Sutory · Informativa sulla privacy

Informativa sulla privacy

Entrata in vigore: 2026-07-10 · Versione 2026-07-10

1. Finalità del trattamento

Sutory (la "Società") tratta i dati personali per le finalità indicate di seguito al fine di fornire il servizio Sutory. In caso di modifica delle finalità, la Società richiederà un consenso separato ai sensi dell'articolo 18 della legge coreana sulla protezione delle informazioni personali (PIPA).

  • Identificazione e autenticazione dei membri (accesso social Apple / Google)
  • Erogazione dei servizi di compagno IA e wiki personale (chat, grafo, agenda, notifiche)
  • Elaborazione dei pagamenti dei servizi a pagamento e prevenzione degli usi fraudolenti
  • Garanzia dell'affidabilità del servizio (log di sicurezza, tracciamento degli incidenti)
  • Adempimento degli obblighi di legge (ad es. conservazione dei registri di transazione ai sensi della legge sulla tutela dei consumatori nel commercio elettronico)

2. Dati trattati

2-1. Dati obbligatori (raccolti alla registrazione)

  • Identificatore social: sub Apple o sub Google (ID permanente rilasciato da ciascun fornitore)
  • Indirizzo e-mail (inclusi gli alias Apple Private Relay)
  • Nome o soprannome (nome visualizzato fornito dal provider social)

2-2. Dati generati durante l'uso del servizio

  • Contenuto delle conversazioni e note: testo inserito e trascrizioni vocali
  • Dati del grafo: nodi, archi, tag e relazioni
  • Dati dell'agenda: titolo, ora di inizio/fine, testo del luogo (inserito dall'utente o importato tramite Google Calendar)
  • Dati vocali: audio transitorio utilizzato per l'elaborazione STT — eliminato immediatamente dopo l'elaborazione, mai conservato in modo permanente
  • Dati immagine: foto di riferimento caricate dall'utente e immagini composte dall'IA
  • Dati di abbonamento: piano, stato del pagamento, ID fattura (metadati di pagamento Paddle)
  • Log di utilizzo: numero di chiamate per funzione, token/costi IA (per la gestione delle quote)

2-3. Dati raccolti automaticamente

  • Indirizzo IP (log di sicurezza, conservato per 30 giorni)
  • User-Agent e ID del dispositivo (gestione della sessione)
  • Cookie e LocalStorage: token di autenticazione (tory-auth), token di stato OAuth monouso
  • Log di accesso al server (percorso della richiesta, codice di stato, tempo di risposta)

2-4. Dati raccolti al momento del pagamento (ove applicabile)

  • I dettagli del metodo di pagamento non sono conservati dalla Società. Sono custoditi dal nostro fornitore di servizi di pagamento Paddle in conformità ai requisiti PCI-DSS.
  • La Società riceve e conserva solo l'identificativo della transazione, l'importo, la valuta e la marca temporale forniti da Paddle.

3. Informazioni sulla localizzazione (legge coreana sulle informazioni di localizzazione, artt. 16, 18)

La Società può trattare temporaneamente la posizione del dispositivo degli utenti della propria app mobile per fornire funzionalità basate sulla posizione (ad esempio suggerimenti per il pranzo nelle vicinanze e promemoria dell'agenda). Per gli utenti che hanno accettato i termini separati sui servizi di localizzazione richiesti dalla legge coreana sulla protezione e l'uso delle informazioni di localizzazione, il trattamento segue i principi seguenti (vedere i Termini dei servizi di localizzazione).

  • Momento della raccolta: solo nel momento in cui l'utente — dopo aver concesso l'autorizzazione alla localizzazione — attiva direttamente una funzione basata sulla posizione (ad es. suggerimenti per il pranzo nelle vicinanze).
  • Ambito di conservazione: le coordinate vengono eliminate immediatamente dopo la generazione della risposta e non vengono mai scritte nel database (solo in memoria).
  • Comunicazione a terzi: le coordinate non vengono condivise esternamente. Possono essere trasmesse in modo transitorio ad API di mappe esterne (ad es. Google Places) per eseguire una ricerca di prossimità, e la Società le elimina al momento della trasmissione.
  • Indirizzo IP: utilizzato solo come identificativo di accesso per finalità di sicurezza e registrazione — mai per dedurre la posizione, il targeting pubblicitario o la profilazione.
  • Revoca dell'autorizzazione: gli utenti possono revocare l'autorizzazione alla localizzazione nelle impostazioni del dispositivo in qualsiasi momento. Ciò disattiva solo le funzioni basate sulla posizione; il resto del servizio continua a funzionare normalmente.
  • Utenti di età inferiore a 14 anni: poiché la Società blocca le registrazioni di chiunque abbia meno di 14 anni, nessun dato di localizzazione viene trattato per gli utenti di quella età (legge sulle informazioni di localizzazione, art. 25).

