Taski

1. Titolare del Trattamento

Il titolare del trattamento dei dati personali è:

2. Introduzione

Taski è un'applicazione di messaggistica istantanea disponibile su iOS, Apple Watch e Web (web.taski.chat) che pone la privacy e la sicurezza al centro della propria architettura. Questa informativa sulla privacy spiega quali dati raccogliamo, come li utilizziamo e quali sono i tuoi diritti.

Taski utilizza la Crittografia End-to-End per tutte le conversazioni (1-1 e di gruppo) e per tutte le chiamate vocali e video, garantendo che solo tu e i destinatari possiate leggere i messaggi o ascoltare le chiamate. Neanche noi, come sviluppatori, abbiamo accesso al contenuto delle tue comunicazioni.

3. Dati Raccolti

3.1 Dati di Registrazione

Per creare un account Taski, raccogliamo:

• Numero di telefono: utilizzato come identificativo primario e per la verifica dell'account tramite SMS (servizio fornito da Twilio)
• Codice di verifica: codice temporaneo a 6 cifre inviato via SMS per confermare la proprietà del numero di telefono

3.2 Dati del Profilo

Puoi scegliere di fornire:

• Nome visualizzato: il nome che appare ai tuoi contatti
• Stato/Bio: una breve descrizione opzionale
• Foto profilo: un'immagine opzionale memorizzata sui nostri server

3.3 Dati delle Conversazioni

Conversazioni uno-a-uno (E2EE):

• I messaggi sono crittografati end-to-end utilizzando il protocollo X25519 per lo scambio delle chiavi e AES-256-GCM per la cifratura
• I messaggi non vengono memorizzati permanentemente sui nostri server
• Vengono mantenuti temporaneamente in coda (massimo 7 giorni) solo per garantire la consegna a destinatari offline
• Per consentire la sincronizzazione tra i tuoi dispositivi (iPhone, Apple Watch, Web), i messaggi possono essere mantenuti in forma cifrata per un massimo di 7 giorni dopo la consegna, dopodiché vengono eliminati automaticamente. Restano in ogni caso impossibili da leggere per chiunque non sia mittente o destinatario
• Una volta superato il periodo di sincronizzazione, i messaggi vengono eliminati definitivamente dai nostri server

Conversazioni di gruppo (E2EE):

• I messaggi di gruppo sono crittografati end-to-end con una chiave simmetrica AES-256 condivisa tra i membri, distribuita tramite ECDH (Curve25519)
• Sul server viene applicato un ulteriore livello di crittografia a riposo (AES-256-GCM) come protezione aggiuntiva
• I metadati dei gruppi (nome, partecipanti, amministratori) sono memorizzati per la gestione del gruppo
• Le chiavi di gruppo vengono rigenerate quando i membri cambiano
• Viene mantenuto un minimo di sicurezza di 200 messaggi per conversazione per garantire la continuità della cronologia

3.4 Chiamate VoIP

Le chiamate vocali e video utilizzano crittografia end-to-end (E2EE):

• Crittografia E2EE: ogni chiamata deriva una chiave unica AES-256-GCM tramite HKDF (ECDH + salt casuale per chiamata + ID chiamata). Neanche il fornitore del servizio di trasporto (Agora) può accedere al contenuto audio/video
• Nessuna registrazione: le chiamate non vengono registrate o memorizzate
• Metadati minimi: conserviamo lo storico chiamate (chi ha chiamato chi, tipo audio/video, durata, data/ora) per visualizzarlo nell'app
• Heartbeat: durante le chiamate attive, un segnale di connessione viene inviato ogni 15 secondi. Se 3 heartbeat consecutivi non vengono ricevuti (45 secondi), la chiamata viene terminata automaticamente
• Servizio: le chiamate transitano attraverso i server di Agora per la qualità della rete, ma il contenuto è cifrato E2EE e non accessibile ad Agora

3.5 Storie

Taski include una funzione di storie effimere:

