INFORMATIVA PRIVACY

INFORMATIVA PRIVACY


YouHodler Italy S.r.l. (di seguito, “YouHodler”, la “Società”, “noi” o “nostro/a”) si impegna a proteggere la tua privacy. Abbiamo redatto la presente Informativa sulla privacy (di seguito, “Informativa”) per spiegare come raccogliamo, utilizziamo e comunichiamo le informazioni personali relative agli individui (di seguito, “Utenti”) che visitano il sito web https://www.youhodler.com/it e l’app di YouHodler (entrambi di seguito, la “Piattaforma”) ovvero che interagiscano con i nostri social media, le nostre attività di marketing e ogni altra attività descritta nella presente Informativa.


La presente Informativa descrive le modalità e le finalità del trattamento dei dati personali effettuato da YouHodler ed è redatta ai sensi del Regolamento (UE) 2016/679 (di seguito, “GDPR”).


La presente Informativa tiene altresì conto, ove applicabile, del Regolamento (UE) 2023/1114 (di seguito, “MiCAR”), con particolare riferimento agli obblighi di trasparenza informativa relativi alla prestazione di servizi su cripto-attività.


Eventuali modifiche sostanziali alla presente Informativa o ai trattamenti dei dati personali saranno comunicate agli interessati con modalità idonee e nel rispetto degli articoli 13 e 14 del GDPR.


Per informazioni sull’utilizzo di cookie e tecnologie simili si rinvia alla Cookie Policy.


1. TITOLARE DEL TRATTAMENTO


Il Titolare del trattamento è:


YouHodler Italy S.r.l.


C.F./P.IVA n. 12481390966


Sede legale: Via del Commercio 32 - 00154 - Roma (RM)


E-mail: privacy@youhodler.it


PEC: youhodler@legalmail.it


Il Titolare ha nominato come Responsabile della Protezione dei Dati (Data Protection Officer – “DPO”) privacy@youhodler.it, contattabile all’indirizzo e-mail privacy@youhodler.it.


2. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO


I dati personali degli Utenti sono trattati per le seguenti finalità:


2.1 Erogazione dei Servizi e e gestione del rapporto contrattuale


I dati personali sono trattati al fine di consentire la registrazione dell’Utente, l’apertura e la gestione dell’account, l’accesso all’Area Riservata, l’utilizzo dei Servizi relativi alle cripto-attività, l’esecuzione di operazioni e transazioni, nonché la gestione dell’assistenza clienti, di eventuali reclami e dei rapporti contrattuali connessi ai servizi offerti tramite la Piattaforma.


Base giuridica: esecuzione di un contratto o di misure precontrattuali (art. 6, par. 1, lett. b) GDPR).


2.2 Adempimento di obblighi normativi, AML/KYC e prevenzione frodi


I dati personali sono trattati al fine di adempiere agli obblighi previsti dalla normativa applicabile, inclusi gli obblighi in materia di antiriciclaggio (“AML”), prevenzione del finanziamento del terrorismo (“CTF”), adeguata verifica della clientela (“KYC”), monitoraggio delle operazioni, screening sanzioni e PEP, conservazione documentale e adempimenti verso autorità competenti.


Tali trattamenti possono includere attività di verifica dell’identità, controlli antifrode, verifiche sull’origine dei fondi e utilizzo di fornitori specializzati in blockchain analytics e compliance.


Base giuridica: adempimento di obblighi legali e regolamentari (art. 6, par. 1, lett. c) GDPR).


Le attività di verifica, analisi e monitoraggio effettuate ai fini dell’adempimento degli obblighi normativi, inclusi gli obblighi in materia AML, CTF, KYC, prevenzione delle frodi e screening sanzioni, non si basano sul consenso dell’interessato, bensì sull’adempimento di obblighi di legge e, ove applicabile, sulla necessità di dare esecuzione al rapporto contrattuale.


Ai fini dello svolgimento delle attività di compliance e verifica, alcuni dati personali possono essere acquisiti anche presso fonti pubbliche, registri ufficiali, banche dati accessibili al pubblico, fornitori specializzati in servizi di verifica dell’identità, prevenzione delle frodi, blockchain analytics e screening AML/CTF.


2.3 Sicurezza della Piattaforma e prevenzione di abusi


I dati personali possono essere trattati per garantire la sicurezza della Piattaforma, prevenire accessi non autorizzati, individuare utilizzi fraudolenti o abusivi dei Servizi, gestire incidenti di sicurezza, effettuare controlli tecnici e proteggere l’integrità dei sistemi informatici.


