Informativa Privacy di MIA (My Identity Always)

MIA (My Identity Always) si impegna a proteggere la privacy dei propri utenti, in conformità al Regolamento (UE) 2016/679 (GDPR). La presente informativa descrive quali dati personali vengono raccolti dall’app MIA, le modalità e finalità del trattamento, nonché le misure di sicurezza adottate e i diritti riconosciuti agli utenti. MIA, con sede a Roma (Italia), è titolare del trattamento dei dati qui descritti ed è contattabile per qualsiasi richiesta di chiarimento in materia di privacy all’indirizzo email Michael.Liuzzo@myidentityalways.com. Dati Raccolti MIA raccoglie esclusivamente i dati personali necessari all’erogazione dei servizi dell’app, nel rispetto del principio di minimizzazione . In particolare, possono essere raccolti i seguenti dati dell’utente: Dati anagrafici e di contatto: nome, cognome, indirizzo email e numero di telefono forniti dall’utente. Documento d’identità: copia del documento (fronte e retro) per verificare l’identità. Dati biometrici facciali: immagini del volto o parametri biometrici ricavati tramite riconoscimento facciale e controllo di vivacità (liveness check) durante la procedura di identificazione. Dati di pagamento (carta di credito): informazioni della carta di credito fornite per eventuali funzionalità dell’app (ad es. gestione degli abbonamenti). Indirizzo fisico: indirizzo di residenza o domicilio dell’utente, se richiesto per completare profili o iscrizioni a servizi esterni. Dati derivati dalla casella email collegata: informazioni ottenute dall’analisi automatizzata (parsing) della casella email dell’utente – effettuata solo con consenso esplicito – al fine di individuare gli abbonamenti attivi intestati all’utente (ad es. nome del servizio in abbonamento, data di sottoscrizione, scadenza, importo periodico). N.B.: Questa analisi è limitata ai soli elementi utili a identificare gli abbonamenti (come oggetto e mittente di email di conferma iscrizione o ricevute) e non comporta l’acquisizione di contenuto personale delle comunicazioni. Modalità di Raccolta La raccolta dei dati avviene con modalità trasparenti e previo consenso dell’utente, attraverso i seguenti canali: Dalla fotocamera del dispositivo: l’app utilizza la fotocamera per acquisire immagini (es. foto del documento d’identità e selfie per il riconoscimento facciale) nell’area Identity Settings. Queste acquisizioni avvengono su iniziativa dell’utente durante la procedura di verifica dell’identità. Dall’accesso alla email collegata: con il consenso esplicito dell’utente, MIA può accedere in modalità sicura alla casella email indicata dall’utente per analizzare automaticamente le email relative a servizi in abbonamento. Tale accesso avviene tramite API o protocolli sicuri e ha il solo scopo di estrarre i dati degli abbonamenti attivi (come descritto sopra). Inserimento diretto da parte dell’utente: l’utente può fornire volontariamente dati inserendoli nelle interfacce dell’app (ad esempio, digitando i propri dati anagrafici, l’indirizzo o le informazioni di pagamento durante la registrazione o nell’area profilo). Finalità del Trattamento I dati raccolti da MIA vengono trattati esclusivamente per scopi determinati, espliciti e legittimi , in particolare per le seguenti finalità: Verifica dell’identità e KYC automatizzato: i dati anagrafici, documentali e biometrici sono utilizzati per verificare l’identità dell’utente e adempiere a procedure di Know Your Customer (KYC) in modo automatizzato. Ciò consente di confermare che l’utente sia realmente chi dichiara di essere, associando il volto al documento d’identità, e di prevenire frodi o usi illeciti dell’app. Questa verifica è necessaria anche per consentire all’utente di accedere in modo sicuro a servizi esterni regolamentati (ad esempio conti bancari o altri servizi finanziari) che richiedono un’identificazione certa. Gestione degli abbonamenti attivi: i dati relativi agli abbonamenti (ricavati dall’email o inseriti manualmente) vengono utilizzati per fornire all’utente una panoramica e un controllo dei propri abbonamenti ricorrenti. L’app MIA permette di visualizzare tutti i servizi in abbonamento attivi intestati all’utente, con relative scadenze e costi, aiutando l’utente a gestirli in un unico luogo. In questo ambito, i dati della carta