu-west-3) | supabase.com/privacy |
| Vercel | Hosting, CDN (regione UE) — per accessi fuori UE/CH si applicano le CCT secondo Vercel DPA | Regione UE (Edges globali) | vercel.com/privacy |
| Mistral AI | Sintesi IA di documenti (solo su richiesta) | Parigi 🇫🇷 | mistral.ai/privacy |
| Resend | Invio e-mail (OTP, rapporti, servizio) | Parigi / AWS Irlanda | resend.com/legal/privacy-policy |
| Stripe | Elaborazione pagamenti (solo Premium) | Irlanda / USA | stripe.com/privacy |
| Open-Meteo | Dati meteo (richiesta API anonima, senza conto) | UE | open-meteo.com |
myeliv crea, a partire dalle tue immissioni e — se attivato — da fonti di dati collegate, panoramiche degli andamenti personalizzate, visualizzazioni di tendenze e visualizzazioni di correlazioni. Tali analisi servono esclusivamente al tuo orientamento personale e non costituiscono una previsione medica. Dal punto di vista della protezione dei dati si tratta di una profilazione ai sensi dell'art. 4 n. 4 GDPR, poiché aspetti personali (energia, fatigue, sonno, sensibilità climatica) vengono valutati automaticamente.
Non avviene alcuna decisione esclusivamente automatizzata che produca effetti giuridici o incida in modo analogo in misura significativa ai sensi dell'art. 22 GDPR. Tutte le tendenze, le visualizzazioni e le sintesi IA generate automaticamente servono esclusivamente alla tua informazione personale e alla preparazione di appuntamenti medici. Mantieni il pieno controllo su tutte le analisi visualizzate; esse non sostituiscono alcuna diagnosi o decisione medica.
Qualora ciò dovesse cambiare per funzioni future, ti informeremo preventivamente in modo separato sulla logica, la portata, le possibili conseguenze e il tuo diritto a un riesame umano.
| Categoria di dati | Durata di conservazione | Motivo |
|---|---|---|
| Dati dell'app (check-in, diario, profilo) | Fino alla cancellazione del conto, poi immediatamente | Esecuzione del contratto |
| Copie di backup (Supabase Backups) | Max. 7 giorni, poi sovrascritte automaticamente | Sicurezza operativa dei dati |
| Log tecnici / log di sicurezza | Max. 30 giorni; in caso di incidente di sicurezza fino al chiarimento | Interesse legittimo (sicurezza) |
| Giustificativi di fatturazione / documenti contabili | 10 anni (obbligo legale di conservazione, CO art. 958f) | Obbligo legale — questi documenti contengono dati personali (nome, importo, data) e non sono anonimizzati |
| Documenti IA (scansioni) | Nessuna memorizzazione duratura da parte di myeliv. Mistral conserva input/output max. 30 giorni per il monitoraggio degli abusi; poi cancellazione automatica. ZDR richiesto. | Consenso, limitato a finalità di analisi |
Puoi cancellare il tuo conto e tutti i dati associati in qualsiasi momento nelle impostazioni dell'app. La cancellazione è irrevocabile, salvo che vi si oppongano obblighi legali di conservazione.
Hai in qualsiasi momento il diritto di:
📋 Accesso — quali dati abbiamo memorizzato su di te
✏️ Rettifica — correzione di dati errati
🗑 Cancellazione — cancellazione completa del tuo conto e di tutti i dati (direttamente nell'app sotto Impostazioni)
📦 Portabilità dei dati — esportazione dei tuoi dati in formato strutturato (su richiesta)
🚫 Opposizione — contro determinati trattamenti, in particolare in caso di interesse legittimo
↩️ Revoca del consenso — in qualsiasi momento per trattamenti futuri (in particolare analisi IA, sincronizzazione con dispositivi indossabili); la revoca non pregiudica la liceità del trattamento effettuato fino a quel momento
⏸ Limitazione — del trattamento in determinate situazioni
Indirizza le tue richieste a: datenschutz@myeliv.app — rispondiamo entro 30 giorni. In caso di richieste complesse o numerose, questo termine può essere prorogato fino a 60 giorni; te ne informeremo.
Hai inoltre il diritto di presentare reclamo presso un'autorità di controllo per la protezione dei dati:
🇨🇭 Svizzera: IFPDT — Incaricato federale della protezione dei dati e della trasparenza (edoeb.admin.ch)
🇪🇺 UE: autorità di protezione dei dati competente del tuo luogo di residenza abituale
myeliv non utilizza alcun cookie di tracciamento, alcun cookie pubblicitario e alcun servizio di analisi di fornitori terzi.
