Privacy policy - OpenGate WEBAPP

Informativa sulla Privacy - OpenGate WEBAPP

Last update: 31.07.2025

Nel rispetto di quanto previsto dal Regolamento Europeo per la protezione dei dati personali UE 2016/679 (GDPR), dal D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, e ove applicabile dal California Consumer Privacy Act (CCPA), la presente Privacy Policy illustra le modalità di trattamento dei dati personali effettuate tramite la Piattaforma OpenGate. Le definizioni dei termini utilizzati nella presente Privacy Policy corrispondono a quelli utilizzati nella Piattaforma OpenGate XR, consultabili a seguente link. e alle integrazioni tecniche per l'app di Mixed Reality OpenGate XR.

La presente Privacy Policy si applica a:

  • tutti i trattamenti di dati personali effettuati attraverso la WebApp OpenGate (https://app.themetagate.it), piattaforma browser-based per gestione Account Creator, caricamento Asset multimediali, configurazione Assistant AI e amministrazione Contenuti digitali, 
  • l’applicazione Meta Quest nativa per visori Meta Quest 3/3s distribuita tramite Meta App Store per creare e fruire esperienze immersive di realtà mista, e 
  • le modalità multiplayer, attraverso l’uso di Sessioni Multiplayer create dai Creator e accessibili tramite codici di accesso.

La WebApp funziona come hub centrale di connessione e gestione dati per tutte le modalità di interazione connesse, permettendo agli Utenti di autenticarsi, caricare Contenuti Digitali, scegliere Avatar standard, generare Assistant AI e trasportare Asset e configurazioni personali attraverso diverse piattaforme.

1. TITOLARE DEL TRATTAMENTO E DPO

Il Titolare del trattamento dei dati è Metagate S.r.l., P.IVA 12525640962, con sede legale in Via Giosuè Carducci 32 - 20123 Milano (MI) e sede operativa in Via Gallarate 112 - 20151 Milano (MI), Italia.

I contatti disponibili sono:

Il Titolare ha designato un Responsabile della Protezione dei Dati (DPO) ai sensi dell’art. 37 GDPR, contattabile all’indirizzo dpo@themetagate.it per qualsiasi questione relativa al trattamento dei dati personali, all’esercizio dei diritti degli Interessati e alla conformità normativa.

2. CATEGORIE DI UTENTI

La Piattaforma OpenGate distingue due categorie di utenti con livelli differenti di accesso e funzionalità:

  • gli Utenti Creator sono soggetti maggiorenni (18+) che creano un Account registrato con credenziali email e password per accedere alle funzionalità complete della Piattaforma. I Creator possono caricare Asset personalizzati, configurare Assistant AI con Knowledge Base derivate da documenti, scegliere Avatar 3D, gestire Scene Virtuali complete e creare stanze multiplayer con codici di accesso per Sessioni Multiplayer. L’accesso richiede sottoscrizione di Abbonamento gestito tramite Meta;
  • gli Utenti Consumer accedono alle Sessioni Multiplayer aperte dai Creator tramite codice stanza utilizzando esclusivamente l’Account Meta nativo del visore, senza necessità di registrazione su sistemi MetaGate. Possono utilizzare gli Asset standard forniti dalla Piattaforma in modalità freemium ma non possono accedere a cloud Asset o Avatar standard fino a registrazione come Creator mediante sottoscrizione dell’Abbonamento.

3. DATI RACCOLTI 

I dati personali vengono raccolti per fornire i servizi disponibili sulla Piattaforma OpenGate. La raccolta avviene sia in modo diretto tramite la compilazione di form di registrazione, sia in modo automatizzato durante l’utilizzo dell’Applicazione Meta Quest.

3.1 Dati conferiti direttamente dagli Utenti Creator. Durante il processo di registrazione vengono raccolti l’indirizzo email utilizzato come identificativo univoco per l’Account e per comunicazioni di servizio, la password gestita in forma crittografata tramite sistema di autenticazione sicuro, e la data di nascita per attestare il possesso dei requisiti di maggiore età. 

Vengono inoltre raccolte le preferenze espresse dall’Utente, tra cui il consenso marketing rappresentato da spunta opzionale durante registrazione per l’invio di comunicazioni promozionali (liberamente modificabile nelle impostazioni Account in qualsiasi momento), e le preferenze interfaccia, quali impostazioni personalizzate di utilizzo della WebApp (lingua, configurazioni UI).

