Informativa sulla Privacy

Un nome utente (può essere inventato), una password scelta da te e un nome pubblico perché i tuoi contatti ti riconoscano (anch'esso può essere inventato). Nessuna email. Nessun telefono. Nessun dato che ti colleghi a una persona reale.

Per un dettaglio esaustivo di tutti i campi che archiviamo, come li proteggiamo e per quanto tempo li conserviamo, consulta il nostro Manifesto di Trasparenza

Il trattamento dei tuoi dati si basa sulle seguenti basi giuridiche del Regolamento Generale sulla Protezione dei Dati (RGPD)

• Esecuzione del contratto ( Art. 6.1.b RGPD ): I dati del tuo account sono necessari per fornirti il ​​servizio.
• Interesse legittimo ( Art. 6.1.f RGPD ): misurazione anonima delle visite alla pagina di presentazione (nessun cookie, nessun IP, nessuna identificazione).
• Obbligo legale (Art. 6.1.c RGPD): Conservazione dei registri dei pagamenti per obblighi fiscali.

Ogni tipo di dato ha un periodo di conservazione diverso, dettagliato nel nostro Manifesto di Trasparenza

• Dati dell'account: fino all'eliminazione del tuo account.
• Sessioni: massimo 24 ore.
• Segnali di connessione: massimo 60 secondi, solo in memoria.
• Richieste di collegamento: massimo 3 giorni.
• Registri dei pagamenti: permanenti (obbligo fiscale). Questi registri sono completamente anonimi: contengono solo l'importo e la data dell'incasso, per poter emettere la ricevuta di vendita corrispondente. Non includono alcun dato che colleghi il pagamento a un utente specifico.

Tutti i nostri server sono situati in Germania

I pagamenti vengono elaborati tramite gateway di pagamento esterni. Questi gateway possono trattare dati della transazione in conformità con le proprie informative sulla privacy. Noi non riceviamo né archiviamo dati personali del pagante — riceviamo solo una conferma e un importo.

Nella pagina di presentazione (non nell'app) eseguiamo una misurazione anonima delle visite su server propri ospitati in Germania. Senza cookie, senza indirizzo IP, senza identificare nessuno e senza condividere dati con terze parti.

Base giuridica:

Diritto di opposizione:

Puoi eliminare il tuo account e tutti i tuoi dati tecnici associati con un solo clic. Senza domande.

Ai sensi del RGPD e della LOPDGDD, hai diritto a:

• Accesso: Scopri quali dati abbiamo su di te. Tutto è dettagliato nel Manifesto della Trasparenza; Per il tuo account specifico, contattaci.
• Correzione: Puoi modificare il tuo nome pubblico e la tua password direttamente dall'applicazione.
• Eliminazione: Elimina il tuo account e tutti i dati associati con un clic, dalle impostazioni.
• Portabilità: Solo2 offre l'esportazione di backup crittografati contenenti tutti i tuoi dati locali.
• Limitazione del trattamento: In pratica, i dati che abbiamo su di te sono così minimi che non c'è quasi nulla da limitare. Ma se lo richiedi, limiteremo qualsiasi trattamento che non sia strettamente necessario per mantenere il servizio.
• Obiezione: Lei potrà opporsi in ogni momento al trattamento. Per analisi anonime, disabilita semplicemente JavaScript.

Per esercitare uno qualsiasi di questi diritti, scrivici a hola@menzuri.com

Se ritieni che non abbiamo rispettato adeguatamente i tuoi diritti, puoi presentare un reclamo al Garante per la protezione dei dati personali

Solo2 utilizza una crittografia testata dalla comunità accademica, non schemi proprietari. Le primitive sono le stesse che convalidano le pubblicazioni sottoposte a revisione paritaria e che sono state implementate per anni su scala globale in altri sistemi.

