VERSIONE 1.0 — MARZO 2026

PRIVACY POLICY

Come Mundia raccoglie, utilizza e protegge i tuoi dati personali.

01

Titolare del Trattamento

L'applicazione Mundia è sviluppata e gestita in modo indipendente.

Per richieste relative alla privacy: it.mundia.travel@gmail.com

02

Dati Raccolti

2.1 Dati di Registrazione (Account Base)

Raccolti al momento della creazione dell'account:

DatoObbligatorioScopo
EmailIdentificazione account, verifica via OTP, reset password
PasswordAutenticazione (hash server-side, mai in chiaro)
UsernameIdentificatore pubblico univoco

Raccolti dopo verifica email (opzionali, aggiornabili):

DatoScopo
Nome visualizzatoPersonalizzazione profilo
Foto profiloIdentità visiva, caricata su CDN
BioPresentazione pubblica
Città / LocationPersonalizzazione contenuti
Paesi visitatiFunzionalità passport, gamification

2.2 Dati Profilo Business

Per gli utenti con ruolo business:

DatoScopo
Nome attivitàProfilo pubblico business
DescrizioneVisibilità pubblica
CategoriaRicerca e filtri
Indirizzo + Coordinate GPSDistanza utenti, mappa
LogoIdentità visiva
Menù (categorie e voci)Funzionalità vetrina
TagRicerca e filtri

2.3 Dati di Geolocalizzazione

Quando viene raccolta la posizione:

  • Diario di viaggio: coordinate GPS opzionali per ogni voce del diario (manuale o da EXIF foto)
  • Guide: coordinate salvate nelle singole entry
  • World Missions: latitudine/longitudine inviata al server per validare il claim (entro il raggio della missione)
  • Business: coordinate per ricerca business nelle vicinanze
  • Home City: coordinate della città di residenza

Modalità: solo su richiesta esplicita dell'utente — no background tracking.

Estrazione EXIF: l'app può estrarre coordinate GPS dai metadati EXIF delle foto selezionate, con reverse geocoding per ottenere indirizzo/città. L'utente può modificare o rimuovere la location prima del salvataggio.

Permessi richiesti:

  • ACCESS_FINE_LOCATION — Android (GPS preciso)
  • ACCESS_COARSE_LOCATION — Android (rete)
  • NSLocationWhenInUseUsageDescription — iOS

2.4 Foto e Media

  • Foto profilo: caricata dall'utente, compressa e salvata su CDN
  • Foto diary/guide: caricate dall'utente, compresse prima dell'upload
  • Galleria: accesso in lettura per selezione foto
  • Salvataggio in galleria: solo per il download di guide esportate come video
  • Microfono: accesso per registrazione audio in travel diary

Le immagini vengono compresse localmente prima dell'invio.

2.5 Contenuti Generati dall'Utente (UGC)

TipoContenuto
Diari di viaggioTesto, immagini, posizione, data/ora, costi (valuta + importo), collaboratori
Guide di viaggioTitolo, testo, immagini/video, metadati geografici
Commenti / Like / SalvataggiInterazioni con contenuti altrui
Feedback BusinessValutazione (liked: boolean)
Report utenti/contenutiMotivo (spam, molestie, inappropriato, profilo falso) + descrizione

2.6 Dati di Gamification

Raccolti automaticamente sul server in base all'attività:

  • Livello e punti XP
  • Paesi visitati
  • Diari creati, guide create
  • Achievement sbloccati (con timestamp)
  • Missioni giornaliere completate
  • Sticker collezionati

2.7 Token e Autenticazione

DatoStorageScopo
JWT Access TokenSecureStore (iOS/Android)Autenticazione API
Refresh Token (per account)SecureStoreRinnovo sessione
Lista account attiviSecureStore (chiave cifrata)Multi-account switching
ID account attivoSecureStoreSessione corrente

Su web (fallback): AsyncStorage (non crittografato).

2.8 Notifiche Push

  • Token notifiche Expo — salvato localmente e inviato al server al login
  • Token per account — per tracking multi-account
  • Lingua del dispositivo — per localizzare le notifiche
  • I token vengono eliminati dal server al logout

2.9 Dati di Utilizzo

Raccolti internamente (no SDK analytics di terze parti):

EventoDati inviati
Visualizzazione guidaDurata (secondi), tipo dispositivo (mobile/tablet), piattaforma (ios/android/web)
Claim missioneLatitudine, longitudine, metodo (gps/photo)

Non sono presenti: Firebase Analytics, Amplitude, Mixpanel, Sentry o altre librerie di tracking di terze parti nel frontend.

