PRIVACY
POLICY.
Come Hashe protegge la tua privacy.
Ultimo aggiornamento: Marzo 2026
Hashe è progettato per raccogliere praticamente nessun dato personale. I tuoi messaggi sono crittografati end-to-end, non possiamo leggerli. Nessuna pubblicità, nessuna condivisione dati con terze parti. Il sito web utilizza analisi self-hosted senza cookie (Umami).
1. Titolare del trattamento
L'applicazione Hashe è pubblicata da:
- DEVOLIM
- SIREN: 948 000 757
- Contatto: [email protected]
DEVOLIM agisce come titolare del trattamento ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR).
2. Dati raccolti
2.1 Cosa raccogliamo
Hashe raccoglie il minimo indispensabile per far funzionare il servizio:
- Hashe ID - un identificativo anonimo generato casualmente, non collegato alla tua identità
- Identificativo dispositivo (device ID) - utilizzato per l'autenticazione
- Piattaforma - iOS o Android, necessaria per le notifiche push
- Chiavi pubbliche - chiavi di crittografia Signal Protocol (identity key, signed prekey, prekeys)
- Token mailbox - per ricevere notifiche push
2.2 Cosa NON raccogliamo
Hashe non raccoglie, conserva o elabora nessuno dei seguenti dati:
- Contenuto dei messaggi (crittografati end-to-end, illeggibili dai nostri server)
- Liste di contatti
- Dati di localizzazione
- Indirizzo email
- Numero di telefono
- Indirizzo IP (non conservato, non registrato)
- Metadati delle comunicazioni (chi parla con chi, quando, per quanto tempo)
- Foto, file o media in chiaro
3. Crittografia e sicurezza
Tutte le comunicazioni sono protette dal Signal Protocol, lo standard di riferimento nella crittografia end-to-end:
- AES-256-GCM - crittografia simmetrica di messaggi e file
- Curve25519 - scambio di chiavi Diffie-Hellman su curve ellittiche
- Double Ratchet - rinnovo automatico delle chiavi con ogni messaggio (Perfect Forward Secrecy)
- Sealed Sender - l'identità del mittente è crittografata, invisibile anche al server
Il server non può leggere, decrittografare o collegare messaggi a un mittente. Solo il destinatario, usando la sua chiave privata conservata unicamente sul suo dispositivo, può decrittografare i messaggi.
4. Conservazione dei dati
- Messaggi crittografati in transito - cancellati alla ricezione dal destinatario, o automaticamente dopo 24 ore massimo se non recuperati
- Dati dell'account - conservati finché l'account è attivo. Completamente cancellati alla cancellazione dell'account
- File e media crittografati - stessa durata dei messaggi: cancellati alla ricezione o dopo 24 ore massimo
5. Archiviazione locale
I tuoi dati (messaggi, contatti, note, chiavi private) sono conservati localmente sul tuo dispositivo in un database Hive crittografato AES-256-GCM.
- I dati locali non vengono mai sincronizzati su alcun cloud
- Un dispositivo = un account - nessun ripristino automatico, nessun backup lato server
- La chiave di crittografia è derivata dal tuo PIN tramite Argon2id e conservata nel Keychain iOS / Keystore Android
6. Basi giuridiche del trattamento
Conformemente all'articolo 6 del GDPR, il trattamento dei dati da parte di Hashe si basa su:
- Esecuzione del contratto (Art. 6.1.b) - per fornire il servizio di messaggistica
- Interesse legittimo (Art. 6.1.f) - per garantire la sicurezza e l'affidabilità del servizio
- Obbligo legale (Art. 6.1.c) - per rispettare gli obblighi LCEN
7. Sub-responsabili
Hashe utilizza i seguenti sub-responsabili per il funzionamento del servizio:
| Sub-responsabile | Sede | Finalità |
|---|---|---|
| OVH | Francia | Hosting infrastruttura |
| LWS | Francia | Hosting supplementare |
| Cloudflare | USA | Protezione DDoS, CDN, archiviazione media crittografati (R2) |
| Google FCM | USA | Notifiche push (Android) - nessun contenuto trasmesso |
| Apple APNs | USA | Notifiche push (iOS) - nessun contenuto trasmesso |
Nessun sub-responsabile ha accesso al contenuto dei tuoi messaggi o ai tuoi dati personali.
8. I tuoi diritti (GDPR)
Conformemente al Regolamento Generale sulla Protezione dei Dati, hai i seguenti diritti:
- Diritto di accesso - sapere quali dati deteniamo su di te
- Diritto di rettifica - correggere dati inesatti
- Diritto alla cancellazione - cancellare il tuo account e tutti i dati associati (disponibile direttamente nell'applicazione)
- Diritto alla limitazione - limitare il trattamento dei tuoi dati
- Diritto alla portabilità - ricevere i tuoi dati in un formato strutturato
- Diritto di opposizione - opporti al trattamento dei tuoi dati
- Diritto di reclamo - presentare un reclamo al Garante per la protezione dei dati personali (Italia) o alla CNIL (Francia)
Per esercitare i tuoi diritti, contattaci a [email protected].
