Informativa sulla Privacy

1. Chi siamo

Titolare del trattamento dei dati personali raccolti tramite MINOMO è AVi Kairos Srl, società di diritto rumeno con sede legale in Strada Lungă 188, Corp C2, Ap. 2, Brașov 500051, România (CUI 52477194 · J08/68/2025 · EUID ROONRC.J2025068492002).

Per qualsiasi richiesta legata alla protezione dei dati personali — esercizio dei diritti GDPR, segnalazione di un incidente, domanda sull'informativa — il punto di contatto dedicato è [email protected] oppure il modulo a minomo.io/legal/data-request/.

AVi Kairos Srl non rientra nei casi di nomina obbligatoria del Responsabile della Protezione dei Dati ai sensi dell'art. 37 del Regolamento (UE) 2016/679 ("GDPR"). Abbiamo comunque designato un referente privacy interno accessibile tramite l'indirizzo sopra. Se la nostra attività dovesse evolvere fino a rientrare nelle soglie dell'art. 37 GDPR, procederemo con la nomina formale e aggiorneremo questa informativa.

2. Cosa fa MINOMO (in breve)

MINOMO è un'infrastruttura digitale di prossimità che collega cittadini, commercianti, Comuni e curatori del territorio (City Agent) attraverso un canale diretto, senza intermediari algoritmici e senza pubblicità. Il prodotto comprende:

• una applicazione consumer (PWA su app.minomo.io, app nativa iOS/Android in arrivo) attraverso cui seguire commercianti, eventi e luoghi della propria città;
• Bio Pages pubbliche per i commercianti, indicizzabili e leggibili da motori di ricerca e assistenti AI;
• notifiche push cifrate end-to-end dai commercianti ai propri follower e, in modalità broadcasting, all'intera città;
• MINA, un assistente conversazionale basato su intelligenza artificiale per scoperta locale e pianificazione di itinerari;
• carte fedeltà digitali (digital wallet multi-commerciante) con punti, premi e codici di riscatto;
• eventi con RSVP e promemoria push automatici;
• MINOMO Atlas, una directory editoriale della vita locale europea, accessibile pubblicamente;
• MINOMO Identity Shield (su id.minomo.io): un servizio di identità federata privacy-first che maschera la tua email reale verso i partner e propaga la cancellazione dei dati con un click;
• strumenti per i Comuni e per i City Agent, ovvero i consulenti territoriali che curano editorialmente la presenza di MINOMO in una determinata città.

Questa informativa copre il trattamento dei dati personali da parte di AVi Kairos Srl per tutti i servizi sopra elencati, accessibili attraverso i domini minomo.io, app.minomo.io, cdn.minomo.io, admin.minomo.io, id.minomo.io e le applicazioni native distribuite tramite App Store e Google Play.

3. A chi si applica questa Informativa

Le regole descritte qui sotto si applicano a tutti i soggetti che entrano in contatto con MINOMO. In particolare:

• Cittadini consumer: persone fisiche maggiorenni che si registrano per seguire commercianti, eventi e luoghi della propria città;
• Follower: utenti che hanno deciso di seguire uno o più commercianti, City Agent o pagine MINOMO;
• Commercianti: imprese, professionisti o titolari di esercizio commerciale che hanno una pagina su MINOMO. Per i commercianti raccogliamo dati identificativi richiesti dall'art. 30 del Regolamento (UE) 2022/2065 sui Servizi Digitali ("DSA"), come descritto al punto 4;
• City Agent, Subagent e Country Manager: consulenti territoriali che curano editorialmente la rete MINOMO in una determinata area;
• Rappresentanti dei Comuni e delle pubbliche amministrazioni che usano MINOMO per la comunicazione civica;
• Visitatori del sito vetrina minomo.io, delle pagine pubbliche dei commercianti (/m/{slug}), dei City Agent (/a/{slug}), degli eventi e di MINOMO Atlas.

Questa informativa non copre il trattamento di dati personali eseguito autonomamente da soggetti terzi (per esempio: il commerciante che decide di contattare un follower al di fuori di MINOMO, il Comune che usa una propria piattaforma esterna). In quei casi, si applica l'informativa privacy del soggetto terzo.

