Informativa sulla Privacy
Articolo 1 — Titolare del trattamento
Il titolare del trattamento dei dati personali è:
CES Venture SAS (nome commerciale: Hello Mira)
Sede legale: Euratechnologies, 165 avenue de Bretagne, 59000 Lille, Francia
SIREN: 991 370 115
Rappresentante legale: Cédric Tumminello, Presidente
Responsabile della Protezione dei Dati (RPD/DPO):
Cédric Tumminello
E-mail: [email protected]
Articolo 2 — Ambito di applicazione
La presente Informativa sulla Privacy si applica a tutti i dati personali raccolti e trattati nell'ambito di:
- l'utilizzo della Piattaforma Hello Mira (applicazione mobile Mira Nomad, sito web hello-mira.com, Mira Chat);
- l'abbonamento e l'utilizzo del Mira Pass;
- la prenotazione e l'esecuzione dei Mira Trips;
- le interazioni con i Mira Agents e Mira Brain;
- la partecipazione alle Mira Tribes e alla community Mira;
- gli scambi con il servizio clienti.
Articolo 3 — Dati raccolti e finalità
3.1 Dati di registrazione e di profilo
| Dato | Finalità | Base giuridica |
|---|---|---|
| Nome, cognome | Identificazione, personalizzazione | Esecuzione del contratto |
| Indirizzo e-mail | Comunicazione, autenticazione | Esecuzione del contratto |
| Password (hash) | Autenticazione | Esecuzione del contratto |
| Data di nascita | Verifica dell'età (18 anni), idoneità delle destinazioni | Esecuzione del contratto |
| Nazionalità | Idoneità delle destinazioni (visto), personalizzazione | Esecuzione del contratto |
| Numero di telefono cellulare | Comunicazione, notifiche, assistenza di emergenza | Esecuzione del contratto |
| Paese di residenza fiscale (richiesto al momento del pagamento) | Applicazione dell'aliquota IVA | Obbligo legale |
| Professione / attività professionale | Personalizzazione, assegnazione ai Mira Tribes | Consenso |
| Foto profilo | Identificazione nella community | Consenso |
| Preferenze di viaggio | Personalizzazione, raccomandazioni IA | Consenso |
3.2 Dati di prenotazione e di viaggio
| Dato | Finalità | Base giuridica |
|---|---|---|
| Scansione del passaporto | Verifica dell'identità (KYC) | Esecuzione del contratto + obbligo legale |
| Dati MRZ estratti dal passaporto (nome, nazionalità, data di nascita, data di scadenza, numero di documento) | KYC, idoneità delle destinazioni | Esecuzione del contratto |
| Città di partenza | Calcolo del prezzo (supplemento volo) | Esecuzione del contratto |
| Storico delle prenotazioni | Gestione dell'account, sconti fedeltà | Esecuzione del contratto |
| Prova di assicurazione viaggio | Verifica del requisito di prenotazione | Esecuzione del contratto |
| Dati di pagamento | Elaborazione delle transazioni (tramite Stripe) | Esecuzione del contratto |
3.3 Dati di utilizzo della Piattaforma
| Dato | Finalità | Base giuridica |
|---|---|---|
| Log di connessione | Sicurezza, prevenzione delle frodi | Interesse legittimo |
| Conversazioni con i Mira Agents e Mira Brain | Funzionamento del servizio, miglioramento dei modelli IA | Esecuzione del contratto (funzionamento) / Interesse legittimo (miglioramento) |
| Messaggi nelle Mira Tribes | Funzionamento del servizio, moderazione | Esecuzione del contratto |
| Messaggi privati (DM) | Funzionamento del servizio | Esecuzione del contratto |
| Dati di navigazione (analytics) | Miglioramento dell'esperienza utente (UX) | Consenso (Clarity) / Esente (Plausible) |
3.4 Dati di comunicazione
| Dato | Finalità | Base giuridica |
|---|---|---|
| Storico degli scambi con il supporto | Servizio clienti | Esecuzione del contratto |
| Preferenze di notifica | Comunicazione mirata | Consenso |
| Indirizzo e-mail (newsletter) | Prospection commerciale | Consenso (opt-in) |
Articolo 4 — Base giuridica per il miglioramento dei modelli IA
Le conversazioni dell'Utente con i Mira Agents e Mira Brain potranno essere utilizzate per migliorare la qualità delle risposte e arricchire Mira Knowledge (base di conoscenza proprietaria).