di credito possono essere usati per notificare addebiti imminenti o facilitare la gestione dei pagamenti ricorrenti, mentre i dati estratti dalle email servono esclusivamente a identificare detti abbonamenti. Iscrizione e accesso sicuro a servizi esterni: MIA utilizza i dati identificativi verificati dell’utente per semplificare la registrazione e l’autenticazione su siti web o applicazioni di terze parti. Ad esempio, l’utente può utilizzare l’identità digitale verificata tramite MIA per iscriversi ad un servizio bancario online o per accedere ad altre piattaforme senza dover reinserire manualmente tutte le informazioni. Questa funzione consente un accesso sicuro (grazie alla verifica biometrica al login) e rapido ai servizi esterni scelti dall’utente, garantendo al contempo che solo i dati strettamente necessari vengano condivisi con tali servizi (come descritto oltre nella sezione Condivisione dei dati). Condivisione dei Dati Assenza di comunicazione non autorizzata: MIA non condivide dati personali degli utenti con soggetti terzi per finalità proprie di questi ultimi senza un previo consenso specifico dell’utente. I dati raccolti rimangono sotto il controllo dell’utente e non vengono venduti, ceduti o divulgati a terzi esterni per scopi commerciali. Ogni trasferimento di dati a soggetti terzi avviene solo quando l’utente ha espressamente richiesto o autorizzato tale azione (ad esempio, quando utilizza MIA per accedere a un servizio esterno) . Condivisione verso servizi scelti dall’utente: Nel caso in cui l’utente utilizzi l’app MIA per autenticarsi o registrarsi presso servizi esterni, l’app – con il consenso dell’utente – condividerà solo le informazioni strettamente necessarie con tali servizi di terze parti. Ad esempio, se l’utente decide di accedere tramite MIA a una piattaforma di streaming o a un sito bancario, verranno trasmessi esclusivamente i dati richiesti per l’iscrizione/autenticazione (come nome, cognome, email, o eventuali conferme di avvenuta verifica dell’identità) e null’altro. In ottemperanza al principio di minimizzazione dei dati, qualsiasi comunicazione verso terzi è limitata e proporzionata allo scopo: non saranno mai trasferiti dati eccedenti o non pertinenti rispetto al servizio richiesto . Inoltre, tali terze parti tratteranno i dati ricevuti in qualità di autonomi titolari, esclusivamente per permettere l’accesso o l’erogazione del loro servizio richiesto dall’utente, in conformità alle rispettive informative privacy. Modalità di Conservazione e Sicurezza dei Dati MIA adotta rigorose misure di sicurezza tecnico-organizzative per proteggere i dati personali degli utenti, in conformità all’art. 32 GDPR. In particolare: Tokenizzazione e cifratura: I dati sensibili vengono tokenizzati e criptati. La tokenizzazione è un processo che sostituisce un dato sensibile con una stringa identificativa generata casualmente (detta token), priva di qualunque significato intrinseco . Il collegamento tra il token e il dato originale è mantenuto in un archivio sicuro separato (token vault) ed è protetto da ulteriori livelli di sicurezza. In questo modo, anche se un token venisse intercettato da soggetti non autorizzati, non sarebbe possibile risalire al dato personale originario in mancanza dell’opportuna autorizzazione. Parallelamente, tutti i dati personali dell’utente sono protetti mediante crittografia avanzata sia durante la trasmissione sia nella conservazione su server. Le informazioni sono conservate utilizzando algoritmi crittografici robusti (es. AES a 256 bit), tali per cui i dati risultano illeggibili per chiunque non disponga delle chiavi di decrittazione autorizzate. Anche un eventuale accesso ai database non rivelerebbe informazioni comprensibili. Il risultato è che i dati personali rimangono “incomprensibili anche a chi è autorizzato ad accedervi” se non viene attivato il procedimento di decriptazione opportuno . In altri termini, nemmeno gli sviluppatori o gli amministratori di sistema di MIA possono visualizzare i dati dell’utente in chiaro: ogni dato è accessibile solo dall’utente stesso (tramite l’app, previa autenticazione) o da processi automatizzati strettamente regolati, e sempre in forma protetta . Archiviazione su server UE e sul dispositivo: I dati personali sono conservati su server sicuri situati nell’Unione