Informativa sulla Privacy

1. Titolare del Trattamento

Il Titolare del Trattamento dei Dati Personali è Astral Prism Srls, società costituita ai sensi del diritto italiano, con sede legale in Piazza Roma 5, 00015 Monterotondo (RM), Italia, PIVA/CF 18380411001, REA RM-1781416.

Per qualsiasi domanda, dubbio o richiesta relativa alla presente Informativa sulla Privacy o al trattamento dei Dati Personali, è possibile contattarci all'indirizzo: [email protected].

Astral Prism Srls è l'unico Titolare del Trattamento per tutte le attività di trattamento dei Dati Personali descritte nella presente Informativa sulla Privacy, salvo ove diversamente specificato.

2. Dati Raccolti

Vengono raccolti Dati Personali nelle seguenti categorie:

Dati Forniti Direttamente

Al momento della creazione di un account, vengono raccolti indirizzo e-mail, nome, nome di battesimo, cognome, Paese, preferenza di lingua e URL dell'avatar. In caso di registrazione o accesso tramite Google OAuth, viene ricevuto anche l'identificativo dell'account Google. Al momento della configurazione del profilo di fatturazione, vengono raccolti nome completo, indirizzo di fatturazione, Paese e, facoltativamente, codice fiscale e indirizzo PEC (posta elettronica certificata). Durante il gioco, vengono raccolti i testi inseriti dall'utente, che costituiscono parte dei dati della sessione di gioco.

Dati Raccolti Automaticamente

Durante l'utilizzo di Narraxion, vengono raccolti automaticamente determinati dati tecnici e di utilizzo, tra cui informazioni sul dispositivo, indirizzo IP, versione del browser o dell'app e durata della sessione. Tali dati vengono raccolti tramite il servizio di monitoraggio degli errori (Sentry) e tramite cookie e tecnologie similari. Vengono inoltre raccolti dati analitici relativi al gioco, tra cui il numero totale di interazioni, il tempo di gioco, il tasso di completamento, i punteggi di coerenza e le metriche per singola interazione quali tempo di esecuzione, costo di elaborazione e numero di tentativi.

Dati delle Sessioni di Gioco

Durante il gioco, vengono generati e memorizzati dati delle sessioni di gioco, tra cui risposte narrative generate dall'intelligenza artificiale, URL audio per l'output di sintesi vocale (text-to-speech), indicatori di stato del gioco e riepiloghi delle interazioni. Tali dati vengono creati nell'ambito del servizio utilizzato e sono associati all'account dell'utente.

Dati Provenienti da Terze Parti

In caso di autenticazione tramite Google OAuth, vengono ricevute le informazioni di base del profilo (nome, indirizzo e-mail, URL dell'immagine del profilo e identificativo dell'account Google) da Google. Non viene ricevuta la password dell'account Google.

Dati di Feedback

Quando rispondi ai moduli di feedback (in-game o tramite link email), raccogliamo le tue risposte, il timestamp e la sessione di gioco associata se applicabile. I moduli di feedback possono includere risposte a testo libero, selezioni a scelta multipla e valutazioni numeriche.

3. Finalità e Basi Giuridiche

I Dati Personali vengono trattati per le seguenti finalità, ciascuna supportata da una Base Giuridica ai sensi dell'Articolo 6 del Regolamento Generale sulla Protezione dei Dati (GDPR):

Fornitura del Servizio e Gestione dell'Account. I dati dell'account (e-mail, nome, lingua, avatar, ID Google) e i dati di gioco (sessioni, input, risposte dell'IA, audio) vengono trattati per fornire il servizio di gioco Narraxion, gestire l'account, salvare i progressi e offrire l'esperienza di gioco principale. Base Giuridica: Articolo 6(1)(b) — il trattamento è necessario per l'esecuzione di un contratto di cui l'interessato è parte.

Generazione Narrativa tramite IA. Gli input testuali inseriti durante il gioco e il contesto della sessione di gioco vengono trattati mediante la trasmissione di messaggi di gioco pseudonimizzati a fornitori di IA per generare risposte narrative, dialoghi dei personaggi e contenuti della storia. Base Giuridica: Articolo 6(1)(b) — il trattamento è necessario per l'esecuzione di un contratto, in quanto le narrazioni generate dall'IA costituiscono la funzione principale del servizio.