Gli Utenti Creator possono caricare volontariamente Contenuti Digitali e che i formati e limiti sono riportati nei Termini e Condizioni. I file sono archiviati su infrastrutture cloud sicure e vengono caricati dinamicamente dall’Applicazione Quest in modo simultaneo, senza aver bisogno di tenerli locale sul dispositivo.

Per quanto riguarda la personalizzazione dell’utilizzo della Piattaforma, vengono raccolti:

  • modelli Avatar 3D selezionati, 
  • configurazioni Assistant AI comprensive di nome personalizzato, istruzioni di sistema definite dall’Utente e regole di sicurezza predefinite automaticamente per prevenire contenuti inappropriati, 
  • Knowledge Base derivate da documenti e informazioni caricati dall’Utente e processate tramite servizi AI per creare base di conoscenza specifica dell’Assistant, 
  • conversazioni rappresentate dal testo delle interazioni con Assistant AI soggetto a conservazioni automatica (le conversazioni vocali vengono prima trascritte e poi inviate come testo), e 
  • memoria conversazionale, come funzionalità opzionale disattivata di default in Sessioni Multiplayer e attivabile solo su consenso esplicito dell’Utente Creator tramite una spunta dedicata nei settaggi.

Per garantire persistenza delle creazioni tra sessioni, vengono salvati elementi relativi a:

  • Scene Virtuali comprendenti posizioni, rotazioni e scale degli oggetti negli ambienti virtuali, 
  • impostazioni audio personalizzate (volumi, effetti sonori), 
  • filtri visivi applicati alle Scene, 
  • configurazioni per il tracciamento delle mani e microfono quando espressamente salvate dall’Utente, 
  • nomi Scene e riferimenti ai file per caricamento in tempo reale, 
  • indice materiali e texture selezionati per cornici digitali, 
  • lista completa degli oggetti creati con relativi metadati (indice, URL, nome, tipo file, stato attivo, proprietà 3D, scala, posizione, rotazione).

Il sistema consente inoltre il collegamento di wallet Web3 (MetaMask, WalletConnect) per la sola visualizzazione di Asset NFT posseduti. Non viene effettuato alcun accesso alle chiavi private degli utenti, non si utilizza alcun portafoglio per operazioni dirette, né vengono eseguiti smart contract. I dati sono utilizzati esclusivamente per recuperare e visualizzare NFT posseduti dall’Utente attraverso la Piattaforma. 

Inoltre, è possibile connettere un account Google o Facebook per login OAuth; per le relative policy sulla privacy si rimanda alle informative esterne di tali servizi.

3.2 Dati raccolti automaticamente da Meta Quest. Durante l’utilizzo dell’Applicazione nativa per visori Meta Quest, vengono raccolti automaticamente tramite Meta Platforms dati soggetti alla privacy policy di Meta, comprendenti: 

  • Meta Account ID, 
  • display name e username, 
  • immagine profilo e Avatar Meta standard, 
  • age group per verifica automatica maggiore età, e 
  • permessi obbligatori richiesti tramite sistema nativo Meta al primo avvio (microfono per interazioni vocali con Assistant AI, audio spaziale per esperienze immersive tridimensionali, mappatura del visore per posizionamento accurato oggetti virtuali nello spazio fisico).

Questi dati sono gestiti direttamente da Meta Platforms e MetaGate vi accede tramite API native Meta esclusivamente per le finalità di erogazione del servizio descritte nella presente Privacy Policy.

3.3 Dati elaborati localmente sul dispositivo. Il tracking delle mani per abilitare interazioni naturali con oggetti 2D e 3D viene elaborato completamente in locale sul dispositivo Meta Quest. Nessun dato biometrico delle mani viene trasmesso ai server MetaGate o archiviato permanentemente.

I dati di mappatura dello spazio fisico circostante vengono utilizzati dal visore per posizionare correttamente gli oggetti virtuali, ma rimangono confinati nell’ecosistema locale Meta senza trasmissione a server esterni MetaGate.

