Privacy Policy di Leileat

Ultimo aggiornamento: 23 aprile 2026 · Versione 2.1

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR) e, per gli utenti residenti in Svizzera, della Legge federale sulla protezione dei dati (LPD) è:

• Laurent Drenica – Leileat (persona fisica) — applicazione mobile di tracciamento nutrizionale
• Indirizzo: sagefeldweg 47E, 2504 Biel/Bienne, Svizzera
• Telefono: +41 79 801 64 56
• Email generale: hello@leileat.com
• Email privacy (punto di contatto privacy): privacy@leileat.com
• Sito web: leileat.com

Per esercitare i tuoi diritti, richiedere chiarimenti o presentare reclami è possibile scrivere a privacy@leileat.com.

2. Categorie di dati trattati

Nell'ambito dell'erogazione del Servizio raccogliamo e trattiamo le seguenti categorie di dati personali:

2.1 Dati identificativi e di contatto

• Nome e cognome (facoltativo, modificabile)
• Indirizzo email
• Metodo di autenticazione (email/password, Sign in with Apple, Google Sign-In)
• Identificatore univoco utente (UID) generato da Firebase Authentication

2.2 Dati del profilo

• Età / data di nascita
• Genere
• Peso e altezza
• Livello di attività fisica
• Obiettivi (perdita peso, mantenimento, aumento massa muscolare, ecc.)
• Allergie, intolleranze e preferenze alimentari

2.3 Dati relativi alla salute (art. 9 GDPR) — consenso esplicito

2.4 Contenuti generati dall'utente

• Pasti registrati (descrizione, valori nutrizionali, orario, porzioni)
• Consumo di acqua
• Foto degli alimenti scattate o caricate dall'app
• Note personali (se previste)

2.5 Dati tecnici e di utilizzo

• Tipo, modello e sistema operativo del dispositivo
• Versione dell'app
• Identificatore di installazione Firebase (FID)
• Identificatore pubblicitario (IDFA / GAID) — trattato solo se presti consenso al tracciamento tramite prompt di Apple App Tracking Transparency
• Lingua e fuso orario
• Log di diagnostica ed errori (Firebase Crashlytics, se attivo)
• Indirizzo IP troncato (raccolto dai servizi di hosting Google)

2.6 Dati relativi ad acquisti

• Stato dell'abbonamento (Free / Premium)
• Tipo di piano sottoscritto, data di rinnovo
• Identificatore transazione Apple App Store o Google Play

Leileat non tratta direttamente dati di pagamento: questi sono gestiti esclusivamente da Apple e Google secondo le rispettive privacy policy.

3. Finalità del trattamento e basi giuridiche

Finalità	Categorie dati	Base giuridica
Erogazione del servizio (registrazione, login, tracciamento nutrizionale)	2.1, 2.4	Esecuzione contrattuale — art. 6.1.b GDPR
Personalizzazione raccomandazioni nutrizionali e calcoli salutari	2.2, 2.3	Consenso esplicito — art. 9.2.a GDPR
Analisi AI delle foto di alimenti	2.4 (foto)	Esecuzione contrattuale + Consenso — artt. 6.1.b e 9.2.a GDPR
Gestione abbonamenti Premium	2.1, 2.6	Esecuzione contrattuale — art. 6.1.b GDPR
Sicurezza e prevenzione frodi	2.5	Legittimo interesse — art. 6.1.f GDPR
Diagnostica errori e miglioramento del prodotto (aggregato)	2.5	Legittimo interesse — art. 6.1.f GDPR
Pubblicità non personalizzate (versione gratuita)	2.5 (limitato)	Legittimo interesse — art. 6.1.f GDPR
Pubblicità personalizzate (se presti consenso)	2.5	Consenso — art. 6.1.a GDPR
Adempimenti legali e fiscali	2.1, 2.6	Obbligo legale — art. 6.1.c GDPR

4. Servizi di terze parti (responsabili del trattamento)

Per fornire il Servizio ci avvaliamo dei seguenti fornitori, nominati responsabili del trattamento ex art. 28 GDPR:

4.1 Firebase — Google Ireland Limited / Google LLC

Utilizziamo i seguenti moduli di Firebase:

• Firebase Authentication — gestione login (email, Google, Apple)
• Firebase Cloud Firestore — memorizzazione dati profilo, pasti, acqua, obiettivi
• Firebase Cloud Storage (se attivo) — archiviazione foto
• Firebase Cloud Messaging (se attivo) — invio notifiche push
• Firebase Crashlytics (se attivo) — report di crash anonimi
• Firebase Analytics (se attivo) — statistiche aggregate di utilizzo

Dati trattati: identificativi account, contenuti utente, dati tecnici. Server principali: Unione Europea, con possibili trasferimenti verso Stati Uniti.