Europea. L’infrastruttura di MIA garantisce che i dati rimangano soggetti alle leggi e standard di protezione europei durante tutto il ciclo di vita. In alcuni casi, una copia locale di determinati dati può essere conservata cifrata anche sul dispositivo mobile dell’utente, al fine di assicurare funzionalità offline o un accesso rapido (ad esempio, i template biometrici per lo sblocco tramite volto possono risiedere nell’area sicura del dispositivo). Qualora vengano conservati dati in locale, questi restano isolati e crittografati nella memoria sicura dell’apparecchio e non sono inviati ai server di MIA senza l’autorizzazione dell’utente. In particolare, l’app non memorizza in modo permanente l’immagine del volto o altri dati biometrici grezzi sui propri server: tali dati biometrici vengono utilizzati solo per il tempo necessario alla verifica dell’identità o all’autenticazione e poi immediatamente eliminati o resi in forma non riconducibile all’utente . Questo approccio riflette il principio secondo cui “l’identità digitale appartiene soltanto all’utente, not even us” – nemmeno a MIA stessa . L’utente mantiene quindi il pieno controllo dei propri dati. Tempi di conservazione (data retention): I dati personali raccolti vengono conservati solo per il tempo strettamente necessario al raggiungimento delle finalità per cui sono trattati. Trascorso tale periodo, MIA provvede a cancellare i dati o a renderli anonimi in modo irreversibile. Ad esempio, i dati raccolti per la verifica dell’identità vengono conservati finché l’utente mantiene attivo il proprio account MIA (salvo diversa richiesta dell’utente) e per il periodo eventualmente richiesto da obblighi di legge in materia di sicurezza o prevenzione frodi; successivamente, tali dati sono eliminati in modo sicuro. Analogamente, i dettagli sugli abbonamenti attivi vengono aggiornati e mantenuti finché l’utente utilizza la funzione di Subscription Manager; se l’utente rimuove un abbonamento o disattiva la funzione, le informazioni corrispondenti vengono cancellate dall’app. Backup di sicurezza dei dati sono conservati per periodi limitati (in conformità alle policy interne) e protetti con gli stessi criteri di cifratura, al solo scopo di poter ripristinare il servizio in caso di perdita di dati accidentale. Allo scadere dei termini di conservazione, tutti i dati vengono eliminati in modo definitivo dai sistemi di MIA, salvo che sussista un obbligo legale di ulteriore conservazione. Diritti dell’Utente Gli utenti di MIA, in qualità di interessati al trattamento, godono di tutti i diritti previsti dagli art. 15-22 del GDPR. In qualunque momento, tramite le funzionalità dell’app o contattando il titolare, l’utente può esercitare i seguenti diritti: Diritto di accesso: ottenere la conferma dell’esistenza o meno di un trattamento di propri dati personali e, in caso affermativo, accedervi ed ottenerne una copia in formato intelligibile. L’utente ha il diritto di conoscere, tra l’altro, quali dati specifici sono trattati da MIA, le finalità e le modalità del trattamento, nonché le misure di sicurezza applicate. Diritto di rettifica: richiedere la rettifica o l’aggiornamento dei propri dati personali se inesatti o incompleti. MIA si impegna a correggere senza ingiustificato ritardo eventuali informazioni errate presenti nei propri sistemi, su segnalazione dell’utente. Diritto alla cancellazione: chiedere la cancellazione dei propri dati personali trattati da MIA (anche noto come diritto all’oblio). Su richiesta dell’utente, MIA eliminerà tutti i dati a lui riferibili dai propri sistemi senza ingiustificato ritardo, a meno che sussista un obbligo legale o un’altra base giuridica prevalente che ne imponga la conservazione. Il GDPR riconosce infatti all’individuo “il diritto di chiedere la cancellazione dei propri dati e l’obbligo [per l’organizzazione] di farlo” , salvo eccezioni limitate. Attraverso l’app, l’utente può in ogni momento utilizzare l’opzione di eliminazione account/dati, che comporta la rimozione definitiva di tutte le informazioni personali dall’app e dai server MIA (dopo eventuale periodo di backup strettamente necessario). Diritto alla cancellazione presso servizi terzi: Oltre alla cancellazione dei dati all’interno di MIA stessa, l’app offre una funzionalità integrata per facilitare