Informativa sulla privacy
Ultimo aggiornamento: 14.05.2026
Conforme alla nuova legge federale sulla protezione dei dati (nLPD, CH) e al Regolamento generale sulla protezione dei dati (RGPD, UE/SEE).
1. Oggetto
La presente informativa sulla privacy descrive le modalità con cui IntimX raccoglie, tratta, conserva e protegge i vostri dati personali quando utilizzate il Servizio accessibile all'indirizzo intimx.ch. Si applica a tutti gli utenti (membri, prestatori, stabilimenti), indipendentemente dal possesso di un account. I termini definiti nelle Condizioni generali d'uso (CGU) si applicano per rinvio.
2. Titolare del trattamento
Il titolare del trattamento ai sensi dell'art. 5 let. j nLPD e dell'art. 4 par. 7 RGPD è: N.JULIEN Sion (VS), Svizzera Nome commerciale: Artenic Contatto protezione dei dati: privacy@intimx.ch L'Editore non ha designato un responsabile della protezione dei dati (DPO) ai sensi dell'art. 10 nLPD, non essendo tale designazione obbligatoria. Per qualsiasi domanda relativa ai vostri dati, rivolgetevi direttamente a privacy@intimx.ch.
3. Basi giuridiche del trattamento
I trattamenti di dati effettuati da IntimX si basano sulle seguenti basi giuridiche: — Esecuzione del contratto (art. 6 al. 1 let. b RGPD / art. 31 al. 1 nLPD): iscrizione, gestione dell'account, messaggistica, abbonamenti, fatturazione. — Interessi legittimi prevalenti (art. 6 al. 1 let. f RGPD / art. 31 al. 1 nLPD): sicurezza del Servizio, prevenzione delle frodi, statistiche aggregate, miglioramento del Servizio. — Obbligo legale (art. 6 al. 1 let. c RGPD / art. 31 al. 1 nLPD): conservazione dei dati transazionali (CO art. 958f), cooperazione con le autorità. — Consenso (art. 6 al. 1 let. a RGPD / art. 31 al. 1 nLPD): cookie analitici, notifiche push, comunicazioni di marketing.
4. Dati raccolti
Dati di iscrizione: — Tutti i ruoli: indirizzo e-mail, password (hash Argon2id, mai conservata in chiaro), nome visualizzato, lingua preferita, marca temporale dell'accettazione delle CGU e dell'informativa sulla privacy. — Membro e prestatore: data di nascita (verifica 18+). — Prestatore: categoria, tipo di servizio, biografia, attributi fisici, tariffe, disponibilità, recapiti pubblici. — Stabilimento: categoria, metadati commerciali, recapiti pubblici, link social. Dati di utilizzo: — Registri di accesso: indirizzo IP, user-agent, geolocalizzazione (città, paese) — conservati 90 giorni. — Sessioni: impronta del token di aggiornamento (SHA-256), hash IP e user-agent (SHA-256), contesto geografico, informazioni sul dispositivo (browser, sistema operativo). — Dispositivi attendibili: impronta del dispositivo (SHA-256), informazioni sul dispositivo (browser, sistema operativo, mobile). — Messaggistica: contenuto dei messaggi (max. 5.000 caratteri), marca temporale, identificativi di conversazione. — Galleria: immagini (JPEG, PNG, WebP, HEIC, max. 8 MB), metadati dei file. — Statistiche del profilo: contatori aggregati (visualizzazioni, clic) per giorno — nessun dato individuale sui visitatori. — Presenza: ultimo accesso (aggiornato via WebSocket). — Notifiche push (opt-in): URL di endpoint fornita dal browser (Firebase, Mozilla Push, Apple Push), chiavi crittografiche pubbliche (p256dh, auth) utilizzate per cifrare le notifiche, timestamp di iscrizione. L'iscrizione può essere annullata in qualsiasi momento dalle impostazioni del browser o dell'account. Dati sensibili (vault crittografato): — Verifica dell'identità (KYC, volontaria): nome, cognome, data di nascita, telefono, indirizzo — crittografati AES-256-GCM. — Documenti KYC: file crittografati conservati separatamente. Dati di pagamento: — Identificativi Stripe (customer ID, payment intent ID). IntimX non raccoglie né conserva mai i dati della vostra carta di credito.