4. Categorie di dati che raccogliamo

Raccogliamo soltanto i dati strettamente necessari a far funzionare i servizi che hai scelto di usare. Le categorie sono diverse a seconda del tuo ruolo.

4.1 Tutti gli utenti registrati (consumer, commercianti, City Agent)

• Dati account: indirizzo email, hash della password (mai la password in chiaro), lingua preferita, fuso orario.
• Identificativi tecnici: ID dispositivo, token di autenticazione, identificativi delle sessioni attive (necessari per consentire l'accesso da più dispositivi e per la disconnessione remota).
• Log di accesso: indirizzo IP, user-agent, timestamp di login, tentativi di accesso falliti (per finalità di sicurezza e anti-frode).
• Comunicazioni di servizio: email transazionali (verifica account, password dimenticata, ricevute, OTP).

4.2 Utenti consumer (cittadini, follower)

• Account e contatto: il tuo indirizzo email. È l'unico dato di contatto che ti chiediamo e serve per accedere, recuperare il tuo profilo e ritrovarlo quando ti connetti da un altro dispositivo. Non ti chiediamo il numero di telefono.
• Profilo: nome visualizzato, lingua, città di riferimento dichiarata in fase di registrazione (è il tuo "ancoraggio civico" lato server, distinto dalla geolocalizzazione GPS in tempo reale).
• Avatar: immagine del profilo (se caricata).
• Geolocalizzazione:
  • City anchor: la città che hai dichiarato come tua è memorizzata lato server e usata per personalizzare la home, le notifiche e i contenuti editoriali. È un dato statico, non puntuale.
  • Posizione precisa (GPS): usata solo quando attivi le funzioni basate sulla posizione — ad esempio "Vicino a me" in Esplora, i tour guidati e le guide di prossimità di MINA. Queste funzioni richiedono una posizione precisa per mostrarti cosa hai realmente intorno, guidarti lungo i percorsi e attivare i contenuti di un luogo quando ti trovi nelle sue vicinanze. La rileviamo solo mentre stai usando attivamente queste funzioni (non in background) e la trattiamo per il tempo necessario alla funzione; puoi negare o revocare il permesso in qualsiasi momento dalle impostazioni del dispositivo.
• Grafo dei follow: la lista dei commercianti, City Agent e pagine che hai scelto di seguire.
• Sottoscrizioni push: il token del tuo dispositivo per la consegna delle notifiche (FCM su Android, APNs su iOS, Web Push su PWA) e le tue preferenze opt-in/opt-out per categoria.
• Cronologia delle interazioni: aperture delle notifiche push (tracking tecnico opt-in, mai contenutistico — vedi punto 7), click sulle offerte, RSVP agli eventi, attivazioni di carte fedeltà.
• Carte fedeltà: per ogni programma di fidelizzazione attivato, il saldo punti e lo storico delle transazioni (accredito, riscatto) presso quel commerciante.
• Conversazioni con MINA: i prompt che invii all'assistente AI e le risposte ricevute, conservati come spiegato al punto 8.
• Alias Identity Shield: se accedi a un servizio terzo tramite il nostro IdP (vedi punto 9), conserviamo la mappatura tra la tua identità MINOMO e l'alias generato per quel partner.

4.3 Commercianti (Bio Page, addon, pagamenti)

Per i commercianti raccogliamo, oltre ai dati account, le informazioni richieste dall'art. 30 del Regolamento DSA per garantire la tracciabilità dei professionisti verso i consumatori:

• Denominazione legale dell'impresa o ditta individuale;
• Indirizzo della sede legale e dell'esercizio commerciale;
• Codice fiscale / partita IVA (CUI in Romania, P.IVA in Italia), validato in tempo reale tramite servizi pubblici di registro (ANAF per la Romania, VIES per la verifica intracomunitaria);
• Contatto di assistenza (email e telefono);
• Auto-certificazione di conformità dei prodotti o servizi offerti alle norme UE applicabili.

Una parte di questi dati — denominazione legale, indirizzo dell'esercizio, contatto pubblico — è esposta pubblicamente sulla Bio Page del commerciante (/m/{slug}), come richiesto dal DSA. I dati strettamente fiscali (codice fiscale completo, dati di fatturazione) non sono pubblici e restano accessibili solo ad AVi Kairos Srl e al commerciante stesso.