• X3DH (Extended Triple Diffie-Hellman) per lo stabilimento iniziale della sessione tra due contatti: entrambi derivano una chiave condivisa senza aver mai scambiato alcun segreto in precedenza.
• Double Ratchet per la crittografia in corso di ogni conversazione. Ogni messaggio è crittografato con una chiave diversa, che viene derivata ed eliminata immediatamente dopo la crittografia del successivo.
• ChaCha20-Poly1305 per la crittografia autenticata di ogni singolo messaggio, all'interno della Double Ratchet. I dati a riposo — il tuo caveau locale e i backup — sono crittografati con AES-256-GCM. Entrambi sono crittografie autenticate (AEAD) ampiamente distribuite e validate.
• Argon2id per derivare, dalla tua password, la chiave che avvolge (crittografa) la tua chiave principale. Resistente ad attacchi con hardware specializzato (GPUs, ASICs).
• Curve25519 e Ed25519 per le coppie di chiavi di crittografia e firma. Curve ellittiche moderne, senza «costanti magiche» sospette.

Una proprietà chiave offerta da queste primitive è la forward secrecy: se una chiave di sessione viene compromessa, i messaggi precedenti rimangono illeggibili. E la proprietà complementare, la post-compromise security: la conversazione si «auto-guarisce» non appena vengono scambiati nuovi messaggi.

Non esiste alcuna chiave master, backdoor o meccanismo di recupero che ci permetta di leggere i tuoi messaggi. Ciò include il caso di un ordine del tribunale: tecnicamente non possiamo decifrare ciò che non abbiamo.

Un'informativa sulla privacy seria non è solo un elenco di ciò che facciamo: è anche un elenco chiaro di ciò che non faremo mai.

• Non addestriamo modelli di IA con i tuoi messaggi. Non è una promessa volontaria: è una conseguenza di tutto ciò che precede. Non li possediamo in alcun momento — la clausola che in altre informative suona rassicurante, qui è intrinsecamente vera per costruzione.
• Non vendiamo pubblicità. Solo2 è un servizio a pagamento, non monetizzato tramite annunci. I tuoi dati non sono il nostro modello di business.
• Non costruiamo profili di utilizzo, comportamento, posizione, contatti o interessi. Non abbiamo nemmeno un grafo sociale che colleghi gli utenti tra loro.
• Non condividiamo i dati con terze parti per scopi commerciali. L'unica eccezione sono i gateway di pagamento, che ricevono solo l'importo della transazione.
• Non usiamo cookie di tracciamento, né pixel, né fingerprinting del browser, né servizi esterni come Google Analytics o Facebook Pixel.
• Non registriamo il tuo indirizzo IP in modo persistente. La connessione necessita di un IP transitorio, ma non viene salvato associato al tuo account.

In applicazione dell'articolo 28 del GDPR, i sub-responsabili che attualmente intervengono nella fornitura del servizio sono i seguenti. Se in qualsiasi momento verrà integrato un nuovo sub-responsabile, questo elenco verrà aggiornato e comunicheremo il cambiamento agli utenti prima che entri in vigore.

• Hetzner Online GmbH (Germania) — Infrastruttura server con data center nell'Unione Europea. Conforme al GDPR e certificazioni ISO 27001.
• Infomaniak (Svizzera) — Email aziendale. Dati ospitati in Svizzera, paese con una decisione di adeguatezza della Commissione Europea.
• Gateway di pagamento — Elaborazione degli incassi. Non ricevono dati personali dell'utente, solo l'importo e la valuta della transazione.

Quando riceviamo un ordine del tribunale valido emesso da un'autorità competente spagnola o europea, lo rispettiamo. La domanda interessante non è se lo rispetteremmo, ma cosa potremmo effettivamente consegnare.

Il design tecnico di Solo2 limita drasticamente ciò che potremmo fornire a una richiesta. Non abbiamo accesso al contenuto dei messaggi (crittografia end-to-end), non conserviamo metadati su chi parla con chi, non memorizziamo cronologie di connessione e non conserviamo indirizzi IP associati agli account.

Ciò che potremmo consegnare, se dovesse accadere, sono i dati minimi associati a un account come descritto nel Manifesto della Trasparenza: nome utente e nome pubblico (entrambi possono essere inventati), un hash della password e una chiave master crittografata con quella password che per noi è un blob opaco.

Questa informativa si applica solo alle autorità competenti in Spagna e nell'Unione Europea. Non rispondiamo a richieste delle forze dell'ordine di paesi terzi senza un canale legale europeo intermediario.