Privacy app
Privacy policy app krinIA
Questa pagina descrive come Clanksy tratta i dati raccolti tramite l'app mobile krinIA e la dashboard web (krinIA per il titolare del salone, Clanksy Control per amministrazione interna). Ultima revisione: 2 luglio 2026.
Titolare del trattamento
Andrea Emanuele, empresario individual (autonomo), nome commerciale "Clanksy", NIF Z2547626J, Calle Marva 12, planta 7, puerta 14, 46007 Valencia, Spagna, provider del prodotto krinIA. Contatto: legal@clanksy.ai.
Dati raccolti tramite l'app
- Numero di telefono (E.164) e email dell'account
- Raccolti durante l'autenticazione con codice monouso (OTP) e per le comunicazioni operative. Usati per identificare il titolare del salone e collegarlo al suo business. Conservati finché l'account è attivo. Cancellabili su richiesta.
- Fotocamera e libreria foto (opzionale)
- L'app può chiedere accesso a fotocamera e libreria foto solo quando il titolare sceglie di caricare una foto (es. foto del salone o dei lavori per i contenuti marketing). Nessun accesso in background. Le foto caricate sono conservate come asset di marketing del salone; il permesso è revocabile in qualsiasi momento dalle impostazioni del dispositivo.
- Identificativo dispositivo + push token
- Generato automaticamente dal sistema operativo. Usato per inviare notifiche push alle approvazioni HITL (recensioni, post Instagram, offerte) e agli alert operativi. Cancellato automaticamente alla disinstallazione dell'app o al revoke push permissions.
- Contenuto dei messaggi WhatsApp clienti
- I messaggi inviati e ricevuti dai clienti finali del salone tramite il sistema krinIA vengono archiviati nel database interno per: (1) gestire la conversazione, (2) generare report al titolare, (3) adattare le risposte dell'assistente al contesto del salone (istruzioni e memoria interna: nessun addestramento di modelli AI esterni).
- Chiamate vocali (se receptionist vocale attivo)
- NON registriamo l'audio della chiamata. Il transcript viene processato runtime per estrarre informazioni utili al servizio (preferenze cliente, richieste di prenotazione), quindi il transcript completo viene cancellato entro 4 ore dalla chiamata. Conserviamo solo: summary AI condensato (50-200 caratteri), outcome (es. "prenotato", "escalato a manager", "info"), durata chiamata, numero chiamante. Niente audio, niente trascrizione testuale permanente.
- Prenotazioni, clienti, recensioni
- Dati operativi del salone (nome cliente, telefono, servizi prenotati, recensioni ricevute) sincronizzati via email forwarding Booksy/Treatwell/Fresha o inseriti tramite l'app. Conservati per la durata dell'abbonamento.
- Dati di utilizzo dell'app (analytics interno)
- Eventi di interazione (quali tab apri, quali approvazioni fai, costi LLM per turno). Usati per migliorare il prodotto. Niente terze parti analytics tipo Google Analytics o Mixpanel.
Collegamento Instagram (Meta)
Se il titolare collega l'account Instagram del salone (funzione opzionale, da Impostazioni dell'app), krinIA si connette tramite "Instagram API con Instagram Login": il titolare accede direttamente con il proprio account Instagram Business o Creator e autorizza krinIA a pubblicare i contenuti che approva. Non serve una Pagina Facebook.
- Permessi richiesti
-
instagram_business_basic(identificare l'account Instagram Business o Creator collegato),instagram_business_content_publish(pubblicare i post e i reel che il titolare approva nell'app). - Dati conservati
- Token di accesso (cifrati a riposo), ID e nome utente dell'account Instagram collegato, elenco dei permessi concessi e data di scadenza del token. Non raccogliamo né conserviamo i dati personali dei follower o di chi commenta i post.
- Per cosa li usiamo
- Pubblicare su Instagram solo i contenuti che il titolare approva esplicitamente nell'app (mai pubblicazione automatica in background).
- Come revocare
- In qualsiasi momento dall'app (Impostazioni → Revoca connessione): krinIA revoca il token presso Meta e cancella le credenziali. Puoi anche rimuovere "Krinia" dalle impostazioni Instagram (Impostazioni → App e siti web autorizzati): Meta ci notifica e cancelliamo le credenziali collegate. Istruzioni complete su krinia.com/data-deletion.