Base giuridica: legittimo interesse del Titolare alla sicurezza dei sistemi e alla prevenzione delle frodi (art. 6, par. 1, lett. f) GDPR).


2.4 Miglioramento dei servizi, analytics e sviluppo della Piattaforma


I dati personali possono essere utilizzati per analizzare le modalità di utilizzo della Piattaforma, migliorare l’esperienza utente, sviluppare nuove funzionalità, effettuare analisi statistiche aggregate, monitorare performance operative e garantire il corretto funzionamento dei servizi offerti tramite la Piattaforma.


Base giuridica: legittimo interesse del Titolare al miglioramento e allo sviluppo dei Servizi (art. 6, par. 1, lett. f) GDPR).


Il conferimento dei dati personali per le finalità di cui ai paragrafi 2.1, 2.2, 2.3 e 2.4 è necessario ai fini dell’instaurazione e dell’esecuzione del rapporto contrattuale, nonché per l’adempimento degli obblighi normativi applicabili. Il mancato conferimento dei dati può comportare l’impossibilità di attivare o proseguire il rapporto contrattuale e di erogare i servizi offerti tramite la Piattaforma.


2.5 Marketing diretto e comunicazioni promozionali


Previo consenso dell’Utente ove richiesto dalla normativa applicabile, i dati personali possono essere trattati per l’invio di newsletter, comunicazioni commerciali, aggiornamenti sui servizi, iniziative promozionali, eventi, ricerche di mercato e altre attività di marketing relative ai servizi offerti tramite la Piattaforma.


Base giuridica: consenso dell’interessato (art. 6, par. 1, lett. a) GDPR).


2.5 Profilazione e personalizzazione delle comunicazioni commerciali


Previo consenso dell’Utente ove richiesto dalla normativa applicabile, i dati personali possono essere trattati per analizzare preferenze, interessi, modalità di utilizzo della Piattaforma e interazioni con i servizi offerti tramite la Piattaforma, al fine di personalizzare comunicazioni commerciali, contenuti e offerte relative ai Servizi su cripto-attività.


Base giuridica: consenso dell’interessato (art. 6, par. 1, lett. a) GDPR).


Il conferimento dei dati personali per le finalità di cui ai paragrafi 2.5 e 2.6 è facoltativo. Il mancato conferimento del consenso o la sua successiva revoca non pregiudicano la possibilità di utilizzare i servizi offerti tramite la Piattaforma né la validità del rapporto contrattuale.


L’interessato può revocare in qualsiasi momento il consenso prestato, ferma restando la liceità del trattamento effettuato prima della revoca.


3. CATEGORIE DI DATI PERSONALI TRATTATI


3.1 Dati identificativi e di contatto


Dati anagrafici e identificativi dell’Utente, inclusi nome, cognome, data di nascita, nazionalità, paese di residenza, indirizzo di residenza o domicilio, indirizzo e-mail, numero di telefono, username, identificativi account e ulteriori informazioni fornite durante la registrazione o l’utilizzo della Piattaforma.


3.2 Dati KYC/AML e dati di verifica 


Dati raccolti ai fini dell’adeguata verifica della clientela (“KYC”), della prevenzione del riciclaggio (“AML”) e del finanziamento del terrorismo (“CTF”), inclusi documenti di identità, immagini del documento, selfie, video-identificazione, dati biometrici ove applicabili, proof of address, informazioni sull’origine dei fondi e della ricchezza, dati relativi alla condizione di politically exposed person (“PEP”), screening sanzioni, informazioni antifrode e ulteriori dati richiesti dalla normativa applicabile o dalle procedure interne di compliance.


3.3 Dati finanziari, wallet e dati transazionali


Dati relativi ai Servizi utilizzati e alle operazioni effettuate tramite la Piattaforma, inclusi indirizzi wallet, indirizzi blockchain pubblici, saldi, storico delle transazioni, operazioni effettuate, dati relativi ai depositi e prelievi, dati relativi a conti in valuta fiat, dati di pagamento, IBAN, riferimenti bancari, informazioni relative ai metodi di pagamento utilizzati e ulteriori informazioni necessarie all’esecuzione delle operazioni e alla gestione dei servizi offerti tramite la Piattaforma.


