Informativa sulla privacy

Ultimo aggiornamento: 12.04.2026

1. Introduzione

IntimX è una piattaforma premium per adulti gestita dalla Svizzera da Artenic_ GmbH. La protezione dei tuoi dati personali è al centro dei nostri impegni. La presente informativa sulla privacy descrive in modo trasparente quali dati raccogliamo, perché e come li trattiamo, per quanto tempo li conserviamo e quali sono i tuoi diritti.

La presente informativa è conforme alla Legge federale svizzera sulla protezione dei dati (nLPD, in vigore dal 1° settembre 2023) e, nella misura applicabile, al Regolamento generale europeo sulla protezione dei dati (RGPD). In caso di divergenza, la nLPD prevale in quanto diritto applicabile.

Utilizzando IntimX, riconosci di aver letto e compreso la presente informativa. Se non sei d'accordo con le pratiche descritte, ti preghiamo di non utilizzare i nostri servizi.

2. Titolare del trattamento

Il titolare del trattamento dei tuoi dati personali è:

Artenic_ GmbH

1950 Sion, Suisse

E-mail : support@intimx.ch

Site : intimx.ch

3. Dati raccolti

3.1 Dati forniti direttamente

Quando crei un account, completi il tuo profilo o utilizzi i nostri servizi, ci fornisci i seguenti dati:

Dati dell'account: indirizzo e-mail, password (memorizzata come hash Argon2id, mai in chiaro), lingua preferita, accettazione delle condizioni
Dati del profilo: nome visualizzato, biografia, foto profilo, attributi fisici (per i prestatori), preferenze, recapiti pubblici volontari
Verifica dell'identità (KYC): nome, cognome, data di nascita, telefono, indirizzo, documenti d'identità — tutti questi dati sono cifrati (AES-256-GCM) in un database separato (vault)
Dati finanziari: IBAN (cifrato AES-256-GCM), intestatario del conto, cronologia delle transazioni tramite Stripe
Contenuti: pubblicazioni, storie, media (foto/video), commenti, recensioni
Comunicazioni: messaggi privati, messaggi di prenotazione, segnalazioni, richieste di supporto
Dati dello stabilimento: ragione sociale, numero IVA, indirizzo professionale, recapiti — cifrati nel vault

3.2 Dati raccolti automaticamente

Durante l'utilizzo della piattaforma, alcuni dati vengono raccolti automaticamente:

Dati tecnici: indirizzo IP (hash SHA-256 nelle sessioni, in chiaro nei log di sicurezza), User-Agent del browser
Dati di sessione: identificativo di sessione, date di accesso e ultima attività, stato (attiva/revocata)
Geolocalizzazione approssimativa: paese e città derivati dall'indirizzo IP tramite un database locale (GeoIP), senza chiamate a servizi esterni
Cookie: cookie tecnici strettamente necessari al funzionamento (vedi sezione 9)
Informazioni sul dispositivo: tipo di browser, sistema operativo, indicatore mobile/desktop — utilizzate per la fiducia del dispositivo

3.3 Dati sensibili

Data la natura della piattaforma, alcuni dati che scegli di pubblicare possono rivelare informazioni sensibili (orientamento sessuale, preferenze). Questi dati vengono trattati solo sulla base del tuo consenso esplicito, materializzato dalla pubblicazione volontaria sul tuo profilo. Puoi eliminarli in qualsiasi momento.

3.4 Dati che NON raccogliamo

Non raccogliamo mai: numero AVS/SSN, dati medici, opinioni politiche o religiose, dati biometrici a fini di identificazione, dati di navigazione al di fuori della piattaforma. Non utilizziamo alcun cookie pubblicitario, pixel di tracciamento, né strumenti di analisi di terze parti (nessun Google Analytics, Facebook Pixel, ecc.).

4. Finalità del trattamento

Erogazione del servizio — Creazione e gestione del tuo account, visualizzazione del tuo profilo, messa in contatto tra utenti, messaggistica, prenotazioni, abbonamenti.
Sicurezza e verifica — Verifica KYC, rilevamento delle frodi, blocco dell'account dopo tentativi falliti, fiducia del dispositivo (OTP), verifica di password compromesse (HIBP, k-anonymity), registrazione degli eventi di sicurezza.
Pagamenti — Elaborazione di abbonamenti, mance e pagamenti tramite Stripe. IntimX non memorizza mai i dati della tua carta di credito — vengono elaborati direttamente da Stripe.
Comunicazioni — E-mail transazionali (verifica, reimpostazione, notifiche di prenotazione), notifiche in-app, risposte del supporto.
Miglioramento del servizio — Metriche interne aggregate (prestazioni, latenza, tasso di errore) senza dati personali identificabili. Nessuna profilazione marketing.
Obblighi legali — Conservazione dei dati contabili (10 anni, CO Art. 958f), conservazione dei dati KYC (3 anni, interesse legittimo alla prevenzione delle frodi), segnalazione CSAM alle autorità (Art. 197 CP).

