Privacy Policy di Lino

Data di entrata in vigore: 23 maggio 2026
Ultimo aggiornamento: 11 giugno 2026

Questa informativa descrive come Lino ("Lino", "noi") tratta i dati personali degli utenti che usano il sito, la PWA, l'app mobile, le API o i servizi collegati.

Lino e' una piattaforma di wellness adattivo che aiuta l'utente a organizzare alimentazione, energia e pianificazione dei pasti in base al proprio profilo, al calendario e alle informazioni inserite o collegate dall'utente. Lino non fornisce diagnosi mediche, prescrizioni mediche o trattamento sanitario.

1. Titolare del trattamento

Lino e' attualmente un progetto pre-costituzione promosso dai founder:

• Alessio Pesavento
• Clara Maria Gabana
• Edoardo Sorgentone

Fino alla costituzione di una societa' o altro soggetto giuridico, i founder sopra indicati agiscono come soggetti responsabili del progetto e, per quanto applicabile, come contitolari del trattamento dei dati personali trattati tramite Lino.

Nome del servizio: Lino
Sede operativa: Milano, Italia
Email privacy: privacy@linonutrition.it
Email supporto: info@linonutrition.it
DPO: non nominato

Quando Lino sara' costituita come societa' o altro soggetto giuridico, questa informativa verra' aggiornata con la ragione sociale, sede legale e riferimenti societari.

2. Dati che raccogliamo

Dati account

Quando accedi tramite Google o Microsoft possiamo trattare:

• identificativo account Google/Microsoft;
• nome;
• indirizzo email;
• immagine profilo, se fornita dal provider;
• token OAuth necessari a mantenere la connessione autorizzata.

Dati calendario

Se autorizzi la connessione del calendario, Lino puo' leggere:

• lista dei calendari disponibili;
• eventi del calendario selezionato o dei calendari selezionati;
• titolo evento, orario di inizio/fine, data, durata e metadati necessari alla classificazione del contesto giornaliero.

Lino usa gli eventi per stimare il contesto della giornata e generare suggerimenti nutrizionali e organizzativi. Lino non modifica, crea o cancella eventi nel tuo calendario.

Dati profilo, nutrizione e wellness

Possiamo trattare dati inseriti dall'utente, tra cui:

• peso, altezza, data di nascita, genere;
• livello di attivita';
• obiettivi e preferenze alimentari;
• allergie o alimenti da evitare;
• numero di pasti al giorno;
• misure corporee opzionali;
• punteggi e risposte del questionario dieta mediterranea;
• pasti, ricette, alimenti preferiti, blacklist alimentare;
• allenamenti, durata, calorie stimate, RPE, distanza, frequenza cardiaca media, VO2 max o note, se inseriti.

Alcuni di questi dati possono essere dati relativi alla salute o comunque informazioni sensibili sullo stile di vita. Li trattiamo solo quando necessari per erogare le funzionalita' richieste e, ove necessario, sulla base del tuo consenso esplicito.

Dati tecnici e di sicurezza

Possiamo raccogliere log tecnici, indirizzo IP, user agent, informazioni di errore, informazioni aggregate sull'uso del servizio e dati necessari a prevenire abuso, frodi o accessi non autorizzati.

Usiamo Sentry per monitorare errori tecnici, stabilita' e performance dell'app. La configurazione attuale non invia dati personali identificativi di default, maschera il testo nei replay e puo' registrare replay solo in caso di errore. Sentry non e' usato per pubblicita' comportamentale.

Dati da servizi esterni

Il servizio puo' interrogare fornitori esterni per cercare alimenti, stimare valori nutrizionali o generare suggerimenti. A seconda della funzione usata, alcuni dati possono essere trasmessi a provider calendario, servizi food database, provider AI, provider error monitoring e infrastruttura hosting, database, email o logging.