3.4 Dati sessioni multiplayer. Durante le Sessioni Multiplayer in tempo reale vengono raccolti dati di stanze comprendenti posizioni degli Utenti nello spazio virtuale condiviso, interazioni in tempo reale con oggetti virtuali (spostamenti, rotazioni, attivazioni) e stato delle Scene condivise durante sessioni attive. Le modifiche fatte nella scena durante una sessione multiplayer sono temporanee, a meno che non vengano salvate nel sistema. 

3.5 Cookie e dati di navigazione. La WebApp OpenGate utilizza tecnologie di storage del browser per garantire il corretto funzionamento del servizio e l’autenticazione sicura degli Utenti Creator.

I cookie sono piccoli file di testo che i siti web visitati inviano al terminale dell’Utente dove vengono memorizzati per essere ritrasmessi agli stessi siti alla successiva visita. La WebApp https://app.themetagate.it non imposta cookie HTTP proprietari per il funzionamento principale del servizio, utilizzando invece Web Storage API (localStorage) per la gestione delle sessioni autenticate. Non vengono utilizzati cookie di profilazione o tracciamento per finalità pubblicitarie o analytics.

La Piattaforma utilizza esclusivamente localStorage del browser per gestione autenticazione e sessioni tramite Supabase, memorizzando token di sessione crittografati e codici di verifica OAuth con durata variabile fino a logout o revoca manuale (base giuridica Art. 6.1.b GDPR - esecuzione contratto). Il database Supabase è ospitato su una infrastruttura cloud europea, in assenza di trasferimenti dati extra-UE per le funzioni di autenticazione.

La Piattaforma integra, inoltre, servizi terze parti che potrebbero installare propri cookie tecnici necessari: 

  • Supabase e i suoi fornitori CDN (incluso Cloudflare) per sicurezza, performance e protezione da attacchi automatizzati; 

  • Google Sign-In per autenticazione OAuth 2.0 qualora l’Utente scelga questa modalità di login su webapp; 

Eventuali trasferimenti dati verso fornitori extra-UE avvengono nel rispetto delle garanzie previste dal Capo V GDPR.

Poiché la WebApp utilizza esclusivamente storage tecnici strettamente necessari per funzionamento servizio senza cookie analytics o marketing, non è richiesto consenso preventivo ai sensi dell’Art. 122 comma 1 del Codice Privacy italiano. Gli Utenti vengono informati tramite banner visualizzato al primo accesso. La cancellazione manuale del localStorage tramite impostazioni browser comporterà logout automatico e necessità di nuova autenticazione.

3.6 Dati di navigazione e analytics. Oltre ai dati personali conferiti direttamente dagli Utenti, in fase di connessione alla WebApp i sistemi informatici acquisiscono automaticamente tramite il browser web ulteriori informazioni la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Tali informazioni comprendono indirizzo IP, tipo e versione del browser utilizzato, sistema operativo del dispositivo, parametri del dispositivo (risoluzione schermo, lingua impostata), data e orario di visita delle pagine, pagine visitate e percorsi di navigazione, e pagina di provenienza.

Vengono inoltre raccolti dati analytics completamente anonimizzati sia dalla WebApp che dall’Applicazione Quest, contenenti metriche aggregate su tempo di sessione, utilizzo Asset per tipologia e performance dell’interfaccia Utente, senza alcun riferimento identificativo degli Utenti.

Per garantire la sicurezza della Piattaforma e consentire l’individuazione tempestiva di tentativi di accesso non autorizzato o attività malevole, vengono registrati log tecnici relativi a eventi di autenticazione (login riusciti e tentativi falliti), errori di sistema e malfunzionamenti applicativi, accessi amministrativi al backend e operazioni critiche sui dati. Questi log possono includere indirizzi IP, timestamp, identificativi Utente e azioni compiute. La conservazione è limitata a quanto necessario per finalità di sicurezza e debugging.

3.7 Dati NON raccolti. MetaGate non raccoglie dati biometrici quali impronte digitali, riconoscimento facciale, scansioni dell’iride o voiceprint per identificazione. Il tracciamento delle mani è elaborato localmente su dispositivo senza trasmissione server.

La Piattaforma non è progettata per raccogliere intenzionalmente dati relativi a origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati relativi alla salute o alla vita sessuale. Gli Utenti sono invitati a non inserire volontariamente tali informazioni.

