La versione giuridicamente vincolante. Per il riepilogo di una pagina, vedi La privacy in Ostler.
Versione breve: Ostler funziona sul tuo Mac. Il tuo grafo di conoscenza importato – contatti, messaggi, calendario, note, inferenze – è archiviato cifrato sul tuo dispositivo sotto una passphrase che solo tu conosci. Creative Machines non gestisce alcun server che lo riceva o lo conservi. Non possiamo leggerlo. L’app effettua tuttavia alcune chiamate in uscita limitate (ricerche di dati pubblici, ricerca web se la attivi, aggiornamenti dei modelli e del software) che sono descritte onestamente al §5.
Creative Machines stessa conserva soltanto: identificativi di fatturazione (se ti abboni), corrispondenza di assistenza via e-mail (se ci scrivi) e analisi di base del sito web. Questo è l’elenco completo.
La maggior parte delle informative sulla privacy è lunga perché l’azienda conserva una grande quantità dei tuoi dati e deve spiegare cosa ne fa. La nostra è più breve perché conserviamo molto poco. Non è però pari a zero, e questo documento espone onestamente ciò che facciamo, ciò che non facciamo e dove sono i confini. Questa è la versione giuridicamente vincolante; per il riepilogo di una pagina, vedi La privacy in Ostler.
Creative Machines Limited è una società costituita a Hong Kong (Companies Registry no. 78699170; Business Registration no. 78699170). Noi pubblichiamo Ostler.
Il diritto della protezione dei dati (GDPR, UK GDPR ed equivalenti) ripartisce la responsabilità tra titolari del trattamento (che decidono le finalità e i mezzi del trattamento) e responsabili del trattamento (che trattano i dati per conto di un titolare in base a un contratto). L’architettura di Ostler’s distribuisce questi ruoli su tre zone, e la cosa più onesta che possiamo fare è indicarti dove ci collochiamo in ciascuna.
Quando installi Ostler e importi i tuoi contatti, il calendario, i messaggi, le note, la cronologia di navigazione e così via, tali dati risiedono in database cifrati sul tuo Mac. Tu decidi cosa importare, cosa conservare, cosa eliminare e con chi condividere i derivati. Non gestiamo alcun server che riceva il tuo grafo. Non disponiamo di alcun mezzo tecnico per recuperarlo, decifrarlo, visualizzarlo o esportarlo. Poiché non trattiamo tali dati per tuo conto, non è richiesto alcun Accordo sul Trattamento dei Dati ai sensi del GDPR Article 28 per il grafo locale – non c’è nulla che possiamo trattare. (Nota: l’app effettua chiamate in uscita circoscritte e non correlate a noi che possono contenere nomi, descritte al §5; queste avvengono tra te e il servizio di terzi che hai configurato, e non costituiscono traffico verso Creative Machines.)
Anche se non possiamo vedere i tuoi dati, prendiamo decisioni che plasmano il modo in cui vengono trattati sul tuo dispositivo: le categorie di dati che gli importatori accettano, il comportamento di conservazione predefinito, gli schemi di inferenza (per esempio, i segnali di calore relazionale e le osservazioni di coaching), la scelta del modello sul dispositivo e la logica che estrae fatti dai tuoi file importati. Secondo la giurisprudenza della CGUE (Fashion ID C-40/17, Wirtschaftsakademie C-210/16), un soggetto che determina i mezzi del trattamento può essere contitolare del trattamento per tale livello di progettazione anche senza accesso ai dati stessi. Accettiamo questa qualificazione per il livello di progettazione e la affrontiamo mediante la presente informativa, mediante documentazione pubblicata su architettura e sicurezza e mediante le scelte che ti offriamo nell’app per disattivare o riconfigurare tali funzioni.
Ripartizione delle responsabilità ai sensi del GDPR Art. 26. Laddove il diritto tratti questo rapporto come una contitolarità del trattamento, ripartiamo le responsabilità come segue: Creative Machines è responsabile della progettazione degli importatori, della logica di inferenza e delle impostazioni predefinite, nonché del presente documento di trasparenza. Tu, l’utente, sei responsabile di quali fonti siano abilitate, di cosa venga importato, di per quanto tempo i dati siano conservati e di come i derivati siano condivisi. Per gli interessati che desiderino esercitare i propri diritti, l’Art. 26(3) consente di esercitare il diritto nei confronti di ciascuno dei titolari; il nostro punto di contatto unico per tali richieste è [email protected], dal quale instraderemo in modo appropriato (verso l’utente, quando la richiesta riguarda dati che esistono soltanto sul suo dispositivo, fatti salvi i meccanismi del §3).
Per le categorie limitate di dati che Creative Machines conserva direttamente – identificativi di fatturazione, corrispondenza di assistenza, analisi del sito web – siamo il titolare del trattamento. Il modo in cui tali dati sono gestiti, conservati e protetti è descritto ai §4 e §8.
Ostler imports, processes, and stores personal data entirely on your Mac. The databases run as local container services on your Mac, with all data files written to your home directory under ~/.ostler/ (engine zone) and ~/Documents/Ostler/ (visible zone), and all services bound to 127.0.0.1. None of this data is transmitted to us. Nothing is imported on a fresh install – every source below is opt-in, per-source, with a separate consent prompt.
macOS Full Disk Access è un’autorizzazione sensibile. Concederla consente a qualsiasi app di leggere i file sotto i prefissi protetti del tuo sistema, inclusi posta, messaggi, note, foto e database del browser. Ostler non richiede mai il FDA all’installazione, e lo richiede soltanto se e quando abiliti una specifica funzione dipendente dal FDA. Quando lo fai, lo richiediamo tramite la richiesta di autorizzazione propria di macOS’s, che puoi revocare in qualsiasi momento in Impostazioni di Sistema > Privacy & Sicurezza > Full Disk Access.