4. Periodi di conservazione e utilizzo

  • Account membro e contenuti: eliminati immediatamente alla chiusura dell'account. Dopo un periodo di grazia di 30 giorni, il ripristino non è più possibile (eliminazione soft → eliminazione definitiva).
  • Audio vocale grezzo: eliminato immediatamente dopo l'elaborazione STT (mai conservato).
  • Immagini composte dall'IA: eliminate automaticamente dopo 7 giorni (le copie scaricate dall'utente sono separate).
  • Registri di pagamento: conservati per 5 anni ai sensi dell'articolo 6 della legge sulla tutela dei consumatori nel commercio elettronico.
  • Registri di reclami e controversie dei consumatori: conservati per 3 anni ai sensi dell'articolo 6 della stessa legge.
  • Log di accesso e sicurezza: conservati per 3 mesi ai sensi dell'articolo 15-2 della legge sulla protezione del segreto delle comunicazioni.

5. Comunicazione a terzi

In linea di principio, la Società non comunica i dati personali a terzi esterni. Le uniche eccezioni sono le seguenti:

  • quando l'utente ha fornito il consenso preventivo;
  • quando richiesto dalla legge, o quando un'autorità investigativa lo richiede secondo le procedure e i metodi previsti dalla legge; oppure
  • quando i dati pseudonimizzati vengono forniti per scopi statistici o di ricerca accademica.

6. Trattamento esternalizzato (sub-responsabili)

La Società esternalizza alcune attività di trattamento ai sub-responsabili elencati di seguito. I contratti di esternalizzazione contengono gli obblighi di sicurezza richiesti dall'articolo 26 della legge coreana sulla protezione delle informazioni personali.

Sub-responsabileCompitoUbicazione
Microsoft (Azure)Hosting di server / database / archiviazione, autenticazione (B2C)Corea del Sud (Azure Korea Central)
OpenAI, L.L.C.Chat della famiglia GPT-5.6, riassunto, traduzione, sintesi di immaginiStati Uniti
Anthropic PBCChat Claude Sonnet 5 (fallback e attività complesse)Stati Uniti
Google LLCSintesi vocale della famiglia Gemini, traduzione, comprensione videoStati Uniti
OpenAI Realtime (Whisper)Riconoscimento vocale in tempo realeStati Uniti
xAI Corp.Ricerca di tendenze e notizie in tempo reale Grok 4.3Stati Uniti
Paddle.com Market Ltd.Elaborazione dei pagamenti globali, calcolo delle imposte, fatturazioneRegno Unito / UE
Apple Inc.Accesso social (Sign in with Apple)Stati Uniti
Google LLCAccesso social (Google OAuth) e integrazione Calendar / Gmail (con consenso esplicito dell'utente)Stati Uniti

Qualsiasi cambio di sub-responsabile sarà annunciato tramite revisione preventiva della presente informativa. Con ogni sub-responsabile IA, la Società utilizza canali coperti da accordi di non addestramento, che vietano l'uso dei dati per l'addestramento dei modelli.

7. Trasferimenti internazionali di dati (PIPA art. 28-8)

Tra i sub-responsabili elencati nella sezione 6, quelli situati negli Stati Uniti, nel Regno Unito e nell'UE ricevono dati personali trasferiti. Il consenso alla presente informativa è considerato consenso a tali trasferimenti. Per revocare il consenso, eliminare il proprio account.

DestinatarioDati trasferitiMomento / metodoFinalitàConservazione
OpenAITesto delle conversazioni e metadatiHTTPS in tempo realeGenerazione delle risposte IAEliminati immediatamente dopo la consegna (senza addestramento)
AnthropicTesto delle conversazioniHTTPS in tempo realeGenerazione delle risposte IAEliminati immediatamente dopo la consegna (senza addestramento)
Google (Gemini)Testo delle conversazioni e voceHTTPS in tempo realeRisposta IA / TTSEliminati immediatamente dopo la consegna (senza addestramento)
xAITesto dell'argomento di ricercaHTTPS in tempo realeRicerca di tendenze e notizie in tempo realeEliminati immediatamente dopo la consegna (senza addestramento)
PaddleMetadati di pagamento ed e-mailHTTPS al momento del pagamentoElaborazione dei pagamentiConservazione legale secondo la normativa fiscale / contabile
Apple, GoogleIdentificatore socialHTTPS durante l'autenticazioneAccesso socialPer l'intera durata dell'account

8. Diritti e obblighi degli interessati e modalità di esercizio

È possibile esercitare i seguenti diritti in qualsiasi momento, tramite la schermata Impostazioni o contattando il responsabile della protezione dei dati (sezione 14).

  • Diritto di accesso: download diretto tramite Impostazioni → Esporta dati (JSON / Markdown).
  • Diritto di rettifica o cancellazione: modifica del profilo e dei contenuti direttamente in Impostazioni, oppure chiusura dell'account.
  • Diritto alla limitazione del trattamento: richiesta via e-mail al responsabile della protezione dei dati.
  • Diritto alla portabilità dei dati: le esportazioni dei dati sono fornite in formato JSON standard.
  • Diritto di opporsi alle decisioni automatizzate e di riceverne spiegazione (PIPA art. 37-2, aggiunto nel 2024): i risultati dell'IA sono solo informazioni di riferimento — la Società non adotta decisioni automatizzate con effetti legali o finanziari. In caso di opposizione, contattare il responsabile della protezione dei dati: la richiesta sarà esaminata e riceverà risposta.

