Informativa sulla protezione dei dati
Data di entrata in vigore: 10.05.2026
La presente informativa sulla protezione dei dati descrive le modalità con cui Alpgain raccoglie, tratta, comunica e protegge i dati personali degli utenti della propria applicazione web e mobile. La struttura segue la dichiarazione modello di privatim (Conferenza svizzera degli incaricati cantonali della protezione dei dati) e le checklist dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Si applica sia ai residenti in Svizzera (Legge federale sulla protezione dei dati — nLPD riveduta) sia ai residenti nello Spazio economico europeo (Regolamento generale sulla protezione dei dati — RGPD).
1. Oggetto dell'informativa
La presente informativa informa le persone interessate (utenti, potenziali clienti, persone in contatto con Alpgain) sulla natura e sull'estensione dei trattamenti di dati personali effettuati nell'ambito dell'esercizio dell'applicazione Alpgain. Copre l'applicazione web (staging.alpgain.ch, app.alpgain.ch), l'applicazione mobile (iOS / Android tramite Capacitor), le Edge Function operate sull'infrastruttura Supabase, nonché qualsiasi comunicazione via e-mail collegata al servizio.
Non copre i siti di terzi a cui Alpgain può rinviare (ad esempio il sito dell'IFPDT, il sito privatim.ch o i portali dei responsabili del trattamento elencati al punto 6) — i quali dispongono di proprie informative sulla protezione dei dati.
2. Titolare del trattamento
Il titolare del trattamento ai sensi dell'art. 5 lett. j nLPD e dell'art. 4 n. 7 RGPD è:
Justin Vuffray (persona fisica)Chemin du Curbit 2
1134 Vufflens-le-Château
Svizzera
E-mail: contact@alpgain.ch
Incaricato della protezione dei dati (IPD): Justin Vuffray — contact@alpgain.ch. Le richieste relative alla protezione dei dati sono trattate direttamente dal titolare.
Rappresentante in Svizzera: non applicabile (sede in Svizzera).
Rappresentante nell'UE: non applicabile — Alpgain è destinato al
mercato svizzero e non mira attivamente ai residenti dell'Unione
europea ai sensi dell'art. 3 cpv. 2 RGPD.
3. Categorie di dati trattati
Alpgain tratta unicamente i dati strettamente necessari alla fornitura del servizio di monitoraggio del patrimonio e di rilevazione degli sprechi finanziari. La tabella seguente riassume le categorie di dati interessate e il rispettivo livello di protezione tecnica:
| Categoria | Dati | Protezione a riposo |
|---|---|---|
| Dati dell'account | E-mail, nome, cognome, foto del profilo (facoltativa), lingua, valuta di riferimento, cantone, comune. | Non cifrati (colonne nominative) |
| Autenticazione federata (facoltativa) | Identificativo utente Apple o Google, e-mail, nome, avatar. | Non cifrati |
| Conti finanziari | Denominazione del conto, istituto, valuta, saldi correnti e iniziali. | Saldi: AES-GCM |
| Transazioni | Data, descrizione (testo libero), importo, voce fiscale, categoria, stato. | Importi: AES-GCM; descrizione in chiaro |
| Posizioni di investimento | Quantità, prezzo medio di acquisto, valuta. | Quantità e prezzo: AES-GCM |
| Obiettivi, budget, regole ricorrenti | Denominazione, importo obiettivo o massimale, periodicità. | Importi: AES-GCM |
| Dati di pagamento | Identificativi Stripe (customer ID, subscription ID), stato, periodo. Nessun dato della carta. | Riferimenti verso Stripe; nessuna memorizzazione lato Alpgain |
| Dati tecnici | Token di sessione, lingua UI, tema, metadati di navigazione. | Non sensibili |
| Eventi di utilizzo e log degli errori | Pagina consultata, azione attivata, origine dell'errore, stack trace lato Edge Function. | Non cifrati, senza PII |
| Dati derivati e pseudonimizzati | Fasce di importo CHF (5 livelli) e impronte HMAC-SHA256 dell'esercente, usate per il rilevamento di pattern. | Pseudonimizzazione tramite bucket e HMAC con chiave |
Non viene trattato alcun dato sensibile ai sensi dell'art. 5 lett. c nLPD (salute, opinioni politiche, dati biometrici, ecc.). Nessun minore di 16 anni è destinatario del servizio; in caso di sospetto di un account intestato a un minore, l'accesso viene sospeso e i dati vengono cancellati.