Questo trattamento si basa sul legittimo interesse di Hello Mira (articolo 6, paragrafo 1, lettera f del GDPR — Regolamento (UE) 2016/679), dopo una ponderazione con i diritti e le libertà degli Utenti:
- Interesse perseguito: miglioramento continuo della pertinenza e dell'affidabilità delle informazioni fornite ai Nomad, in un ambito (viaggi, visti, salute, fiscalità) in cui la qualità dell'informazione è critica;
- Misure di protezione: anonimizzazione dei dati prima del loro utilizzo per l'addestramento, minimizzazione dei dati, diritto di opposizione dell'Utente.
L'Utente può in qualsiasi momento opporsi all'utilizzo delle proprie conversazioni per il miglioramento dei modelli, dalle impostazioni del proprio account o tramite e-mail a [email protected]. Tale opposizione si applica alle conversazioni future.
Articolo 5 — Destinatari dei dati
5.1 Internamente
I dati sono accessibili ai team operativi di Hello Mira (assistenza clienti, operazioni di viaggio, tecnico, marketing) nella misura strettamente necessaria all'esercizio delle loro funzioni.
5.2 Responsabili del trattamento tecnici
Hello Mira si avvale dei seguenti responsabili del trattamento per il trattamento dei dati personali:
| Responsabile del trattamento | Servizio | Localizzazione dei dati | Trasferimento fuori UE |
|---|---|---|---|
| OVHcloud | Hosting, infrastruttura | Francia / UE | No |
| Supabase (AWS Stoccolma) | Database, autenticazione | Svezia (UE) | No |
| Stripe | Pagamenti, Stripe Connect (escrow) | UE (sede USA) | Possibile (CCT) |
| Brevo | Emailing, newsletter | Francia | No |
| Cloudflare | CDN, protezione DDoS | Cache UE (sede USA) | Possibile (CCT) |
| Duffel | API voli | Regno Unito | No (decisione di adeguatezza) |
| Vonage | Comunicazioni (SMS, voce) | Sede USA | Probabile (CCT) |
| Firebase (Google) | Notifiche push | Sede USA | Probabile (CCT) |
| Plausible | Analytics web | UE | No |
| Microsoft Clarity | Analisi comportamentale (heatmap, replay di sessione) | Sede USA | Probabile (CCT) |
| Google Gemini | IA generativa (Mira Brain) | Sede USA | Probabile (CCT) |
| Anthropic (Claude) | IA generativa (Mira Brain) | Sede USA | Probabile (CCT) |
| OpenAI (GPT) | IA generativa (indagine KYC, Mira Brain) | Sede USA | Probabile (CCT) |
| Mistral AI | IA generativa (Mira Brain) | Francia | No |
Nota: Hello Mira persegue un approccio progressivo alla sovranità tecnologica, con lo sviluppo di modelli IA proprietari ospitati in UE, con l'obiettivo di ridurre la dipendenza da fornitori extraeuropei.
Ogni responsabile del trattamento è vincolato da un contratto di trattamento conforme all'articolo 28 del GDPR (Regolamento (UE) 2016/679).
5.3 Partner di viaggio (in fase di vendita effettiva)
Nell'ambito dell'esecuzione di un Mira Trip, determinati dati potranno essere trasmessi ai fornitori del viaggio:
- Alloggi (coliving, hotel): dati strettamente necessari alla prenotazione (nome, date, preferenze);
- Compagnie aeree: dati passeggeri richiesti dalla normativa aeronautica;
- Mira Amigos: dati limitati (nome, interessi).
Trasmissione del passaporto ai fornitori: con il consenso esplicito del Viaggiatore, Hello Mira può trasmettere i dati del passaporto agli operatori del viaggio (compagnie aeree, alloggi) che ne hanno bisogno per le formalità amministrative. Tale consenso è facoltativo, separato e revocabile in qualsiasi momento.
5.4 Autorità
I dati possono essere comunicati alle autorità competenti in risposta a un obbligo legale (amministrazione fiscale, autorità giudiziarie, ecc.).
5.5 Condivisione a fini di marketing
Hello Mira può condividere dati anonimizzati e aggregati (che non consentono l'identificazione degli Utenti) con partner di marketing a fini di analisi statistica e ottimizzazione delle campagne.
Nessun dato personale identificabile viene condiviso con partner di marketing senza il consenso espresso dell'Utente.