Se concedi il FDA, Ostler legge soltanto gli archivi specifici che hai abilitato nel selettore di fonti all’installazione (o successivamente nelle Impostazioni). Ciascuna fonte può essere attivata o disattivata in modo indipendente. L’elenco completo delle fonti derivate dal FDA supportate da Ostler:
Bookmarks.plist. Trattati come forti segnali di interesse (hai salvato deliberatamente queste pagine)..mbox isolato nei tuoi Download / Scrivania / Documenti all’installazione (o se indichi a Ostler un tale file in seguito), e confermi l’importazione, Ostler legge i messaggi di Gmail direttamente da quel file. Creative Machines non si connette mai all’API di Google’s per questo; il file di Takeout è un archivio statico che hai scaricato tu stesso da takeout.google.com. Campi archiviati per messaggio: From / To / Subject / Date / etichette Gmail / un’anteprima del corpo (primi 500 caratteri). Il corpo completo è analizzato in memoria ma viene conservata soltanto l’anteprima, sicché la dimensione su disco è limitata.L’ambito del FDA a livello di macOS è più ampio rispetto alla maggior parte delle autorizzazioni delle app, perché macOS stesso non offre una granularità più fine per app. Lo compensiamo con la minimizzazione a livello di software: adesione per fonte all’installazione (modificabile in qualsiasi momento nelle Impostazioni), limiti di intervallo di date su ciascun estrattore, esclusione dei contenuti bloccati ed eliminazione per record all’interno dell’app.
Una nota su Gmail e altri servizi di webmail. Se hai aggiunto Gmail (o qualsiasi altro account IMAP/Exchange) ad Apple Mail sul tuo Mac, Apple gestisce l’autenticazione OAuth o IMAP con tale provider, e i messaggi risiedono nel tuo archivio Mail locale. Quando abiliti Apple Mail nel selettore di fonti di Ostler’s, Ostler legge tale archivio locale. Creative Machines non si connette a Google né ad alcun provider di webmail per tuo conto, non ha alcun client OAuth di Google Cloud e non è sub-responsabile del trattamento di alcun dato di webmail. Se non vuoi che Ostler veda i messaggi di Gmail, non aggiungere Gmail ad Apple Mail (o deseleziona Apple Mail nel selettore di fonti).
Tutto quanto sopra è archiviato in database locali (Qdrant per i vettori, Oxigraph per i dati del grafo RDF, Valkey per la cache) cifrati a riposo con una passphrase che solo tu conosci. Senza la tua passphrase, i dati sono illeggibili – per te, per noi, per chiunque.
Le tue esportazioni GDPR e i tuoi database di contatti contengono dati personali appartenenti ad altre persone – i tuoi amici, colleghi, familiari e così via – che non hanno acconsentito al fatto che tu tratti le loro informazioni in Ostler. Questa è una vera questione giuridica che dovresti comprendere.
Il GDPR Article 2(2)(c) esonera il trattamento “effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.” Usare Ostler per tenere una rubrica personale, ricordare le tue relazioni e organizzare la tua vita può rientrare in questa esenzione. È un’esenzione ristretta, e se copra il tuo uso specifico dipende da cosa fai con il grafo, con chi condividi i derivati e dal fatto che il trattamento si estenda oltre la tua cerchia personale chiusa.
Tuttavia, l’esenzione viene persa se usi Ostler per:
Se usi Ostler a fini commerciali o oltre finalità puramente personali, diventi il titolare del trattamento ai sensi del GDPR per i dati personali contenuti nel tuo grafo di conoscenza. Sei responsabile di ottenere un’adeguata base giuridica, di rispondere alle richieste di esercizio dei diritti degli interessati e di adempiere a tutti gli altri obblighi del titolare del trattamento. Creative Machines non è responsabile della tua conformità. L’uso commerciale su larga scala può inoltre richiederti di svolgere una valutazione d’impatto sulla protezione dei dati (GDPR Art. 35) prima di iniziare, perché Ostler tratta un ampio insieme di categorie di dati personali, comprese inferenze di tipo profilazione.
La CGUE interpreta l’esenzione domestica in modo restrittivo (vedi Ryneš C-212/13 e Jehovan todistajat C-25/17). Un trattamento che si estenda oltre una cerchia personale chiusa, o che riguardi categorie sensibili, o che possa incidere su terzi in modo rilevante, può ricadere al di fuori dell’esenzione anche quando l’utente non svolga un’attività d’impresa. Parti dal presupposto che, se non scriveresti l’informazione in una rubrica personale, l’esenzione probabilmente non copre l’inserirla in Ostler. Nota inoltre che le query in uscita di Ostler’s verso Wikidata e la ricerca web facoltativa (vedi §5) trasportano nomi al di fuori del tuo dispositivo, il che costituisce un fattore nel valutare se il trattamento sia ancora “esclusivamente personale.”
