Privacy Policy
How Storify handles your conversations and your data.
Last updated: 10 June 2026
Storify turns your WhatsApp chat exports into stories about the relationships behind them. Those conversations are intimate, so privacy is not an afterthought — it is built into how the product works. This policy explains what we collect, why, and the rights you have over it.
Storify (“we”, “us”) is operated by Heirlooms Lab, the data controller for the personal data described here. If you have any questions, contact us at privacy@heirloomslab.com.
01 What we collect
Account information
If you create an account, you sign in through Supabase Auth using Apple or Google. We receive a basic identifier from your chosen provider (such as your email address and a unique account ID) to recognise you across sessions and devices. You can also use Storify in an anonymous, device-only mode, which does not require an account; in that mode your data stays tied to your device rather than a sign-in identity.
The chat exports you upload
To create a story, you upload a WhatsApp chat export. Before it leaves your device, the export is compressed and encrypted on your device. Whether we keep a copy of the raw chat export is opt-in, per story: if you do not opt in, the raw export is used to build the story and is not retained; if you do opt in, the stored export is deleted when you delete the story.
Narrative content
The stories Storify generates — including story bodies, the rationales behind their tone, and the contents of anything you share — are encrypted on your device using AES-256-GCM. We store only the resulting ciphertext. We cannot read your stories.
Structured signals
To power features inside the app, we store a set of structured signals derived from your chats — for example message counts, emoji tallies, time-of-day histograms, and relationship-dynamic indicators. These signals are stored unencrypted and scoped to your account (only you can access them). They are statistics about your conversations, not the conversation text itself.
Technical data
Like most apps, we process limited technical and diagnostic data (such as device type and basic app-stability information) needed to operate the service securely and reliably.
End-to-end by design. Your story content is encrypted on your device with a key we never receive, so the ciphertext we hold is unreadable to us. Structured signals are deliberately kept separate and unencrypted so the app can show you insights — they never include your message text.
02 How your data is processed
Generating your story with AI
To write a story, the relevant chat text is sent to our AI processing partner OpenRouter, which routes the request to large-language-model providers — currently Google (Gemini models) and OpenAI (GPT models) — that return the generated text. We do not sell your data, and we do not use your private conversations to train our own models. Chat text is sent to these providers solely to produce the story you requested, and we direct them to process it only to provide that service. Each provider also operates under its own terms; we encourage you to review them.
Sharing a story
When you share a story, the link is zero-knowledge: the decryption key lives in the URL fragment (the part after the #) and never reaches our servers. Recipients decrypt the story locally in their browser. You can revoke a share at any time, which prevents future access to the shared copy.
03 Legal basis for processing
Under the GDPR, we rely on the following legal bases:
- Performance of a contract — to provide the service you ask for: storing your account, generating and storing your stories, and enabling sharing.
- Consent — for optional processing you switch on, such as retaining the raw chat export for a given story. You can withdraw this consent at any time.
- Legitimate interests — to keep the service secure, reliable, and free from abuse, balanced against your rights.
04 Processors and third parties
We share personal data only with the service providers that help us run Storify, acting on our instructions:
OpenRouter
AI gateway that routes story-generation requests to model providers.
Google · Gemini
Large-language-model provider used to generate story text.
OpenAI · GPT
Large-language-model provider used to generate story text.
Supabase
Authentication (sign-in with Apple / Google).
Google Cloud Run
Application hosting, in the European Union (europe-west1).
Neon
Managed PostgreSQL database for account data, ciphertext, and structured signals.
05 International transfers
Our application is hosted in the European Union (Google Cloud Run, europe-west1) with a Neon PostgreSQL database. Some of our AI providers may process chat text on infrastructure outside the EU/EEA (for example in the United States). Where data is transferred outside the EU/EEA, we rely on appropriate safeguards such as the European Commission’s Standard Contractual Clauses or an equivalent transfer mechanism.
06 How long we keep it
Raw chat export
Not retained unless you opt in per story; when retained, deleted together with the story.
Story content (ciphertext)
Kept while the story exists; deleted when you delete the story or your account.
Structured signals
Kept while the related story or account exists; deleted on deletion.
Account data
Kept while your account is active; deleted on account deletion.