Per i pagamenti e l'utilizzo del wallet prepagato raccogliamo inoltre: cronologia delle ricariche, cronologia dei consumi (notifiche inviate, addon attivati), saldo residuo, identificativo transazione del fornitore di pagamento (vedi punto 11).

4.4 City Agent, Subagent, Country Manager

Per i consulenti territoriali raccogliamo i dati account, i dati identificativi e di contatto necessari per il rapporto contrattuale, l'area territoriale assegnata, lo storico delle commissioni maturate e dei pagamenti effettuati, le note operative interne. I City Agent non hanno accesso ai dati personali dei follower del territorio che gestiscono: vedono solo aggregati statistici e dati pubblici dei commercianti del proprio territorio.

4.5 Visitatori non registrati

Quando navighi le pagine pubbliche di MINOMO senza essere registrato (sito vetrina, Atlas, Bio Page di un commerciante, eventi pubblici) raccogliamo soltanto: indirizzo IP, user-agent, riferimento alla pagina precedente, timestamp. Questi dati restano nei log del server per 12 mesi e sono usati esclusivamente per finalità di sicurezza, prevenzione abusi e statistiche aggregate anonime.

Sulle pagine pubbliche di MINOMO non sono presenti Google Analytics, Meta Pixel, LinkedIn Insight, TikTok Pixel, né altri strumenti di tracking di terze parti.

5. Finalità del trattamento e basi giuridiche

Trattiamo i tuoi dati personali solo per finalità specifiche e legittime, ciascuna delle quali poggia su una base giuridica del GDPR.

Non utilizziamo i tuoi dati per finalità di marketing comportamentale, per profilazione pubblicitaria, per vendita o cessione a terze parti. Se in futuro introdurremo trattamenti che richiedono il tuo consenso, ti chiederemo un'azione esplicita e informata, e potrai revocare il consenso in qualsiasi momento senza che ciò pregiudichi l'utilizzo del servizio base.

6. Cosa NON facciamo (il manifesto di MINOMO)

La parte più importante di questa informativa è quella che descrive ciò che non avviene sui nostri sistemi. È il patto su cui si basa l'intero progetto:

• Nessuna pubblicità. Non vendiamo spazi pubblicitari, non riceviamo compensi da inserzionisti, non sponsorizziamo contenuti di terzi.
• Nessun targeting comportamentale. Non costruiamo profili pubblicitari basati sulla tua attività, sui tuoi interessi presunti, sulla tua rete di contatti.
• Nessuna vendita o cessione dei tuoi dati personali a terzi. Mai. Per nessuna finalità. Non li affittiamo, non li scambiamo, non li condividiamo con data broker.
• Nessun tracker di terze parti sulle pagine pubbliche e nell'app: niente Google Analytics, niente Meta Pixel, niente LinkedIn Insight Tag, niente TikTok Pixel, niente Hotjar, niente Mixpanel. Le statistiche di utilizzo che produciamo restano interne ai nostri server e sono aggregate.
• Nessuna lettura del contenuto delle notifiche push da parte nostra: il payload è cifrato end-to-end (vedi punto 7).
• Nessuna esposizione dei tuoi dati personali ai commercianti che ti seguono. Quando segui un commerciante, lui può inviarti notifiche e sa quanti sono in totale i suoi follower, ma non vede il tuo nome, la tua email, il tuo numero, il tuo telefono, la tua posizione precisa né alcun altro dato personale.
• Nessun cookie di profilazione di terze parti: i pochi cookie tecnici che usiamo sono descritti nell'Informativa sui Cookie.

Queste limitazioni non sono solo dichiarazioni di intenti: sono scelte di architettura tecnica. La maggior parte di esse non sarebbe rimovibile senza riscrivere il sistema. È una garanzia by design.

7. Notifiche push cifrate end-to-end

Le notifiche push che ricevi su MINOMO viaggiano cifrate end-to-end tra il dispositivo del commerciante (o il sistema editoriale di un City Agent) e il tuo dispositivo. Ciò significa che:

• il contenuto del messaggio — testo, titolo, immagine, link — è cifrato con una chiave derivata dal tuo dispositivo;
• i nostri server non possono leggere il payload in chiaro: vediamo soltanto i metadati operativi (chi sta inviando, a quanti destinatari, in quale momento, con quale priorità);
• i gateway di terze parti che si occupano del trasporto fisico delle notifiche (Google FCM per Android, Apple APNs per iOS, Web Push standard per la PWA) ricevono il payload già cifrato e non possono leggerlo;
• solo il tuo dispositivo, al momento della ricezione, decifra il contenuto e te lo mostra.