Per le funzionalita' AI di generazione e supporto alle raccomandazioni, Lino usa una integrazione di terze parti con Google Gemini API. Lino usa inoltre logiche interne, regole deterministiche e classificatori per interpretare il contesto della giornata. I dati inviati ai servizi AI sono limitati alle informazioni necessarie per generare o migliorare la raccomandazione richiesta, come titolo e orario degli eventi rilevanti, obiettivi nutrizionali, preferenze alimentari, allergie, alimenti esclusi e storico pasti recente. Lino non invia ai provider AI token OAuth, credenziali di accesso o dati non necessari alla specifica funzionalita'. Per l'uso produttivo in Italia, Spazio Economico Europeo, Svizzera o Regno Unito, Lino configura le integrazioni Gemini API secondo le condizioni applicabili ai servizi a pagamento/Cloud Billing quando richiesto dal provider.

La lista aggiornata dei fornitori e sub-responsabili e' disponibile su richiesta scrivendo a privacy@linonutrition.it.

3. Finalita' e basi giuridiche

Trattiamo i dati per:

• creare e gestire l'account: esecuzione del contratto;
• collegare Google Calendar o Microsoft Calendar: consenso OAuth ed esecuzione del servizio richiesto;
• leggere calendario e generare analisi della giornata: esecuzione del servizio e, per eventuali dati sensibili, consenso esplicito;
• creare piani alimentari, suggerimenti e storico pasti: esecuzione del servizio e consenso per dati salute/wellness dove richiesto;
• gestire preferenze, allergie, ricette e alimenti esclusi: esecuzione del servizio e consenso per dati sensibili;
• fornire assistenza e gestire feedback: esecuzione del servizio o legittimo interesse;
• sicurezza, prevenzione abusi e debug: legittimo interesse;
• adempiere obblighi legali: obbligo legale;
• produrre report aggregati e anonimi per pilot B2B: legittimo interesse o contratto con cliente B2B, solo se i dati sono aggregati e non identificano singoli utenti.

Non usiamo i dati calendario o i dati salute/wellness per pubblicita' comportamentale.

4. Uso dei dati Google e Limited Use

Lino richiede solo gli scope Google necessari al funzionamento:

• openid
• userinfo.email
• userinfo.profile
• https://www.googleapis.com/auth/calendar.calendarlist.readonly
• https://www.googleapis.com/auth/calendar.events.readonly

Usiamo i dati Google solo per autenticare l'utente, mostrare/selezionare i calendari disponibili, leggere eventi del calendario in sola lettura, calcolare il contesto giornaliero e generare suggerimenti personalizzati.

Lino non vende dati Google, non li usa per advertising, non li trasferisce a terzi per finalita' non dichiarate e non usa dati Google per addestrare modelli AI general-purpose.

L'uso e il trasferimento da parte di Lino delle informazioni ricevute dalle API Google rispettano la Google API Services User Data Policy, incluse le Limited Use requirements.

Puoi revocare l'accesso Google dal tuo account Google e puoi cancellare l'account Lino dall'app.

5. Protezione dei dati sensibili e misure di sicurezza

Questa sezione descrive i meccanismi di protezione dei dati sensibili e dei dati Google trattati da Lino. Lino puo' trattare dati calendario, dati wellness, preferenze alimentari, allergie, dati fisici, dati relativi allo stile di vita e token OAuth necessari a mantenere la connessione autorizzata. Applichiamo misure tecniche e organizzative proporzionate alla natura dei dati trattati, al rischio e allo stato attuale del progetto.

Cifratura e trasmissione sicura

• Le comunicazioni tra browser/PWA, backend Lino e servizi collegati avvengono tramite HTTPS/TLS.
• Le callback OAuth e le chiamate API autenticate sono effettuate su endpoint HTTPS.
• Non chiediamo, non raccogliamo e non conserviamo password Google o Microsoft dell'utente.

Protezione dei token OAuth e delle sessioni

• I token OAuth Google/Microsoft sono conservati lato server e non sono esposti al frontend o a script client-side.
• La PWA usa un token di sessione applicativo Lino separato dai token OAuth dei provider.
• Gli endpoint protetti richiedono autenticazione tramite JWT firmato; il backend verifica il token prima di consentire l'accesso ai dati dell'utente.
• L'accesso Google Calendar richiesto da Lino e' limitato agli scope read-only necessari: lista calendari ed eventi calendario. Lino non richiede permessi per creare, modificare o cancellare eventi.
• L'utente puo' revocare l'accesso Google/Microsoft dal proprio account provider e puo' cancellare l'account Lino.