07 Your rights
Under the GDPR you have the right to:
- Access the personal data we hold about you.
- Rectify data that is inaccurate or incomplete.
- Erase your data (“right to be forgotten”).
- Restrict or object to certain processing.
- Port your data to another service.
- Withdraw consent at any time, where processing is based on consent.
- Lodge a complaint with your local data protection supervisory authority.
To exercise any of these rights, contact us at privacy@heirloomslab.com. Many actions — such as deleting a story, its retained export, and related signals — can also be done directly in the app.
08 Contact
Storify is operated by Heirlooms Lab. For any privacy question or request, write to privacy@heirloomslab.com.
09 Changes to this policy
We may update this policy as Storify evolves. When we make material changes, we will update the “Last updated” date above and, where appropriate, notify you in the app.
Informativa sulla Privacy
Come Storify tratta le tue conversazioni e i tuoi dati.
Ultimo aggiornamento: 10 giugno 2026
Storify trasforma le esportazioni delle tue chat WhatsApp in racconti sulle relazioni che vi stanno dietro. Quelle conversazioni sono intime, perciò la privacy non è un dettaglio aggiunto dopo: è parte di come funziona il prodotto. Questa informativa spiega cosa raccogliamo, perché, e quali diritti hai.
Storify (“noi”) è gestito da Heirlooms Lab, titolare del trattamento dei dati personali qui descritti. Per qualsiasi domanda, scrivici a privacy@heirloomslab.com.
01 Quali dati raccogliamo
Informazioni dell’account
Se crei un account, accedi tramite Supabase Auth con Apple o Google. Riceviamo un identificativo di base dal provider scelto (come l’indirizzo email e un ID account univoco) per riconoscerti tra sessioni e dispositivi. Puoi anche usare Storify in modalità anonima, legata solo al dispositivo, che non richiede un account; in quel caso i tuoi dati restano legati al dispositivo anziché a un’identità di accesso.
Le esportazioni delle chat che carichi
Per creare un racconto, carichi un’esportazione di chat di WhatsApp. Prima di lasciare il tuo dispositivo, l’esportazione viene compressa e cifrata sul dispositivo. Se conserviamo o meno una copia dell’esportazione grezza dipende da una scelta opzionale, per ciascun racconto: se non la attivi, l’esportazione grezza viene usata per costruire il racconto e non viene conservata; se la attivi, l’esportazione conservata viene eliminata quando elimini il racconto.
Contenuto narrativo
I racconti generati da Storify — inclusi i testi, le motivazioni del loro tono e i contenuti di ciò che condividi — sono cifrati sul tuo dispositivo con AES-256-GCM. Conserviamo solo il testo cifrato risultante. Non possiamo leggere i tuoi racconti.
Segnali strutturati
Per alimentare le funzioni dell’app, conserviamo una serie di segnali strutturati ricavati dalle tue chat — ad esempio conteggi dei messaggi, conteggi delle emoji, istogrammi per fascia oraria e indicatori sulle dinamiche relazionali. Questi segnali sono conservati in chiaro e riservati al tuo account (solo tu puoi accedervi). Sono statistiche sulle tue conversazioni, non il testo delle conversazioni.
Dati tecnici
Come la maggior parte delle app, trattiamo dati tecnici e diagnostici limitati (come il tipo di dispositivo e informazioni di base sulla stabilità dell’app) necessari a far funzionare il servizio in modo sicuro e affidabile.
End-to-end per progettazione. Il contenuto dei tuoi racconti è cifrato sul tuo dispositivo con una chiave che non riceviamo mai, quindi il testo cifrato che conserviamo è per noi illeggibile. I segnali strutturati sono volutamente tenuti separati e in chiaro affinché l’app possa mostrarti delle analisi — non includono mai il testo dei tuoi messaggi.
02 Come trattiamo i tuoi dati
Generazione del racconto con l’IA
Per scrivere un racconto, il testo della chat interessato viene inviato al nostro partner di elaborazione IA OpenRouter, che instrada la richiesta a fornitori di modelli linguistici — attualmente Google (modelli Gemini) e OpenAI (modelli GPT) — che restituiscono il testo generato. Non vendiamo i tuoi dati e non usiamo le tue conversazioni private per addestrare i nostri modelli. Il testo della chat è inviato a questi fornitori unicamente per produrre il racconto richiesto, e diamo loro istruzione di trattarlo solo per fornire tale servizio. Ciascun fornitore opera inoltre secondo i propri termini; ti invitiamo a consultarli.