4. Finalità e basi giuridiche
In conformità con il principio di finalità (art. 6 cpv. 3 nLPD; art. 5 par. 1 lett. b RGPD), ogni trattamento è collegato a una finalità esplicita e a una base giuridica identificabile. La tabella seguente riassume le corrispondenze secondo il modello privatim:
| Categoria di dati | Finalità | Base giuridica |
|---|---|---|
| Account, autenticazione | Identificazione, accesso al servizio, personalizzazione linguistica e fiscale. | Esecuzione del contratto (art. 31 cpv. 2 lett. a nLPD; art. 6 par. 1 lett. b RGPD). |
| Autenticazione federata Apple / Google | Accesso senza creazione di una password locale. | Consenso (art. 31 cpv. 1 nLPD; art. 6 par. 1 lett. a RGPD). |
| Dati finanziari (inseriti dall'utente) | Aggregazione, visualizzazione, calcolo del patrimonio netto, analisi del cashflow, proiezioni fiscali. | Esecuzione del contratto. |
| Dati di pagamento Stripe | Sottoscrizione, fatturazione, recupero crediti, gestione del ciclo di vita. | Esecuzione del contratto + obbligo legale (conservazione contabile art. 958f CO). |
| Eventi di utilizzo e log | Sicurezza (rilevamento di abusi), miglioramento del prodotto, supporto utenti. | Interesse legittimo (art. 31 cpv. 1 nLPD; art. 6 par. 1 lett. f RGPD). |
| Dati derivati (bucket, hash dell'esercente) | Rilevamento algoritmico di pattern (ricorrenze, doppioni, aumenti di prezzo). | Esecuzione del contratto (funzionalità del prodotto); pseudonimizzazione preliminare. |
| Motore IA (Infomaniak) | Risposte della chat, advice card, classificazione delle transazioni. | Consenso (toggle Impostazioni → Preferenze IA). |
Non viene effettuata alcuna profilazione a fini pubblicitari, alcun scoring di solvibilità, né alcuna decisione automatizzata individuale che produca effetti giuridici ai sensi dell'art. 22 RGPD o dell'art. 21 nLPD. La revoca del consenso è possibile in qualsiasi momento e non incide sulla liceità del trattamento precedente.
5. Durata di conservazione
I dati sono conservati per il tempo strettamente necessario alle finalità descritte al punto 4, conformemente al principio di proporzionalità (art. 6 cpv. 4 nLPD; art. 5 par. 1 lett. e RGPD).
| Categoria di dati | Durata di conservazione | Base giuridica |
|---|---|---|
| Account attivo (profilo, conti finanziari, transazioni, obiettivi) | Fino alla cancellazione dell'account da parte tua o su richiesta a contact@alpgain.ch | Esecuzione del contratto (CGU Alpgain) |
| Dati successivi alla cancellazione dell'account | Cancellazione immediata e irreversibile in 16 tabelle e nello Storage (avatar) al momento dell'azione. I backup automatici Supabase contenenti tali dati sono conservati durante il periodo di ritenzione (7 giorni sul piano Pro, 28 giorni sul piano Team), poi eliminati automaticamente da Supabase. | Obbligo tecnico minimo (continuità del servizio durante la finestra di backup) |
| Log tecnici delle Edge Function (Supabase Logflare) | Durata di ritenzione Supabase secondo il piano (1 giorno Free, 7 giorni Pro, 28 giorni Team) | Interesse legittimo — sicurezza e diagnosi del servizio (nLPD art. 6 cpv. 3 lett. f) |
| Dati di pagamento Stripe (ID abbonamento, storico fatturazione) | 10 anni dall'ultima transazione (obbligo contabile CO art. 958f) | Obbligo legale (diritto svizzero delle obbligazioni) |
| Quote di utilizzo IA (contatori mensili) | 12 mesi progressivi, poi cancellazione automatica | Interesse legittimo — gestione delle quote e prevenzione degli abusi |
| Cache IA (advice card) | 24 ore, poi eliminazione automatica | Esecuzione del contratto (funzionalità del prodotto) |
| Cache dei pattern finanziari rilevati | 6 ore, poi eliminazione automatica | Esecuzione del contratto (funzionalità del prodotto) |
6. Responsabili del trattamento e trasferimenti internazionali
Alpgain si avvale dei responsabili del trattamento elencati di seguito. Ognuno è vincolato da un accordo sul trattamento dei dati (DPA — art. 9 nLPD; art. 28 RGPD) o da impegni contrattuali equivalenti. Nessun dato è venduto a terzi e non viene effettuato alcun trasferimento per finalità pubblicitarie.