I metadati che restano sui nostri server (chi → quanti, quando, con quale categoria di notifica) sono usati per la consegna affidabile, l'anti-abuso e la fatturazione del wallet del commerciante. Sono conservati per il tempo strettamente necessario alle finalità sopra (vedi punto 13).

Se decidi di tracciare l'apertura delle notifiche per una categoria specifica (per esempio, per ricevere meno notifiche di una determinata tipologia se non le apri mai), il tracciamento avviene solo dopo tua attivazione esplicita e può essere disattivato in qualsiasi momento dalle impostazioni dell'app.

8. MINA — l'assistente conversazionale AI

MINA è un assistente conversazionale basato su intelligenza artificiale generativa, attualmente disponibile all'interno della PWA su app.minomo.io. Ai sensi dell'art. 50 del Regolamento (UE) 2024/1689 sull'Intelligenza Artificiale ("AI Act"), ti informiamo esplicitamente che quando interagisci con MINA stai interagendo con un sistema di intelligenza artificiale, non con un operatore umano.

Come funziona MINA, in pratica

Quando invii una domanda a MINA, accadono queste cose:

1. il tuo prompt viene inviato dai nostri server a un fornitore terzo di servizi di intelligenza artificiale con cui abbiamo un accordo di trattamento dei dati personali (l'elenco aggiornato dei nostri fornitori, con i relativi paesi e le garanzie di trasferimento, è disponibile alla pagina /legal/subprocessors/);
2. il fornitore terzo elabora il prompt, genera una risposta e la restituisce ai nostri server;
3. arricchiamo eventualmente la risposta con dati pubblici di MINOMO (POI, eventi, commercianti della tua città) prima di mostrartela.

Cosa conserviamo

• I prompt e le risposte sono conservati per il tempo necessario a fornirti l'esperienza conversazionale (storico recente) e a migliorare la qualità del servizio sui dati aggregati. Vedi i dettagli al punto 13.
• Possiamo conservare in forma anonimizzata indicatori di qualità (lunghezza media, tasso di errori, categorie tematiche) per migliorare il modello e la prompt engineering.
• Non utilizziamo le tue conversazioni per addestrare modelli di intelligenza artificiale di terze parti. I nostri accordi con i fornitori AI escludono esplicitamente l'utilizzo dei prompt MINOMO per training.

Trasparenza sui limiti

MINA può produrre risposte inaccurate, incomplete o non aggiornate. Non costituiscono consulenza professionale, legale, medica, finanziaria o di altro tipo. Quando dipendi da una risposta per decisioni importanti, verifica sempre con fonti ufficiali.

Opt-out

Puoi usare tutti gli altri servizi di MINOMO senza mai interagire con MINA. Non c'è una funzione "obbligatoria" che richieda l'uso dell'assistente AI: è uno strumento opzionale, attivato solo dal tuo input esplicito.

9. MINOMO Identity Shield

Identity Shield è il nostro servizio di identità federata privacy-first, accessibile su id.minomo.io. È pensato per permetterti di accedere a servizi di partner di terze parti — siti web, applicazioni, esercizi commerciali — senza condividere la tua email reale e con la possibilità di interrompere la relazione in qualsiasi momento, con un click, propagando la cancellazione dei tuoi dati al partner.

Come funziona

• Quando un partner integra Identity Shield e tu scegli di accedere ai suoi servizi tramite il nostro IdP, generiamo un alias email univoco per quel partner (qualcosa come [email protected]) e lo comunichiamo al partner come "tua" email per quella relazione.
• Le email che il partner ti invia a quell'alias vengono inoltrate alla tua email reale dai nostri server, in modo trasparente.
• Il partner non vede mai la tua email reale, e tu sai con certezza quale partner ti sta scrivendo perché ciascuno usa un alias diverso.