OpenGate è destinato esclusivamente a Utenti maggiorenni; pertanto non vengono raccolti consapevolmente dati di persone di età inferiore a 18 anni. Se un genitore o tutore ritiene che un minore abbia utilizzato il servizio, può contattare dpo@themetagate.it per richiedere la rimozione dei dati.

4. FINALITÀ DEL TRATTAMENTO, BASI GIURIDICHE E CONSERVAZIONE

Il trattamento dei Dati avviene per le finalità, basi giuridiche e tempi di conservazione di seguito indicati ed è improntato ai principi di correttezza, liceità, trasparenza, minimizzazione e tutela della riservatezza e dei diritti dell’Interessato in conformità con il GDPR.


FINALITÀ

BASE GIURIDICA

CONSERVAZIONE

Fornitura del servizio - Erogazione della Piattaforma OpenGate in modalità freemium e premium, comprensiva di gestione Account, autenticazione, archiviazione e utilizzo Asset caricati, persistenza Scene Virtuali, distribuzione Applicazione Meta Quest e sincronizzazione bidirezionale WebApp-visore.

Esecuzione del contratto (Art. 6.1.b GDPR) - Il trattamento è necessario per fornire i servizi richiesti dall’Utente.

36 mesi dall’ultima attività Utente per dati del database principale (profilo, Asset, configurazioni AI). 24 mesi dall’inattività per dati Scene Virtuali salvati su Unity Cloud Save. Cancellazione anticipata disponibile autonomamente tramite le impostazioni Account.

Personalizzazione base - Configurazione Assistant AI con Knowledge Base da documenti, system instructions personalizzate, scelta Avatar 3D (fino a 6), personalizzazione Scene Virtuali secondo preferenze Utente.

Esecuzione del contratto (Art. 6.1.b GDPR) - Funzionalità parte integrante del servizio contrattualmente pattuito.

36 mesi dall’ultima attività. 24 mesi per dati Scene. Reset istantaneo Avatar disponibile in qualsiasi momento.

Personalizzazione avanzata (Memoria AI) - Attivazione memoria persistente Assistant AI per conversazioni continuative cross-session con retention di contesto precedente.

Consenso esplicito dell’Utente (Art. 6.1.a GDPR) - Funzionalità opzionale disattivata di default in multiplayer, attivabile solo con flag dedicato.

60 giorni dall’inattività del thread (cancellazione automatica fornitore AI). Disattivazione memoria e reset istantaneo disponibili in qualsiasi momento tramite le impostazioni.

Funzionalità social e multiplayer - Sessioni Multiplayer sincronizzate in tempo reale che permettono collaborazione simultanea di più Utenti negli stessi spazi virtuali, condivisione creazioni, interazioni tramite Avatar standard.

Esecuzione del contratto (Art. 6.1.b GDPR) - Funzionalità parte integrante del servizio richiesto.

Eliminazione automatica immediata a fine sessione per dati runtime multiplayer. Nessuna conservazione permanente.

Interazioni vocali - Abilitare interazioni vocali con Assistant AI tramite trascrizione speech-to-text e sintesi text-to-speech per risposte audio, funzionalità audio spaziale immersivo nell’ambiente virtuale.

Consenso (Art. 6.1.a GDPR) - Permission obbligatorie richieste tramite sistema nativo Meta per accedere all’Applicazione. Senza queste permission l’app non è accessibile.

Transito senza conservazione permanente lato servizio trascrizione. Conversazioni testuali risultanti soggette a retention standard (60 giorni inattività thread).

Miglioramento del servizio - Ottimizzazione prestazioni tecniche, stabilità Piattaforma, user experience attraverso raccolta e analisi dati analytics completamente anonimizzati.

Legittimo interesse del titolare (Art. 6.1.f GDPR) - Interesse bilanciato con diritti Utente. Dati completamente anonimi e aggregati.

Nessun limite temporale specifico (impossibilità reidentificazione). Dati conservati in formato aggregato anonimo.

Sicurezza e protezione del sistema - Tutela integrità Piattaforma, prevenzione abusi e attività malevole, protezione dati Utenti tramite logging eventi critici, monitoraggio accessi amministrativi, rilevamento anomalie.