3.4 Dati tecnici, di utilizzo e di navigazione


Dati raccolti automaticamente durante l’utilizzo della Piattaforma, inclusi indirizzo IP, log di accesso, identificativi del dispositivo, informazioni sul browser e sul sistema operativo, dati relativi alle sessioni, cookie e tecnologie analoghe, dati di navigazione, interazioni con la Piattaforma, dati analytics, informazioni sulle performance e dati relativi alla sicurezza e al corretto funzionamento dei servizi offerti tramite la Piattaforma.


3.5 Dati relativi all’assistenza clienti e alle comunicazioni


Dati contenuti nelle comunicazioni intercorse con la Società tramite e-mail, ticket di supporto, chat, social media, telefono o altri canali ufficiali, inclusi contenuti delle richieste, registrazioni delle interazioni e informazioni necessarie alla gestione delle richieste di assistenza, reclami o controversie.


3.6 Dati raccolti da terze parti


Dati ricevuti da fornitori di servizi KYC/AML, provider di pagamento, partner tecnologici, blockchain analytics provider, database pubblici, registri sanzionatori, elenchi PEP e altre fonti autorizzate, nei limiti consentiti dalla normativa applicabile.


4. MODALITÀ DI RACCOLTA E TRATTAMENTO DEI DATI


I dati personali sono raccolti e trattati secondo modalità conformi ai principi di liceità, correttezza, trasparenza, minimizzazione e integrità previsti dal GDPR.


4.1 Modalità di raccolta dei dati


I dati personali sono raccolti:

  • direttamente dall’Utente, tramite registrazione, utilizzo dei servizi offerti tramite la Piattaforma o comunicazioni con la Società; 
  • automaticamente, attraverso l’utilizzo della Piattaforma, inclusi strumenti di log, cookie e sistemi di monitoraggio tecnico; 
  • tramite soggetti terzi, inclusi fornitori di servizi KYC/AML, provider di pagamento, infrastrutture blockchain analytics e altri partner tecnologici funzionali all’erogazione dei servizi offerti tramite la Piattaforma. 

4.2 Destinatari dei dati personali


I dati personali possono essere comunicati a soggetti terzi nei limiti delle finalità sopra indicate, inclusi:

  • fornitori di servizi IT, infrastrutture cloud e hosting
  • fornitori di servizi KYC/AML, antifrode e blockchain analytics
  • istituti di pagamento e intermediari finanziari; 
  • fornitori di servizi di comunicazione e customer support
  • consulenti legali, fiscali e professionali; 
  • autorità pubbliche e organismi di vigilanza, nei casi previsti dalla legge. 

I soggetti sopra indicati operano, a seconda dei casi, in qualità di responsabili del trattamento ai sensi dell’art. 28 GDPR oppure di autonomi titolari del trattamento.


4.3 Sicurezza dei dati e misure tecniche e organizzative


Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, al fine di garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura tecnologica dei Servizi relativi alle cripto-attività e dei rischi connessi all’utilizzo di infrastrutture digitali e sistemi DLT.


Le misure adottate sono finalizzate a prevenire la perdita dei dati personali, l’accesso non autorizzato, la divulgazione indebita, la modifica o la distruzione non autorizzata degli stessi.


Il trattamento dei dati può avvenire mediante strumenti elettronici e, in casi limitati, anche mediante supporti cartacei.


Il Titolare effettua periodiche valutazioni dei rischi e, ove necessario, valutazioni d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR.


In caso di violazione dei dati personali (data breach), il Titolare procede agli adempimenti previsti dagli articoli 33 e 34 GDPR, inclusa, ove richiesto, la notifica all’Autorità Garante e la comunicazione agli interessati.


5. TRASFERIMENTI DI DATI VERSO PAESI TERZI


I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo.


Tali trasferimenti avvengono nel rispetto degli articoli 44 e seguenti del GDPR e sulla base di una delle seguenti garanzie adeguate:

  • decisioni di adeguatezza adottate dalla Commissione Europea; 
  • clausole contrattuali standard (Standard Contractual Clauses – SCC) approvate dalla Commissione Europea; 
  • eventuali misure supplementari tecniche, organizzative e contrattuali adottate al fine di garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto nell’Unione Europea. 

Per ulteriori dettagli in merito ai Paesi destinatari dei trasferimenti, ai fornitori coinvolti e alle specifiche garanzie applicate, si rinvia all’Allegato 1 – Lista dei trasferimenti transfrontalieri, che costituisce parte integrante della presente Informativa.


