🇮🇹 IT
Sub-responsabili del trattamento
Questa pagina elenca i fornitori di servizi terzi («sub-responsabili» ai sensi dell'art. 28 GDPR) che processano dati personali per conto di Strenqo.
1. Premessa
Strenqo è edito e gestito da Andreas Mondo (ditta individuale italiana, in qualità di titolare del trattamento).
Visualizza dati anagrafici e fiscali
Andreas Mondo (ditta individuale) · Via Pianezza 16, 10040 Givoletto (TO), Italia · P. IVA IT13352600012 · C.F. MNDNRS05B17L219J · Email strenqo-support@strenqo.eu · PEC andreasmondo@ultracert.it
L'elenco riflette lo stato al 2026-05-24. Eventuali nuovi sub-responsabili saranno notificati agli utenti con preavviso ragionevole.
2. Sub-responsabili attivi
2.1 Supabase
- Ragione sociale: Supabase Inc. · Sede: Stati Uniti (Delaware)
- Paese di hosting dati: Unione Europea (
eu-west-1) - Finalità: database PostgreSQL, autenticazione, Storage, Edge Functions, sincronizzazione realtime
- Categorie dati: tutti i dati utente (profilo, allenamenti, nutrizione, body check-in, foto, conversazioni AI Coach)
- Trasferimento: nessun trasferimento extra-UE per i dati a riposo. Supporto da Supabase Inc. (USA) regolato da DPA con SCC
- supabase.com · privacy
2.2 OpenAI
- Ragione sociale: OpenAI, L.L.C. (USA) e OpenAI Ireland Ltd (UE)
- Paese di hosting dati: Stati Uniti, con processing iniziale a Dublino per utenti EU
- Finalità: AI Coach, analisi foto cibo, generazione piani
- Categorie dati: testo conversazioni, foto cibo, contesto utente (profilo, allenamenti, peso) — solo con consenso esplicito
- Trasferimento: EU-US DPF + SCC. OpenAI iscritta alla DPF Participants List
- openai.com · DPA
Nota su coach-micro: al 2026-05-24 la funzionalità «micro hint» non invia dati a OpenAI; la funzione lato server non è deployata e l'app usa un template locale di fallback.
2.3 RevenueCat
- Ragione sociale: RevenueCat, Inc. · Sede / hosting: Stati Uniti
- Finalità: gestione abbonamenti Pro. Alla cancellazione account, il subscriber RevenueCat viene cancellato in cascata via API
- Categorie dati: UUID utente, stato abbonamento, identificativo prodotto, eventi del ciclo di abbonamento
- Trasferimento: SCC nel DPA di RevenueCat
- Note: non riceve dati di pagamento (Apple/Google IAP) né dati salute
- revenuecat.com · DPA
2.4 Resend
- Ragione sociale: Resend, Inc. · Sede / hosting: Stati Uniti
- Finalità: email transazionali (conferma cancellazione account, notifiche aggiornamento policy). Non utilizzato per email marketing
- Categorie dati: indirizzo email destinatario, contenuto delle email transazionali
- Trasferimento: EU-US DPF (+ UK Extension) + SCC. Resend certificata sulla DPF Participants List
- resend.com · DPA
2.5 Sentry
- Ragione sociale: Functional Software, Inc. (operante in UE come Sentry GmbH)
- Paese di hosting dati: Unione Europea — Germania (
ingest.de.sentry.io) - Finalità: crash reporting e diagnostica errori — solo con consenso esplicito
- Categorie dati: stack trace, breadcrumb, versione app, modello dispositivo, OS, identificatore utente pseudonimo (UUID, non email). PII redatte tramite filtro
beforeSend. La redazione è una mitigazione, non una garanzia - Trasferimento: nessun trasferimento extra-UE
- sentry.io · DPA
2.6 Apple
- Ragione sociale: Apple Inc. (USA) / Apple Distribution International Ltd (Irlanda, per utenti UE)
- Finalità: distribuzione App Store, IAP, push notification (APNs), HealthKit on-device, Sign in with Apple
- Categorie dati: Apple ID (per IAP), push token, dati salute on-device (non trasferiti ad Apple da Strenqo)
- Trasferimento: adeguatezza UE (Irlanda) / DPF + Apple Developer Program
- privacy
2.7 Google
- Ragione sociale: Google LLC (USA) / Google Ireland Ltd (Irlanda, per utenti UE)
- Finalità: Google Play, IAP, push notification (FCM), Health Connect on-device, Google Maps SDK
- Categorie dati: Google Account (per IAP), push token, dati salute on-device, coordinate GPS (solo se usi rotte cardio outdoor)
- Trasferimento: EU-US DPF + SCC
- privacy
2.8 OpenFoodFacts
- Ragione sociale: Open Food Facts (associazione no-profit) · Sede / hosting: Francia (UE)
- Finalità: database alimentare pubblico (ricerca testo / barcode)