Legittimo interesse del titolare (Art. 6.1.f GDPR) - Necessario per sicurezza del servizio e degli Utenti.

12-24 mesi per log tecnici secondo necessità sicurezza e best practices. Conservazione prolungabile in caso di indagini su incidenti di sicurezza.

Marketing e comunicazioni promozionali - Invio comunicazioni marketing su nuove funzionalità, aggiornamenti Piattaforma, offerte speciali, eventi, novità servizi MetaGate tramite email.

Consenso (Art. 6.1.a GDPR) - Spunta opzionale durante registrazione, liberamente modificabile dalle impostazioni Account. Revoca possibile in qualsiasi momento tramite link unsubscribe nelle email.

Fino alla revoca del consenso da parte dell’Interessato o, in ogni caso, in presenza di un periodo prolungato di inattività del profilo.

Obblighi di legge - Adempiere obblighi previsti da leggi, regolamenti, normativa comunitaria, obblighi fiscali, contabili, tributari ai quali è soggetto il Titolare.

Adempimento di un obbligo legale (Art. 6.1.c GDPR).

Secondo termini previsti dalle specifiche normative applicabili, tipicamente 10 anni per obblighi fiscali e contabili.


Il rifiuto dell’Interessato a fornire il proprio consenso al trattamento dei dati personali per finalità di marketing comporterà la sola impossibilità per il Titolare di inviare comunicazioni promozionali, ma non avrà effetto sull’accesso ai servizi principali della Piattaforma.

5. SICUREZZA DEI DATI

Per assicurare l’integrità e la sicurezza dei dati personali degli Utenti, Metagate adotta rigorose misure tecniche e organizzative in conformità all’art. 32 GDPR, appropriate al livello di rischio valutato.

Il Titolare implementa misure tecniche di sicurezza che comprendono crittografia avanzata per tutte le comunicazioni tra WebApp, Applicazione Meta Quest e servizi cloud backend, garantendo cifratura dei dati in transito e a riposo. 

Il monitoraggio continuo della sicurezza avviene attraverso logging di eventi critici, alerting automatico per rilevamento real-time di tentativi di accesso non autorizzato e anomalie, dashboard di monitoraggio stato servizi e sistemi di detection integrati nei servizi cloud. I Contenuti caricati sono protetti attraverso sistemi di scansione automatica, archiviazione e caricamento in runtime come rendering (non esecuzione diretta) e isolamento delle sessioni Utente.

L’hosting e storage dei dati avvengono presso fornitori enterprise selezionati per le loro garanzie di sicurezza certificate da standard internazionali (ISO 27001, SOC 2 Type II, certificazioni equivalenti). Tutti i fornitori sono vincolati contrattualmente da Data Processing Agreements (DPA) ai sensi dell’art. 28 GDPR con definizione di istruzioni, garanzie di sicurezza, procedure operative e obblighi di notifica incidenti.

Per ragioni di sicurezza, i dettagli tecnici specifici delle misure implementate (protocolli crittografici, configurazioni di sicurezza, architetture di rete, procedure operative dettagliate) sono disponibili su richiesta scritta a dpo@themetagate.it per Utenti che necessitino di approfondimenti specifici per valutazioni di conformità o audit di sicurezza.

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli Interessati, MetaGate notifica all’Autorità Garante competente (Garante Privacy italiano) entro 72 ore dalla scoperta della violazione in conformità all’art. 33 GDPR, comunica agli Interessati coinvolti senza indebito ritardo se la violazione presenta un rischio elevato per i loro diritti e libertà (art. 34 GDPR), documenta tutti gli incidenti di sicurezza nel registro delle violazioni mantenuto ai sensi del GDPR e conduce indagini interne per determinare cause, impatti e azioni correttive necessarie.

6. CONSERVAZIONE DEI DATI

I dati trattati verranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati raccolti (“principio di limitazione della conservazione” ex art. 5.1.e GDPR), secondo i periodi indicati nella tabella delle finalità.