• Crittografia: le storie non sono crittografate end-to-end, a differenza dei messaggi e delle chiamate. I contenuti sono protetti da crittografia in transito (HTTPS/TLS) e a riposo sui server, ma non da E2EE
• Durata: le storie vengono eliminate automaticamente dopo 24 ore dalla pubblicazione
• Visualizzazioni: il creatore può vedere chi ha visualizzato la propria storia
• Reazioni: è possibile mettere "mi piace" e rispondere alle storie
• Media: i file media delle storie sono memorizzati temporaneamente su R2 e rimossi dopo 24 ore

3.6 Dati Tecnici

Raccogliamo automaticamente:

• Token push APNs: necessario per inviarti notifiche push tramite il servizio Apple Push Notification
• Token VoIP: necessario per ricevere chiamate in arrivo quando l'app è in background
• Chiavi pubbliche di crittografia: utilizzate per lo scambio sicuro delle chiavi E2EE
• Rubrica contatti (opzionale): se concedi il permesso, sincronizziamo gli hash crittografici (HMAC) dei numeri di telefono nella tua rubrica per mostrarti quali contatti usano Taski. I numeri in chiaro non vengono mai inviati ai nostri server
• Timestamp di accesso: data e ora dell'ultima attività per gestire la consegna dei messaggi e mostrare lo stato "ultimo accesso"
• Metadati delle conversazioni: ID conversazione, timestamp, stato di lettura/consegna
• Dispositivi collegati: piattaforma (iOS/Web), user-agent, ID sessione e ultimo accesso dei dispositivi collegati al tuo account

3.7 Media e Contenuti

Quando invii contenuti multimediali:

• Immagini e video: crittografati lato client (E2EE con AES-256-GCM) prima dell'upload, memorizzati temporaneamente sul nostro storage R2 di Cloudflare
• Messaggi vocali: crittografati end-to-end e memorizzati temporaneamente
• Documenti: crittografati end-to-end (PDF, Word, Excel, PowerPoint, testo, immagini)
• Posizione: le coordinate GPS sono crittografate come parte del messaggio
• GIF: provenienti da Giphy (tramite nostro proxy per privacy)
• Reazioni: le emoji di reazione ai messaggi sono memorizzate come metadati

3.8 Ascolto Musicale (opzionale)

Taski può condividere lo stato di ascolto musicale con i tuoi contatti:

• Dati condivisi: titolo del brano e nome dell'artista attualmente in riproduzione su Apple Music
• Controllo: questa funzione è disattivabile nelle impostazioni privacy dell'app
• Nessuna memorizzazione: lo stato musicale è trasmesso in tempo reale e non viene salvato sui nostri server

3.9 Backup

Taski offre la possibilità di effettuare backup cifrati:

• Backup su iCloud: i backup vengono salvati sul tuo spazio iCloud personale
• Crittografia AES-256: tutti i backup sono cifrati con una password scelta da te
• Contenuto: include messaggi, contatti, chiavi E2EE e opzionalmente foto, video e messaggi vocali
• Nessun accesso: non abbiamo accesso ai tuoi backup, sono memorizzati nel tuo account iCloud

4. Come Utilizziamo i Tuoi Dati

Utilizziamo i dati raccolti esclusivamente per:

• Fornire il servizio di messaggistica: consegna dei messaggi, sincronizzazione tra dispositivi, notifiche push, chiamate
• Gestire il tuo account: autenticazione, verifica dell'identità, gestione del profilo
• Sincronizzazione multi-dispositivo: mantenere temporaneamente i messaggi cifrati per consentire la sincronizzazione tra iPhone, Apple Watch e client Web
• Garantire la sicurezza: prevenire abusi, spam e utilizzi impropri del servizio
• Migliorare l'applicazione: analisi anonime per identificare bug e ottimizzare le prestazioni
• Rispettare obblighi di legge: quando richiesto dalle autorità competenti

NON utilizziamo i tuoi dati per:

