Ondum
Documento legale

Informativa sul trattamento dei dati personali

Ondum — App di auto-aiuto per il Disturbo Ossessivo-Compulsivo · App it.stefer.Ondum · Versione 1.0 · Data di efficacia: 16 maggio 2026

Documento bilingue italiano/inglese. In caso di divergenza interpretativa fa fede la versione italiana per gli utenti con residenza nell'Unione Europea.

Read this policy in English →

1. Titolare del trattamento

Il titolare del trattamento dei dati personali ai sensi dell'art. 4, n. 7 del Regolamento (UE) 2016/679 (di seguito "GDPR") è Stefano Ferri. Contatto privacy: privacy@ondum.app.

Assenza di DPO: il titolare non è tenuto alla designazione di un Responsabile della Protezione dei Dati ai sensi dell'art. 37 GDPR. Non è stato nominato alcun DPO.

2. Premessa e natura dell'applicazione

Ondum è un'applicazione di auto-aiuto e benessere mentale basata sul protocollo ERP (Exposure and Response Prevention) per persone che convivono con il Disturbo Ossessivo-Compulsivo (DOC).

Ondum non è un dispositivo medico ai sensi del Regolamento (UE) 2017/745 (MDR) e non costituisce diagnosi clinica, prescrizione terapeutica né sostituto del supporto di professionisti della salute mentale.

Architettura privacy-first — on-device by design: tutti i dati sono trattati esclusivamente sul dispositivo dell'utente, in un contenitore cifrato. Il titolare non gestisce server propri e non riceve alcun dato personale dall'utente, salvo le eccezioni espressamente indicate nella presente informativa.

3. Categorie di dati trattati, finalità e base giuridica

3.1 Avvertenza — Categorie particolari di dati (art. 9 GDPR)

La natura dell'applicazione comporta il trattamento di dati relativi alla salute mentale dell'utente, qualificabili come categorie particolari di dati personali ai sensi dell'art. 9 GDPR. Rientrano in questa categoria, a titolo esemplificativo e non esaustivo:

  • valutazioni della severità del DOC (scala Y-BOCS);
  • contenuto delle ossessioni e delle compulsioni (anche in forma di testo libero);
  • diari di esposizione e relative note soggettive;
  • pensieri intrusivi e schede di ristrutturazione cognitiva;
  • note di crisi;
  • parametri biometrici (analisi del sonno, variabilità della frequenza cardiaca).

La base giuridica per il trattamento di queste categorie particolari è il consenso esplicito dell'interessato ai sensi dell'art. 9, par. 2, lett. a) GDPR. Il consenso è acquisito in forma granulare, separata per finalità, tramite il sistema di gestione del consenso integrato nell'applicazione (ConsentLog), con tracciatura di timestamp e versione della policy. Il consenso è liberamente revocabile in qualsiasi momento senza pregiudizio per la liceità del trattamento anteriore alla revoca.

3.2 Dati trattati on-device (contenitore cifrato)

Tutti i dati trattati sono archiviati esclusivamente sul dispositivo dell'utente nel contenitore applicativo protetto con FileProtectionType.complete (cifratura a riposo subordinata al blocco schermo). Le categorie trattate, con le rispettive finalità e basi giuridiche:

  • Profilo utente: identificativo locale, nome visualizzato (opzionale), data creazione, livello severità DOC, modalità di supporto, stato terapia farmacologica (sì/no), lingua. Finalità: personalizzazione del percorso. Base giuridica: art. 9(2)(a) — consenso esplicito.
  • Profilo DOC: punteggio Y-BOCS, livello di severità, sottotipi dominanti. Finalità: valutazione e monitoraggio. Base giuridica: art. 9(2)(a).
  • Ossessioni e compulsioni: sottotipo/tipo, testo libero, intensità SUDS, durata e frequenza. Finalità: gerarchia di esposizione e riduzione rituale. Base giuridica: art. 9(2)(a).
  • Gerarchia e sessioni di esposizione: descrizione situazioni temute, SUDS pre/picco/post, modalità di risposta, note soggettive. Finalità: pianificazione e tracciamento ERP. Base giuridica: art. 9(2)(a).
  • Schede cognitive: pensiero intrusivo, significato erroneo/realistico, evidenze. Finalità: ristrutturazione cognitiva. Base giuridica: art. 9(2)(a).
  • Check-in giornalieri: umore, ansia, compulsioni, temi, minuti rituali, tolleranza incertezza, note, ore di sonno e HRV SDNN (da HealthKit, opt-in separato). Finalità: monitoraggio longitudinale. Base giuridica: art. 9(2)(a); HealthKit: consenso separato.
  • Diario crisi: data episodio, risorsa usata, note. Finalità: supporto nei momenti di crisi. Base giuridica: art. 9(2)(a).
  • Traguardi e progressi formativi: tipo traguardo, avanzamento lezioni, risposte quiz. Finalità: motivazione e fruizione contenuti. Base giuridica: art. 6(1)(b) — esecuzione del servizio.
  • Registro consensi: timestamp e versione policy per ciascun consenso, registro append-only immutabile. Finalità: accountability artt. 7 e 24. Base giuridica: art. 6(1)(c) — obbligo legale.

Campi a testo libero: diversi campi accettano testo libero (ossessioni, compulsioni, descrizioni di situazioni temute, note sessione, note crisi, schede cognitive) che può contenere informazioni estremamente sensibili. Sono trattati con il massimo livello di protezione tecnica disponibile e non lasciano il dispositivo senza azione esplicita e volontaria dell'utente.

3.3 Widget di sistema

Il widget legge dal contenitore App Group condiviso dati minimali (streak, stato check-in odierno, etichetta dell'item suggerito, SUDS suggerito) che possono essere visibili nella schermata Home o di blocco in funzione della configurazione scelta dall'utente. Sono rimossi integralmente in caso di cancellazione dei dati (wipe GDPR).

4. Trattamenti effettuati da soggetti terzi

Apple HealthKit: previo consenso esplicito e separato, Ondum legge in sola lettura analisi del sonno e variabilità della frequenza cardiaca (HRV SDNN). I dati restano sul dispositivo e nell'ecosistema Apple, non sono trasmessi al titolare né a terzi; consenso revocabile in Impostazioni iOS → Salute → Condivisione dati → Ondum.

Apple CloudKit (sync iCloud), TelemetryDeck (analytics), RevenueCat (acquisti in-app) e Anthropic (AI Coach) non sono attivi nella versione corrente: nessun dato è trasmesso a tali servizi. Un'eventuale attivazione futura sarà preceduta dall'aggiornamento della presente informativa e dalla raccolta del relativo consenso.

Apple App Store / TestFlight e l'infrastruttura di sistema Apple trattano dati relativi a download/acquisto e dati tecnici minimi (crash, performance) secondo le informative Apple, se l'utente ha acconsentito alla condivisione della diagnostica. Il titolare non controlla né riceve tali dati direttamente.

5. Trasferimento dei dati

Nessun dato personale viene trasferito al titolare. Tutti i dati rimangono sul dispositivo dell'utente; il titolare non effettua trasferimenti verso Paesi terzi. I dati eventualmente trattati da Apple possono essere soggetti a trasferimento extra-UE/SEE nell'ambito delle garanzie contrattuali standard di Apple Inc., in conformità alle decisioni di adeguatezza e alle clausole contrattuali tipo applicabili ai sensi del Capo V GDPR.

6. Conservazione dei dati

I dati sono conservati esclusivamente sul dispositivo per l'intera durata dell'utilizzo. Non esistono database o sistemi di storage del titolare. I dati sono eliminati: (a) su richiesta esplicita dell'utente tramite la funzione "Cancella tutti i dati" (wipe completo ai sensi dell'art. 17 GDPR: dati app, file temporanei, stato widget); (b) alla disinstallazione dell'applicazione. Non è previsto alcun periodo minimo di conservazione obbligatoria da parte del titolare.