I principali periodi di conservazione prevedono:

  • dati Account e Asset: 36 mesi dall’ultima attività Utente;

  • dati Scene Virtuali (Unity Cloud Save): 24 mesi dall’inattività;

  • conversazioni AI: 60 giorni dall’inattività del thread (cancellazione automatica);

  • dati multiplayer: eliminazione automatica immediata a fine sessione;

  • Avatar standard: controllo completo Utente con reset istantaneo disponibile;

  • analytics anonimi: nessun limite (impossibilità reidentificazione);

  • log tecnici sicurezza: 12-24 mesi secondo necessità operative.

Tuttavia, i Dati potranno essere trattati per un termine superiore a quello riportato in tabella ove intervenga un atto interruttivo o sospensivo della prescrizione che giustifichi il prolungamento della conservazione del dato, ovvero vengano utilizzati per accertare, esercitare o difendere un diritto del Titolare in sede giudiziaria.

La verifica sulla obsolescenza dei dati conservati viene effettuata periodicamente tramite processi automatizzati e review manuali. Al termine del periodo di conservazione i dati personali saranno cancellati definitivamente e irreversibilmente, oppure resi completamente anonimi mediante tecniche irreversibili di anonimizzazione.

Gli Utenti Creator possono in qualsiasi momento richiedere cancellazione anticipata dei propri dati tramite funzionalità accessibili nelle impostazioni Account della WebApp (pulsante “Delete Account” disponibile nella sezione My Data). Per richieste specifiche gli Utenti possono contattare dpo@themetagate.it.

7. CATEGORIE DI SOGGETTI CUI POSSONO ESSERE COMUNICATI I DATI

I Dati potranno essere comunicati per le finalità sopra descritte alle seguenti categorie di soggetti.

  • Dipendenti e collaboratori di MetaGate S.r.l., nella loro qualità di soggetti autorizzati al trattamento ai sensi dell’art. 29 GDPR, agiscono sulla base di specifiche istruzioni ricevute in ordine alle finalità e modalità di trattamento dei dati. Il personale autorizzato comprende team tecnico sviluppo e manutenzione Piattaforma, personale amministrativo per gestione Abbonamenti e supporto Utenti, e personale customer care per assistenza via email. Tutti i soggetti autorizzati sono vincolati da obblighi di riservatezza e hanno accesso esclusivamente ai dati strettamente necessari per svolgere le proprie mansioni (principio del “need to know”).
  • MetaGate si avvale di società terze che forniscono servizi essenziali in outsourcing. Questi fornitori trattano dati personali in qualità di Responsabili del trattamento ai sensi dell’art. 28 GDPR e operano esclusivamente sulla base di istruzioni documentate del Titolare. Le principali categorie di servizi forniti da questi Responsabili comprendono servizi cloud per database e storage, intelligenza artificiale conversazionale, persistenza delle Scene Virtuali, networking multiplayer, integrazione con visori Meta Quest, trascrizione e sintesi vocale, analytics aggregati e gestione degli Abbonamenti. Ai Responsabili del trattamento sono imposte le stesse garanzie di sicurezza garantite dal Titolare tramite Data Processing Agreements (DPA) che definiscono istruzioni specifiche, misure di sicurezza tecniche e organizzative, obblighi di notifica incidenti, procedure audit e clausole per trasferimenti extra-UE.

L’elenco completo ed aggiornato dei Responsabili del trattamento, comprensivo di denominazioni sociali, localizzazioni server, garanzie specifiche di sicurezza, dettagli sui Data Processing Agreements e sub-responsabili utilizzati, è disponibile su richiesta scritta a dpo@themetagate.it per Utenti che necessitino di questa informazione per valutazioni di conformità o audit interni.

  • I dati possono essere comunicati a Organi di vigilanza, Autorità giudiziarie, Forze dell’ordine, Autorità Garante per la Protezione dei Dati Personali e Autorità fiscali e tributarie nei casi previsti dalla normativa vigente o su richiesta legittima per adempimento obblighi di legge o per accertamento reati.
  • Eventuali terze parti espressamente indicate all’Utente al momento della raccolta del consenso specifico per condivisione dati (attualmente non previste) potrebbero ricevere comunicazione dei Dati.

MetaGate non vende, cede, noleggia o commercia in alcun modo i dati personali degli Utenti a terze parti per finalità commerciali, pubblicitarie o di marketing diretto. Ai sensi del California CCPA, MetaGate dichiara che nessuna categoria di Personal Information viene venduta. 