l’esercizio del diritto di cancellazione anche verso i servizi esterni collegati. Tramite la funzione GDPR – Right to Disappear presente in MIA, l’utente può inviare automaticamente richieste di cancellazione dei propri dati personali ai servizi/web esterni a cui si era connesso tramite MIA . Ad esempio, l’utente potrà chiedere la rimozione del proprio account Spotify, Netflix o di altri servizi collegati direttamente dall’interfaccia di MIA, senza dover accedere singolarmente a ciascun servizio. MIA instrada tali richieste ai rispettivi titolari esterni, agevolando l’utente nell’esercizio dei suoi diritti GDPR su tutte le piattaforme. Questa funzione è pensata per dare piena effettività al diritto dell’utente “di scomparire dal web” su sua richiesta . Si precisa che l’effettiva cancellazione presso terzi è soggetta alle tempistiche e procedure di ciascun servizio esterno, sui quali MIA non ha controllo diretto, ma l’app fornisce all’utente prova dell’invio delle richieste e degli eventuali riscontri. Diritto alla portabilità dei dati: ottenere, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali forniti a MIA e trattati con mezzi automatizzati, oppure richiederne la trasmissione diretta ad un altro titolare, se tecnicamente fattibile. Ciò consente all’utente di riutilizzare i propri dati anche al di fuori di MIA, ad esempio esportando l’elenco dei propri documenti o abbonamenti. Diritto di opposizione e di limitazione: l’utente può opporsi in qualsiasi momento, per motivi legittimi, al trattamento dei propri dati personali da parte di MIA, qualora esso si basi su un interesse pubblico o legittimo del titolare. In tal caso MIA si asterrà dal trattare ulteriormente i dati, salvo prevalenti motivi legittimi inderogabili. Inoltre, l’utente può chiedere che il trattamento dei propri dati sia limitato (cioè che i dati vengano solo conservati e non ulteriormente elaborati) in determinate circostanze previste dall’art. 18 GDPR – ad esempio, se contesta l’esattezza dei dati o la liceità del trattamento – per il periodo necessario alle opportune verifiche. Diritto di revoca del consenso: quando il trattamento si basa sul consenso, l’interessato ha il diritto di revocare in qualsiasi momento i consensi precedentemente forniti, con la stessa facilità con cui li ha accordati. La revoca del consenso non pregiudica la liceità dei trattamenti effettuati prima di essa, ma comporta l’interruzione (e, se richiesto, la cancellazione) di quei trattamenti che si fondavano esclusivamente sul consenso revocato. Ad esempio, se l’utente revoca il consenso all’accesso della propria casella email, MIA interromperà immediatamente l’analisi degli abbonamenti via email e provvederà a eliminare eventuali dati finora ricavati da tale fonte. L’app MIA rende semplice la revoca: l’utente può gestire i propri consensi nelle impostazioni (es. disconnettendo la casella email collegata, disabilitando l’uso dei dati biometrici, etc.) in qualsiasi momento, in linea con le prescrizioni del GDPR . Diritto di reclamo: qualora l’utente ritenga che i propri dati siano trattati in violazione della normativa privacy vigente, ha il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (Garante Privacy, in Italia) o all’autorità di controllo competente nello Stato membro UE di residenza. Il reclamo può essere presentato secondo le modalità indicate sul sito web dell’Autorità. Si invita l’utente a segnalare eventuali criticità prima al team di MIA, che si impegna a risolvere tempestivamente qualsiasi questione relativa ai dati personali. MIA facilita l’esercizio dei diritti sopra elencati mettendo a disposizione nell’app strumenti dedicati (es. sezioni per scaricare i dati, funzioni per cancellare l’account, gestione consensi, etc.) e garantendo tempi rapidi di risposta. Per qualsiasi ulteriore richiesta o chiarimento, l’utente può contattare il nostro team privacy all’indirizzo email indicato in epigrafe, fornendo le informazioni necessarie per l’elaborazione della richiesta. Le comunicazioni relative alla privacy saranno gestite senza indebito ritardo e comunque entro i termini di legge (in genere entro 30 giorni, estendibili a 90 giorni nei casi complessi). Base Giuridica del Trattamento Il trattamento dei dati personali effettuato da MIA si basa sul consenso libero, specifico, informato