Elaborazione dei Pagamenti e Fatturazione. I dati del profilo di fatturazione (nome completo, indirizzo, Paese, codice fiscale, PEC) vengono trattati e le informazioni di pagamento vengono trasmesse al nostro processore di pagamenti per gestire le transazioni, generare fatture e adempiere agli obblighi fiscali. Base Giuridica: Articolo 6(1)(b) — il trattamento è necessario per l'esecuzione di un contratto; e Articolo 6(1)(c) — il trattamento è necessario per adempiere a un obbligo legale previsto dalla normativa fiscale italiana.

Analisi e Miglioramento del Servizio. I dati analitici di utilizzo e i dati raccolti tramite Google Analytics vengono trattati per comprendere le modalità di interazione degli utenti con il servizio, individuare problematiche e migliorare l'esperienza di gioco. Base Giuridica: Articolo 6(1)(f) — il trattamento è necessario per il perseguimento del Legittimo Interesse del Titolare nel miglioramento e nell'ottimizzazione del servizio. È possibile opporsi a tale trattamento in qualsiasi momento.

Sicurezza, Prevenzione delle Frodi e Monitoraggio degli Errori. I dati tecnici vengono trattati tramite Sentry per rilevare errori, prevenire frodi, garantire la sicurezza dei sistemi e mantenere l'affidabilità del servizio. Base Giuridica: Articolo 6(1)(f) — Legittimo Interesse nel mantenimento della sicurezza e dell'integrità del servizio.

Comunicazioni Commerciali. Qualora sia stato prestato esplicito Consenso, l'indirizzo e-mail e il nome potranno essere trattati per l'invio di comunicazioni commerciali. Base Giuridica: Articolo 6(1)(a) — Consenso al trattamento. Il Consenso può essere revocato in qualsiasi momento.

Autenticazione. I dati ricevuti tramite Google OAuth vengono trattati per verificare l'identità dell'utente e consentire l'accesso sicuro. Base Giuridica: Articolo 6(1)(b) — il trattamento è necessario per l'esecuzione di un contratto.

Raccolta Feedback e Miglioramento del Prodotto. Potremmo contattarti tramite l'indirizzo email associato al tuo account per chiederti un feedback sul servizio attraverso sondaggi e moduli di feedback. Raccogliamo inoltre le tue risposte ai prompt di feedback in-game (attivati in momenti specifici del gameplay) e ai moduli di feedback accessibili tramite link diretti. Le risposte ai feedback vengono conservate insieme al tuo identificativo utente e, se inviate durante una sessione di gioco, al contesto della sessione. Utilizziamo questi dati per migliorare il servizio, identificare problemi e migliorare l'esperienza di gioco. Base giuridica: Articolo 6(1)(f) — interesse legittimo a migliorare il nostro servizio e comprendere le esigenze degli utenti. Puoi disattivare le email di feedback in qualsiasi momento contattandoci a [email protected].

4. Come Funziona l'IA nel Gioco

Narraxion è un gioco di ruolo testuale basato sull'intelligenza artificiale. L'esperienza di gioco principale si fonda sull'intelligenza artificiale per la generazione di contenuti narrativi, tra cui la progressione della storia, i dialoghi dei personaggi, le descrizioni delle scene e gli eventi di gioco.

Durante una sessione di gioco, gli input testuali inviati — quali azioni del personaggio, scelte di dialogo e comandi — vengono trasmessi a fornitori di IA terzi (attualmente OpenAI, Anthropic e DeepSeek) per la generazione narrativa. Tuttavia, tali messaggi vengono pseudonimizzati prima della trasmissione. Ciò significa che nessuna informazione personale identificabile — inclusi nome, indirizzo e-mail, identificativo dell'account o qualsiasi altro dato che possa consentire l'identificazione — viene inviata ai fornitori di IA. I fornitori di IA ricevono esclusivamente il contesto narrativo di gioco necessario a generare una risposta coerente.

I fornitori di IA operano rigorosamente in qualità di Responsabili del Trattamento in virtù di accordi contrattuali con Astral Prism Srls. Essi trattano i messaggi di gioco pseudonimizzati esclusivamente ai fini della generazione di risposte narrative e sono contrattualmente vincolati a non utilizzare tali dati per qualsivoglia altra finalità.