8. TRASFERIMENTO DEI DATI PERSONALI EXTRA-UE

I Dati sono trattati prevalentemente presso server localizzati all’interno dell’Unione Europea. Tuttavia, alcuni dei servizi cloud utilizzati dalla Piattaforma possono comportare trasferimenti di dati personali verso paesi terzi al di fuori dello Spazio Economico Europeo, in particolare verso Stati Uniti d’America (alcuni fornitori di servizi AI, servizi cloud infrastructure, piattaforme tecnologiche) e altri paesi terzi (fornitori con infrastrutture globali distribuite possono comportare trasferimenti verso regioni extra-UE secondo configurazioni tecniche).

Per tutti i trasferimenti extra-UE, il Titolare assicura l’adozione di garanzie appropriate al fine di garantire la totale protezione dei dati personali in conformità al Capo V del GDPR, attraverso Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione 2021/914 che impongono ai fornitori extra-UE obblighi di protezione equivalenti al GDPR, EU-US Data Privacy Framework (DPF) per trasferimenti verso fornitori USA certificati nel framework che fornisce livello di protezione riconosciuto adeguato dalla Commissione Europea, e Decisioni di adeguatezza per trasferimenti verso paesi riconosciuti dalla Commissione Europea come aventi livello di protezione adeguato.

L’elenco dettagliato dei paesi verso cui avvengono trasferimenti, le garanzie specifiche per ciascun fornitore e la documentazione contrattuale rilevante sono disponibili su richiesta a dpo@themetagate.it.

9. UTILIZZO DI SERVIZI DI INTELLIGENZA ARTIFICIALE

La Piattaforma OpenGate integra Assistant conversazionali basati su modelli di linguaggio di grandi dimensioni (Large Language Models, LLM) per offrire esperienze AI completamente personalizzabili agli Utenti. I servizi di intelligenza artificiale sono forniti da società specializzate che agiscono come Responsabili del trattamento ai sensi dell’art. 28 GDPR per conto di MetaGate.

Quando gli Utenti Creator utilizzano attivamente le funzionalità AI, vengono trasmessi ai fornitori specializzati esclusivamente input testuali digitati durante le conversazioni, trascrizioni di input vocali, documenti caricati per creare Knowledge Base personalizzate, istruzioni per determinare il comportamento dell’Assistant e regole di sicurezza applicate automaticamente. MetaGate non trasmette identificativi personali quali nome, cognome, email o indirizzo IP, salvo che l’Utente li includa volontariamente nel testo delle conversazioni.

I dati vengono elaborati esclusivamente per fornire risposte conversazionali in tempo reale, interrogare la Knowledge Base personalizzata, mantenere coerenza durante la sessione e abilitare la memoria cross-session se esplicitamente attivata dall’Utente.

Tutti i dati sono trasmessi tramite connessioni crittografate e i fornitori AI sono contrattualmente vincolati a non utilizzare i dati per addestrare o migliorare i propri modelli, né a rivenderli o condividerli. Le conversazioni vengono cancellate automaticamente dopo 60 giorni di inattività e MetaGate implementa procedure di cancellazione manuale su richiesta.

Gli Utenti mantengono pieno controllo attraverso la possibilità di attivare la memoria conversazionale (disattivata di default), cancellare completamente la cronologia in qualsiasi momento o disattivare completamente le funzionalità AI. Ogni Assistant AI include automaticamente regole di sicurezza non modificabili progettate per prevenire manipolazioni del comportamento, bloccare contenuti inappropriati e mantenere coerenza con le istruzioni originali.

Ai sensi dell’AI Act (Regolamento UE 2024/1689), MetaGate agisce come deployer utilizzando sistemi AI sviluppati da terzi senza modifiche sostanziali, rispettando gli obblighi di trasparenza, formazione del personale e uso conforme. Gli Utenti vengono informati sull’utilizzo di tecnologie AI attraverso la presente Privacy Policy, descrizioni funzionalità nella WebApp durante la configurazione ed etichette visibili nell’interfaccia conversazionale.