Per cosa usiamo i dati
- Far funzionare il servizio (rispondere ai clienti, gestire prenotazioni)
- Inviare al titolare notifiche operative e report settimanali
- Migliorare la qualità delle risposte AI sui pattern specifici del salone
- Calcolare i costi LLM per fatturazione mensile e ottimizzazione cache
Cosa NON facciamo
- Non vendiamo i dati a terze parti
- Non condividiamo con piattaforme pubblicitarie
- Non usiamo i dati clienti del salone per training pubblico dei modelli AI (tutti i provider AI sono configurati in modalità no-training)
- Non tracciamo l'utente tra app diverse (no AppTrackingTransparency framework attivo)
- Non raccogliamo informazioni di pagamento nell'app (subscription esterna via web)
Provider tecnici
I dati sono processati tramite questi provider, con accesso limitato al necessario:
- Google Cloud Vertex AI (regione UE): elaborazione del linguaggio
naturale (LLM), embeddings semantici e trascrizione (speech-to-text) delle note
vocali WhatsApp dei clienti del salone. Endpoint europeo (regione
europe-west4e multi-regioneu), no training. È il provider che tratta i dati dei clienti. - WhatsApp Cloud API (Meta): routing messaggi. Meta vede solo i messaggi che transitano per il loro servizio (regole loro).
- Railway (region Amsterdam, Paesi Bassi, UE): hosting database
PostgreSQL + orchestrazione workflow n8n + Guardian service. Tutti i dati
applicativi sono in UE (region
europe-west4). Dati at-rest crittografati. Backup giornaliero. - Scaleway (Francia, UE): infrastruttura di riserva (disaster recovery) su territorio europeo, usata solo in caso di indisponibilità dell'infrastruttura primaria.
- Brevo (Francia, UE): invio email transazionali (codici di accesso, notifiche operative). Riceve solo indirizzo email e contenuto della notifica.
- Google Business Profile API: pubblicazione risposte recensioni (solo se attivo).
- Telnyx + Deepgram (endpoint UE): telefonia e trascrizione del receptionist vocale, su infrastruttura europea (solo se attivo).
- fal.ai: generazione immagini per i contenuti social del salone. Sede USA. Riceve solo: prompt testuale di marketing e foto/asset del salone scelti dal titolare. NON riceve dati di clienti finali del salone.
- Expo (push notifications): consegna delle notifiche push all'app del titolare. Sede USA. Riceve solo il push token del dispositivo e il testo della notifica.
- Cloudflare: rete di distribuzione, sicurezza, inoltro email e storage R2 per media generati e logo brand (asset di marketing, i dati applicativi restano sul database UE).
Trasferimenti extra-UE
I dati dei clienti del salone (database, backup, elaborazioni AI su LLM, embeddings e
trascrizione vocale) restano su infrastruttura UE: Railway region europe-west4
Amsterdam per database e workflow, Google Cloud Vertex AI endpoint europeo per le
elaborazioni AI, Scaleway (Francia) per il disaster recovery e Brevo (Francia) per le
email transazionali. fal.ai, Expo e Cloudflare sono basati negli USA: ricevono solo
dati che non includono i clienti finali del salone (prompt e asset di marketing,
push token, traffico di rete cifrato). Per questi trasferimenti residui si applicano
le Standard Contractual Clauses (SCC) approvate dalla Commissione UE (Decisione 2021/914)
o l'EU-US Data Privacy Framework ove il provider è certificato.
Per dubbi specifici scrivi a legal@clanksy.ai.
Conservazione
Mantenamo i dati operativi del salone (clienti, prenotazioni, conversazioni) per l'intera durata dell'abbonamento. Dopo la cancellazione dell'account, manteniamo i dati in modalità "cold storage" per 30 giorni per consentire ripristino in caso di errore, poi cancellazione definitiva.
Per dati specifici dei clienti finali del salone (es. cliente che chiede "cancellatemi" via WhatsApp con keyword STOP): cancellazione immediata + opt-out permanente.
Diritti dell'utente
Hai diritto a: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione. Puoi anche revocare il consenso quando il trattamento si basa su consenso.
Per esercitare i diritti scrivici a legal@clanksy.ai. Per reclami, puoi rivolgerti al Garante della Privacy italiano (garanteprivacy.it) o all'AEPD spagnola (aepd.es).
Sicurezza
- Comunicazione cifrata TLS 1.3 tra app e server
- HMAC verification su tutti i webhook inbound (Meta + email inbound)
- Token autenticazione hashati SHA-256 a riposo
- Postgres at-rest encryption Railway default (Amsterdam, UE)
- Backup giornalieri criptati, retention 30 giorni
- Accesso ai dati limitato al founder, ogni accesso loggato in audit log
Decisioni automatizzate
L'app usa intelligenza artificiale per: (1) classificare l'intent dei messaggi clienti, (2) generare bozze di risposta, (3) proporre azioni operative (recall, offerte). Tutte le decisioni con impatto sul cliente finale richiedono conferma esplicita del titolare del salone via app (modalita' HITL, Human In The Loop). Niente decisione automatica viene applicata senza supervisione umana per azioni visibili al cliente finale (recensioni, post IG, offerte WhatsApp marketing).