- Categorie dati: nessun dato personale dell'utente Strenqo — le query contengono solo testo libero o barcode
- Trasferimento: nessun trasferimento extra-UE
- openfoodfacts.org
2.9 ipwho.is
- Sede / hosting: Stati Uniti
- Finalità: geolocalizzazione IP — fallback primario per dedurre il codice paese di residenza quando i fallback locali sono insufficienti
- Categorie dati: solo indirizzo IP. Nessun identificatore utente, nessun dato salute, nessun cookie
- Trasferimento: SCC standard del provider
- ipwho.is
2.10 ipapi.co
- Ragione sociale: Kickfire LLC · Sede / hosting: Stati Uniti
- Finalità: geolocalizzazione IP — fallback secondario, usato solo se ipwho.is fallisce
- Categorie dati: solo indirizzo IP
- Trasferimento: SCC standard del provider
- ipapi.co
2.11 Expo (EAS + Auth Proxy)
- Ragione sociale: Expo, Inc. · Sede / hosting: Stati Uniti
- Finalità:
- Auth Proxy: durante «Sign in with Google», il codice OAuth transita attraverso
auth.expo.ioprima di essere scambiato per il token finale - Expo Application Services (EAS): infrastruttura di build e OTA updates
- Auth Proxy: durante «Sign in with Google», il codice OAuth transita attraverso
- Categorie dati (auth proxy): codice OAuth di autorizzazione Google e refresh-token in transit. Non riceve dati salute
- Trasferimento: EU-US DPF + SCC
- expo.dev
3. Fonti dati di terzi via OAuth (titolari autonomi)
I provider elencati di seguito non sono responsabili del trattamento di Strenqo ai sensi dell'art. 28 GDPR. Sono titolari autonomi del trattamento dei dati raccolti dal tuo dispositivo wearable. Previa tua autorizzazione tramite OAuth, trasmettono un sottoinsieme di tali dati al nostro backend, dove Strenqo diventa titolare della copia importata. Li elenchiamo qui, accanto ai nostri sub-responsabili, per piena trasparenza sul flusso dei dati.
3.1 Whoop
- Ragione sociale: Whoop, Inc.
- Sede: Stati Uniti (Boston, Massachusetts)
- Paese di hosting dati (loro lato): Stati Uniti
- Loro ruolo: titolare autonomo del trattamento (raccoglie dati dalla tua Whoop strap in base alla propria informativa privacy)
- Dati che riceviamo dopo il tuo consenso OAuth: HRV grezza (RMSSD), frequenza cardiaca a riposo, stadi del sonno (durate deep/REM/light/awake/in_bed/asleep), deviazione della temperatura del polso, campioni di frequenza cardiaca per allenamento (ove esposti dall'API), timestamp di inizio/fine allenamento e tipo di sport
- Dati che deliberatamente NON riceviamo: Whoop recovery score, strain score (0–21), sleep performance score, day strain — ossia tutte le loro metriche derivate proprietarie
- Meccanismo di trasferimento (provider → Strenqo): SCC nell'accordo di condivisione dati dell'API Whoop; la copia importata è poi conservata sul nostro backend Supabase (UE)
- Revoca: Profilo → Salute connessa → Disconnetti (revoca il refresh token sia sul nostro backend sia presso Whoop); anche revocabile dalla dashboard del tuo account Whoop
- whoop.com · privacy
3.2 Oura
- Ragione sociale: Ōura Health Oy
- Sede: Finlandia (Oulu) — Unione Europea
- Paese di hosting dati (loro lato): Unione Europea (Finlandia)
- Loro ruolo: titolare autonomo del trattamento
- Dati che riceviamo dopo il tuo consenso OAuth: HRV grezza, frequenza cardiaca a riposo, stadi del sonno, letture SpO₂, metadati dell'allenamento, deviazione della temperatura del polso
- Dati che deliberatamente NON riceviamo: Oura readiness score, sleep score, activity score
- Meccanismo di trasferimento: intra-UE (Oura è titolare UE). La nostra copia è ospitata in Supabase UE
- Revoca: Profilo → Salute connessa → Disconnetti; anche revocabile dalla dashboard del tuo account Oura
- ouraring.com · privacy
3.3 Clausola tipo — provider cloud wearable futuri
Strenqo potrà, in futuro, integrare ulteriori piattaforme cloud wearable secondo lo stesso modello OAuth (esempi includono Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health). Quando ciò accadrà:
- Il provider sarà aggiunto a questa sezione con lo stesso livello di dettaglio (ragione sociale, sede, paese di hosting dati, dati che riceviamo, dati che non riceviamo, meccanismo di trasferimento, modalità di revoca).