2.10 Dati di Terze Parti (Social Login)

  • Google Sign-In: idToken Google inviato al backend per verifica — nessun dato Google aggiuntivo conservato
  • Apple Sign-In: idToken Apple + fullName (solo al primo accesso) inviati al backend — nessun dato Apple aggiuntivo conservato
03

Finalità del Trattamento

FinalitàBase GiuridicaDati Coinvolti
Creazione e gestione accountEsecuzione contrattoEmail, username, password
Autenticazione e sicurezza sessioneInteresse legittimoJWT, refresh token
Personalizzazione dell'esperienzaEsecuzione contrattoProfilo, preferenze
Funzionalità travel diaryEsecuzione contrattoTesto, foto, posizione, data
Funzionalità guide di viaggioEsecuzione contrattoTesto, foto, posizione
Gamification e missioniEsecuzione contrattoPosizione, attività, XP
Notifiche pushConsensoPush token, lingua
Moderazione contenutiInteresse legittimo (sicurezza)UGC, report utenti
Ricerca business di prossimitàEsecuzione contrattoPosizione istantanea
Analisi interna utilizzo guideInteresse legittimoView duration, device type
Profilo business e vetrinaEsecuzione contrattoDati business
04

Condivisione dei Dati

4.1 Dati Pubblici (visibili ad altri utenti)

  • Username, nome visualizzato, foto profilo, bio, location
  • Guide pubblicate
  • Paesi visitati (passport)
  • Profilo business (nome, descrizione, categoria, menù, posizione)

4.2 Dati Condivisi con Collaboratori

  • Contenuto diari condivisi (su invito esplicito dell'utente)
  • Inviti tramite email

4.3 Fornitori di Servizi Esterni

FornitoreServizioDati Trasmessi
Google Cloud (CDN)Hosting immaginiFoto/video caricati
Google Maps APIMappe e geocodingPosizione, query di ricerca
Google (OAuth)Sign-InidToken (verifica)
Apple (OAuth)Sign-InidToken, fullName (verifica)
Expo (Notifiche)Push notification routingPush token, contenuto notifica

4.4 Nessuna Vendita di Dati

I dati personali degli utenti non vengono venduti a terze parti.

05

Conservazione dei Dati

Tipo di DatoDurata Conservazione
Account e profiloFino all'eliminazione account
Diari e guideFino all'eliminazione dell'utente o del contenuto
JWT Access TokenBreve durata (scade, rinnovato via refresh token)
Refresh TokenFino al logout esplicito o revoca
Push tokenFino al logout o cambio dispositivo
Log di moderazioneDefinito dalla politica server
06

Diritti degli Utenti (GDPR)

Gli utenti hanno diritto a:

DirittoCome esercitarlo
AccessoProfilo completo disponibile nelle impostazioni dell'app
RettificaModifica profilo tramite impostazioni dell'app
CancellazioneElimina account nelle impostazioni — rimuove account e dati
PortabilitàRichiesta via email al titolare
OpposizioneRichiesta via email al titolare
Revoca consenso notificheDisattivazione nelle impostazioni dispositivo; o logout per rimuovere il push token

Per esercitare i diritti: it.mundia.travel@gmail.com

07

Sicurezza

Misure implementate:

  • JWT + Refresh Token Rotation: Token breve durata con rinnovo automatico sicuro
  • SecureStore: Credenziali e token cifrati (iOS Keychain / Android Keystore)
  • Token Revocation: Il logout invalida il refresh token sul server
  • Verifica email via OTP: Prevenzione account fake
  • Ban management: Flag lato app per prevenire login con account bannati
  • Compressione pre-upload: Riduzione peso immagini prima della trasmissione
  • HTTPS: Comunicazione API esclusivamente su TLS
Nota per utenti web: su piattaforma web il fallback è AsyncStorage (non crittografato). Si raccomanda l'uso dell'app mobile per la massima sicurezza dei dati di autenticazione.
08

Minori

I requisiti di età sono definiti dalle politiche di Apple App Store e Google Play Store. Non raccogliamo consapevolmente dati di minori. Se viene identificato un account di minore, sarà eliminato.

09

Permessi Richiesti — Riepilogo

iOS

PermessoMotivazione
NSLocationWhenInUseUsageDescriptionPosizione per diari, guide, missioni e business di prossimità
NSMicrophoneUsageDescriptionRegistrazione audio per travel diary
NSPhotoLibraryAddUsageDescriptionSalvataggio guide esportate in galleria
NSPhotoLibraryUsageDescriptionSelezione foto per profilo, diari, guide
NSCameraUsageDescriptionFoto per diari e guide
NSFaceIDUsageDescriptionProtezione dati con Face ID (SecureStore)

Android

PermessoMotivazione
ACCESS_FINE_LOCATIONGPS preciso per missioni e geotag
ACCESS_COARSE_LOCATIONPosizione approssimata
RECORD_AUDIOAudio travel diary
CAMERAFoto per diari e guide
READ_MEDIA_IMAGES / READ_EXTERNAL_STORAGESelezione foto
WRITE_EXTERNAL_STORAGESalvataggio video esportati
10

Cookie e Tracking

L'app non utilizza cookie (applicazione nativa). Su web potrebbero essere utilizzati cookie tecnici essenziali per la gestione della sessione.

Nessun tracking pubblicitario di terze parti è integrato nel frontend dell'applicazione.

11

Trasferimento Internazionale di Dati

I dati possono essere trasferiti e conservati su server localizzati fuori dall'UE (Google Cloud). Il trasferimento avviene nel rispetto delle garanzie previste dal GDPR (Standard Contractual Clauses o equivalenti).

12

Modifiche alla Privacy Policy

Le modifiche sostanziali alla presente policy verranno notificate tramite:

  • Notifica push in-app
  • Email all'indirizzo registrato
  • Popup alla successiva apertura dell'app
13

Contatti

App: Mundia

Email privacy: it.mundia.travel@gmail.com

Sito: mundiatravel.app

Per segnalazioni o reclami è possibile contattare il Garante per la protezione dei dati personali del proprio paese di residenza.

MUNDIA © 2026TORNA ALLA HOME