5. Basi giuridiche

Ogni trattamento di dati si basa su una base giuridica conforme alla nLPD e al RGPD:

Trattamento	Base giuridica	Riferimento
Account, profilo, messaggistica, prenotazioni	Esecuzione del contratto	nLPD Art. 31 / RGPD Art. 6(1)(b)
Verifica KYC	Obbligo legale	nLPD Art. 31(1)(c) + (d)
Messaggistica, notifiche	Esecuzione del contratto	RGPD Art. 6(1)(b)
Pagamenti (Stripe)	Esecuzione del contratto	RGPD Art. 6(1)(b)
Sicurezza (log, blocco, fiducia del dispositivo, HIBP)	Interesse legittimo	nLPD Art. 31 / RGPD Art. 6(1)(f)
Dati sensibili (orientamento, preferenze)	Consenso esplicito	nLPD Art. 5 / RGPD Art. 9(2)(a)
Audit KYC (3 anni)	Interesse legittimo	nLPD Art. 31(1)(c)
Dati contabili (10 anni)	Obbligo legale	CO Art. 958f

7. Sub-responsabili e partner

Ci avvaliamo di un numero limitato di sub-responsabili per garantire il funzionamento della piattaforma:

Servizio	Fornitore	Paese	Dati trasmessi
Hosting server	Infomaniak Network SA	Svizzera	Tutti i dati (server ospitati in Svizzera)
E-mail transazionali	Resend Inc.	Svizzera	Indirizzo e-mail del destinatario, contenuto dell'e-mail (SMTP Infomaniak Mail)
Pagamenti	Stripe Inc.	Stati Uniti / Irlanda	Importi, identificativo utente, dati della carta (direttamente a Stripe)
Cartografia	Mapbox Inc.	Stati Uniti	Coordinate GPS per la visualizzazione della mappa (nessun dato personale)
Verifica password	HIBP (Troy Hunt)	Australia	Primi 5 caratteri dell'hash SHA-1 della password (k-anonymity, nessuna password trasmessa)

8. Conservazione dei dati

Conserviamo i tuoi dati solo per il tempo necessario alle finalità descritte, o per soddisfare un obbligo legale:

Dato	Durata di conservazione
Account e profilo	Durata dell'account + 30 giorni di grazia dopo la richiesta di cancellazione
Documenti e dati KYC	3 anni dopo la chiusura dell'account (interesse legittimo alla prevenzione delle frodi)
Messaggi e contenuti	Durata dell'account + 30 giorni di grazia
Dati contabili e transazioni	10 anni (obbligo CO Art. 958f)
Log di sicurezza (access log)	90 giorni
Sessioni di autenticazione	7 giorni (standard) o 30 giorni (connessione persistente)
Storie	24 ore (cancellazione automatica)
Metriche di sistema	7 giorni (grezzo), 90 giorni (orario), 1 anno (giornaliero) — senza dati personali

9. Cookie e tecnologie simili

IntimX utilizza esclusivamente cookie essenziali per il funzionamento del servizio. Non utilizziamo alcun cookie pubblicitario, di tracciamento, né di analisi di terze parti.

Nome	Finalità	Durata	Tipo
ix_access	Token di autenticazione JWT (accesso)	1h	Essenziale
ix_refresh	Token di rinnovo della sessione	7-30j	Essenziale
age_confirmed	Conferma della maggiore età (18+)	30j	Essenziale

I cookie ix_access e ix_refresh sono protetti dagli attributi HttpOnly e Secure (in produzione), impedendo qualsiasi accesso tramite JavaScript. Utilizziamo inoltre localStorage per memorizzare un indicatore di conferma dell'età (ageConfirmed) e uno stato di navigazione temporaneo (listing-slugs) — nessun dato personale.

Non è necessario alcun banner di consenso ai cookie poiché utilizziamo esclusivamente cookie strettamente necessari al funzionamento del servizio, esenti dal consenso in virtù della nLPD e della direttiva ePrivacy.

10. Sicurezza

Misure tecniche

Crittografia in transito: HTTPS/TLS 1.3 su tutta la piattaforma
Architettura vault zero-trust: tutti i dati di identità (nome, cognome, data di nascita, telefono, indirizzo, IBAN) sono cifrati AES-256-GCM a livello applicativo in un database separato. Il database vede solo testo cifrato.
Hashing delle password: Argon2id (64 MiB di memoria, 3 iterazioni) — standard raccomandato dall'OWASP
Token e segreti: mai memorizzati in chiaro, sempre con hash SHA-256
Isolamento dei dati: Row Level Security (RLS) su tutte le tabelle con separazione rigorosa tra utenti
Protezione contro le iniezioni: Content Security Policy (CSP) rigorosa con nonce, nessun script inline

Misure organizzative

Principio del privilegio minimo: accesso ai dati limitato allo stretto necessario, audit trail immutabile per qualsiasi azione amministrativa
Log di audit: qualsiasi azione amministrativa (moderazione, KYC, cambio di stato) viene registrata in modo immutabile con marca temporale e identità dell'attore
Monitoraggio continuo: metriche di sicurezza in tempo reale (tentativi falliti, blocchi, anomalie GeoIP)
Procedura di incidente: protocollo definito per il rilevamento, la valutazione e la notifica delle violazioni dei dati

Hosting

L'intera infrastruttura è ospitata in Svizzera presso Infomaniak Network SA (server situati in Svizzera). I dati lasciano il territorio svizzero solo per i sub-responsabili elencati nella sezione 7.