Cancellazione propagata (art. 17 GDPR as a service)

Se decidi di terminare la relazione con un partner, puoi farlo da una singola pagina nel tuo account Identity Shield. Quando lo fai:

1. disattiviamo immediatamente l'inoltro delle email dall'alias verso la tua casella reale;
2. inviamo al partner, in qualità di tuo rappresentante incaricato, una richiesta formale di cancellazione ai sensi dell'art. 17 GDPR;
3. monitoriamo il riscontro: il partner ha 30 giorni per confermare la cancellazione effettiva o motivare l'eventuale conservazione (es. obblighi fiscali);
4. mostriamo l'esito nella tua dashboard Identity Shield e contribuiamo allo Privacy Score pubblico del partner, che riflette quanto rapidamente e correttamente onorano le richieste di cancellazione.

Ruoli giuridici

Rispetto ai dati che gestisce, AVi Kairos Srl agisce come:

• Titolare della mappatura tra la tua identità MINOMO e gli alias generati: i dati relativi a questa mappatura sono trattati sotto la nostra responsabilità diretta e secondo questa informativa.
• Intermediario incaricato dall'interessato (tu) per trasmettere ai partner le richieste di esercizio dei diritti GDPR, in particolare l'art. 17.

Il partner, dal canto suo, resta titolare autonomo dei dati personali che raccoglie tramite il proprio servizio (anche se la chiave di contatto è un alias MINOMO). I dettagli sul singolo partner — quali dati richiede, per quali finalità, per quanto tempo li conserva — sono dichiarati nella informativa privacy del partner stesso, che ti viene mostrata al primo accesso tramite Identity Shield.

10. City Agent, Subagent, Country Manager, Comuni

I City Agent (e i loro Subagent) sono consulenti del territorio che curano la rete MINOMO in una specifica città o area, a fronte di commissioni territoriali e con accesso a strumenti dedicati. Il loro rapporto contrattuale B2B, dove per il loro Paese è presente un Country Manager, si instaura con il Country Manager — che a sua volta è legato contrattualmente ad AVi Kairos Srl; in assenza di un Country Manager, il rapporto è direttamente con AVi Kairos Srl. Per ragioni di principio:

• i City Agent e i Subagent non vedono i dati personali individuali dei follower e dei cittadini del territorio che gestiscono — vedono solo metriche aggregate e i dati pubblici dei commercianti;
• i City Agent non agiscono come agenti legali di AVi Kairos Srl nei confronti dei commercianti: facilitano l'onboarding, ma il rapporto contrattuale per l'uso di MINOMO si instaura direttamente tra il commerciante e AVi Kairos Srl, attraverso i nostri Termini di Servizio che il commerciante accetta in autonomia.

Il Country Manager, quando presente, coordina a livello nazionale i City Agent operanti in un determinato Paese e ne cura la rete commerciale. Per svolgere questo ruolo accede, tramite la piattaforma MINOMO e senza alcun accesso diretto alla banca dati, alle anagrafiche dei commercianti, dei City Agent e dei Subagent della propria rete nazionale (ad esempio ragione sociale, referente, recapiti, dati fiscali, stato della licenza). Anche il Country Manager non accede ai dati individuali dei consumer/follower: di questi vede esclusivamente dati aggregati e statistici (numero di follower, consumo dei servizi, andamento del territorio).

Rispetto a queste anagrafiche di rete, AVi Kairos Srl e il Country Manager agiscono come contitolari del trattamento ai sensi dell'art. 26 GDPR, limitatamente alle finalità di gestione, coordinamento e sviluppo della rete commerciale nazionale. I rispettivi ruoli sono definiti in un accordo di contitolarità: in sintesi, AVi Kairos Srl fornisce la piattaforma, definisce le misure di sicurezza e custodisce la banca dati, mentre il Country Manager tratta i dati per la gestione operativa della rete del proprio Paese. Indipendentemente da questa ripartizione, puoi esercitare i tuoi diritti rivolgendoti a uno qualsiasi dei contitolari; il nostro punto di contatto resta [email protected] (vedi punto 14).

I rappresentanti dei Comuni e delle pubbliche amministrazioni che usano MINOMO per la comunicazione civica accedono a una vista dedicata con dati amministrativi (eventi pubblici, avvisi, POI istituzionali). Trattiamo i loro dati esclusivamente per la finalità del rapporto istituzionale.