Un punto specifico sulle importazioni di Mail, iMessage e Photos: queste fonti contengono per loro natura corrispondenza e immagini che coinvolgono altre persone che non hanno acconsentito al fatto che tu importassi quel contenuto in Ostler. Anche all’interno dell’esenzione domestica, mantieni un obbligo di correttezza nei confronti di tali terzi secondo i principi ordinari del diritto civile, e se in seguito condividi un derivato di quel contenuto (un riepilogo, un’esportazione del wiki, uno screenshot), l’esenzione domestica potrebbe non accompagnarlo. Usa queste importazioni tenendolo presente.
Il modello sul dispositivo di Ostler’s crea nuovi dati personali sulle persone che compaiono nelle tue importazioni: riepiloghi, punteggi di calore relazionale, azioni suggerite, voci di cronologia, osservazioni di coaching. Ai sensi del GDPR, questi dati dedotti sono essi stessi dati personali su tali terzi. I loro diritti (accesso, rettifica, cancellazione, opposizione) vi si ricollegano.
Poiché questi dati esistono soltanto sul tuo Mac, non possiamo dare seguito a tali diritti – non possiamo vedere i dati, non possiamo cercarli e non possiamo esportarli. Tu, in quanto titolare del trattamento del tuo grafo, sei la parte che può farlo. Se un terzo contatta Creative Machines in merito a inferenze conservate sul suo conto in un’istanza di Ostler, noi:
Offriamo inoltre controlli rivolti ai terzi direttamente nel prodotto. Qualsiasi persona i cui dati figurino in un grafo di Ostler può chiedere all’utente di (a) mostrare tutte le inferenze che l’app ha sul suo conto, (b) correggere errori, (c) sopprimere la generazione di inferenze per quella persona, o (d) eliminare tutti i record che la riguardano. Ostler espone ciascuna di queste azioni con un solo clic. Se sei un utente: sei tenuto a dare seguito alle richieste ragionevoli di questo tipo. Se sei un terzo e non riesci a contattare l’utente, contatta [email protected] e ti assisteremo nei limiti consentiti dall’architettura.
Cosa significa realmente “eliminare” nel codice. Quando l’utente dà seguito a una richiesta di tipo “dimentica questa persona”, il record di contatto della persona nominata, tutte le inferenze che la riguardano e tutti gli embedding memorizzati nella cache derivati dai suoi dati vengono rimossi dagli archivi locali Qdrant, Oxigraph e Valkey in un’unica operazione. Non vi è alcun registro ombra, alcuna cache di reidratazione, né alcuna esportazione di analisi che sopravviva a tale azione. La reimportazione di dati che menzionano la stessa persona ricreerà le inferenze da zero, a meno che l’utente non contrassegni separatamente la persona come soppressa.
Questa sezione descrive ogni categoria di dati personali che Creative Machines conserva essa stessa. Ce ne sono tre:
Se acquisti l’Hub, usiamo Stripe per elaborare il pagamento una tantum di $99. Se ti abboni a Ostler Pro, la fatturazione è gestita da Apple tramite l’iOS App Store. Il fornitore di pagamento conserva il tuo metodo di pagamento, il tuo indirizzo di fatturazione e lo storico delle transazioni secondo le proprie condizioni sulla privacy. Noi riceviamo soltanto: un identificativo di abbonamento, il livello e lo stato del pagamento. Non vediamo il numero della tua carta. Conserviamo i registri di fatturazione per 7 anni dalla fine dell’esercizio fiscale a cui si riferiscono, in linea con i requisiti della Hong Kong Inland Revenue Ordinance e con il periodo di conservazione applicabile più lungo tra le giurisdizioni in cui siamo tassati. I registri societari richiesti dal diritto societario di Hong Kong sono conservati per il periodo legale previsto da tale diritto.
The Hub on your Mac needs to know whether your Ostler Pro subscription is active so it knows whether to keep ingesting new data. We do this by reading the ricevuta StoreKit sul tuo iPhone abbinato – un blob firmato che Apple rilascia e che attesta “questo ID Apple ha un abbonamento Ostler Pro attivo.” L'Hub convalida la ricevuta in locale e memorizza solo il valore booleano risultante (attivo / scaduto) e un identificativo opaco dell'abbonamento.
La ricevuta StoreKit è l'unico dato che inviamo ad Apple per la convalida dell'abbonamento. Apple non vede nulla di ciò che hai chiesto al tuo assistente, di cosa c'è nel tuo wiki, di chi è nel tuo grafo o di cosa hai acquisito. I tuoi dati non lasciano mai il tuo dispositivo. Lo scambio della ricevuta è un normale meccanismo dell'App Store di Apple che ogni app a pagamento su iOS utilizza.
Se il tuo iPhone è irraggiungibile per un periodo prolungato (attualmente 30 giorni), l'Hub consente all'acquisizione di continuare, così una vacanza senza segnale non ti penalizza. Dopo la scadenza di Pro, l'acquisizione continua per altri 14 giorni (il periodo di tolleranza soft) prima di mettersi in pausa.
Se ci scrivi a [email protected] o a [email protected], vedremo il tuo indirizzo e-mail, il tuo nome (se fornito) e tutto ciò che scegli di includere nel messaggio. Conserviamo le e-mail di assistenza fino a 2 anni per poter rispondere a domande di follow-up, quindi le eliminiamo.