• Pubblicità mirata o profilazione
• Vendita o condivisione con terze parti commerciali
• Analisi del contenuto dei tuoi messaggi E2EE (non possiamo, sono crittografati)
• Tracciamento del comportamento per scopi di marketing

5. Condivisione dei Dati con Terze Parti

Taski si avvale dei seguenti fornitori di servizi terzi:

5.1 Cloudflare

• Servizio: Hosting dell'infrastruttura backend (Workers), database D1, storage R2, cache KV, WebSocket tramite Durable Objects, hosting del client Web (Cloudflare Pages)
• Dati condivisi: Tutti i dati memorizzati sui nostri server sono ospitati su Cloudflare
• Scopo: Garantire prestazioni, affidabilità e sicurezza del servizio
• Privacy Policy: www.cloudflare.com/privacypolicy/

5.2 Apple (APNs e PushKit)

• Servizio: Apple Push Notification Service per notifiche e chiamate in arrivo
• Dati condivisi: Token APNs/VoIP del dispositivo. Il contenuto delle notifiche è un placeholder generico (non contiene il testo del messaggio in chiaro)
• Scopo: Ricevere notifiche e chiamate quando l'app è in background
• Privacy Policy: www.apple.com/legal/privacy/

5.3 Twilio

• Servizio: Invio SMS per la verifica del numero di telefono
• Dati condivisi: Numero di telefono, codice di verifica
• Scopo: Verifica dell'account durante la registrazione
• Privacy Policy: www.twilio.com/legal/privacy

5.4 Agora

• Servizio: Infrastruttura per chiamate vocali e video in tempo reale
• Dati condivisi: Stream audio/video cifrato E2EE (non accessibile ad Agora), ID canale, ID utente anonimizzato
• Scopo: Garantire qualità e affidabilità delle chiamate VoIP
• Privacy Policy: www.agora.io/en/privacy-policy/

5.5 Giphy

• Servizio: Libreria di GIF animate (accesso tramite nostro proxy per privacy)
• Dati condivisi: Query di ricerca (non associata al tuo account)
• Scopo: Permettere l'invio di GIF nelle conversazioni
• Privacy Policy: giphy.com/privacy

6. Conservazione dei Dati

I tuoi dati vengono conservati per i seguenti periodi:

Tipo di dato	Periodo di conservazione
Messaggi 1-1 (coda offline)	Max 7 giorni (eliminati dopo consegna)
Messaggi 1-1 (sincronizzazione)	Max 7 giorni dopo la consegna, sempre cifrati E2EE
Messaggi di gruppo	7 giorni dopo la sincronizzazione (minimo 200 per chat)
Video	7 giorni dopo l'invio
Immagini, documenti, vocali	20 giorni dopo l'invio
Storie	24 ore (eliminazione automatica)
Foto profilo (avatar)	Fino alla cancellazione dell'account
Storico chiamate	Fino alla cancellazione dell'account
Notifiche push fallite	30 giorni (con retry automatico)
Codici di verifica	10 minuti

Nota importante: I messaggi mantenuti per la sincronizzazione multi-dispositivo restano cifrati end-to-end per l'intero periodo di conservazione. Non è possibile per noi o per terzi accedere al loro contenuto. Dopo il periodo indicato, vengono eliminati definitivamente.

Nota: I media (immagini, video, vocali) vengono automaticamente eliminati dai nostri server dopo il periodo indicato. Consigliamo di salvare i contenuti importanti sul tuo dispositivo o utilizzare la funzione di backup.

Durante la fase beta, tutti i dati potrebbero essere eliminati senza preavviso per motivi tecnici o di sviluppo.