Articolo 6 — Trasferimenti al di fuori dell'Unione Europea
Alcuni responsabili del trattamento di Hello Mira sono stabiliti al di fuori dell'Unione Europea, principalmente negli Stati Uniti (Stripe, Cloudflare, Vonage, Firebase, Google Gemini, Anthropic, OpenAI, Microsoft Clarity).
Tali trasferimenti sono disciplinati dalle seguenti garanzie:
- Clausole Contrattuali Tipo (CCT) adottate dalla Commissione europea, incorporate nei contratti con i responsabili del trattamento interessati;
- Decisioni di adeguatezza della Commissione europea, ove applicabile (es.: Regno Unito per Duffel);
- Misure supplementari: cifratura dei dati in transito e a riposo, minimizzazione dei dati trasmessi.
Hello Mira si assicura di trasmettere solo i dati strettamente necessari per la finalità del trattamento. In particolare, i dati sensibili (scansione del passaporto) non vengono trasmessi ai fornitori di IA, salvo per il processo di KYC (indagine sui nomi tramite OpenAI GPT-4.1 Vision), per cui i dati trasmessi sono limitati allo stretto necessario e soggetti alle CCT di OpenAI.
Articolo 7 — Periodi di conservazione
| Tipo di dato | Periodo di conservazione |
|---|---|
| Dati dell'account attivo | Durata del rapporto contrattuale |
| Dati dell'account dopo la cancellazione | 3 anni (prescrizione, gestione del contenzioso) |
| Dati dell'account dopo inattività (senza cancellazione) | Archiviazione dopo 24 mesi di inattività, cancellazione dopo 36 mesi |
| Dati di prenotazione | Durata del contratto + 5 anni (obblighi contabili) |
| Fatture e dati di pagamento | 10 anni (obbligo contabile, art. L123-22 Code de commerce [Codice di commercio francese]) |
| Scansione del passaporto — rifiutata/fallita | 24 ore dopo il rifiuto |
Scansione del passaporto — validata, retain_document = false | Immagine cancellata 30 giorni dopo la validazione; dati MRZ conservati finché il Mira Pass è attivo |
Scansione del passaporto — validata, retain_document = true | Conservata finché il Mira Pass è attivo + 90 giorni di grazia dopo la scadenza |
| Scansione del passaporto — diritto all'oblio | Soft delete immediato + cancellazione fisica entro 30 giorni |
| Conversazioni IA (account attivo) | Durata del rapporto contrattuale |
| Conversazioni IA (dopo la cancellazione dell'account) | Anonimizzate entro 30 giorni (contenuto conservato in forma anonima per il miglioramento del servizio) |
| Messaggi Mira Tribes / DM | Anonimizzati dopo la cancellazione dell'account |
| Log di connessione | 1 anno (raccomandazione CNIL) |
| Dati di prospection | 3 anni dopo l'ultimo contatto |
| Cookie e tracciatori | Massimo 13 mesi (raccomandazione CNIL) |
| Crediti promozionali | 12 mesi dalla data di attribuzione |
Articolo 8 — Sicurezza dei dati
8.1 Misure tecniche
Hello Mira implementa le seguenti misure di sicurezza:
- cifratura dei dati in transito (TLS/SSL) e a riposo;
- rigoroso controllo degli accessi basato sui ruoli (RBAC);
- registrazione di tutti gli accessi ai file sensibili (in particolare le scansioni del passaporto), con tracciabilità completa;
- URL prefirmate a durata limitata (15 minuti) per l'accesso ai file sensibili;
- hosting su server certificati (OVHcloud) situati in Francia e nell'UE;
- pseudonimizzazione dei dati ove tecnicamente possibile.
8.2 Misure organizzative
- politica di sicurezza interna;
- sensibilizzazione dei team sulle problematiche legate alla protezione dei dati;
- accesso ai dati limitato alle persone autorizzate, nel rispetto del principio di minimizzazione.
8.3 Notifica delle violazioni
In caso di violazione dei dati personali che potrebbe comportare un rischio per i diritti e le libertà delle persone:
- la CNIL (Commission Nationale de l'Informatique et des Libertés, autorità francese per la protezione dei dati) è notificata entro 72 ore;
- le persone interessate sono informate il prima possibile qualora il rischio sia elevato.