Bilanciamento del legittimo interesse (Art. 6(1)(f)). Finalità: rispondere alle domande degli utenti, risolvere i ticket ricorrenti e individuare schemi che indichino bug del prodotto. Necessità: senza conservazione non possiamo gestire i messaggi di follow-up che fanno riferimento a corrispondenza precedente. Bilanciamento: i dati sono minimi (e-mail, nome se fornito, contenuto del messaggio scelto dall’utente), l’accesso è limitato al personale di assistenza secondo il principio della necessità di conoscere, l’archiviazione è cifrata in transito e a riposo, e il limite di conservazione è di due anni. Puoi opporti a questo trattamento in qualsiasi momento ai sensi dell’Art. 21 scrivendo a [email protected]; elimineremo il tuo storico di assistenza su richiesta, salvo che la legge ci imponga di conservare un determinato record (per esempio, una controversia legale pendente).
Se usi il pulsante Invia via e-mail in Ostler Doctor, un rapporto diagnostico precompilato viene preparato localmente e si apre nel tuo client di posta. Nulla ci viene trasmesso finché non lo esamini e fai clic su Invia nel tuo client di posta.
Il rapporto di Doctor contiene soltanto:
Il rapporto di Doctor non contiene:
Il rapporto completo viene mostrato nel tuo client di posta prima che tu lo invii, così puoi verificare questi confini in ogni caso.
Il sito web di marketing (creativemachines.ai/ostler e ostler.ai) e il sito di documentazione (docs.ostler.ai) utilizzano Cloudflare Web Analytics, un servizio di analisi privo di cookie e rispettoso della privacy derivato dai log delle richieste edge, per contare le visite e capire quali pagine vengono lette. Non vengono impostati cookie identificativi. Non vengono costruiti profili dei visitatori. Gli indirizzi IP non vengono conservati in una forma collegabile alle singole visite.
Non utilizziamo Google Analytics, Facebook Pixel né alcun tracker pubblicitario. Farlo invierebbe le abitudini di lettura di ogni visitatore a un terzo – che è esattamente la dinamica rispetto alla quale Ostler esiste per offrirti un’alternativa. Manteniamo la superficie di marketing allo stesso standard a cui manteniamo il prodotto.
Aggiorneremo questa sezione entro 14 giorni da qualsiasi cambio di fornitore.
Il sito web di marketing non imposta cookie o tecnologie di tracciamento simili a fini di analisi, pubblicità o misurazione tra siti. Laddove vengano utilizzati cookie funzionali (per esempio, per ricordare un tema di colore selezionato), sono strettamente necessari, impostati soltanto su tua azione e non recano alcun identificativo che colleghi tra sessioni o siti. Non utilizziamo tecnologie pubblicitarie, retargeting o fingerprinting di terzi. Non viene mostrato alcun banner sui cookie perché non viene impostato alcun cookie che richieda il consenso; questo è il risultato voluto ai sensi della Direttiva ePrivacy e del PECR, non un’omissione.
L’app Ostler stessa non usa cookie. Non comunica con i nostri server; non vi è alcuna sessione da mantenere.
Ostler effettua chiamate di rete in uscita. Non trasmette in streaming il tuo grafo di conoscenza in alcun luogo, e non carica mai i tuoi file importati, i tuoi messaggi o gli output di inferenza verso di noi o verso terzi. Ma l’app non è isolata dalla rete (air-gapped), e vogliamo essere precisi su cosa effettivamente esce.
Due funzioni emettono query in uscita il cui contenuto deriva dal tuo grafo. Vogliamo essere diretti al riguardo, perché i nomi delle persone nei tuoi contatti sono essi stessi dati personali ai sensi del GDPR Art. 4(1) (Breyer C-582/14).
In entrambi i casi, la query contiene soltanto quanto necessario per la ricerca, non il tuo grafo di conoscenza. Ostler non invia alcun flusso dei tuoi contatti, messaggi o inferenze in alcun luogo. Se disattivi l’arricchimento e non effettui ricerche web, nessuna query derivata dal grafo lascia il tuo dispositivo.
Puoi isolare Ostler dalla rete (air-gap). Con la macchina offline, le importazioni, l’inferenza, la ricerca sul tuo grafo e tutte le funzioni locali continuano a funzionare. Perdi l’arricchimento, la ricerca web e gli aggiornamenti, nient’altro.
Hai diritti ai sensi del GDPR, dell’UK GDPR, del CCPA, della PDPO (Hong Kong), della LGPD (Brasile) e di quadri normativi simili. La tabella seguente mostra cosa significa ciascun diritto per i dati locali (che controlli direttamente) e per la piccola quantità di dati che conserviamo sul tuo conto (fatturazione, e-mail di assistenza).