Età minima
L'app è destinata a titolari di saloni beauty maggiorenni. Non raccogliamo intenzionalmente dati da minori. Se ritieni che un minore abbia fornito dati per errore, scrivici e cancelleremo immediatamente.
Aggiornamenti
Se cambiamo materialmente come trattiamo i dati, aggiorneremo questa pagina e ti notificheremo via app o WhatsApp prima dell'entrata in vigore. Cambi minori (linguistici, refinements) sono pubblicati senza notifica.
Privacidad app
Politica de privacidad app krinIA
Esta pagina describe como Clanksy trata los datos recogidos a traves de la app movil krinIA y del panel web (krinIA para el propietario del salon, Clanksy Control para administracion interna). Ultima revision: 2 de julio de 2026.
Responsable del tratamiento
Andrea Emanuele, empresario individual (autonomo), nombre comercial "Clanksy", NIF Z2547626J, Calle Marva 12, planta 7, puerta 14, 46007 Valencia, España, proveedor del producto krinIA. Contacto: legal@clanksy.ai.
Datos recogidos a traves de la app
- Numero de telefono (E.164) y email de la cuenta
- Recogidos durante la autenticacion con codigo de un solo uso (OTP) y para las comunicaciones operativas. Usados para identificar al propietario del salon y conectarlo a su negocio. Conservados mientras la cuenta esta activa. Cancelables bajo solicitud.
- Camara y galeria de fotos (opcional)
- La app puede pedir acceso a la camara y a la galeria solo cuando el propietario decide subir una foto (por ejemplo fotos del salon o de los trabajos para el contenido de marketing). Sin acceso en segundo plano. Las fotos subidas se conservan como material de marketing del salon; el permiso puede revocarse en cualquier momento desde los ajustes del dispositivo.
- Identificador dispositivo + push token
- Generado automaticamente por el sistema operativo. Usado para enviar notificaciones push sobre aprobaciones HITL (resenas, posts Instagram, ofertas) y alertas operativas. Cancelado automaticamente al desinstalar la app o al revocar permisos push.
- Contenido mensajes WhatsApp clientes
- Los mensajes enviados y recibidos por los clientes finales del salon a traves del sistema krinIA se archivan en la base de datos interna para: (1) gestionar la conversacion, (2) generar informes al propietario, (3) adaptar las respuestas del asistente al contexto del salon (instrucciones y memoria interna: ningun entrenamiento de modelos de IA externos).
- Reservas, clientes, resenas
- Datos operativos del salon (nombre cliente, telefono, servicios reservados, resenas recibidas) sincronizados via email forwarding Booksy/Treatwell/Fresha o introducidos a traves de la app. Conservados durante la suscripcion.
- Datos de uso de la app (analytics interno)
- Eventos de interaccion (que pestanas abres, que aprobaciones haces, costes LLM por turno). Usados para mejorar el producto. Sin terceros analytics tipo Google Analytics o Mixpanel.
Conexion Instagram (Meta)
Si el propietario conecta la cuenta de Instagram del salon (funcion opcional, desde Ajustes de la app), krinIA se conecta mediante "Instagram API con Instagram Login": el propietario inicia sesion directamente con su cuenta de Instagram Business o Creator y autoriza a krinIA a publicar el contenido que aprueba. No hace falta una Pagina de Facebook.
- Permisos solicitados
-
instagram_business_basic(identificar la cuenta de Instagram Business o Creator conectada),instagram_business_content_publish(publicar los posts y reels que el propietario aprueba en la app). - Datos conservados
- Token de acceso (cifrado en reposo), ID y nombre de usuario de la cuenta de Instagram conectada, lista de permisos concedidos y fecha de caducidad del token. No recogemos ni conservamos los datos personales de los seguidores ni de quienes comentan las publicaciones.
- Para que los usamos
- Publicar en Instagram solo el contenido que el propietario aprueba explicitamente en la app (nunca publicacion automatica en segundo plano).
- Como revocar
- En cualquier momento desde la app (Ajustes → Revocar conexion): krinIA revoca el token en Meta y elimina las credenciales. Tambien puedes eliminar "Krinia" desde los ajustes de Instagram (Configuracion → Apps y sitios web autorizados): Meta nos avisa y eliminamos las credenciales vinculadas. Instrucciones completas en krinia.com/data-deletion.