7. Sicurezza

Implementiamo misure di sicurezza tecniche e organizzative per proteggere i tuoi dati:

• Crittografia end-to-end (E2EE): Protocollo X25519 + AES-256-GCM per tutte le chat 1-1 e di gruppo
• Chiamate E2EE: Chiave derivata per ogni chiamata tramite HKDF (ECDH + salt casuale), crittografia AES-256-GCM
• Rotazione delle chiavi: Le chiavi E2EE vengono rigenerate periodicamente per maggiore sicurezza
• Crittografia in transito: Tutte le comunicazioni avvengono tramite HTTPS/TLS e WebSocket sicuri
• Crittografia a riposo: Database e storage protetti con cifratura AES-256 (doppio livello per i gruppi)
• Nessun fallback in chiaro: In caso di errore di cifratura, il messaggio non viene inviato (mai in chiaro)
• Autenticazione a due fattori: Verifica del numero di telefono tramite SMS
• Blocco app: Protezione con Face ID, Touch ID o passcode
• Rate limiting: Protezione contro abusi e attacchi automatizzati
• Isolamento dei dati: Utilizzo di Cloudflare Workers per esecuzione isolata del codice
• Gestione dispositivi: Puoi visualizzare e revocare l'accesso ai dispositivi collegati al tuo account

8. Piattaforme e Client

Taski è disponibile sulle seguenti piattaforme:

• iOS (iPhone): App nativa con tutte le funzionalità, richiede iOS 17.6 o successivo
• Apple Watch: App companion per visualizzare e rispondere ai messaggi
• Web: Client web accessibile da web.taski.chat, collegato al tuo account tramite scansione QR code. Supporta chat, chiamate vocali/video, invio media e tutte le funzionalità E2EE

Le sessioni web possono essere visualizzate e revocate in qualsiasi momento dalle impostazioni dell'app iOS (Dispositivi collegati).

9. I Tuoi Diritti

Ai sensi del GDPR e delle normative sulla privacy, hai diritto a:

• Accesso: Richiedere una copia dei tuoi dati personali
• Rettifica: Correggere dati inesatti o incompleti direttamente dall'app
• Cancellazione: Eliminare il tuo account e tutti i dati associati
• Portabilità: Ricevere i tuoi dati in formato leggibile (funzione backup)
• Opposizione: Opporti al trattamento dei tuoi dati per finalità specifiche
• Limitazione: Richiedere la limitazione del trattamento

Per esercitare questi diritti, contattaci a: privacy@taski.chat

10. Impostazioni Privacy nell'App

Taski ti permette di controllare la tua privacy direttamente dall'app:

• Ultimo accesso: Scegli chi può vedere quando sei stato online (tutti, solo contatti, nessuno)
• Foto profilo: Scegli chi può vedere la tua foto (tutti, solo contatti, nessuno)
• Stato/Bio: Scegli chi può vedere il tuo stato (tutti, solo contatti, nessuno)
• Conferme di lettura: Disattiva le spunte blu per non far sapere quando leggi i messaggi
• Ascolto musicale: Disattiva la condivisione dello stato musicale con i contatti
• Notifiche push con Web attivo: Scegli se ricevere le notifiche sull'iPhone quando il client Web è connesso
• Blocco utenti: Blocca utenti indesiderati senza che vengano notificati
• Dispositivi collegati: Visualizza e revoca l'accesso alle sessioni Web attive

Nota sulla reciprocità: Se nascondi il tuo ultimo accesso, non potrai vedere quello degli altri. Lo stesso principio si applica alle conferme di lettura e alla foto profilo.

11. Minori

Taski è destinato a utenti di età pari o superiore a 16 anni. Non raccogliamo consapevolmente dati di minori di 16 anni. Se vieni a conoscenza che un minore ha fornito i propri dati, contattaci immediatamente.

12. Modifiche alla Privacy Policy

Ci riserviamo il diritto di aggiornare questa Privacy Policy. Le modifiche sostanziali saranno comunicate tramite:

• Notifica in-app
• Aggiornamento della data in cima a questo documento

L'uso continuato di Taski dopo le modifiche costituisce accettazione della nuova Privacy Policy.

13. Contatti

Per domande, richieste o segnalazioni relative alla privacy, puoi contattarci:

14. Giurisdizione

Questa Privacy Policy è regolata dalle leggi italiane ed europee in materia di protezione dei dati personali (GDPR - Regolamento UE 2016/679).