Consultazioni civiche anonime (Civic Polling)

Alcuni Comuni usano MINOMO per promuovere consultazioni civiche: ti viene presentata una questione e tu puoi esprimere una preferenza con un tocco (ad esempio Favorevole · Contrario · Mi astengo) entro una finestra di tempo. La consultazione è non vincolante ed è progettata fin dall'origine per essere anonima. Ecco esattamente come trattiamo i dati.

• Separiamo "chi partecipa" da "cosa è stato votato". Registriamo in un elenco di partecipazione il solo fatto che il tuo account ha votato a una determinata consultazione — serve unicamente a impedire voti doppi e a sincronizzare lo stato fra i tuoi dispositivi — e questo elenco non contiene la tua scelta. La scelta viene conteggiata separatamente come semplice contatore aggregato, senza alcun riferimento al tuo account; il momento del voto è arrotondato e offuscato per impedire correlazioni temporali.
• Alla chiusura cancelliamo il legame. Quando la consultazione si chiude, l'elenco di partecipazione viene eliminato in modo permanente e resta soltanto il dato aggregato. Da quel momento la tua preferenza non è più riconducibile a te nemmeno da noi.
• Risultati nascosti fino alla chiusura. Gli esiti non sono visibili durante la votazione, per non influenzare le scelte e per rafforzare l'anonimato.
• Notifica civica senza tracciamento. La notifica con cui il Comune ti invita a partecipare non collega il tuo dispositivo o la tua identità al voto: non applichiamo pixel di tracciamento né mappe dispositivo-utente alle consultazioni civiche.
• Registro pubblico verificabile. Alla chiusura pubblichiamo un certificato crittograficamente firmato dei soli risultati aggregati (con marca temporale e archiviazione su rete decentralizzata), così che chiunque possa verificare che il conteggio non sia stato alterato. Il certificato non contiene mai schede di voto individuali.
• Tu hai il controllo. Ricevi gli inviti a partecipare solo se la relativa preferenza ("Comunicazioni dal mio Comune") è attiva nelle impostazioni del tuo account; puoi disattivarla in qualsiasi momento. L'eleggibilità è ancorata alla città che hai indicato nel tuo profilo.

Rispetto a queste consultazioni il Comune promotore è titolare del contenuto e della finalità del quesito (MINOMO veicola, non redige), mentre AVi Kairos Srl mette a disposizione lo strumento e garantisce l'anonimato tecnico descritto sopra. La metodologia completa, con le garanzie di anonimato e le istruzioni di verifica indipendente, è descritta alla pagina admin.minomo.io/civic/methodology.

11. Destinatari e fornitori (subprocessor)

Per far funzionare MINOMO ci avvaliamo di un numero ristretto di fornitori specializzati. Ognuno di loro è vincolato da un accordo scritto che li obbliga a trattare i tuoi dati esclusivamente per le finalità che gli abbiamo affidato e con misure di sicurezza adeguate.

I fornitori rientrano nelle seguenti categorie generali:

• Infrastruttura: server applicativi e database, hosting di immagini e file caricati, rete di distribuzione dei contenuti (CDN), servizi di sicurezza perimetrale.
• Comunicazioni: trasporto delle email transazionali (provider SMTP), gateway per le notifiche push native (Android e iOS).
• Intelligenza artificiale: il fornitore terzo che alimenta MINA.
• Pagamenti: il Merchant of Record che processa le ricariche del wallet e le transazioni associate.
• Autenticazione social: i provider OAuth (Google, Apple) attivati se scegli di accedere tramite uno di questi servizi.
• Build delle app native: la piattaforma di continuous integration che compila le app iOS e Android.

L'elenco completo, aggiornato e versionato dei nostri fornitori — con la categoria di trattamento, il paese di stabilimento, le garanzie di trasferimento applicabili e la data dell'ultimo aggiornamento — è disponibile alla pagina dedicata: minomo.io/legal/subprocessors/. Quella pagina costituisce parte integrante della presente informativa.

Quando aggiungiamo, rimuoviamo o sostituiamo un fornitore, aggiorniamo la pagina e ne diamo evidenza nel relativo changelog. Se la modifica è sostanziale (cambia il paese di trattamento o la natura del fornitore), te lo comunichiamo proattivamente.