| Diritto | Dati locali (i tuoi) | Dati che conserviamo |
|---|---|---|
| Accesso (Art. 15) | Esporta da ~/.ostler/ in qualsiasi momento – SQL completo, JSON, vCard, ICS |
Scrivi a [email protected] – rispondiamo entro un mese (GDPR Art. 12(3)) |
| Portabilità (Art. 20) | La stessa esportazione, in formati aperti standard – portabile su qualsiasi altro strumento | I dati che conserviamo (identificativi di fatturazione, e-mail di assistenza) sono minimi; li esporteremo su richiesta tramite [email protected] |
| Rettifica (Art. 16) | Modifica localmente nell’app | Scrivici per correggere i registri di fatturazione o di assistenza |
| Cancellazione (Art. 17) | Esegui ostler-uninstall |
Scrivici – eliminiamo entro un mese (fatta salva la conservazione legale dei registri fiscali) |
| Limitazione del trattamento (Art. 18) | Smetti di usare l’app o mettila in pausa | Annulla il tuo abbonamento |
| Opposizione al trattamento (Art. 21) | Disattiva qualsiasi funzione o fonte di importazione in qualsiasi momento; esegui ostler-uninstall |
Opponiti al nostro trattamento delle e-mail di assistenza basato sul legittimo interesse scrivendo a [email protected]; cesseremo salvo che possiamo dimostrare motivi legittimi cogenti |
| Revoca del consenso (Art. 7(3)) | Disattiva le funzioni basate sul consenso nelle Impostazioni; disinstalla | Annulla l’abbonamento; annulla l’iscrizione alle e-mail del prodotto |
| Reclamo all’autorità di regolamentazione | Puoi presentare un reclamo all’autorità di controllo del tuo Paese di residenza o del tuo luogo di lavoro abituale. Esempi: UK ICO, DPC irlandese, CNIL francese, Hong Kong PCPD, CPPA della California o Attorney General, ANPD brasiliana. Se non sei sicuro di quale autorità sia appropriata, una qualsiasi di esse te lo indicherà. | |
Base giuridica per la piccola quantità di dati che conserviamo: contratto per la fatturazione (GDPR Article 6(1)(b)), legittimo interesse per la corrispondenza di assistenza (Article 6(1)(f)), obbligo legale per i registri fiscali (Article 6(1)(c)).
Creative Machines è stabilita a Hong Kong. Non abbiamo ancora nominato un rappresentante ai sensi dell’Article 27 nell’UE o nel Regno Unito. Riteniamo che un rappresentante ai sensi dell’Article 27 non sia attualmente richiesto perché non offriamo beni o servizi a interessati nell’UE/nel Regno Unito su una scala, né monitoriamo il loro comportamento, in un modo che attivi il test di extraterritorialità dell’Article 3(2) / UK GDPR per i dati che conserviamo noi stessi (fatturazione, assistenza, analisi). Il grafo di conoscenza locale non ci raggiunge mai e non è trattato da Creative Machines, sicché non attiva il test nemmeno esso.
Riconosciamo che questa analisi possa cambiare con la crescita del prodotto. Nomineremo un rappresentante ai sensi dell’Article 27 nell’UE e nel Regno Unito entro 90 giorni dall’acquisizione da parte di Ostler di una base di utenti rilevante nell’UE o nel Regno Unito, e in ogni caso prima del lancio di qualsiasi funzione che comporti il trattamento da parte di Creative Machines, sui propri server, di dati personali di interessati nell’UE/nel Regno Unito. Una volta nominato, i dati di contatto del rappresentante saranno pubblicati in questa sezione.
Nel frattempo, i residenti dell’UE e del Regno Unito possono contattarci a [email protected]. Si tratta di un contatto diretto con Creative Machines, non di un sostituto di un rappresentante ai sensi dell’Art. 27.
CCPA / CPRA (California): non vendiamo né condividiamo informazioni personali. Il termine “condividere” è qui usato nel senso definito dalla CPRA di pubblicità comportamentale tra contesti. I dati minimi che conserviamo (identificativi di fatturazione, e-mail di assistenza, analisi aggregata del sito web) non sono scambiati con terzi a fronte di un corrispettivo monetario o di altro valore, e non sono divulgati a fini di pubblicità comportamentale tra contesti. I residenti della California hanno i diritti descritti sopra, il diritto di limitare l’uso delle informazioni personali sensibili e il diritto alla non discriminazione per l’esercizio di uno qualsiasi di essi.
LGPD (Brasile): i diritti sopra indicati si applicano. Per i dati locali, sei il titolare del trattamento e detieni i diritti nei tuoi stessi confronti. Per i dati che conserviamo, scrivi a [email protected].
PDPO (Hong Kong): rispettiamo i sei principi di protezione dei dati. Poiché i dati che conserviamo sono ristretti, la maggior parte dei principi è soddisfatta dalla progettazione anziché dalla politica, ma vogliamo essere espliciti su ciascuno:
Ostler è destinato esclusivamente all’uso da parte di adulti. Devi avere almeno 18 anni per installare e usare Ostler. Installandolo, confermi di avere 18 anni o più.
Ostler tratta dati personali appartenenti ad altre persone – i tuoi contatti, interlocutori e altri le cui informazioni compaiono nelle tue importazioni. Il trattamento di tali dati comporta responsabilità giuridiche che, secondo la nostra valutazione, richiedono un utente adulto.
L’età è applicata mediante autodichiarazione all’installazione, accettazione delle Condizioni e (per i livelli a pagamento) un metodo di pagamento che richiede tipicamente che il titolare dell’account abbia 18 anni o più. Non raccogliamo dati sull’età né documenti d’identità. Lo abbiamo ponderato rispetto all’UK Age Appropriate Design Code (“Children’s Code”): il Codice si applica ai servizi a cui è probabile che accedano i minori. Poiché Ostler è un programma di installazione per desktop distribuito attraverso canali orientati agli adulti, commercializzato presso professionisti che gestiscono le proprie relazioni e carriere, con prezzo da strumento a pagamento e tenuto a trattare i propri insiemi di dati da adulto preesistenti dell’utente (esportazioni GDPR, storico dei pagamenti dell’App Store, contatti risalenti ad anni), valutiamo che non sia probabile che a Ostler accedano minori nel senso del Codice. Riteniamo che una verifica obbligatoria dell’identità costituirebbe un trattamento aggiuntivo sproporzionato di dati sensibili alla luce di tale valutazione.