Privacy policy: policies.google.com/privacy

4.2 OpenAI — OpenAI Ireland Ltd / OpenAI OpCo LLC

Utilizziamo le API di OpenAI (modello AI multimodale: visione + linguaggio) per il riconoscimento degli alimenti dalle foto e per la generazione di piani pasti.

Dati trattati: foto degli alimenti, testo delle query. OpenAI dichiara di non utilizzare i dati delle API per addestrare i modelli e di conservarli per un massimo di 30 giorni a scopi di abuse monitoring.

Privacy policy: openai.com/policies/privacy-policy

Trasferimenti extra-UE: Stati Uniti, sulla base di Standard Contractual Clauses (SCC) della Commissione Europea.

4.3 RevenueCat — RevenueCat, Inc.

Gestione degli abbonamenti in-app e sincronizzazione cross-device dello stato premium. Non tratta dati di pagamento.

Dati trattati: ID utente pseudonimo, stato abbonamento, store di acquisto.

Privacy policy: revenuecat.com/privacy

4.4 Google AdMob — Google LLC (solo versione gratuita)

Sistema pubblicitario integrato nella versione gratuita. Formati utilizzati:

• Banner statico nelle schermate principali (Home, Diario, Statistiche, Profilo).
• App Open Ad (interstitial al lancio o al ritorno in foreground), con cooldown minimo di 4 ore.
• Rewarded Ad (video opzionale per ottenere benefici come una scansione AI extra). Cap di 3 video/giorno con cooldown di 5 minuti tra una visione e la successiva.

Di default vengono mostrate pubblicità non personalizzate (non basate su profilazione). Solo se l'utente presta un consenso specifico tramite il banner di consenso (Google User Messaging Platform) e il prompt di App Tracking Transparency di Apple, verranno mostrate pubblicità personalizzate basate su un identificatore pubblicitario.

I dati nutrizionali e di salute inseriti nell'App non vengono mai trasmessi a Google né utilizzati per la profilazione pubblicitaria. Gli utenti del piano Premium non vedono alcuna pubblicità.

Domini di rete utilizzati da AdMob/Google Ads: googleads.g.doubleclick.net, pagead2.googlesyndication.com, googleadservices.com, doubleclick.net.

Privacy policy: policies.google.com/technologies/partner-sites

4.5 Apple Sign-In — Apple Inc.

Metodo di autenticazione opzionale. Apple può comunicarci il tuo nome e un email "privato" di inoltro (@privaterelay.appleid.com) se scegli di mascherarlo.

Privacy policy: apple.com/legal/privacy

4.6 Google Sign-In / OAuth — Google LLC

Metodo di autenticazione opzionale.

Privacy policy: policies.google.com/privacy

4.7 Apple App Store e Google Play Store

Gli acquisti in-app avvengono esclusivamente attraverso le piattaforme Apple e Google, soggette alle loro rispettive privacy policy.

4.8 USDA FoodData Central — U.S. Department of Agriculture

Database pubblico di informazioni nutrizionali. Vengono inviate solo query testuali di ricerca (es. "mela"). Non vengono condivisi dati personali.

4.9 Open Food Facts — Open Food Facts France

Database collaborativo di prodotti alimentari, utilizzato per il lookup tramite codice a barre. Non vengono condivisi dati personali.

Privacy policy: world.openfoodfacts.org/privacy

5. Trasferimenti di dati fuori dall'Unione Europea

Trasferimento UE → Svizzera (sede del Titolare): la Svizzera è riconosciuta dalla Commissione Europea come Paese terzo con livello di protezione adeguato (Decisione di adeguatezza 2000/518/CE, rinnovata 2024). Il trasferimento dei dati personali dall'UE alla Svizzera è quindi lecito ai sensi dell'art. 45 GDPR senza necessità di clausole contrattuali aggiuntive. Per gli utenti residenti in Svizzera, si applica direttamente la Legge federale sulla protezione dei dati (LPD/FADP, in vigore dal 1° settembre 2023) — vedi pagina dedicata /gdpr.