I dati dell'utente non vengono utilizzati per l'addestramento di alcun modello di IA. Sono state predisposte garanzie contrattuali e tecniche affinché né i messaggi di gioco inviati né le risposte generate dall'IA vengano utilizzati da alcun fornitore di IA per addestrare, perfezionare o migliorare i propri modelli.

Oltre alla generazione testuale, vengono utilizzati ElevenLabs per la sintesi vocale e Runware per la generazione di immagini di ritratti dei personaggi tramite IA. Anche questi servizi ricevono esclusivamente i contenuti necessari per svolgere la propria funzione e non ricevono alcuna informazione personale identificabile.

Tutti i contenuti generati dall'IA in Narraxion — inclusi testo narrativo, dialoghi dei personaggi, narrazione audio e ritratti dei personaggi — sono chiaramente il prodotto dell'intelligenza artificiale. Utilizzando il servizio, l'utente riconosce e comprende che le narrazioni di gioco sono generate dall'IA.

5. Condivisione con Terze Parti

I Dati Personali non vengono venduti, noleggiati o ceduti a terze parti. I Dati Personali vengono condivisi esclusivamente con le categorie di destinatari di seguito descritte e solo nella misura necessaria per le finalità indicate.

I seguenti fornitori di servizi terzi operano in qualità di Responsabili del Trattamento per conto del Titolare, in virtù di appositi accordi contrattuali:

Stripe (Stati Uniti) — riceve informazioni di pagamento e fatturazione ai fini dell'elaborazione dei pagamenti e della gestione delle transazioni.

Amazon Web Services S3 (Unione Europea, regione di Francoforte) — riceve e archivia file multimediali ai fini della distribuzione e dell'archiviazione dei contenuti.

OpenAI (Stati Uniti) — riceve messaggi di gioco pseudonimizzati (esclusivamente contesto narrativo, senza identificativi personali) ai fini della generazione narrativa tramite IA.

Anthropic (Stati Uniti) — riceve messaggi di gioco pseudonimizzati ai fini della generazione narrativa tramite IA.

DeepSeek (Cina) — riceve messaggi di gioco pseudonimizzati ai fini della generazione narrativa tramite IA.

ElevenLabs (Stati Uniti) — riceve testo narrativo generato dall'IA ai fini della sintesi vocale.

Runware (Stati Uniti) — riceve descrizioni dei personaggi ai fini della generazione di immagini tramite IA.

Sentry (Stati Uniti) — riceve dati tecnici ai fini del monitoraggio degli errori e della segnalazione di malfunzionamenti.

Google Analytics tramite Google Tag Manager (Stati Uniti) — riceve dati di utilizzo anonimizzati ai fini dell'analisi e del miglioramento del servizio.

Google OAuth (Stati Uniti) — facilita l'autenticazione fornendo le informazioni di base del profilo previa autorizzazione dell'utente.

Astral Prism Invoicing (Italia) — riceve i dati del profilo di fatturazione ai fini della generazione delle fatture e della conformità fiscale.

I Dati Personali potranno inoltre essere comunicati qualora ciò sia richiesto dalla legge, da un regolamento, da un procedimento giudiziario o da una richiesta governativa.

6. Trasferimenti Internazionali di Dati

Astral Prism Srls ha sede in Italia, all'interno dello Spazio Economico Europeo (SEE). Alcuni dei fornitori di servizi terzi utilizzati hanno sede al di fuori del SEE, in particolare negli Stati Uniti e in Cina. Quando i Dati Personali vengono trasferiti verso Paesi al di fuori del SEE che non sono stati riconosciuti dalla Commissione Europea come dotati di un livello adeguato di protezione dei dati, vengono garantite misure di salvaguardia adeguate.

Per i trasferimenti verso gli Stati Uniti, ci si avvale delle Clausole Contrattuali Standard (CCS) adottate dalla Commissione Europea ai sensi della Decisione 2021/914 del 4 giugno 2021, integrate ove necessario da ulteriori misure tecniche e organizzative. Ove applicabile, si tiene altresì conto della decisione di adeguatezza relativa al EU-US Data Privacy Framework.

Per i trasferimenti verso la Cina (DeepSeek), ci si avvale delle Clausole Contrattuali Standard (CCS), integrate da una valutazione d'impatto del trasferimento e dalla pseudonimizzazione di tutti i dati trasmessi.