Oltre ai fornitori, possiamo comunicare i tuoi dati alle autorità competenti (forze dell'ordine, autorità giudiziarie, autorità di controllo per la protezione dei dati, autorità di vigilanza ai sensi del DSA) nei limiti e nelle modalità previsti dalla legge.

12. Trasferimenti di dati al di fuori dello Spazio Economico Europeo

Una parte dei nostri fornitori ha sede negli Stati Uniti d'America o in altri paesi al di fuori dello Spazio Economico Europeo (SEE). I trasferimenti di dati personali verso questi paesi sono assoggettati a garanzie giuridiche specifiche:

• Stati Uniti: laddove il fornitore aderisce al EU-U.S. Data Privacy Framework approvato dalla decisione di adeguatezza della Commissione Europea del 10 luglio 2023, il trasferimento è coperto dalla decisione stessa. In aggiunta, e a prescindere dal DPF, applichiamo le Clausole Contrattuali Standard approvate dalla Commissione Europea con decisione 2021/914/UE, integrate da una valutazione di impatto sui trasferimenti (TIA) e da misure supplementari tecniche e organizzative.
• Regno Unito: il trasferimento è coperto dalla decisione di adeguatezza della Commissione Europea del 28 giugno 2021.
• Altri paesi extra-SEE: applichiamo le Clausole Contrattuali Standard 2021/914/UE e, dove rilevanti, accordi specifici con il fornitore.

Monitoriamo costantemente l'evoluzione della giurisprudenza dell'Unione Europea sui trasferimenti internazionali (in particolare le decisioni della Corte di Giustizia note come "Schrems") e adeguamo i nostri meccanismi di garanzia quando necessario.

Puoi richiedere copia delle Clausole Contrattuali Standard e della valutazione di impatto sui trasferimenti che applichiamo a un determinato fornitore scrivendo a [email protected].

13. Periodi di conservazione

Conserviamo i tuoi dati personali per il tempo strettamente necessario alle finalità per cui sono stati raccolti e in conformità agli obblighi di legge applicabili. I principali periodi sono:

Al termine di ciascun periodo, i dati vengono cancellati oppure anonimizzati in modo irreversibile. Quando esprimi il diritto alla cancellazione (vedi punto 14), procediamo entro i tempi di legge, fatti salvi i periodi minimi imposti da obblighi normativi (in particolare i 10 anni dei registri fiscali).

14. I tuoi diritti

Il GDPR ti riconosce una serie di diritti che puoi esercitare in qualsiasi momento, gratuitamente, senza dover motivare la richiesta. Sono:

• Accesso (art. 15 GDPR): ottenere conferma del trattamento e una copia dei tuoi dati.
• Rettifica (art. 16): correggere dati inesatti o incompleti.
• Cancellazione (art. 17, "diritto all'oblio"): ottenere la cancellazione dei tuoi dati, nei limiti previsti dalla legge.
• Limitazione (art. 18): chiedere il blocco temporaneo del trattamento in casi specifici.
• Portabilità (art. 20): ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare.
• Opposizione (art. 21): opporti al trattamento basato sul legittimo interesse, salvo che ci siano motivi legittimi cogenti per proseguire.
• Revoca del consenso: laddove il trattamento si basi sul consenso, puoi revocarlo in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento già effettuato.
• Non essere sottoposto a decisioni automatizzate con effetti giuridici o significativi (art. 22): MINOMO non assume nei tuoi confronti decisioni interamente automatizzate. MINA produce risposte ma sei sempre tu a decidere come usarle; non ti viene negato un servizio sulla base di una valutazione algoritmica.

Come esercitarli

Puoi esercitare ciascuno di questi diritti in due modi:

• compilando il modulo a minomo.io/legal/data-request/;
• scrivendo a [email protected].

Eliminazione dell'account. Se vuoi cancellare l'intero account e i dati associati, puoi farlo direttamente dall'app (Account → Elimina account) oppure tramite richiesta sul web. La procedura completa — cosa viene eliminato, cosa siamo tenuti a conservare e per quanto tempo — è descritta passo passo alla pagina dedicata: minomo.io/legal/delete-account/.