5. Cookie e tecnologie simili
IntimX utilizza i seguenti cookie: Cookie essenziali (senza consenso, art. 45c al. 2 LTC): — ix_access: token di accesso JWT. Durata: 1 ora. HttpOnly, Secure, SameSite=Strict. — ix_refresh: token di aggiornamento JWT. Durata: 7 giorni (30 giorni con «Ricordami»). HttpOnly, Secure, SameSite=Lax. — ix_csrf: token CSRF. Durata: sessione. Accessibile a JavaScript per la validazione dei moduli. — ix_age: verifica dell'età (art. 197 CP). Durata: 365 giorni. Valore: conferma della maggiore età. Cookie analitici (solo previo consenso): — Attualmente non sono utilizzati cookie analitici di terze parti. Qualora in futuro venisse integrato un servizio di analisi, verrà richiesto il vostro consenso esplicito. Potete configurare il vostro browser per rifiutare i cookie. Il rifiuto dei cookie essenziali rende impossibile l'utilizzo del Servizio (autenticazione necessaria).
6. Finalità del trattamento
I vostri dati sono trattati per le seguenti finalità: — Fornitura del Servizio: creazione e gestione del vostro account, visualizzazione del vostro profilo, messaggistica tra utenti, gestione delle prenotazioni. — Abbonamenti e pagamenti: elaborazione dei pagamenti tramite Stripe, attivazione e gestione degli abbonamenti Premium/VIP. — Sicurezza: verifica dell'età, verifica dell'e-mail, rilevamento di accessi sospetti, blocco dell'account, gestione dei dispositivi attendibili. — Moderazione: trattamento delle segnalazioni, contrasto ai contenuti illeciti, cooperazione con le autorità. — Comunicazione: e-mail transazionali (verifica, password, abbonamento, prenotazione), notifiche integrate. — Statistiche: contatori aggregati delle consultazioni dei profili (visualizzazioni, clic). Nessuna profilazione individuale. — Conformità legale: conservazione dei dati transazionali, registri di audit, prova del consenso.
7. Destinatari e responsabili del trattamento
I vostri dati possono essere comunicati ai seguenti destinatari: — Stripe, Inc. (San Francisco, USA): elaborazione dei pagamenti con carta di credito. Stripe agisce come contitolare del trattamento per i dati di pagamento. Informativa sulla privacy: stripe.com/privacy. Il trasferimento verso gli USA è disciplinato dalle clausole contrattuali tipo della Commissione europea. — Infomaniak Network SA (Ginevra, Svizzera): hosting dell'infrastruttura (server, database PostgreSQL, object storage S3, servizio e-mail transazionale). Tutti i dati sono ospitati in Svizzera. — GeoIP (database locale): risoluzione della geolocalizzazione (città, paese) a partire dall'indirizzo IP. Nessuna trasmissione a terzi — la base di dati è integrata nell'applicazione. — Telegram (opzionale): notifiche di allerta agli amministratori per gli eventi di sicurezza. Nessun dato utente viene trasmesso. — Autorità competenti: su richiesta legale conforme al diritto svizzero. IntimX non vende, non affitta e non condivide mai i vostri dati personali a fini pubblicitari o commerciali.
8. Trasferimenti internazionali
Tutti i dati trattati da IntimX sono ospitati sull'infrastruttura di Infomaniak in Svizzera. Non viene effettuato alcun trasferimento sistematico di dati al di fuori della Svizzera. Eccezione: i dati di pagamento sono trasmessi a Stripe, Inc. negli Stati Uniti. Questo trasferimento è disciplinato dalle clausole contrattuali tipo (CCT) adottate dalla Commissione europea e riconosciute dal PFPDT/FDPIC come garanti di un livello di protezione adeguato (art. 16 al. 2 let. d nLPD).
9. Durata di conservazione
Account attivo: i vostri dati sono conservati per tutta la durata della vostra iscrizione. Cancellazione dell'account: si applica un periodo di grazia di 30 giorni (annullabile). Alla scadenza, l'account viene chiuso e i dati vengono trattati come segue: — Dati d'identità crittografati (vault): eliminati 3 anni dopo la chiusura (nLPD art. 31 al. 1 let. c). — Documenti KYC: cancellati 3 anni dopo la chiusura (file e colonne crittografate). — Dati transazionali (abbonamenti): conservati 10 anni (CO art. 958f). — Registri di accesso (IP, user-agent, geo): eliminati dopo 90 giorni. — Sessioni: cancellate alla scadenza (7 o 30 giorni) o alla revoca. — Registro di audit KYC: conservato a tempo indeterminato (prova di conformità nLPD, art. 32 nLPD). — Registro del consenso: conservato a tempo indeterminato (prova del consenso, art. 6 al. 7 nLPD / art. 7 al. 1 RGPD). — Azioni amministrative: conservate a tempo indeterminato (prova giuridica).