Controlli infrastrutturali e accesso interno

• Il database non e' esposto pubblicamente su Internet ed e' accessibile dall'infrastruttura applicativa autorizzata.
• Frontend pubblico, backend API, database, Redis e worker sono separati tramite container e rete applicativa.
• Le variabili segrete, le credenziali API e le chiavi di produzione sono gestite come configurazione server-side e l'accesso e' limitato ai membri autorizzati del team.
• L'accesso amministrativo ai sistemi di produzione e' limitato alle persone che ne hanno necessita' operativa.
• Le API applicative accettano richieste cross-origin solo dagli origin configurati e autorizzati per l'ambiente di produzione.
• Gli endpoint di autenticazione sono protetti anche da limiti di frequenza per ridurre abuso e tentativi automatizzati.
• Usiamo log tecnici per sicurezza, debug, prevenzione abusi e affidabilita' del servizio; non usiamo tali log per advertising comportamentale.

Minimizzazione e limitazione dell'uso

• Raccogliamo e trattiamo solo i dati necessari per fornire login, sincronizzazione calendario read-only, analisi del contesto giornaliero e suggerimenti wellness/meal-planning.
• Quando generiamo hash tecnici per rilevare modifiche nella cache calendario, usiamo solo dati minimi degli eventi come titolo e orario, non token OAuth.
• Non vendiamo dati personali o dati Google.
• Non usiamo dati Google per pubblicita', retargeting, data brokerage, credit scoring, prestiti, sorveglianza o altre finalita' non collegate al servizio richiesto dall'utente.
• Non usiamo dati Google per addestrare modelli AI general-purpose.
• Non trasferiamo dati calendario individuali alle aziende clienti B2B; eventuali report B2B sono solo aggregati e anonimi.
• Quando usiamo fornitori esterni, condividiamo solo le informazioni necessarie alla specifica funzionalita' richiesta.

Protezione nei servizi AI e fornitori esterni

• Per le funzionalita' AI generative usiamo Google Gemini API come provider AI di terze parti.
• I prompt verso servizi AI sono limitati al contesto necessario per generare raccomandazioni wellness e meal-planning, come titolo e orario degli eventi rilevanti, categoria stimata dell'evento, obiettivi nutrizionali, preferenze, allergie, alimenti esclusi e storico pasti recente.
• Non inviamo ai provider AI token OAuth, refresh token, client secret, password, credenziali di accesso o dati non necessari alla raccomandazione richiesta.
• Non usiamo servizi AI per prendere decisioni cliniche, legali, finanziarie, disciplinari o HR sull'utente.
• Non usiamo i dati Google dell'utente per addestrare, fine-tunare o migliorare modelli AI general-purpose di Lino o di terzi.
• Sentry e gli strumenti di monitoraggio sono configurati per ridurre l'invio di dati personali non necessari e non sono usati per advertising o profilazione commerciale.

Conservazione, cancellazione e risposta agli incidenti

• Conserviamo account, profilo, token OAuth, cache calendario, pasti e log secondo i periodi indicati nella sezione Conservazione.
• La cache degli eventi calendario e i piani tecnici collegati sono soggetti a cleanup periodico; il progetto prevede di ridurre la retention della cache calendario a 30 giorni.
• La cancellazione account rimuove account, profilo, credenziali calendario, pasti, impostazioni e dati collegati, salvo obblighi legali o esigenze di sicurezza.
• In caso di incidente di sicurezza che comporti un rischio per i diritti e le liberta' degli utenti, adotteremo le misure richieste dalla normativa applicabile, incluse eventuali notifiche alle autorita' competenti e agli utenti interessati quando necessario.

Nessun sistema puo' garantire sicurezza assoluta, ma Lino progetta il servizio secondo principi di minimizzazione, separazione degli accessi, limitazione degli scope, protezione delle credenziali e trasparenza verso l'utente.