11. I tuoi diritti

In conformità alla nLPD e al RGPD, disponi dei seguenti diritti sui tuoi dati personali:

Diritto di accesso — Puoi richiedere una copia di tutti i tuoi dati personali. Una funzione di esportazione è disponibile nelle impostazioni del tuo account (richiesta nuova autenticazione tramite password).
Diritto di rettifica — Puoi modificare i dati del tuo profilo in qualsiasi momento. Per i dati KYC, contatta il supporto.
Diritto alla cancellazione — Puoi eliminare il tuo account dalle impostazioni. Un periodo di grazia di 30 giorni ti consente di annullare la richiesta. Trascorso tale termine, i tuoi dati vengono cancellati in modo irreversibile, ad eccezione dei dati soggetti a un obbligo legale di conservazione (dati contabili 10 anni) e dei dati KYC conservati 3 anni per la prevenzione delle frodi (interesse legittimo).
Diritto alla portabilità — L'esportazione dei tuoi dati è disponibile in formato JSON dalle impostazioni del tuo account, coprendo 10 categorie di dati.
Diritto di opposizione — Puoi configurare le tue impostazioni di privacy (visibilità del profilo, stato online, conferme di lettura, blocco per paese) e bloccare singoli utenti.
Revoca del consenso — Puoi revocare il tuo consenso in qualsiasi momento eliminando i dati interessati dal tuo profilo o eliminando il tuo account.

Come esercitare i tuoi diritti

Per qualsiasi richiesta relativa ai tuoi diritti, invia un'e-mail a support@intimx.ch specificando la tua identità e il diritto che desideri esercitare. Risponderemo entro 30 giorni. Se la richiesta è complessa, tale termine può essere prorogato di 60 giorni con notifica.

Autorità di ricorso

Se ritieni che il trattamento dei tuoi dati violi i tuoi diritti, puoi presentare un reclamo all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT): edoeb.admin.ch.

12. Trasferimenti internazionali

I tuoi dati sono ospitati in Svizzera. Alcuni sub-responsabili (Stripe, Mapbox, MaxMind, HIBP) hanno sede negli Stati Uniti o in Australia. Questi trasferimenti sono disciplinati da clausole contrattuali tipo (CCT) e da misure di sicurezza supplementari conformi ai requisiti della nLPD.

Il servizio di verifica delle password (HIBP) riceve solo i primi 5 caratteri di un hash SHA-1 (k-anonymity) — nessuna password né dato identificativo viene trasmesso. La risoluzione GeoIP viene effettuata localmente tramite un database integrato, senza chiamate esterne.

13. Protezione dei minori

IntimX è un servizio riservato esclusivamente alle persone maggiorenni (18 anni o più). Un portale di verifica dell'età viene presentato a ogni nuovo accesso. I prestatori e i creatori devono sottoporsi a una verifica dell'identità (KYC) che include la verifica dell'età.

IntimX applica una tolleranza zero verso qualsiasi contenuto di sfruttamento di minori (CSAM). Qualsiasi contenuto sospetto viene immediatamente rimosso e segnalato alle autorità competenti ai sensi dell'Art. 197 del Codice penale svizzero. L'account interessato viene sospeso senza preavviso.

14. Decisioni automatizzate e profilazione

IntimX utilizza trattamenti automatizzati nei seguenti ambiti: rilevamento delle frodi (blocco dell'account dopo tentativi falliti), verifica di password compromesse (HIBP), moderazione dei contenuti segnalati e raccomandazioni basate sui parametri di ricerca.

Nessuna decisione che produca effetti giuridici o significativi viene presa in modo interamente automatizzato senza intervento umano. Hai il diritto di contestare qualsiasi decisione automatizzata contattando il supporto.

15. Notifica di violazione dei dati

In caso di violazione dei dati suscettibile di comportare un rischio elevato per i tuoi diritti, notificheremo l'IFPDT entro 72 ore dal momento in cui ne veniamo a conoscenza, conformemente all'Art. 24 nLPD. Se la violazione presenta un rischio elevato per te, sarai inoltre informato direttamente nel più breve tempo possibile.

Ogni incidente viene documentato in un registro interno che include la natura della violazione, i dati interessati, le misure adottate e le persone coinvolte.

16. Modifiche all'informativa

Ci riserviamo il diritto di modificare la presente informativa. In caso di modifica sostanziale, ti informeremo almeno 30 giorni prima della sua entrata in vigore tramite e-mail o notifica in-app. La data dell'ultimo aggiornamento è indicata in cima a questo documento. Le modifiche minori (riformulazioni, correzioni tipografiche) non sono oggetto di notifica.

17. Contatto

Per qualsiasi domanda relativa alla protezione dei tuoi dati o alla presente informativa:

Artenic_ GmbH — Protezione dei dati