Condivisione di un racconto
Quando condividi un racconto, il link è zero-knowledge: la chiave di decifratura risiede nel frammento dell’URL (la parte dopo il #) e non raggiunge mai i nostri server. I destinatari decifrano il racconto localmente nel loro browser. Puoi revocare una condivisione in qualsiasi momento, impedendo l’accesso futuro alla copia condivisa.
03 Base giuridica del trattamento
Ai sensi del GDPR, ci basiamo sulle seguenti basi giuridiche:
- Esecuzione di un contratto — per fornirti il servizio richiesto: conservare il tuo account, generare e conservare i tuoi racconti e permettere la condivisione.
- Consenso — per i trattamenti opzionali che attivi tu, come la conservazione dell’esportazione grezza per un dato racconto. Puoi revocare il consenso in qualsiasi momento.
- Legittimo interesse — per mantenere il servizio sicuro, affidabile e privo di abusi, bilanciato con i tuoi diritti.
04 Responsabili e terze parti
Condividiamo dati personali solo con i fornitori che ci aiutano a far funzionare Storify, che agiscono su nostra istruzione:
OpenRouter
Gateway IA che instrada le richieste di generazione ai fornitori di modelli.
Google · Gemini
Fornitore di modelli linguistici usato per generare i testi.
OpenAI · GPT
Fornitore di modelli linguistici usato per generare i testi.
Supabase
Autenticazione (accesso con Apple / Google).
Google Cloud Run
Hosting dell’applicazione, nell’Unione Europea (europe-west1).
Neon
Database PostgreSQL gestito per dati account, testo cifrato e segnali strutturati.
05 Trasferimenti internazionali
La nostra applicazione è ospitata nell’Unione Europea (Google Cloud Run, europe-west1) con un database PostgreSQL Neon. Alcuni dei nostri fornitori di IA possono trattare il testo delle chat su infrastrutture al di fuori dell’UE/SEE (ad esempio negli Stati Uniti). Quando i dati sono trasferiti fuori dall’UE/SEE, ci basiamo su garanzie adeguate come le Clausole Contrattuali Standard della Commissione Europea o un meccanismo di trasferimento equivalente.
06 Per quanto tempo li conserviamo
Esportazione grezza
Non conservata se non la attivi per il singolo racconto; quando conservata, eliminata insieme al racconto.
Contenuto del racconto (cifrato)
Conservato finché il racconto esiste; eliminato quando elimini il racconto o l’account.
Segnali strutturati
Conservati finché esistono il racconto o l’account correlati; eliminati alla cancellazione.
Dati dell’account
Conservati finché l’account è attivo; eliminati alla cancellazione dell’account.
07 I tuoi diritti
Ai sensi del GDPR hai il diritto di:
- Accedere ai dati personali che deteniamo su di te.
- Rettificare dati inesatti o incompleti.
- Cancellare i tuoi dati (“diritto all’oblio”).
- Limitare determinati trattamenti o opporti ad essi.
- Portabilità dei tuoi dati verso un altro servizio.
- Revocare il consenso in qualsiasi momento, quando il trattamento si basa sul consenso.
- Proporre reclamo all’autorità di controllo per la protezione dei dati competente.
Per esercitare questi diritti, scrivici a privacy@heirloomslab.com. Molte azioni — come eliminare un racconto, la sua esportazione conservata e i segnali correlati — possono essere svolte anche direttamente nell’app.
08 Contatti
Storify è gestito da Heirlooms Lab. Per qualsiasi domanda o richiesta sulla privacy, scrivi a privacy@heirloomslab.com.
09 Modifiche a questa informativa
Possiamo aggiornare questa informativa man mano che Storify evolve. In caso di modifiche sostanziali, aggiorneremo la data di “Ultimo aggiornamento” qui sopra e, ove opportuno, ti avviseremo nell’app.