6. Decisioni automatizzate e AI

Lino usa algoritmi e sistemi AI per classificare eventi, stimare il contesto giornaliero, calcolare target nutrizionali e generare suggerimenti alimentari.

Lino non dispone attualmente di un proprio modello AI general-purpose ospitato come servizio autonomo. Per le funzionalita' generative e alcune classificazioni contestuali puo' usare Google Gemini API come integrazione AI di terze parti, insieme a regole interne e logiche algoritmiche proprietarie. I risultati AI sono usati per supportare raccomandazioni wellness e meal planning, non per decisioni mediche, legali, disciplinari o HR.

Questi output sono raccomandazioni wellness e non decisioni aventi effetti giuridici o analogamente significativi sull'utente. L'utente resta libero di ignorare, modificare o cancellare suggerimenti e pasti.

Nei programmi B2B, eventuali report per l'azienda sono forniti solo in forma aggregata e anonima, senza permettere l'identificazione del singolo dipendente. Lino non fornisce all'azienda dati individuali su calendario, alimentazione, salute, stress, performance o abitudini del singolo utente.

7. Condivisione dei dati

Possiamo condividere dati personali con fornitori tecnici, provider OAuth e calendario scelti dall'utente, fornitori AI o nutrizionali necessari a erogare specifiche funzioni, consulenti o autorita' quando richiesto dalla legge e aziende clienti B2B solo in forma aggregata e anonima.

Non vendiamo dati personali.

8. Trasferimenti extra SEE

Alcuni fornitori possono trattare dati fuori dallo Spazio Economico Europeo. In questi casi usiamo garanzie appropriate, come decisioni di adeguatezza, Standard Contractual Clauses o altri strumenti previsti dal GDPR.

L'infrastruttura principale e' ospitata su Hetzner, data center di Helsinki, Finlandia. Alcuni fornitori, come Google, Microsoft, Sentry, Edamam o provider email, possono comportare trasferimenti o accessi da altri paesi secondo le rispettive condizioni contrattuali.

9. Conservazione

Conserviamo i dati per il tempo necessario alle finalita' indicate:

• account e profilo: finche' l'account e' attivo;
• token OAuth: finche' l'account e' connesso o fino a revoca/cancellazione;
• eventi calendario cache, piani tecnici e classificazioni evento: soggetti a cleanup periodico; Lino prevede di ridurre la retention della cache calendario a 30 giorni;
• pasti, piani e ricette: finche' l'utente mantiene l'account o li cancella;
• log tecnici: per un periodo limitato necessario a sicurezza/debug;
• dati fiscali o contrattuali: secondo obblighi di legge.

Ulteriori dettagli sulla conservazione possono essere richiesti scrivendo a privacy@linonutrition.it.

10. Diritti dell'utente

Nei limiti previsti dal GDPR puoi chiedere accesso ai dati, rettifica, cancellazione, limitazione, portabilita', opposizione, revoca del consenso e informazioni sulla logica delle raccomandazioni automatizzate.

Puoi esercitare i diritti scrivendo a privacy@linonutrition.it. Risponderemo entro i termini previsti dalla legge.

Hai inoltre diritto di presentare reclamo al Garante per la protezione dei dati personali.

11. Cancellazione account e revoca accessi

Puoi cancellare il tuo account dall'app nella sezione profilo. La cancellazione rimuove account, profilo, credenziali calendario, pasti, impostazioni e dati collegati, salvo dati che dobbiamo conservare per obblighi legali o sicurezza.

Puoi inoltre revocare l'accesso Google o Microsoft dalle impostazioni del rispettivo account.

12. Minori

Lino non e' destinato a minori di 18 anni. Se scopriamo di aver raccolto dati di minori, adotteremo misure per cancellarli o disattivare l'account.

13. Modifiche

Possiamo aggiornare questa informativa. In caso di modifiche sostanziali, informeremo gli utenti con mezzi adeguati e, quando richiesto, chiederemo un nuovo consenso.

Scarica la Privacy Policy in PDF