| Responsabile del trattamento | Finalità | Hosting | Base giuridica del trasferimento | DPA |
|---|---|---|---|---|
| Supabase Inc. | Hosting della base dati, autenticazione, archiviazione dei dati utente | Unione europea — EU West (Irlanda o Frankfurt). Nessun trasferimento fuori UE/CH. | Decisione di adeguatezza dell'IFPDT per l'UE — nessuna CCT richiesta. Base giuridica: esecuzione del contratto (nLPD art. 6 cpv. 3 lett. a). | DPA standard Supabase firmato il 2026-05-04 (su richiesta a contact@alpgain.ch) |
| Infomaniak SA | Hosting web (staging.alpgain.ch, app.alpgain.ch), motore IA (modello google/gemma-4-31B-it), SMTP transazionale (e-mail di reimpostazione della password, notifiche) | Svizzera (Ginevra) | Esecuzione del contratto (nLPD art. 6 cpv. 3 lett. a) — nessun trasferimento fuori dalla Svizzera | DPA standard Infomaniak (CGU Pro) |
| Stripe Inc. | Elaborazione dei pagamenti e gestione degli abbonamenti. Alpgain non memorizza alcun numero di carta — Stripe utilizza una pagina di pagamento ospitata (PCI SAQ-A) | USA | Esecuzione del contratto + Stripe è certificato EU-U.S. DPF (RGPD art. 45) | DPA standard Stripe |
| Apple Inc. / Google LLC | Autenticazione federata facoltativa ("Continua con Apple" / "Continua con Google"). Consenso esplicito richiesto. | USA | Consenso esplicito (nLPD art. 6 cpv. 6; RGPD art. 6 par. 1 lett. a). Apple e Google LLC sono certificati DPF. | CGU Apple / CGU Google |
| Yahoo Finance | Dati di prezzo degli strumenti finanziari (azioni, ETF, obbligazioni) | USA | Interesse legittimo — vengono trasmessi solo simboli borsistici pubblici (nessun dato personale) | Non applicabile (dati pubblici esclusivamente) |
| CoinGecko | Dati di prezzo delle criptovalute | Malaysia (hosting internazionale) | Interesse legittimo — vengono trasmessi solo simboli pubblici di criptovalute. Nessun dato personale. | Non applicabile (dati pubblici esclusivamente) |
| ExchangeRate-API | Tassi di cambio in tempo reale | USA | Interesse legittimo — vengono trasmessi solo codici valuta (nessun dato personale) | Non applicabile (dati pubblici esclusivamente) |
Anthropic non è un responsabile del trattamento attivo di Alpgain. Il motore IA utilizzato è esclusivamente Infomaniak AI (infrastruttura svizzera). Nessun dato viene trasmesso ad Anthropic, OpenAI o ad altri fornitori IA terzi.
L'elenco dei responsabili del trattamento viene tenuto aggiornato. Qualsiasi modifica sostanziale (aggiunta, rimozione, cambio di localizzazione) sarà notificata via e-mail almeno 30 giorni prima della sua entrata in vigore, salvo casi di forza maggiore.
7. Trasferimenti di dati fuori dalla Svizzera
Il trasferimento di dati tra la Svizzera e lo Spazio economico europeo (SEE) non pone problemi particolari: la Svizzera e gli Stati membri dell'UE / SEE beneficiano reciprocamente di una decisione di adeguatezza ai sensi dell'art. 16 nLPD e del cap. V RGPD.
I responsabili del trattamento seguenti hanno sede fuori dalla Svizzera e ricevono dati personali:
- Supabase Inc. (EU West — Irlanda / Frankfurt): dati ospitati nell'Unione europea. Decisione di adeguatezza dell'IFPDT per l'UE — nessuna CCT richiesta. Base giuridica: esecuzione del contratto (nLPD art. 6 cpv. 3 lett. a).
- Stripe Inc. (USA): indirizzo e-mail e metadati dell'abbonamento trasmessi per l'elaborazione del pagamento. Nessun numero di carta bancaria transita per Alpgain. Stripe è certificato DPF. Trasferimento garantito dalle CCT nLPD.
- Apple Inc. / Google LLC (USA): identificativo di accesso federato trasmesso solo se usi "Continua con Apple" o "Continua con Google". Coperto dalle CGU Apple e Google (certificati DPF).
I trasferimenti verso paesi che non offrono un livello di protezione adeguato riconosciuto dall'IFPDT sono garantiti da Clausole contrattuali tipo (CCT) nLPD o dalla certificazione nell'ambito dell'EU-U.S. Data Privacy Framework (DPF, riconosciuto dall'UE da luglio 2023).