L’interessato può ottenere copia delle garanzie adottate per il trasferimento dei dati personali scrivendo ai recapiti indicati nella presente Informativa.


6. PERIODO DI CONSERVAZIONE DEI DATI


I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti, nel rispetto dei principi di limitazione della conservazione previsti dall’art. 5, par. 1, lett. e) del GDPR.


In particolare:

  • i dati trattati per finalità contrattuali sono conservati per tutta la durata del rapporto contrattuale e, successivamente, per il periodo necessario all’adempimento degli obblighi di legge applicabili, inclusi quelli civilistici, fiscali e regolamentari, e in ogni caso per un periodo non superiore a 10 anni dalla cessazione del rapporto; 
  • i dati trattati per finalità di adempimento di obblighi normativi, inclusi quelli in materia di antiriciclaggio e prevenzione del finanziamento del terrorismo, sono conservati per il periodo previsto dalla normativa applicabile e, in ogni caso, non oltre 10 anni dalla cessazione del rapporto contrattuale, fatti salvi ulteriori obblighi di conservazione previsti dalla legge o esigenze di tutela in sede giudiziaria; 
  • i dati trattati per finalità di marketing sono conservati fino alla revoca del consenso e, in ogni caso, per un periodo non superiore a 24 mesi dalla raccolta del consenso; 
  • i dati trattati per finalità di profilazione sono conservati per un periodo non superiore a 12 mesi dalla raccolta del consenso, salvo revoca anticipata dello stesso. 

Al termine dei rispettivi periodi di conservazione, i dati personali sono cancellati, anonimizzati o resi irreversibilmente non identificabili.


I dati personali sono conservati su server ubicati all’interno dello Spazio Economico Europeo, fatti salvi eventuali trasferimenti verso Paesi terzi effettuati nel rispetto della normativa applicabile e delle garanzie di cui all’articolo 5 della presente Informativa.


7. DIRITTI DELL’INTERESSATO


L’interessato può esercitare, nei limiti e alle condizioni previste dagli articoli 15–22 del GDPR, i seguenti diritti:

  • diritto di accesso ai dati personali e alle informazioni relative al trattamento; 
  • diritto di rettifica dei dati inesatti e di integrazione dei dati incompleti; 
  • diritto alla cancellazione dei dati personali nei casi previsti dall’art. 17 GDPR; 
  • diritto alla limitazione del trattamento nei casi previsti dall’art. 18 GDPR; 
  • diritto alla portabilità dei dati, nei casi previsti dall’art. 20 GDPR, in formato strutturato, di uso comune e leggibile da dispositivo automatico; 
  • diritto di opposizione al trattamento nei casi previsti dall’art. 21 GDPR; 
  • diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; 
  • diritto a non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, nei casi previsti dall’art. 22 GDPR; 
  • diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR. 

L’esercizio dei diritti può essere limitato nei casi previsti dalla normativa applicabile, inclusi obblighi di conservazione o trattamento derivanti dalla normativa antiriciclaggio e da altri obblighi di legge.


Gli interessati possono esercitare i propri diritti scrivendo a: privacy@youhodler.it.


Il Titolare fornirà riscontro alle richieste dell’interessato senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta, prorogabile nei casi previsti dall’art. 12 GDPR.


7.1 Contatti per l’esercizio dei diritti


Per l’esercizio dei diritti o per qualsiasi informazione relativa al trattamento dei dati personali, il Cliente può contattare:


YouHodler Italy S.r.l.


Via del Commercio 32 - 00154 - Roma (RM)


E-mail: privacy@youhodler.it


PEC: youhodler@legalmail.it


ALLEGATO 1 – LISTA DEI TRASFERIMENTI TRANSFRONTALIERI

Stati membri dell’UE GDPR
- Regno Unito: Decisione di adeguatezza
- Stati Uniti d'America: Misure di sicurezza e organizzazione aggiuntive
- Svizzera: Decisione di adeguatezza
Altri destinatari dei dati personali per scopi di trattamento (Sub-processori)
AWS - Programma di Conformità; Centro GDPR; Addendum Misure Supplementari;
Irlanda
Fornitore di infrastrutture che fornisce servizi di hosting e archiviazione
Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale

Infomaniak SA

Svizzera

Fornitore di infrastrutture che fornisce servizi di hosting e archiviazione

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale

Atlassian

Paesi Bassi; USA; Australia; Regno Unito

Fornitore di infrastrutture; Gestione del servizio clienti

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale

Cloudflare.com

Fornitore di infrastrutture;

DATI ANONIMIZZATI

SumSub Ltd.