If we become aware that the App is being used by someone under 18, we will terminate the licence. If you are a parent or guardian and believe a minor has installed Ostler, contact [email protected]; because data is stored locally, our direct ability to act is limited to revoking any subscription. Local data can be deleted by running ostler-uninstall, which stops all Hub services and the local database containers and removes the ~/.ostler/ and ~/Documents/Ostler/ directories; instructions are linked from the email acknowledgement we send.
Riesamineremo questa valutazione se Ostler rilascerà funzioni (per esempio, un client mobile, un livello sociale o un livello consumer distribuito tramite rete) che modifichino il profilo di rischio. Trattiamo il Children’s Code come un documento vivo, non come una casella di spunta una tantum.
I database locali sono cifrati a riposo con una passphrase derivata mediante PBKDF2 (600,000 iterations) e archiviata mediante SQLCipher (AES-256). Senza la tua passphrase, i dati sono illeggibili per chiunque, noi compresi. Puoi cambiare la passphrase in qualsiasi momento. Esiste una chiave di recupero una tantum generata in fase di configurazione; consigliamo di conservarla in macOS Keychain o in un gestore di password, perché se perdi sia la passphrase sia la chiave di recupero i tuoi dati sono persi per sempre. È intenzionale – è la stessa ragione per cui non possiamo leggere i tuoi dati.
The three local databases (Qdrant, Oxigraph, Valkey) run as local container services bound to 127.0.0.1 and are not exposed to the network. Ostler does not authenticate them because it doesn’t need to – they are only reachable from your own machine.
I dati che conserviamo (fatturazione tramite Stripe o Apple, corrispondenza di assistenza via e-mail) sono protetti dai normali controlli di sicurezza di tali fornitori e della nostra infrastruttura di posta. Le e-mail di assistenza sono cifrate in transito (TLS) e a riposo. L’accesso è limitato al personale autorizzato.
Accogliamo con favore l’esame da parte di ricercatori di sicurezza indipendenti. Se individui una vulnerabilità in Ostler, scrivi a [email protected] con i dettagli; puntiamo a confermare la ricezione entro 72 ore e lavoreremo in buona fede verso una divulgazione coordinata. Un esame di sicurezza indipendente è in fase di definizione nell’ambito dei nostri piani di lancio; puntiamo a pubblicare un riepilogo pubblico al suo completamento. I nostri impegni di notifica delle violazioni sono al §10; i nostri sub-responsabili del trattamento al §9.
Questa tabella elenca ogni terzo di cui Creative Machines si avvale per gestire Ostler, quali dati li raggiungono e su quale base. Elenca inoltre le parti con cui interagisci direttamente quando usi l’app, che sono fornitori per te anziché nostri sub-responsabili del trattamento.
Distinguiamo tra:
I nostri sub-responsabili del trattamento non possono ricevere il tuo grafo di conoscenza perché non lo conserviamo. La tabella seguente copre soltanto i dati di fatturazione, assistenza e analisi descritti al §4, oltre alle parti con cui interagisci direttamente quando usi l’app. A nessun sub-responsabile del trattamento, presente o futuro, possono essere forniti dati che Creative Machines non possiede.
| Parte | Ruolo | Dati ricevuti | Luogo |
|---|---|---|---|
| Stripe, Inc. | Sub-responsabile del trattamento (pagamenti, fatturazione diretta) | Nome, e-mail, metodo di pagamento, indirizzo di fatturazione, storico delle transazioni – gestiti da Stripe secondo le proprie condizioni | USA (GDPR SCCs) |
| Apple Inc. | Sub-responsabile del trattamento (fatturazione dell’App Store, se l’abbonamento è acquistato tramite l’App Store); fornitore per te per la sincronizzazione iCloud e i servizi macOS | Come richiesto dall’App Store per la fatturazione; i dati di sincronizzazione iCloud sono gestiti da Apple secondo le proprie condizioni | USA / Irlanda |
| Buttondown LLC | Sub-responsabile del trattamento (infrastruttura di iscrizione alla newsletter e all’accesso anticipato) | Indirizzo e-mail, nome (se ne fornisci uno), selezione del tag (per esempio, accesso anticipato, newsletter), timestamp dell’invio. Utilizzati soltanto per recapitarti i nostri aggiornamenti. Annullamento dell’iscrizione con un solo clic in ogni e-mail. | USA (GDPR SCCs) |
| Cloudflare, Inc. | Sub-responsabile del trattamento (analisi del sito web + hosting edge per ostler.ai e docs.ostler.ai) | Conteggi delle pagine visualizzate, geolocalizzazione approssimativa (solo Paese), referrer, classe di dispositivo. Nessun cookie impostato. Nessun tracciamento tra siti. Gli indirizzi IP non vengono conservati in una forma collegabile alle singole visite. | USA (GDPR SCCs) |
| Provider di posta (selezione del fornitore in corso) | Sub-responsabile del trattamento (infrastruttura di posta di assistenza per support@ / privacy@ / security@ / legal@ / [email protected]) | Contenuto e metadati delle e-mail di assistenza – cifrati in transito, a riposo sui sistemi del fornitore’s | Il fornitore specifico sarà nominato in questa tabella entro 14 giorni dal lancio e una notifica di modifica del sub-responsabile del trattamento sarà inviata agli abbonati conformemente alla clausola di preavviso di 30 giorni qui sotto |