Nota: poiché Hashe raccoglie pochissimi dati e non collega alcuna informazione alla tua identità, alcuni diritti potrebbero essere tecnicamente impossibili da esercitare (ad es. non possiamo fornire il contenuto di messaggi che non siamo in grado di leggere).
9. Diritti per paese
Oltre al GDPR, Hashe rispetta le legislazioni locali applicabili:
- CCPA (California Consumer Privacy Act) — Stati Uniti: diritto di conoscere, cancellare e rifiutare la vendita di dati personali. Hashe non vende alcun dato.
- LGPD (Lei Geral de Proteção de Dados) — Brasile: diritti simili al GDPR, compreso il diritto all'anonimizzazione e al blocco dei dati eccessivi.
- PDPA (Personal Data Protection Act) — Singapore / Thailandia: consenso, accesso e correzione dei dati personali.
- POPIA (Protection of Personal Information Act) — Sudafrica: trattamento lecito, minimizzazione dei dati e diritti di accesso.
- PIPEDA (Personal Information Protection and Electronic Documents Act) — Canada: diritto di accesso, rettifica e reclamo presso l'Office of the Privacy Commissioner of Canada (OPC). Hashe raccoglie solo i dati minimi necessari.
- PIPA (Personal Information Protection Act) — Corea del Sud: diritto di accesso, rettifica, cancellazione e sospensione del trattamento dei dati personali. I reclami possono essere presentati alla Personal Information Protection Commission (PIPC).
- APPI (Act on the Protection of Personal Information) — Giappone: diritto alla divulgazione, rettifica, sospensione dell'uso e reclamo presso la Personal Information Protection Commission (PPC).
- Privacy Act 1988 — Australia: Australian Privacy Principles (APPs), diritto di accesso e rettifica. I reclami possono essere presentati all'Office of the Australian Information Commissioner (OAIC).
10. Età minima
Hashe è destinato a utenti di 13 anni o più.
In alcuni paesi dell'Unione Europea, l'età minima può essere elevata a 16 anni conformemente alla legislazione nazionale.
Hashe non raccoglie consapevolmente dati relativi a minori al di sotto dell'età minima applicabile. Se vieni a conoscenza del fatto che un minore utilizza Hashe senza autorizzazione, contattaci a [email protected].
11. Cookie
Hashe non utilizza alcun cookie, né nell'applicazione né sul sito web.
Il sito web utilizza Umami, uno strumento di analisi self-hosted sulla nostra infrastruttura, senza cookie, senza tracciamento cross-site e senza raccolta di dati personali. Nessuna informazione che possa identificarti viene mai memorizzata. I dati rimangono esclusivamente sui nostri server e non vengono mai condivisi con terze parti.
12. Trasferimenti internazionali
I dati minimi trattati da Hashe possono transitare attraverso sub-responsabili situati al di fuori dell'Unione Europea (vedi sezione 7). Tali trasferimenti sono regolati da:
- Le Clausole Contrattuali Standard (SCC) della Commissione Europea
- Il Data Privacy Framework (DPF) per i trasferimenti verso gli Stati Uniti
Tutti i dati sensibili (messaggi, file) sono crittografati end-to-end prima di qualsiasi trasferimento, rendendo il loro contenuto inaccessibile a qualsiasi intermediario.
13. Obbligo LCEN
Conformemente alla legge francese per la fiducia nell'economia digitale (LCEN), Hashe è tenuto a conservare i dati di connessione per un periodo di 1 anno.
Tali dati sono strettamente limitati agli obblighi di legge e non contengono alcun contenuto delle comunicazioni. Possono essere divulgati solo su richiesta giudiziaria.
14. Notifica di violazione
In caso di violazione dei dati personali, Hashe si impegna a:
- Notificare il Garante per la protezione dei dati personali e/o la CNIL entro 72 ore dalla conoscenza della violazione
- Informare gli utenti interessati se la violazione può comportare un rischio elevato per i loro diritti e libertà
Nota: poiché Hashe non conserva dati personali identificabili e tutti i contenuti sono crittografati end-to-end, l'impatto di una potenziale violazione sarebbe estremamente limitato.
15. Sicurezza dei dati
Hashe implementa le seguenti misure tecniche e organizzative per proteggere i tuoi dati:
- Crittografia end-to-end (Signal Protocol) per tutte le comunicazioni
- Crittografia AES-256-GCM del database locale
- Conservazione delle chiavi nel Secure Enclave (iOS Keychain / Android Keystore)
- Nessun dato in chiaro conservato sui server
- Cancellazione automatica dei messaggi in transito alla ricezione o alla scadenza
- Codice open source, verificabile da chiunque
- Infrastruttura ospitata in Francia (OVH, LWS)
16. Modifiche a questa policy
Hashe si riserva il diritto di modificare questa privacy policy. In caso di modifiche sostanziali:
- Gli utenti verranno avvisati 30 giorni prima dell'entrata in vigore delle modifiche
- La notifica avverrà tramite l'applicazione e/o il sito web
- La data dell'ultimo aggiornamento in cima a questa pagina verrà aggiornata
17. Contatto
Per qualsiasi domanda riguardante questa privacy policy o la protezione dei tuoi dati:
- Email: [email protected]
- Editore: DEVOLIM
- SIREN: 948 000 757