10. DIRITTI DEGLI INTERESSATI

Ai sensi degli artt. 15 e ss. del GDPR e, ove applicabile, del CCPA, gli Utenti hanno i seguenti diritti:

  • Gli Interessati possono ottenere dal Titolare conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, accedere ai dati personali e alle relative informazioni. Gli Utenti Creator possono visualizzare in tempo reale tutti i propri dati tramite dashboard Utente accessibile dalla WebApp OpenGate (sezione “My Data”). Per richiedere una copia completa ed esportabile dei dati trattati, inviare richiesta a dpo@themetagate.it.
  • Gli Interessati possono ottenere dal Titolare la rettifica dei dati personali inesatti e l’integrazione dei dati personali incompleti. Gli Utenti possono modificare direttamente tutte le informazioni del profilo tramite Account settings della WebApp. Per rettifiche che richiedono assistenza tecnica, contattare dpo@themetagate.it.
  • Gli Interessati possono ottenere dal Titolare la cancellazione dei dati personali quando ricorrono le condizioni previste dall’art. 17 GDPR. Gli Utenti possono procedere tramite cancellazione autonoma utilizzando le funzionalità self-service dell’Account settings (pulsante “Delete Account” nella sezione My Data) per eliminare singoli Asset, configurazioni o l’intero Account Creator, oppure per assistenza contattare dpo@themetagate.it. La cancellazione potrebbe non essere possibile se la conservazione è necessaria per adempiere obblighi legali o per accertare, esercitare o difendere un diritto in sede giudiziaria.
  • Gli Interessati possono ottenere dal Titolare la limitazione del trattamento nei casi previsti dall’art. 18 GDPR. Gli Utenti possono disattivare granularmente specifiche funzionalità della Piattaforma tramite impostazioni avanzate Account. Per richieste formali di limitazione contattare dpo@themetagate.it.
  • Gli Interessati possono opporsi in qualsiasi momento al trattamento dei propri dati personali basato su legittimo interesse del Titolare. Per il marketing è possibile revocare consenso tramite link “unsubscribe” presente nelle email o tramite Account settings WebApp (checkbox “I consent to receive marketing communications”). Per altri trattamenti inviare richiesta motivata a dpo@themetagate.it.
  • Gli Interessati possono ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti al Titolare, e trasmetterli ad un altro titolare del trattamento. Richiedere export dei dati via email a dpo@themetagate.it. Metagate fornirà un pacchetto completo in formato portabile entro 30 giorni dalla richiesta.

Gli Interessati possono revocare in qualsiasi momento i consensi prestati per trattamenti basati su Art. 6.1.a GDPR attraverso i seguenti canali:

  • marketing: link unsubscribe nelle email o Account settings WebApp;
  • memoria AI: disattivazione tramite flag dedicato nelle impostazioni dell’Assistant;
  • permission dispositivo: gestite tramite system settings Meta Quest;
  • wallet: disconnessione tramite pulsanti “Cancel” nella sezione Wallet Connected.

Gli Interessati possono inoltre proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali qualora ritengano che il trattamento avvenga in violazione del GDPR, contattando l’Autorità Garante italiana. 

Gli Utenti residenti in California hanno diritti aggiuntivi ai sensi del California Consumer Privacy Act:

  • Right to Know: conoscere quali categorie di personal information sono raccolte, fonti, finalità;
  • Right to Delete: richiedere cancellazione dei personal information;
  • Right to Correct: richiedere correzione di personal information inesatti;
  • Right to Opt-Out of Sale: Metagate non vende personal information;
  • Right to Non-Discrimination: non subire discriminazioni per aver esercitato diritti CCPA.

Per tutte le richieste di esercizio dei diritti, gli Utenti possono inviare email a dpo@themetagate.it oppure inviare comunicazione a mezzo posta a MetaGate S.r.l., Via Gallarate 112 - 20151 Milano (MI), Italia.

11. MODIFICHE ALLA PRESENTE INFORMATIVA

Metagate si riserva il diritto di modificare o aggiornare la presente Privacy Policy in qualsiasi momento per adeguarla a evoluzioni normative, modifiche tecniche della Piattaforma o variazioni nei servizi offerti.

L’uso continuativo del servizio dopo la pubblicazione delle modifiche implica accettazione della nuova versione della Privacy Policy. 

La presente Privacy Policy è disponibile in lingua italiana e in lingua inglese.
In caso di discrepanze, difformità interpretative o conflitti tra le due versioni, prevale la versione redatta in lingua italiana.