| Provider di hosting web (selezione del fornitore in corso) | Sub-responsabile del trattamento (hosting di sito statico per ostler.ai e creativemachines.ai) | Log standard delle richieste web (incluso l’IP) per la durata della conservazione standard della cache / CDN | Il fornitore specifico sarà nominato in questa tabella entro 14 giorni dal lancio e una notifica di modifica del sub-responsabile del trattamento sarà inviata agli abbonati conformemente alla clausola di preavviso di 30 giorni qui sotto |
| Ollama, Hugging Face | Fornitore per te (distribuzione dei modelli di IA) | Il tuo indirizzo IP, nome del modello richiesto. Non ricevono il tuo grafo. | USA |
| Homebrew | Fornitore per te (distribuzione del software) | Il tuo indirizzo IP, versioni dei pacchetti richieste | USA |
| Wikimedia Foundation (Wikidata / Wikipedia) | Fornitore per te (arricchimento di dati pubblici) | Il tuo indirizzo IP, termini di query (che possono includere nomi di terzi tratti dal tuo grafo – vedi §5) | USA |
| Il tuo fornitore di ricerca web | Fornitore per te (attivato soltanto quando richiedi una ricerca web) | Il tuo indirizzo IP, contenuto della query di ricerca | Per fornitore |
| Fornitori di esportazioni GDPR (LinkedIn, Meta, Google, Apple, ecc.) | Fornitori di dati di origine per te | Quando richiedi la tua esportazione, viaggia direttamente da loro a te – Ostler non fa da intermediario | Per fornitore |
Riesaminiamo questo elenco a ogni aggiornamento dell’informativa. Quando aggiungiamo un sub-responsabile del trattamento che riceve dati personali di utenti che già abbiamo, lo notificheremo agli utenti esistenti almeno 30 giorni prima che il nuovo sub-responsabile inizi il trattamento, dandoti così la possibilità di opporti o di recedere. Le aggiunte sostanziali saranno inoltre segnalate nell’app.
Due delle righe sopra sono contrassegnate come “selezione del fornitore in corso” (provider di posta e provider di hosting web). Nominiamo la categoria e ci impegniamo a un termine di 14 giorni dal lancio anziché lasciarle nel silenzio, perché le linee guida regolamentari (ICO, EDPB) privilegiano la divulgazione delle categorie di destinatari anche quando lo specifico soggetto è ancora da selezionare. Una volta selezionata, la riga sarà aggiornata e gli utenti esistenti saranno notificati conformemente alla clausola di modifica del sub-responsabile del trattamento di 30 giorni.
I dati che Creative Machines conserva direttamente sono ristretti (identificativi di fatturazione, corrispondenza di assistenza, analisi del sito web), ma pianifichiamo comunque per la possibilità di un accesso non autorizzato.
Il GDPR Art. 22 conferisce agli interessati il diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o incida in modo analogo significativamente sulla loro persona.
Ostler non prende tali decisioni. L’app genera inferenze (riepiloghi, punteggi di calore relazionale, azioni suggerite, osservazioni di coaching) e te le presenta. Tu decidi cosa farne, se mai farne qualcosa. Non prendiamo alcuna decisione sul tuo conto o sul conto di un terzo nel tuo grafo; l’utente è sempre nel ciclo, e le decisioni sui terzi sono dell’utente stesso secondo l’analisi domestica/del titolare del trattamento del §3.
Per Creative Machines stessa: non applichiamo processi decisionali automatizzati alla fatturazione, all’assistenza o ad alcun’altra interazione. Non assegniamo punteggi agli utenti, non li classifichiamo né li escludiamo dai servizi in modo algoritmico.
Se ritieni mai che un output di Ostler venga trattato come una decisione con effetto giuridico o effetto analogo significativo (per esempio, perché un terzo si basa su un’inferenza di Ostler per prendere una decisione sul tuo conto), contatta [email protected]. Hai il diritto di contestare l’inferenza, di richiedere una spiegazione di come sia stata prodotta e di chiederci di sopprimere tale inferenza in futuro.
Una nota onesta sulla rettifica delle inferenze dell’IA. Se chiedi a Ostler di correggere un’inferenza (per esempio, “la cronologia dice che ho lavorato presso Company X dal 2018 al 2020, è sbagliato”), l’inferenza può essere rimossa o sostituita nel grafo locale immediatamente. Non possiamo riaddestrare il modello linguistico sul dispositivo affinché “disimpari” il fatto di origine che ha prodotto l’inferenza, ma possiamo assicurarci che quel fatto non venga più presentato come inferenza. Lo stesso vale per le inferenze sui terzi.
L’Article 25 impone ai titolari del trattamento di attuare misure tecniche e organizzative adeguate, concepite per integrare i principi di protezione dei dati nel trattamento, e di garantire che, per impostazione predefinita, siano trattati soltanto i dati personali necessari per ciascuna specifica finalità.
Per impostazione predefinita. Un’installazione nuova di Ostler non importa nulla. Ciascuna fonte di dati – contatti, calendario, messaggi, cronologia di navigazione, posta – è ad adesione volontaria ed è disattivata finché non la abiliti esplicitamente. L’arricchimento (query in uscita verso Wikidata) è disattivato per impostazione predefinita. La ricerca web viene attivata soltanto quando la chiedi. La cattura delle conversazioni è disattivata per impostazione predefinita. Non è presente telemetria di alcun tipo.