Infomaniak SA ospita tutti i trattamenti principali (base dati, Edge Function, motore IA, SMTP transazionale) in Svizzera (Ginevra). Nessun dato finanziario o personale identificabile viene trasmesso a un fornitore IA non svizzero.
Una copia delle garanzie applicabili (DPA, CCT, certificazioni DPF) può essere ottenuta su semplice richiesta a contact@alpgain.ch.
8. Sicurezza tecnica e organizzativa
Alpgain adotta misure tecniche e organizzative ragionevoli ai sensi dell'art. 8 nLPD e dell'art. 32 RGPD, in particolare:
- Cifratura dei dati sensibili a riposo (AES-GCM 256 bit, chiavi master isolate al di fuori della base dati e gestite tramite Supabase Vault).
- Cifratura in transito (TLS 1.3) su tutte le comunicazioni client-server e tra responsabili del trattamento.
- Politica di Row-Level Security PostgreSQL applicata a tutte le tabelle utente; ogni richiesta è autenticata e limitata al perimetro dell'utente in questione.
- Autenticazione a doppio fattore (TOTP) facoltativa.
- Verifica della password prima di qualsiasi operazione distruttiva (cancellazione dell'account, tramite Edge Function dedicata).
- Validazione e sanitizzazione sistematica degli input prima di qualsiasi chiamata a un fornitore IA (limite di dimensione, regex di formato, validazione server-side).
- Audit di sicurezza interni periodici sulle Edge Function, sulle politiche RLS e sui flussi di cifratura.
- Politica CORS rigorosa lato Edge Function (origini elencate esplicitamente).
In caso di violazione di dati che presenti un rischio elevato per i tuoi diritti e libertà, Alpgain ti notificherà nel più breve tempo possibile e al più tardi 72 ore dopo l'accertamento, via e-mail all'indirizzo associato al tuo account. L'IFPDT sarà informato tramite il portale databreach.edoeb.admin.ch entro i termini imposti dall'art. 24 nLPD; per i residenti nell'UE, l'autorità di controllo competente sarà informata conformemente all'art. 33 RGPD.
9. Diritti delle persone interessate
Conformemente alla nLPD (art. 25-30) e al RGPD (art. 15-22), hai i seguenti diritti:
- Diritto di accesso (art. 25 nLPD; art. 15 RGPD): ottenere conferma del trattamento dei tuoi dati e riceverne una copia. L'esportazione self-service da Impostazioni → Privacy → Esporta i miei dati comprende conti finanziari, transazioni, posizioni, obiettivi, budget, regole ricorrenti e categorie. Per qualsiasi dato non coperto, invia una richiesta a contact@alpgain.ch.
- Diritto di rettifica (art. 32 cpv. 1 nLPD; art. 16 RGPD): far correggere dati inesatti o incompleti.
- Diritto alla cancellazione / diritto all'oblio (art. 32 cpv. 2 nLPD; art. 17 RGPD): chiedere la cancellazione dei tuoi dati — esercitabile direttamente da Impostazioni → Privacy.
- Diritto alla portabilità (art. 28 nLPD; art. 20 RGPD): ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico — esportabile da Impostazioni → Privacy → Esporta.
- Diritto di opposizione al trattamento fondato sull'interesse legittimo (art. 21 RGPD): contatta contact@alpgain.ch.
- Diritto alla limitazione del trattamento (art. 18 RGPD): se risiedi nell'Unione europea, puoi chiedere la sospensione temporanea del trattamento dei tuoi dati. Invia un'e-mail a contact@alpgain.ch — la tua richiesta sarà elaborata manualmente entro 30 giorni. Puoi inoltre sospendere il trattamento da parte della nostra IA in qualsiasi momento da Impostazioni → Preferenze → Disattiva IA.
- Diritto di revocare il consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento precedente.
- Diritto di non essere sottoposto a una decisione automatizzata individuale che produca effetti giuridici (art. 21 nLPD; art. 22 RGPD) — Alpgain non effettua tali decisioni. Qualsiasi azione sui tuoi dati richiede la tua conferma esplicita nell'applicazione.
Profilazione e analisi delle tue spese (nLPD art. 5 lett. f; RGPD art. 22)
Alpgain analizza automaticamente i tuoi pattern di spesa per generare raccomandazioni personalizzate (ricorrenze, doppioni, aumenti di prezzo, sprechi finanziari). Questa analisi costituisce profilazione ai sensi del RGPD. Alpgain non prende decisioni interamente automatizzate con effetti giuridici o effetti significativi analoghi su di te. Puoi opporti a questa profilazione in qualsiasi momento da Impostazioni → Preferenze → Disattiva IA.