Trasferimento UE/CH → Stati Uniti: alcuni fornitori (OpenAI, Google, RevenueCat, Apple) hanno sede o infrastrutture negli Stati Uniti. Tali trasferimenti avvengono sulla base di:

• Data Privacy Framework UE-USA e Swiss-US Data Privacy Framework (per i fornitori certificati), oppure
• Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (decisione 2021/914), integrate da misure tecniche supplementari quali crittografia in transito (TLS 1.2+) e a riposo.

6. Conservazione dei dati

Categoria	Periodo di conservazione
Dati account e profilo	Per tutta la durata dell'account; cancellati entro 30 giorni dalla richiesta di eliminazione
Dati nutrizionali storici	Per tutta la durata dell'account
Foto inviate all'AI	Non conservate sui nostri server dopo l'elaborazione; OpenAI le conserva fino a 30 giorni per abuse monitoring
Log tecnici e di diagnostica	Massimo 90 giorni
Dati fiscali relativi agli acquisti	10 anni (art. 958f CO — Codice delle obbligazioni svizzero)
Backup cifrati	Fino a 30 giorni dopo la cancellazione del dato originale

7. I tuoi diritti

Ai sensi degli articoli 15–22 GDPR hai diritto di:

• Accesso (art. 15) — richiedere copia dei tuoi dati
• Rettifica (art. 16) — correggere dati inesatti o incompleti
• Cancellazione / "diritto all'oblio" (art. 17) — disponibile anche in-app nella sezione Profilo
• Limitazione del trattamento (art. 18)
• Portabilità (art. 20) — ricevere i tuoi dati in formato strutturato, comunemente usato e leggibile da macchina (JSON)
• Opposizione (art. 21), in particolare al trattamento basato sul legittimo interesse
• Revoca del consenso (art. 7.3) in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
• Reclamo al Garante per la protezione dei dati personali (garanteprivacy.it) o alla competente autorità del tuo Paese UE

Per esercitare questi diritti scrivi a privacy@leileat.com. Risponderemo entro 30 giorni, prorogabili di altri 60 in casi complessi.

8. Sicurezza dei dati

• Comunicazioni cifrate con HTTPS/TLS 1.2+
• Regole di sicurezza Firestore che limitano l'accesso ai soli dati dell'utente autenticato
• Chiavi API non incluse nel codice sorgente, gestite via file di ambiente
• Autenticazione sicura con nonce crittografici per Sign in with Apple
• Principio del minimo privilegio sull'accesso backend
• Backup cifrati

9. Minori

Il Servizio non è destinato a persone di età inferiore a 16 anni (ex art. 8 GDPR). Non raccogliamo consapevolmente dati personali di minori.

Se sei genitore o tutore e ritieni che il minore sotto la tua responsabilità ci abbia fornito dati, contattaci a privacy@leileat.com: provvederemo a cancellare immediatamente i dati.

10. Decisioni automatizzate e profilazione

Le raccomandazioni nutrizionali e i piani pasto generati dall'app si basano su algoritmi alimentati da AI (modello AI multimodale del nostro provider). Tali elaborazioni producono stime a scopo informativo e non costituiscono diagnosi, trattamento medico o prescrizione dietetica. L'utente mantiene sempre il controllo delle decisioni alimentari e può opporsi a decisioni automatizzate ex art. 22 GDPR.

11. Cookie e tecnologie simili

L'app mobile non utilizza cookie HTTP nel senso tradizionale del web. Vengono utilizzati SDK che possono impiegare identificatori tecnici di installazione (Firebase Installation ID) e, previo consenso, identificatori pubblicitari (IDFA/GAID).

Per maggiori dettagli consulta la Cookie Policy.

12. Modifiche alla presente informativa

Potremmo aggiornare questa Privacy Policy per riflettere cambiamenti normativi, operativi o di servizio. Le modifiche saranno pubblicate su questa pagina con la data di ultimo aggiornamento. Per modifiche sostanziali ti informeremo tramite notifica in-app o email.

13. Contatti

• Titolare: Laurent Drenica – Leileat, sagefeldweg 47E, 2504 Biel/Bienne, Svizzera
• Telefono: +41 79 801 64 56
• Email privacy: privacy@leileat.com
• Email generale: hello@leileat.com
• Sito: leileat.com