L'app utilizza esclusivamente accessi al dispositivo tecnicamente necessari ai sensi dell'art. 45c LTC (Legge svizzera sulle telecomunicazioni) risp. del § 25 par. 2 TTDSG per gli utenti UE, per i quali non è richiesto un consenso separato:
Questi accessi sono tecnicamente necessari per il servizio da te richiesto. Non lasciano il tuo dispositivo, ad eccezione del token di sessione per l'autenticazione presso Supabase.
Le tecnologie di memorizzazione non tecnicamente necessarie — in particolare per analisi, misurazione della portata o marketing — vengono utilizzate solo previo tuo consenso esplicito. Qualora in futuro venissero aggiunte tali tecnologie, sarai informato/a preventivamente e potrai modificare o revocare la tua scelta in qualsiasi momento nelle impostazioni dell'app sotto «Protezione dei dati» o via e-mail a datenschutz@myeliv.app.
Se attivi nell'app il backup cloud della tua tessera d'emergenza, il contenuto della tessera (nome, tipo di SM, anno di diagnosi, farmaci, allergie, contatto di emergenza, ecc.) viene crittografato sul tuo dispositivo prima di essere trasmesso al nostro server.
Principio Zero-Knowledge: myeliv e Marco Ziglioli non hanno alcun accesso tecnico al contenuto in chiaro della tua tessera d'emergenza. La chiave di crittografia viene derivata da una passphrase scelta da te (PBKDF2-SHA256, 100'000 iterazioni) e non viene mai trasmessa al server né memorizzata lì. La crittografia avviene con AES-GCM-256 (crittografia autenticata); per ogni salvataggio vengono generati salt e IV casuali.
Cosa si trova sul server: esclusivamente il blocco di dati crittografato (tabella emergency_card su Supabase, Parigi 🇫🇷, UE), insieme al relativo salt, all'IV e ai metadati sulla versione dell'algoritmo e l'hash dell'ultimo dispositivo di sincronizzazione (nessun dato personale).
Base giuridica: il tuo consenso esplicito (art. 6 par. 1 lett. a, art. 9 par. 2 lett. a GDPR e art. 6 cpv. 6 lett. b LPD per le categorie particolari di dati personali). Il consenso viene documentato con un timestamp nel profilo (emergency_card_sync_enabled_at).
Importante — perdita della passphrase: poiché nessuno tranne te conosce la passphrase, nemmeno noi possiamo decifrare il backup. Se dimentichi la passphrase, i dati sono persi per sempre — myeliv non può ripristinarla o recuperarli. Raccomandiamo di salvare la passphrase in un gestore di password e di conservare in parallelo una tessera d'emergenza stampata (es. nel portafoglio).
Revoca e cancellazione: puoi disattivare il backup cloud in qualsiasi momento nelle impostazioni dell'app — il blocco di dati crittografato viene quindi eliminato dalla banca dati. La copia locale sul tuo dispositivo rimane. Alla cancellazione dell'account, il blocco di dati viene rimosso automaticamente (cancellazione a cascata).
Nota: il backup cloud è una funzionalità Premium. Gli utenti Free possono continuare a utilizzare la tessera d'emergenza localmente sul dispositivo — senza memorizzazione cloud.
Tutte le trasmissioni di dati sono crittografate con TLS/HTTPS. Le password non vengono memorizzate — l'accesso avviene esclusivamente tramite OTP.
L'accesso alla banca dati è protetto tramite Row Level Security (RLS): ogni utente può leggere e scrivere esclusivamente i propri dati. Limitiamo gli accessi secondo il principio del need-to-know e applichiamo controlli di accesso basati sui ruoli nonché ulteriori misure tecniche e organizzative. Tuttavia nessun sistema può garantire una sicurezza assoluta.
Per i dati sanitari è stata effettuata una valutazione d'impatto sulla protezione dei dati interna (VIPD, art. 35 GDPR), in quanto i dati sanitari costituiscono categorie particolari di dati personali. La documentazione della VIPD viene fornita su richiesta alle autorità di controllo per la protezione dei dati.
myeliv si rivolge a persone a partire dai 16 anni. Le persone di età inferiore ai 16 anni non possono utilizzare l'app. Qualora venissimo a conoscenza che un conto è utilizzato da una persona minorenne di età inferiore ai 16 anni, lo cancelleremo senza indugio.
Ci riserviamo il diritto di adeguare questa informativa sulla privacy in caso di modifiche tecniche, nuove funzioni o requisiti legali modificati. La versione attualmente in vigore è disponibile a myeliv.app/privacy.html. In caso di modifiche sostanziali, ti informeremo via e-mail o tramite una notifica nell'app.
Marco Ziglioli · datenschutz@myeliv.app
Versione: giugno 2026 · Versione 1.7
Fa fede la versione tedesca di questo documento. In caso di discrepanze tra le versioni linguistiche, prevale la versione tedesca.