ed esplicito fornito dall’utente . Durante l’utilizzo iniziale dell’app e in occasione di funzionalità opzionali (come il collegamento dell’email o l’attivazione dei dati biometrici), MIA richiede all’utente di esprimere volontariamente il proprio consenso per ciascuna finalità specifica. In assenza di tale consenso, i dati non verranno raccolti né utilizzati per la relativa finalità. L’utente ha piena facoltà di scegliere a quali trattamenti acconsentire: ad esempio può utilizzare l’app senza abilitare l’accesso alla propria email, oppure scegliere di non salvare i dati di pagamento, e così via. Per talune categorie particolari di dati – in particolare i dati biometrici, considerati dati personali sensibili – il GDPR richiede un consenso esplicito da parte dell’interessato come condizione di liceità del trattamento . MIA ottiene tale consenso esplicito tramite dichiarazioni chiare nell’app (ad es. tramite un checkbox o un pulsante “Consento” nella schermata di scansione del volto), nel pieno rispetto di quanto previsto dagli artt. 6 e 9 GDPR. L’utente può in ogni momento revocare il consenso prestato, con la stessa facilità con cui lo ha dato (si veda anche sopra Diritti dell’Utente), e la revoca non pregiudica i trattamenti già effettuati in passato su base consensuale. Oltre al consenso, MIA si attiene a tutti i principi generali in materia di protezione dei dati personali. Ogni trattamento è improntato a liceità, correttezza e trasparenza nei confronti dell’utente : ciò significa che i dati sono trattati solo nel rispetto delle normative vigenti, per scopi legittimi e in maniera chiara e comprensibile per l’interessato. Le finalità del trattamento sono determinate, esplicite e legittime e vengono comunicate all’utente tramite questa informativa (e, se necessario, ulteriori avvisi in app); i dati raccolti non vengono mai utilizzati per scopi incompatibili con quelli dichiarati. MIA applica inoltre il principio di minimizzazione dei dati : vengono richiesti e trattati soltanto i dati adeguati e pertinenti che sono realmente necessari per perseguire le finalità sopra descritte, evitando eccessi. Ad esempio, per la sola gestione degli abbonamenti è sufficiente analizzare le intestazioni delle email di conferma e non l’intero contenuto dei messaggi; per l’autenticazione ai servizi esterni è sufficiente condividere nome, email e prova di identità, ma non altri dettagli personali non richiesti – e MIA si attiene rigorosamente a queste necessità limitate. Questo approccio garantisce un elevato livello di privacy: l’app utilizza i dati personali dell’utente nei limiti di quanto necessario e in piena trasparenza verso l’utente stesso . In sintesi, la base giuridica principale del trattamento è il consenso dell’utente, e l’utilizzo dei dati avviene esclusivamente per le finalità illustrate nella presente informativa, secondo i principi di protezione dei dati stabiliti dal GDPR. MIA non effettua trattamenti ulteriori incompatibili con quelli dichiarati e non utilizza i dati per finalità secondarie senza aver informato e, ove necessario, ottenuto un nuovo consenso dall’utente. Ogni aggiornamento a questa informativa o modifica nelle finalità del trattamento sarà comunicato all’utente attraverso i canali appropriati (ad esempio notifica in app o email), nel rispetto del principio di trasparenza. ⸻ Ultimo aggiornamento: 11 luglio 2025. Questa informativa privacy potrà essere soggetta a periodiche revisioni. In caso di modifiche sostanziali nelle modalità di trattamento dei dati, MIA informerà gli utenti con adeguato preavviso. Si invita l’utente a consultare regolarmente questa informativa per rimanere aggiornato sulle tutele adottate. In ogni caso, il continuo utilizzo dell’app successivamente alla notifica di aggiornamenti costituirà accettazione delle eventuali modifiche. Per domande relative al contenuto dell’informativa o all’esercizio dei propri diritti, l’utente può contattare MIA senza esitazione. Titolare del trattamento: MIA – My Identity Always, Roma (Italia). Contatto privacy: Michael.Liuzzo@myidentityalways.com. Grazie per aver dedicato il tempo a leggere questa informativa – la tutela dei tuoi dati è una nostra priorità, e operiamo costantemente per garantire che la tua identità digitale sia sempre protetta e sotto il tuo controllo.