Informativa Privacy Estesa GDPR

Data di efficacia: 2026-05-30
Ultimo aggiornamento: 2026-05-30

1. Titolare del Trattamento

EBIS Next Generation ID Limited è il titolare del trattamento dei dati personali elaborati tramite i suoi siti web e servizi di piattaforma, inclusi ebisbank.com, portal.ebisbank.com e ebisbaid.ebisbank.com. Indirizzo: [Indirizzo Societario], Regno Unito. Contatto: support@ebisbank.com. Registrati presso l'ICO nel Regno Unito ai sensi del UK GDPR e del Data Protection Act 2018.

2. Basi Giuridiche del Trattamento (Art. 6 UK GDPR / GDPR)

• Esecuzione del contratto (Art. 6(1)(b)) — per fornire i servizi sottoscritti (gestione account, IDSign, eVIDence, The Commeety, VIC AI).
• Obbligo legale (Art. 6(1)(c)) — verifica KYC/AML, registrazioni fiscali, conformità alla legge del Regno Unito.
• Consenso (Art. 6(1)(a)) — comunicazioni di marketing, cookie opzionali, dati speciali. Il consenso può essere revocato in qualsiasi momento.
• Interessi legittimi (Art. 6(1)(f)) — sicurezza della piattaforma, prevenzione frodi, moderazione VIC, analisi del prodotto, outreach verso lead aziendali.

3. Categorie di Dati

Dati di identità (nome, data di nascita, nazionalità, numero di documento — per EBIS AID); dati di contatto; dati tecnici (IP anonimizzato, sessioni); dati finanziari via Stripe; dati di identità digitale (EBIS ID, livello, wallet, EBU); dati dei documenti IDSign (file, firme, hash di audit, PDF firmati); dati delle comunicazioni Commeety (post, messaggi Deal Room, segnalazioni di violazione, log VIC); dati comportamentali (UTM, utilizzo funzionalità).

Non elaboriamo dati genomici o biometrici grezzi tramite questi siti. Non vengono elaborati dati di categorie speciali (Art. 9 GDPR) salvo consenso esplicito per la verifica dell'identità.

4. Diritti degli Interessati (Artt. 15–22 UK GDPR / GDPR)

Diritto di accesso, rettifica, cancellazione (nota: le tracce di audit IDSign sono soggette a conservazione legale di 7 anni), limitazione del trattamento, portabilità, opposizione, revoca del consenso, diritti relativi alle decisioni automatizzate. Per esercitarli: support@ebisbank.com — risposta entro 30 giorni. Puoi anche presentare reclamo all'ICO (ico.org.uk) o all'autorità di protezione dati del tuo Paese.

5. Responsabili del Trattamento e Sub-Responsabili

• Stripe, Inc. — Pagamenti e KYC. USA. Clausole Contrattuali Standard (SCCs). ✅ DPA in vigore.
• Supabase, Inc. — Database e autenticazione. AWS London (eu-west-2), UK. ✅ DPA firmato da EBIS il 30/05/2026 — controfirma Supabase in attesa.
• WHUK (Webhosting UK Co. Ltd) — Hosting cPanel. UK. ✅ DPA inviato — controfirma in attesa.
• Anthropic, PBC — API Claude per VIC AI. USA. SCCs. I messaggi vengono trasmessi come richieste anonime.
• LiveKit, Inc. — Infrastruttura WebRTC per eVIDence. USA/globale. SCCs.
• VM6 Networks Ltd — Hosting VPS per daemon e proxy. UK.

6. Trasferimenti Internazionali

Infrastruttura principale nel Regno Unito (Supabase AWS London ✅, WHUK ✅, VM6 ✅). Trasferimenti verso USA (Stripe, Anthropic, LiveKit) protetti da SCCs/IDTA. Non trasferiamo dati verso Paesi senza decisione di adeguatezza o garanzie appropriate.

7. Decisioni Automatizzate e Profilazione

EBIS non utilizza decisioni interamente automatizzate con effetti legali (Art. 22 GDPR). Processi automatizzati in uso senza effetti legali diretti: moderazione VIC (con possibilità di appello e revisione umana); scoring dei lead; accesso condizionato al livello EBIS AID (con revisione umana dei documenti).

8. Misure di Sicurezza (Art. 32 GDPR)

HTTPS/TLS su tutti i domini; Row-Level Security (RLS) su Supabase; restrizioni a livello di colonna (vista profiles_public — campi sensibili esclusi: recovery_phrase_hash, stripe_customer_id, wallet_address, sovereign_login_email, web2id_email, phone, address); hashing di password, OTP e token di sessione; separazione delle chiavi di ruolo; DPA con tutti i sub-responsabili; monitoraggio automatico dell'infrastruttura; audit di sicurezza regolari. In caso di violazione dei dati, notificheremo l'ICO entro 72 ore e gli interessati senza indebito ritardo (Art. 33–34 UK GDPR).

9. Periodi di Conservazione

Dati account attivo: durata + 2 anni. Tracce audit IDSign e PDF firmati: 7 anni. Registrazioni di pagamento: 7 anni. Documenti KYC/KYB: come richiesto dalla normativa AML. Log moderazione VIC: 12 mesi. Metadati eVIDence: 24 mesi.

10. Contatti e Autorità di Controllo

support@ebisbank.com — EBIS Next Generation ID Limited, [Indirizzo Societario], UK.
Hai il diritto di presentare reclamo all'ICO (ico.org.uk) o all'autorità di protezione dati competente nel tuo Paese.