- Gli utenti saranno notificati in anticipo tramite l'Edge Function
notify-policy-updatee/o in-app. - Si applica il medesimo principio: Strenqo importa soltanto i dati biometrici grezzi strettamente necessari ai propri algoritmi; non importiamo gli score proprietari del provider.
- Ciascun provider resta titolare autonomo. Non sono responsabili del trattamento ai sensi dell'art. 28.
4. Sub-responsabili che NON utilizziamo
Per trasparenza, Strenqo non si avvale di:
- SDK pubblicitari di terze parti (AdMob, Meta Audience Network, Unity Ads, AppLovin, IronSource)
- SDK di analytics di terze parti (Google Analytics for Firebase, Mixpanel, Amplitude, PostHog, Heap)
- SDK di attribution / mobile measurement (AppsFlyer, Adjust, Branch, Singular)
- Tracker comportamentali (Facebook SDK, TikTok SDK)
- Servizi di profilazione cross-context per marketing
5. Riepilogo per tipologia di dato
| Tipo di dato | Sub-responsabili che lo vedono | Note |
|---|---|---|
| Profilo, allenamenti, nutrizione, peso, foto | Supabase (UE) | Hosting completo |
| Conversazioni AI Coach + contesto utente | Supabase (UE) + OpenAI (USA) | OpenAI solo se toggle «Consenso dati AI» attivo (default attivo) |
| UUID per abbonamento | Supabase (UE) + RevenueCat (USA) | Solo abbonati Pro; cancellato in cascata al delete |
| Email transazionali | Resend (USA) | Solo transazionali, mai marketing. Localizzate in 8 lingue |
| Crash report | Sentry (UE/Germania) | Solo se toggle attivo; default geo-differenziato |
| Push token | Apple (USA) / Google (USA) | Solo se notifiche abilitate |
| Coordinate GPS (rotte cardio outdoor) | Google Maps SDK (USA) | GPS Clip 200m applicabile |
| Ricerca alimenti | OpenFoodFacts (FR) | Nessun PII utente trasmesso |
| Indirizzo IP (geolocalizzazione) | ipwho.is, ipapi.co (USA) | Solo se fallback locali insufficienti |
| Codice OAuth (Sign in with Google) | Expo Auth Proxy (USA) | Solo durante login Google |
| Dati biometrici grezzi da cloud wearable (HRV, stadi del sonno, campioni HR) | Whoop (USA), Oura (UE) — vedi par. 3 | Titolari autonomi; i dati arrivano solo dopo consenso esplicito OAuth; gli score proprietari del provider NON sono importati |
6. Notifica di modifiche
Aggiungeremo, rimuoveremo o sostituiremo sub-responsabili solo per esigenze operative legittime. La data in alto verrà aggiornata. Per modifiche significative gli utenti saranno notificati via email e/o in-app. L'utente può sempre revocare il consenso ai trattamenti opzionali o eliminare l'account.
7. Contatti
- Titolare: Andreas Mondo (ditta individuale) — Via Pianezza 16, 10040 Givoletto (TO), Italia
- Email: strenqo-support@strenqo.eu
- PEC: andreasmondo@ultracert.it
- DPO: non designato (vedi Privacy Policy par. 1)