Articolo 9 — Diritti degli Utenti
Conformemente agli articoli da 15 a 22 del GDPR (Regolamento (UE) 2016/679), l'Utente dispone dei seguenti diritti:
| Diritto | Descrizione |
|---|---|
| Diritto di accesso (art. 15) | Ottenere una copia di tutti i propri dati personali |
| Diritto di rettifica (art. 16) | Correggere dati inesatti o incompleti |
| Diritto alla cancellazione (art. 17) | Richiedere la cancellazione dei propri dati («diritto all'oblio») |
| Diritto alla limitazione (art. 18) | Limitare il trattamento in determinati casi (contestazione, illiceità) |
| Diritto alla portabilità (art. 20) | Recuperare i propri dati in un formato strutturato e leggibile da dispositivo automatico |
| Diritto di opposizione (art. 21) | Opporsi al trattamento per motivi legittimi (in particolare all'utilizzo delle conversazioni per il miglioramento dell'IA) |
| Diritto di revocare il consenso | In qualsiasi momento, senza pregiudicare la liceità del trattamento precedente |
| Diritto di non essere soggetto a decisioni automatizzate (art. 22) | Non essere soggetto a una decisione basata esclusivamente su un trattamento automatizzato che produca effetti giuridici o analogamente significativi |
9.1 Decisioni automatizzate
Hello Mira utilizza un sistema automatizzato per la verifica dell'identità (KYC): la scansione del passaporto viene analizzata da un'IA che confronta i dati MRZ con le informazioni del profilo. Tale sistema può validare o rifiutare automaticamente una verifica dell'identità.
L'Utente ha il diritto di contestare qualsiasi decisione automatizzata e di richiedere un intervento umano contattando il servizio clienti all'indirizzo [[email protected]]. È previsto un sistema di indagine manuale per i casi controversi.
9.2 Esercizio dei diritti
L'Utente può esercitare i propri diritti:
- tramite e-mail a [email protected];
- tramite posta a CES Venture SAS — Euratechnologies, 165 avenue de Bretagne, 59000 Lille, France.
Hello Mira si impegna a rispondere entro un (1) mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi in caso di richiesta complessa, nel qual caso l'Utente è informato del termine aggiuntivo.
Per elaborare la richiesta potrebbe essere richiesta una verifica dell'identità del richiedente.
9.3 Cancellazione dello storico delle conversazioni IA
L'Utente può richiedere la cancellazione del proprio storico di conversazioni con i Mira Agents e Mira Brain contattando [email protected].
Articolo 10 — Cookie e tracciatori
10.1 Cookie strettamente necessari
Questi cookie sono indispensabili per il funzionamento della Piattaforma (autenticazione, sicurezza, gestione della sessione). Non richiedono il consenso dell'Utente.
10.2 Cookie analitici
Plausible: uno strumento di analytics rispettoso della privacy, che non installa cookie e non raccoglie dati personali. Non è richiesto alcun consenso.
Microsoft Clarity: uno strumento di analisi comportamentale (heatmap, replay di sessione). Clarity installa cookie e tratta dati personali. La sua attivazione è soggetta al consenso preventivo dell'Utente tramite il banner cookie.
10.3 Gestione del consenso
Alla prima visita, l'Utente è invitato a esprimere la propria scelta tramite un banner cookie. Il rifiuto è semplice quanto l'accettazione. I tracciatori soggetti a consenso vengono attivati solo dopo l'accettazione esplicita.
L'Utente può modificare le proprie preferenze in qualsiasi momento dalle impostazioni della Piattaforma.
I cookie hanno una durata massima di 13 mesi conformemente alle raccomandazioni della CNIL (Commission Nationale de l'Informatique et des Libertés, autorità francese per la protezione dei dati).
Articolo 11 — Dati dei minori
La Piattaforma non è destinata ai minori di 18 anni. Hello Mira non raccoglie intenzionalmente dati personali di minori.
Qualora Hello Mira venisse a conoscenza della raccolta di dati di un minore, tali dati saranno cancellati nel più breve tempo possibile.
Articolo 12 — Modifica dell'Informativa sulla Privacy
Hello Mira si riserva il diritto di modificare la presente Informativa sulla Privacy. In caso di modifica sostanziale, gli Utenti saranno informati tramite e-mail e/o notifica in-app almeno 30 giorni prima dell'entrata in vigore.
Articolo 13 — Contatto e reclamo
Punto di contatto per i dati personali: [email protected]
In caso di reclamo non risolto, l'Utente può rivolgersi all'autorità di controllo competente:
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Sito web: www.cnil.fr
Gli Utenti residenti in un altro Stato membro dell'UE possono altresì rivolgersi all'autorità per la protezione dei dati del proprio paese di residenza.