Per i dati archiviati all'interno dell'UE (AWS S3, regione di Francoforte), non sono necessari meccanismi di trasferimento internazionale.

È possibile richiedere una copia delle Clausole Contrattuali Standard pertinenti contattandoci all'indirizzo [email protected].

7. Conservazione dei Dati

I Dati Personali vengono conservati solo per il tempo necessario al conseguimento delle finalità per le quali sono stati raccolti, ovvero per il periodo richiesto dalla normativa applicabile. I periodi di conservazione specifici sono i seguenti:

Dati dell'Account (e-mail, nome, lingua, avatar, ID Google): conservati per tutta la durata dell'account attivo, più 30 giorni successivi alla cancellazione dell'account.

Dati di Gioco (sessioni di gioco, input dell'utente, risposte dell'IA, URL audio, stato del gioco, riepiloghi delle interazioni): conservati per tutta la durata dell'account attivo, più 30 giorni successivi alla cancellazione. Trascorso tale periodo, i dati vengono eliminati in modo permanente.

Dati Analitici: conservati per un massimo di 26 mesi dalla data di raccolta, dopo i quali vengono automaticamente cancellati o anonimizzati.

Registrazioni Contabili e Finanziarie: conservate per 10 anni dalla data della transazione pertinente, come richiesto dalla normativa fiscale italiana (Articolo 2220 del Codice Civile).

Log degli Errori e Report di Malfunzionamento (Sentry): conservati per 90 giorni dalla data di raccolta.

Cookie: i periodi di conservazione sono dettagliati nella Cookie Policy separata.

Alla scadenza del periodo di conservazione applicabile, i Dati Personali vengono cancellati in modo sicuro o anonimizzati in modo irreversibile.

8. Diritti dell'Interessato

Ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR), l'interessato gode dei seguenti diritti:

Diritto di Accesso (Articolo 15): ottenere la conferma che sia o meno in corso un trattamento dei propri Dati Personali e, in caso affermativo, accedere ai Dati Personali.

Diritto di Rettifica (Articolo 16): richiedere la rettifica dei Dati Personali inesatti e l'integrazione dei Dati Personali incompleti.

Diritto alla Cancellazione (Articolo 17): richiedere la cancellazione dei propri Dati Personali quando non sono più necessari per le finalità per le quali sono stati raccolti, il Consenso è stato revocato o i dati sono stati trattati illecitamente.

Diritto alla Limitazione del Trattamento (Articolo 18): richiedere la limitazione del trattamento in determinate circostanze.

Diritto alla Portabilità dei Dati (Articolo 20): ricevere i propri Dati Personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Diritto di Opposizione (Articolo 21): opporsi in qualsiasi momento al trattamento basato sul Legittimo Interesse.

Diritto di Revoca del Consenso (Articolo 7): revocare il Consenso in qualsiasi momento senza pregiudizio per la liceità del trattamento precedente.

Per esercitare tali diritti, inviare una richiesta a [email protected]. Verrà fornito riscontro entro 30 giorni dal ricevimento. In circostanze eccezionali, tale termine potrà essere prorogato di ulteriori 60 giorni.

Per proporre reclamo: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, Italia, www.garanteprivacy.it.

9. Cancellazione dell'Account

È possibile richiedere la cancellazione del proprio account Narraxion in qualsiasi momento tramite la funzionalità self-service disponibile nelle impostazioni dell'app.

All'avvio della procedura di cancellazione:

Tutti i Dati Personali dell'account verranno cancellati in modo permanente entro 30 giorni dalla richiesta.

Tutti i dati di gioco verranno cancellati in modo permanente e irreversibile entro lo stesso periodo di 30 giorni.

I dati analitici associati all'account verranno anonimizzati.

Le registrazioni contabili e finanziarie che devono essere conservate ai sensi della normativa fiscale italiana verranno trasferite in un archivio ad accesso limitato per il periodo previsto dalla legge (10 anni).

Trascorso il periodo di cancellazione di 30 giorni, il recupero dell'account non è più possibile.

10. Cookie e Tracciamento

Narraxion utilizza cookie e tecnologie di tracciamento similari sul proprio sito web.

Cookie Essenziali: strettamente necessari per il funzionamento del servizio. Non è richiesto alcun Consenso.