Germania

Fornitore KYC, Validazione dati, Controllo documenti, Elaborazione biometrica, Rilevamento frodi

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale; Dati raccolti per conformità con le leggi AML e/o UE; Dati raccolti per conformità con altre leggi e regolamenti applicabili

Intercom

Irlanda

Supporto account cliente e comunicazioni

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale; Dati raccolti per finalità di marketing

Twilio

USA/UE/Svizzera

Fornitore di tecnologia per le comunicazioni

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale

Applicabile SOLO se gli utenti scelgono di utilizzare SMS per 2FA

Sendgrid

USA/UE/Svizzera

Fornitore di tecnologia per le comunicazioni

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale;

Applicabile SOLO se gli utenti scelgono di utilizzare Email per 2FA

Sift

UE / USA

Strumento di analisi dati che utilizza l'intelligenza artificiale

Dati raccolti per conformità con le leggi AML e/o UE; Dati di pagamento

Elliptic

Regno Unito

Strumento di analisi dati

Dati raccolti per conformità con le leggi AML e/o UE;

Lightspark

USA

Infrastruttura DLT che abilita determinati servizi operativi

Dati essenziali per il funzionamento del servizio; Dati raccolti per conformità con le leggi AML e/o UE; dati di pagamento

Checkout

USA, Regno Unito, UE

Fornitore di servizi di pagamento

Dati raccolti per conformità con le leggi AML e/o UE; Dati di pagamento

Unlimint

UE

Fornitore di servizi di pagamento

Dati raccolti per conformità con le leggi AML e/o UE; Dati di pagamento

Volet

Canada

Fornitore di servizi di pagamento

Dati raccolti per conformità con le leggi AML e/o UE; Dati di pagamento

Intergiro

UE

Fornitore di servizi di pagamento

Dati raccolti per conformità con le leggi AML e/o UE; Dati di pagamento

Mixpanel

Regno Unito/Spagna/Singapore

Analisi del prodotto

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale; Dati raccolti per finalità di marketing

Customer.io

USA

Fornitore di tecnologia per le comunicazioni

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale; Dati raccolti per finalità di marketing

PandaDoc

USA

Piattaforma di firma digitale

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale; Dati raccolti per conformità con le leggi AML e/o UE; Dati raccolti per conformità con altre leggi e regolamenti applicabili

Docusign

Francia, Regno Unito, Italia, Germania, Paesi Bassi, Spagna

Piattaforma di firma digitale

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale; Dati raccolti per conformità con le leggi AML e/o UE; Dati raccolti per conformità con altre leggi e regolamenti applicabili

Typeform

USA, Lussemburgo

Gestione moduli

Dati raccolti per finalità di marketing

Affise

Cipro

Piattaforma di gestione marketing di affiliazione

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale con gli affiliati; Dati raccolti per finalità di marketing

Applicabile SOLO se l'utente fa parte del network di affiliati

Google Inc

Irlanda, Belgio, Germania, Svizzera, Regno Unito

Fornitore di infrastrutture che fornisce servizi di hosting e archiviazione; Comunicazioni interne

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale

Slack

USA

Comunicazioni interne

Dati essenziali per il funzionamento dei servizi e la costruzione del rapporto contrattuale

WEGLOT.COM

Utilizzato da YouHodler.com per memorizzare la lingua dell'utente e caricare automaticamente la versione del sito web nella lingua preferita

DATI ANONIMIZZATI


ALLEGATO 2 – CLAUSOLE CONTRATTUALI STANDARD PER TRASFERIMENTI INTERNAZIONALI


Le clausole contrattuali standard per il trasferimento dei dati personali verso paesi terzi in conformità con il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio sono qui incorporate per riferimento e messe a disposizione al seguente link:


https://commission.europa.eu/system/files/2021-06/1_en_annexe_acte_autonome_cp_part1_v5_0.pdf 

I moduli sono disponibili su richiesta via email a: [legal@youhodler.com]

Un’esperienza mobile all-in-one per tutti
experience for everyone

Scansiona per scaricare l’app YouHodler

GET IT ON

Download on the

GET IT ON

Download on the