9. Procedura e metodo di distruzione

La Società distrugge i dati personali senza indugio una volta trascorso il periodo di conservazione o raggiunta la finalità del trattamento.

  • Formato elettronico: eliminazione permanente e irrecuperabile (impostazione a NULL delle colonne del database ed eliminazione automatica una volta scaduta la conservazione dei backup).
  • Documenti cartacei: distrutti o inceneriti.
  • Dati trasmessi ai sub-responsabili IA: distrutti immediatamente in base al contratto di esternalizzazione (applicate le opzioni senza addestramento, senza conservazione).

10. Misure di sicurezza

  • Amministrative: piano di gestione interno, formazione periodica sulla sicurezza, principio del privilegio minimo.
  • Tecniche: TLS 1.3 in transito, AES-256 a riposo, isolamento multi-tenant tramite Row-Level Security, hashing delle password (Argon2id), token JWT a breve durata.
  • Fisiche: affidamento ai controlli ISO 27001 / SOC 2 dei data center Azure.
  • Registrazione e monitoraggio: rilevamento di anomalie sugli accessi, notifica entro 72 ore da qualsiasi incidente di sicurezza (in conformità al GDPR / PIPA).

11. Dispositivi di raccolta automatica (cookie / LocalStorage)

La Società memorizza i seguenti elementi nel LocalStorage per mantenere le sessioni autenticate. Non utilizziamo cookie per il tracciamento pubblicitario o per l'analisi da parte di terzi.

  • tory-auth: sessione autenticata (token di accesso / aggiornamento e scadenza).
  • tory-oauth-state: stato di accesso OAuth monouso (eliminato immediatamente dopo il callback).

È possibile eliminare questi elementi in qualsiasi momento tramite le impostazioni del browser.

12. Protezione dei minori (PIPA art. 22-2 · COPPA)

La Società blocca la registrazione dei bambini di età inferiore a 14 anni. Questa misura soddisfa sia l'articolo 22-2 della legge coreana sulla protezione delle informazioni personali sia la legge statunitense sulla protezione della privacy online dei minori (COPPA, sotto i 13 anni).

  • Dove si applica il blocco: la fase di consenso alla registrazione richiede l'anno di nascita; se si determina che l'utente ha meno di 14 anni, la registrazione viene rifiutata immediatamente e nessun dato inserito viene conservato.
  • Protezione predefinita dai provider social: gli ID Apple e gli account Google vengono rilasciati solo a utenti di età pari o superiore a 13 anni secondo i termini di ciascun provider, il che costituisce una prima linea di difesa.
  • Rilevamento successivo: se dopo la registrazione si scopre che un utente ha meno di 14 anni, la Società sospende immediatamente l'account e distrugge tutti i dati personali raccolti entro 7 giorni. Notifichiamo la distruzione all'indirizzo e-mail registrato.
  • Diritti dei tutori legali: un tutore legale che scopra che la Società sta trattando dati personali di un minore di 14 anni può richiedere immediatamente la distruzione, l'accesso o la cessazione dell'uso tramite il responsabile della protezione dei dati.

13. Uso a fini di marketing

La Società non raccoglie dati personali per finalità di marketing, pubblicità o promozione. Inviamo solo le notifiche essenziali per il funzionamento del servizio, come avvisi di pagamento e sicurezza, che rientrano nelle disposizioni di eccezione al consenso dell'articolo 22-2 della legge sulla protezione delle informazioni personali.

14. Responsabile della protezione dei dati

  • Responsabile: Min-kyung Kim (CEO)
  • E-mail: privacy@tory.my
  • Società: Sutory · Numero di registrazione dell'attività: 633-02-03631
  • Tempo di risposta: entro 7 giorni lavorativi
  • Risoluzione delle controversie: Comitato di mediazione per le controversie sulle informazioni personali (1833-6972), Centro di segnalazione delle violazioni della privacy (118), Ufficio del procuratore generale — indagini informatiche (1301), Ufficio informatico dell'Agenzia nazionale di polizia (182)

15. Cronologia delle modifiche

  • 2026-07-10 · Aggiunto xAI (ricerca in tempo reale) come sub-responsabile, aggiornati i nomi dei modelli IA, introdotto un consenso separato per il trattamento da parte di IA di terze parti
  • 2026-05-27 · Aggiunta una traduzione in inglese (l'originale coreano rimane la versione autorevole; i testi nelle altre lingue sono forniti per comodità).
  • 2026-05-13 · Aggiunta una sezione esplicita sul trattamento delle informazioni di localizzazione (§3), aggiunta la protezione dei minori (§12 COPPA / PIPA art. 22-2), corretto il dominio e-mail del responsabile della protezione dei dati.
  • 2026-05-12 · Pubblicazione iniziale.