10. Misure di sicurezza
IntimX implementa le seguenti misure tecniche e organizzative: — Architettura a tre database: i dati applicativi (pubblici), i dati sensibili (vault crittografato) e i dati di sistema sono fisicamente separati. — Crittografia a riposo: i dati personali identificativi (nome, cognome, data di nascita, telefono, indirizzo) sono crittografati con AES-256-GCM nel vault. — Hashing delle password: Argon2id (64 MB di memoria, 3 iterazioni, conforme OWASP 2023+). Le password compromesse (database HIBP) vengono rifiutate. Cronologia delle ultime 5 password per impedire il riutilizzo. — Hashing dei token: i token di aggiornamento sono memorizzati come hash SHA-256 (mai in chiaro). — Trasporto: HTTPS obbligatorio (TLS 1.3), cookie Secure. — CSRF: token CSRF su tutte le azioni mutative. — Blocco dell'account: meccanismo progressivo (15 min, 1 ora, 24 ore, blocco amministrativo). — Autenticazione rafforzata: supporto opzionale di Passkey/WebAuthn. — Fiducia del dispositivo: impronta del dispositivo hashata SHA-256, verifica OTP via e-mail per i dispositivi non riconosciuti. — Controllo degli accessi: Row-Level Security (RLS) PostgreSQL su tutte le tabelle contenenti dati utente. — Registrazione di audit: registri immutabili (append-only) per le azioni KYC, il consenso e le azioni amministrative.
11. I vostri diritti
Conformemente alla nLPD (art. 25-29) e al RGPD (art. 15-22), disponete dei seguenti diritti: — Diritto di accesso: ottenere una copia dei vostri dati personali. — Diritto di rettifica: correggere dati inesatti o incompleti. — Diritto alla cancellazione: richiedere la cancellazione dei vostri dati (fatti salvi gli obblighi legali di conservazione). — Diritto alla portabilità: ricevere i vostri dati in un formato strutturato e leggibile da macchina (cfr. art. 12). — Diritto di opposizione: opporsi a un trattamento basato su un interesse legittimo. — Diritto di revoca del consenso: revocare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento anteriore). Per esercitare i vostri diritti, inviate un'e-mail a privacy@intimx.ch indicando la vostra identità e il diritto che desiderate esercitare. Rispondiamo entro 30 giorni (nLPD) o 30 giorni, prorogabili a 90 giorni in caso di complessità (RGPD). Avete il diritto di presentare un reclamo all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Feldeggweg 1, 3003 Berna, Svizzera (edoeb.admin.ch).
12. Portabilità dei dati
IntimX offre una funzione di esportazione dei vostri dati dalle impostazioni dell'account. L'esportazione comprende: — Dati dell'account: identificativo, e-mail, ruolo, lingua, date di iscrizione e di chiusura. — Profilo: nome visualizzato, biografia, preferenze, impostazioni di privacy. — Messaggi: cronologia delle conversazioni (limitata alle voci più recenti). — Prenotazioni, recensioni, preferiti, ticket di supporto. — Abbonamenti: cronologia degli abbonamenti. — Consensi: cronologia delle accettazioni e dei ritiri. — Sessioni attive: contesto geografico e dispositivo. L'esportazione richiede una nuova verifica della password (negli ultimi 5 minuti) ed è limitata a una richiesta ogni 24 ore. I dati vengono forniti in formato JSON strutturato.
13. Protezione dei minori
IntimX è destinato esclusivamente a persone maggiorenni (18 anni compiuti). Conformemente all'art. 197 CP, un age gate viene presentato ad ogni primo accesso. IntimX non raccoglie consapevolmente dati personali di minori. Se veniamo a conoscenza del fatto che un minore ha creato un account, questo verrà immediatamente sospeso e i dati verranno cancellati. Ogni segnalazione di contenuti che coinvolgano minori viene trattata con priorità assoluta tramite legal@intimx.ch.
14. Modifica dell'informativa
L'Editore si riserva il diritto di modificare la presente informativa in qualsiasi momento. Gli utenti iscritti vengono informati di ogni modifica sostanziale via e-mail o tramite notifica sulla piattaforma, con almeno 30 giorni di anticipo rispetto all'entrata in vigore. La data dell'ultimo aggiornamento è indicata in testa al presente documento. Le versioni precedenti sono disponibili su richiesta a support@intimx.ch.
15. Contatto
Per qualsiasi domanda relativa alla protezione dei vostri dati personali: Titolare del trattamento: N.JULIEN Contatto: privacy@intimx.ch Per domande generali o supporto: support@intimx.ch Per segnalazioni urgenti (autorità, minori): legal@intimx.ch Autorità di vigilanza: Incaricato federale della protezione dei dati e della trasparenza (IFPDT) Feldeggweg 1, 3003 Berna, Svizzera edoeb.admin.ch