Risponderemo entro 30 giorni dalla ricezione della richiesta, salvo casi di particolare complessità che possono richiedere una proroga fino a ulteriori 60 giorni (di cui ti daremo comunicazione motivata). Prima di processare la richiesta verifichiamo la tua identità per evitare divulgazioni a soggetti non autorizzati: la verifica avviene normalmente confermando la richiesta dall'indirizzo email associato al tuo account.

Reclamo all'Autorità di controllo

Se ritieni che il trattamento dei tuoi dati personali violi il GDPR puoi presentare un reclamo all'autorità di controllo competente. Le autorità con cui interagiamo più frequentemente sono:

• ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Romania): B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 București · dataprotection.ro
• Garante per la protezione dei dati personali (Italia): Piazza Venezia 11, 00187 Roma · garanteprivacy.it
• l'autorità di controllo del tuo paese di residenza abituale, se diverso dai precedenti. L'elenco delle autorità SEE è disponibile su edpb.europa.eu.

15. Minori

MINOMO è destinato a persone che hanno compiuto 18 anni. È una scelta di policy del Titolare: ci permette di operare con un quadro uniforme rispetto ai consumer minori in diversi paesi UE e di mantenere il rapporto contrattuale (incluso il wallet prepagato) entro la piena capacità di agire dell'interessato.

Se veniamo a conoscenza dell'esistenza di un account intestato a un minore, lo sospendiamo e procediamo alla cancellazione dei dati raccolti, salvo che un genitore o tutore intervenga formalmente per regolarizzare la posizione. Se sei un genitore o un tutore e ritieni che un minore di cui sei responsabile abbia creato un account MINOMO, scrivi a [email protected].

16. Sicurezza e gestione degli incidenti

Abbiamo adottato misure tecniche e organizzative adeguate per proteggere i tuoi dati da accessi non autorizzati, perdite, alterazioni o divulgazioni. Tra queste:

• cifratura in transito (HTTPS/TLS 1.2 o superiore su tutti gli endpoint pubblici);
• cifratura a riposo per i database e gli storage di file (chiavi gestite dal provider di hosting);
• cifratura end-to-end per i contenuti delle notifiche push;
• autenticazione a due fattori disponibile per gli account ad alta esposizione (admin, City Agent, commercianti);
• accesso ai dati limitato al personale autorizzato sulla base del principio del minimo necessario, con registrazione dell'attività amministrativa;
• monitoraggio della sicurezza, rilevazione automatica di anomalie, procedure di risposta agli incidenti.

Nessuna misura di sicurezza è assoluta. Se nonostante le nostre misure si verifica una violazione di dati personali che comporta un rischio per i tuoi diritti e libertà, procediamo a:

1. notificare l'autorità di controllo competente entro 72 ore dalla conoscenza dell'evento, ai sensi dell'art. 33 GDPR;
2. comunicare l'incidente direttamente a te, in linguaggio chiaro, quando la violazione comporta un rischio elevato (art. 34 GDPR).

17. Modifiche a questa Informativa

Possiamo aggiornare questa informativa nel tempo, per esempio a fronte di nuove funzionalità, nuovi fornitori, evoluzioni normative o sentenze rilevanti. Quando lo facciamo:

• aggiorniamo la versione e la data riportata in cima al documento;
• se la modifica è sostanziale — incide cioè sui tuoi diritti, sulle finalità, sui fornitori o sui paesi di trattamento — te ne diamo comunicazione proattiva con almeno 30 giorni di preavviso, via email e tramite avviso in app;
• conserviamo le versioni precedenti dell'informativa nel changelog qui sotto, in modo che tu possa confrontare cosa è cambiato.

Storico delle modifiche

18. Contatti

Per qualunque domanda, richiesta o segnalazione relativa alla protezione dei tuoi dati personali:

• Email privacy: [email protected]
• Modulo richieste GDPR: minomo.io/legal/data-request/
• Posta ordinaria: AVi Kairos Srl — Strada Lungă 188, Corp C2, Ap. 2, Brașov 500051, România
• Contatto generico: [email protected]
• Punto di contatto DSA (per richieste relative alla moderazione dei contenuti e alle obbligazioni dei fornitori di servizi digitali): [email protected]

Trattiamo le tue domande con rispetto e con la massima serietà. Se la nostra risposta non ti soddisfa, ricordati che puoi rivolgerti all'Autorità di controllo del tuo paese (vedi punto 14).