7. Esportazione e condivisione volontaria

Portabilità (art. 20): l'utente può esportare in qualsiasi momento l'intero archivio in formato .json machine-readable dalle impostazioni dell'app. È inoltre generabile un report PDF settimanale per la condivisione con il proprio terapeuta. Una volta esportato o condiviso dall'utente, il file esce dal perimetro di protezione tecnica garantito da Ondum; il titolare non è responsabile del trattamento successivo. I file temporanei sono rimossi automaticamente in caso di wipe GDPR.

8. Misure di sicurezza tecnica (art. 32 GDPR)

  • Cifratura a riposo (FileProtectionType.complete): dati cifrati e inaccessibili a dispositivo bloccato.
  • Nessun SDK di tracking pubblicitario, analytics comportamentale o cross-app.
  • Nessuna profilazione automatizzata (art. 22 GDPR).
  • Privacy Manifest conforme: NSPrivacyTracking = false, nessun dato raccolto dallo sviluppatore.
  • Nessun account remoto: identità dell'utente esclusivamente locale.

9. Diritti dell'interessato (artt. 15–22 GDPR)

  • Accesso (art. 15): visualizzazione in-app + export .json completo.
  • Rettifica (art. 16): modifica diretta in-app in qualsiasi momento.
  • Cancellazione (art. 17): "Cancella tutti i dati" — wipe completo e irreversibile.
  • Limitazione (art. 18): non applicabile in architettura on-device (controllo diretto e immediato dell'utente).
  • Portabilità (art. 20): export .json machine-readable.
  • Opposizione (art. 21): non applicabile (nessun trattamento su legittimo interesse).
  • Revoca del consenso (art. 7.3): in qualsiasi momento dalla sezione Consensi nelle impostazioni, senza pregiudizio per la liceità del trattamento anteriore.
  • Decisioni automatizzate (art. 22): garantita assenza di profilazione automatizzata con effetti giuridici o analoghi.

Per l'esercizio di diritti non gestibili direttamente in-app: privacy@ondum.app. L'utente ha altresì il diritto di proporre reclamo all'autorità di controllo competente. Per gli utenti residenti in Italia: Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma — garanteprivacy.it. Per gli utenti residenti in altri Stati membri UE/SEE è competente l'autorità dello Stato di residenza abituale.

10. Minori

Ondum è destinata esclusivamente a utenti di età pari o superiore a 18 (diciotto) anni. Il titolare non raccoglie consapevolmente dati personali di soggetti minori di età. Qualora il titolare venisse a conoscenza di dati personali di minori trattati in assenza del consenso dei genitori o tutori legali, provvederà alla loro cancellazione immediata e definitiva. Segnalazioni: privacy@ondum.app.

11. Funzionalità future — BuddyLink

È prevista, in una versione futura, la funzionalità BuddyLink, che consentirà di designare una persona di fiducia con cui condividere selettivamente parte del proprio percorso. Comporterà il trattamento di dati personali di un soggetto terzo (nome e recapito del buddy). Non è attiva nella versione corrente. Prima dell'attivazione la presente informativa sarà aggiornata e integrata con base giuridica, modalità di consenso/garanzie verso il terzo e ambito della condivisione.

12. Modifiche alla presente informativa

Il titolare si riserva il diritto di aggiornare la presente informativa in caso di modifiche all'architettura tecnica, attivazione di nuove funzionalità o variazioni normative. Gli aggiornamenti saranno comunicati tramite notifica in-app; laddove le modifiche riguardino le condizioni essenziali del trattamento (art. 13 GDPR) sarà acquisito un nuovo consenso esplicito prima dell'entrata in vigore. La versione vigente è sempre disponibile a ondum.app/privacy e accessibile dall'interno dell'applicazione.

13. Contatti

Titolare del trattamento: Stefano Ferri. Email privacy: privacy@ondum.app.

Versione 1.0 — 16 maggio 2026. La versione integrale bilingue (italiano/inglese) è il documento di riferimento; questa pagina ne riproduce la parte italiana.