Misure tecniche. Database locali cifrati a riposo (PBKDF2 600,000 iterations, SQLCipher AES-256), associati a 127.0.0.1 senza alcun listener esterno, materiale di chiave detenuto soltanto dall’utente, supportato da una chiave di recupero facoltativa detenuta soltanto dall’utente. Nessun server di Creative Machines riceve i dati del grafo dell’utente. Vedi la pagina sull’architettura di sicurezza per il modello di minaccia completo.
Misure organizzative. Progettazione incentrata sull’architettura, in cui la privacy è imposta dal codice e non dalla politica. Documentazione di sicurezza pubblicata. Audit indipendente previsto (vedi §8). Regole di ingegneria codificate in modo fisso contro: la telemetria, i reporter di crash che includano dati dell’utente, l’analisi del comportamento degli utenti, qualsiasi server che riceva dati del grafo. Riesame periodico della presente informativa e dell’elenco dei sub-responsabili del trattamento.
Creative Machines è costituita a Hong Kong. Hong Kong non è stata oggetto di una decisione di adeguatezza dell’UE ai sensi del GDPR Art. 45, e non è riconosciuta come giurisdizione adeguata nel quadro di adeguatezza del Regno Unito. I trasferimenti di dati personali verso Creative Machines dall’UE o dal Regno Unito richiedono pertanto uno specifico meccanismo di trasferimento. Per le categorie limitate di dati che ci raggiungono dall’UE o dal Regno Unito, le basi di trasferimento sono le seguenti:
Riesamineremo queste basi di trasferimento ogni volta che verrà ripreso l’analisi del rappresentante ai sensi dell’Art. 27 al §6, e attueremo le SCC direttamente con gli utenti dell’UE se il prodotto evolverà in modo da richiederle.
Creative Machines è costituita a Hong Kong. Siamo soggetti al diritto di Hong Kong, inclusa la Personal Data (Privacy) Ordinance (PDPO) e qualsiasi ordinanza giudiziaria applicabile. Comprendiamo che la nostra costituzione sollevi domande per alcuni utenti; cerchiamo di rispondervi onestamente qui anziché lasciarle senza risposta.
Quali richieste governative potrebbero raggiungerci. Soltanto i dati che conserviamo: identificativi di fatturazione, corrispondenza di assistenza via e-mail, analisi di base del sito web. Non conserviamo il tuo grafo di conoscenza, i tuoi messaggi, i tuoi contatti, il tuo calendario, né alcun dato che tu abbia importato in Ostler. Nessuna richiesta – da parte di alcun governo – può obbligarci a produrre dati che non possediamo e a cui non possiamo accedere.
I nostri impegni.
Cosa autorizza e cosa non autorizza specificamente il diritto di Hong Kong. Ai sensi della PDPO e del diritto processuale penale applicabile, Creative Machines è tenuta ad assistere le forze dell’ordine dietro presentazione di un’ordinanza giudiziaria o di un mandato, e soltanto in relazione ai dati che effettivamente conserviamo. Non siamo soggetti alle US National Security Letters, agli ordini FISA né ad analoghi ordini di produzione non giudiziari che vincolano le società costituite negli Stati Uniti. Non siamo soggetti alla EU Law Enforcement Directive né agli avvisi di capacità tecnica dell’UK Investigatory Powers Act che vincolano le telecomunicazioni del Regno Unito. I poteri di produzione di cui all’Article 43 della Hong Kong National Security Law’s richiedono un mandato di un magistrato; esigeremo di vedere tale mandato prima di qualsiasi produzione. Divulgheremo pubblicamente qualsiasi modifica di questa analisi nel prossimo aggiornamento dell’informativa.
Difesa architetturale. La protezione più forte contro una divulgazione forzata non è la politica ma l’architettura. Ostler è progettato in modo tale che non possiamo produrre il tuo grafo di conoscenza nemmeno se costretti, perché non lo abbiamo e non possiamo decifrarlo. Questa è una scelta di progettazione deliberata, proprio per questa ragione.
Possiamo aggiornare la presente informativa occasionalmente per riflettere modifiche al prodotto, alla legge o alle giurisdizioni in cui operiamo. Le modifiche sostanziali saranno annunciate nell’app e sul sito web almeno 30 giorni prima che producano effetto. La data di “Ultimo aggiornamento” in cima a questa pagina riflette la versione corrente.
Conserviamo le versioni precedenti della presente informativa accessibili per almeno 24 mesi, così che tu possa verificare cosa diceva l’informativa quando hai installato Ostler o quando si è verificato un determinato evento. Le versioni archiviate sono collegate da questa sezione nell’informativa in vigore.
Domande sulla presente informativa, o richieste di esercizio di uno qualsiasi dei diritti descritti sopra:
Creative Machines Limited
Incorporated in Hong Kong
HK Companies Registry no. 78699170
Responsabile della protezione dei dati. Creative Machines non ha nominato un Responsabile della protezione dei dati formale. Il nostro trattamento non raggiunge le soglie dell’Article 37 GDPR (non siamo un’autorità pubblica, non svolgiamo un monitoraggio sistematico su larga scala e non trattiamo categorie particolari su larga scala sui nostri server). Le questioni di privacy presso Creative Machines sono gestite da una persona responsabile designata all’interno dell’azienda, il cui indirizzo di contatto è [email protected]. Rivaluteremo la nomina di un RPD se il nostro trattamento cambierà in modo da superare le soglie dell’Art. 37.
Locale · Verificabile · Tuo