Cookie Analitici: Google Analytics, implementato tramite Google Tag Manager, per raccogliere statistiche di utilizzo anonimizzate. Installati solo previo Consenso dell'utente.

Per informazioni complete, si rimanda alla Cookie Policy separata, accessibile dal footer del sito web.

11. Minori

Narraxion è progettato e destinato esclusivamente a utenti che abbiano compiuto i 18 anni di età. Il servizio contiene contenuti narrativi generati dall'IA che possono includere tematiche per un pubblico adulto e non è destinato a bambini o minori.

Non vengono consapevolmente raccolti, utilizzati o divulgati Dati Personali di soggetti di età inferiore ai 18 anni.

Qualora si venga a conoscenza di aver inavvertitamente raccolto Dati Personali di un soggetto di età inferiore ai 18 anni, verranno adottate misure immediate per la chiusura dell'account e la cancellazione permanente di tutti i Dati Personali. Contattarci all'indirizzo [email protected] per segnalazioni.

12. Sicurezza

La sicurezza dei Dati Personali è una priorità e vengono implementate misure tecniche e organizzative adeguate.

Misure Tecniche: cifratura in transito tramite TLS 1.2 o superiore, cifratura a riposo, controlli di autenticazione avanzati, segmentazione della rete e regole firewall. Revisioni periodiche della sicurezza.

Misure Organizzative: accesso limitato secondo il principio della stretta necessità di conoscenza. Formazione del personale sugli obblighi di protezione dei dati.

Nessun metodo di trasmissione o archiviazione elettronica è completamente sicuro. In caso di violazione dei Dati Personali che presenti un rischio elevato, verranno notificati l'interessato e l'autorità di controllo competente conformemente agli Articoli 33 e 34 del GDPR.

13. Disposizioni Regionali

Residenti in California (CCPA/CPRA)

Per i residenti in California, il CCPA/CPRA prevede diritti aggiuntivi. Le categorie di dati raccolti sono descritte nella Sezione 2. Non vengono venduti dati personali né condivisi per pubblicità comportamentale. Contattare [email protected] per esercitare i propri diritti.

Residenti nel Regno Unito

Il UK GDPR e il Data Protection Act 2018 si applicano al trattamento. I diritti sono analoghi a quelli della Sezione 8. Per reclami: Information Commissioner's Office (ICO), ico.org.uk.

Residenti in Brasile (LGPD)

La Lei Geral de Proteção de Dados prevede diritti di accesso, rettifica, cancellazione, portabilità e revoca del consenso. Contattare [email protected]. Per reclami: Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.

14. Conformità al Regolamento Europeo sull'Intelligenza Artificiale

Narraxion utilizza sistemi di intelligenza artificiale per la generazione di narrazioni a scopo di intrattenimento. Ai sensi del Regolamento (UE) 2024/1689 (Regolamento Europeo sull'Intelligenza Artificiale), i sistemi di IA utilizzati in Narraxion sono classificati a rischio minimo.

Tutte le narrazioni di gioco, i dialoghi, le descrizioni e i contenuti sono generati dall'intelligenza artificiale. Gli utenti vengono informati di ciò al momento della registrazione e durante l'esperienza di gioco.

Non vengono utilizzati sistemi di IA per la profilazione degli utenti, la generazione di punteggi di rischio, l'adozione di decisioni automatizzate con effetti giuridici o l'identificazione biometrica in tempo reale.

La supervisione umana è garantita tramite i sistemi di guardrail sui contenuti.

15. Modifiche alla Presente Informativa

La presente Informativa sulla Privacy potrà essere aggiornata periodicamente.

Per le modifiche sostanziali verrà fornito un preavviso di almeno 30 giorni tramite e-mail.

Per le modifiche non sostanziali, l'informativa potrà essere aggiornata senza preavviso. La data dell'ultima revisione sarà sempre indicata in cima alla pagina.

L'utilizzo continuativo di Narraxion dopo la data di efficacia delle modifiche costituisce accettazione delle stesse.

16. Contatti

Per qualsiasi domanda, dubbio o richiesta:

Astral Prism Srls Piazza Roma 5, 00015 Monterotondo (RM), Italia

PIVA/CF: 18380411001 REA: RM-1781416

E-mail: [email protected]