Para que usamos los datos
- Hacer funcionar el servicio (responder a clientes, gestionar reservas)
- Enviar al propietario notificaciones operativas e informes semanales
- Mejorar la calidad de las respuestas AI sobre patrones del salon
- Calcular costes LLM para facturacion mensual y optimizacion cache
Lo que NO hacemos
- No vendemos los datos a terceros
- No compartimos con plataformas publicitarias
- No usamos los datos clientes del salon para training publico de los modelos AI
- No rastreamos al usuario entre apps (no AppTrackingTransparency activo)
- No recogemos informacion de pago en la app (suscripcion externa via web)
Proveedores tecnicos
Los datos se procesan a traves de estos proveedores, con acceso limitado a lo necesario:
- Google Cloud Vertex AI (region UE): procesamiento del lenguaje
natural (LLM), embeddings semanticos y transcripcion (speech-to-text) de las
notas de voz de WhatsApp de los clientes del salon. Endpoint europeo (region
europe-west4y multi-regioneu), sin entrenamiento. Es el proveedor que trata los datos de los clientes. - WhatsApp Cloud API (Meta): enrutamiento de mensajes.
- Railway (region Amsterdam, Paises Bajos, UE): hosting de la base de datos PostgreSQL + orquestacion de workflows. Datos cifrados en reposo, copia de seguridad diaria.
- Scaleway (Francia, UE): infraestructura de reserva (disaster recovery) en territorio europeo.
- Brevo (Francia, UE): envio de emails transaccionales (codigos de acceso, notificaciones operativas).
- Google Business Profile API: publicacion de respuestas a reseñas (solo si esta activo).
- Telnyx + Deepgram (endpoint UE): telefonia y transcripcion del recepcionista de voz, en infraestructura europea (solo si esta activo).
- fal.ai (EE. UU.): generacion de imagenes para el contenido social del salon. Recibe solo prompts de marketing y fotos/asset del salon elegidos por el propietario. NO recibe datos de clientes finales.
- Expo (EE. UU.): entrega de notificaciones push. Recibe solo el push token del dispositivo y el texto de la notificacion.
- Cloudflare: red de distribucion, seguridad, reenvio de email y almacenamiento R2 de los medios generados (material de marketing; los datos aplicativos permanecen en la base de datos UE).
Transferencias fuera de la UE
Los datos de los clientes del salon (base de datos, copias de seguridad, procesamiento de IA, embeddings y transcripcion de voz) permanecen en infraestructura de la UE. fal.ai, Expo y Cloudflare tienen sede en EE. UU. y reciben solo datos que no incluyen a los clientes finales del salon. Para estas transferencias residuales se aplican las Clausulas Contractuales Tipo (SCC) de la Comision Europea (Decision 2021/914) o el EU-US Data Privacy Framework cuando el proveedor esta certificado. Para dudas: legal@clanksy.ai.
Conservacion
Conservamos los datos operativos del salon (clientes, reservas, conversaciones) durante toda la vigencia de la suscripcion. Tras la cancelacion de la cuenta, mantenemos los datos en "cold storage" durante 30 dias para permitir una restauracion en caso de error, y despues se eliminan definitivamente. Si un cliente final del salon pide su eliminacion (por ejemplo con la palabra STOP por WhatsApp): eliminacion inmediata + opt-out permanente.
Seguridad
- Comunicacion cifrada TLS 1.3 entre app y servidor
- Verificacion HMAC en todos los webhooks entrantes
- Tokens de autenticacion con hash SHA-256 en reposo
- Cifrado en reposo de PostgreSQL (Amsterdam, UE)
- Copias de seguridad diarias cifradas, retencion 30 dias
- Acceso a los datos limitado al titular, cada acceso registrado en audit log
Derechos del usuario
Tienes derecho a: acceso, rectificacion, cancelacion, limitacion, portabilidad, oposicion. Para ejercerlos escribenos a legal@clanksy.ai. Para reclamaciones puedes dirigirte a la AEPD (Agencia Espanola de Proteccion de Datos).
Decisiones automatizadas
La app usa inteligencia artificial para clasificar mensajes, generar borradores de respuesta y proponer acciones. Toda decision con impacto sobre el cliente final requiere confirmacion explicita del propietario a traves de la app (modalidad HITL).
Edad minima
La app esta destinada a propietarios de salones mayores de edad. No recogemos intencionadamente datos de menores.
Actualizaciones
Si cambiamos materialmente como tratamos los datos, actualizaremos esta pagina y te avisaremos por la app o WhatsApp antes de la entrada en vigor. Los cambios menores se publican sin aviso.