Procedura per esercitare i tuoi diritti
- Contatta contact@alpgain.ch precisando la natura della richiesta (accesso, rettifica, cancellazione, portabilità, opposizione).
- Può essere richiesta una verifica d'identità ragionevole per prevenire usurpazioni (ad esempio conferma dall'e-mail registrata o domande sull'account).
- Risposta entro 30 giorni, prorogabile di due mesi per le richieste complesse (art. 12 par. 3 RGPD; art. 25 cpv. 4 nLPD).
- L'esercizio di tali diritti è gratuito, salvo richieste manifestamente infondate o eccessive (art. 12 par. 5 RGPD; art. 26 nLPD).
L'esportazione completa dei dati e la cancellazione dell'account possono inoltre essere attivate direttamente nell'applicazione: Impostazioni → Privacy.
10. Cookie e tecnologie analoghe
Alpgain utilizza i seguenti meccanismi di archiviazione:
| Meccanismo | Finalità | Consenso |
|---|---|---|
| Token di autenticazione Supabase (localStorage) | Autenticazione — strettamente necessario | Non richiesto (esenzione) |
| Preferenze (lingua, tema, valuta) — localStorage | Personalizzazione — strettamente funzionale | Non richiesto (esenzione) |
Non viene utilizzato alcun cookie pubblicitario, alcun tracker cross-site, né alcun pixel Meta / Google / TikTok.
11. Modifiche dell'informativa
Qualsiasi modifica sostanziale della presente informativa ti sarà notificata via e-mail almeno 30 giorni prima della sua entrata in vigore. Le modifiche minori (correzioni tipografiche, precisazioni redazionali) vengono pubblicate direttamente nell'applicazione con aggiornamento della data di efficacia indicata sopra. Il proseguimento dell'utilizzo del servizio dopo l'entrata in vigore equivale ad accettazione della nuova versione; in caso di disaccordo, puoi recedere dal tuo account prima della data di entrata in vigore.
12. Reclami
Hai il diritto di presentare un reclamo presso l'autorità di controllo competente:
- Svizzera: Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Feldeggweg 1, 3003 Berna — www.edoeb.admin.ch.
- Unione europea: autorità di controllo del tuo luogo di residenza abituale, del tuo luogo di lavoro o del luogo in cui sarebbe stata commessa la violazione (art. 77 RGPD).
Prima di presentare un reclamo, ti invitiamo a contattarci all'indirizzo contact@alpgain.ch per tentare una composizione amichevole.
13. Contatti
- Domande sulla privacy, questioni giuridiche e qualsiasi richiesta relativa ai tuoi dati: contact@alpgain.ch
- Indirizzo postale: Justin Vuffray, Chemin du Curbit 2, 1134 Vufflens-le-Château, Svizzera
14. Data di aggiornamento e cronologia delle versioni
- Versione 1.0 — entrata in vigore il 09.05.2026. Prima redazione completa assistita da IA.
- Versione 1.1 — entrata in vigore il 10.05.2026. Ristrutturazione secondo il modello privatim e la guida IFPDT, unione delle finalità e basi giuridiche in una tabella unica, aggiunta della sezione «Oggetto dell'informativa» e chiarimento dei trasferimenti Svizzera / SEE / DPF.
- Versione 1.2 — entrata in vigore il 15.05.2026. Identificazione completa del titolare del trattamento (Justin Vuffray, Vufflens-le-Château), tabella completa dei responsabili (SMTP = Infomaniak), durate di conservazione precisate (basi giuridiche per riga), aggiunta diritti RGPD art. 18 (limitazione) + menzione profilazione IA + opt-out, sezione trasferimenti internazionali aggiornata (Supabase EU West — adeguatezza UE, Stripe DPF), e-mail di contatto unificata contact@alpgain.ch. Traduzione professionale IT-CH Sprint 2.8.
- Versione 1.3 — entrata in vigore il 17.05.2026. Microsoft Clarity (analytics di prodotto USA) rimosso dall'intero servizio: rimosso dalla tabella dei responsabili, rimosso dalla sezione trasferimenti internazionali, eliminate dalle durate di conservazione le registrazioni di sessione, rimosso il cookie associato. Nessun dato di utilizzo web viene più trasmesso fuori dalla Svizzera / dal SEE.