La versione giuridicamente vincolante di questo documento è quella francese. Questa versione in italiano è una traduzione di cortesia.
Ultimo aggiornamento: 2026-07-07
Informativa sulla privacy — Tivera
Versione: 2.1 — BOZZA pre-Play Store v1.0 (modello Free + Premium) Data di efficacia: 2026-07-07 Lingua di riferimento: francese — giurisdizione del titolare: Marocco (Legge 09-08, autorità CNDP; RGPD applicabile a titolo extraterritoriale — Art. 3.2 — per gli utenti residenti nell'UE/SEE/UK) Editore: Mitchou, persona fisica di diritto marocchino (editore indipendente). Indirizzo: Tralles, rue Essanaouabar, Casablanca, Marocco.
⚠️ Bozza da validare da parte di un avvocato (protezione dei dati: Legge 09-08 / CNDP + RGPD/ePrivacy) prima della pubblicazione definitiva. La versione francese fa fede; le altre lingue sono traduzioni di cortesia.
TL;DR
Tivera è un lettore IPTV BYOC (Bring Your Own Content) su Android (mobile + TV). Importi i tuoi flussi (M3U / Xtream Codes / EPG XMLTV); nessun contenuto è ospitato da noi.
- Dati personali raccolti a fini commerciali: nessuno. Nessuna rivendita, nessuna intermediazione di dati.
- Telemetria di diagnostica (report di crash + statistiche d'uso anonimizzate + registro delle prestazioni): inviata unicamente verso il nostro server self-hosted (
api.tivera.tv), mai verso terzi. Firebase Crashlytics e Firebase Analytics sono stati rimossi — nessun crash né analytics viene più inviato a Google. Fuori dall'UE/SEE/UK, questo canale è attivo per impostazione predefinita (legittimo interesse) e disattivabile in qualsiasi momento (Impostazioni → Privacy → Dati di diagnostica). Nell'UE/SEE/UK, resta disattivato fino al tuo consenso esplicito. - Condivisione con terzi: unicamente Google AdMob (modalità Free: pubblicità, identificativo pubblicitario AAID) e Google Play Billing (modalità Premium: pagamento dell'abbonamento). La sincronizzazione cloud Premium (profili/preferiti/cronologia) va verso il nostro server self-hosted, non verso terzi.
- Archiviazione locale cifrata: SQLCipher AES-256 + Google Tink AEAD (credenziali Xtream).
- Zero account richiesto per leggere i tuoi flussi. Un account è necessario solo per Premium / la sincronizzazione cloud / la gestione dei dispositivi.
1. Titolare del trattamento (RGPD Art. 13.1.a)
| Campo | Valore |
|---|---|
| Editore | Mitchou (persona fisica di diritto marocchino, editore indipendente) |
| Nome commerciale dell'app | Tivera |
| Package Android | com.mitchou.tivera |
| Email contatto generale | contact@tivera.tv |
| Email privacy | privacy@tivera.tv |
| Email DMCA | dmca@tivera.tv (cfr. Politica DMCA) |
| Indirizzo postale | Tralles, rue Essanaouabar, Casablanca, Marocco |
| DPO formale | Non richiesto (RGPD Art. 37: editore indipendente, < 250 dipendenti, nessun trattamento su larga scala di dati sensibili) |
| Rappresentante nell'UE (RGPD Art. 27) | In corso di designazione prima del lancio destinato al grande pubblico nell'UE. Nel frattempo, i residenti UE/SEE esercitano tutti i loro diritti direttamente presso l'Editore all'indirizzo privacy@tivera.tv; i recapiti del rappresentante saranno pubblicati qui e nell'app non appena avvenuta la sua designazione. |
| Giurisdizione applicabile | Marocco — Legge 09-08 relativa alla protezione delle persone fisiche nei confronti del trattamento dei dati a carattere personale, sotto il controllo della CNDP. RGPD (UE 2016/679) applicabile a titolo extraterritoriale (Art. 3.2) per gli utenti dell'UE/SEE/UK. |
Termine di risposta garantito per qualsiasi richiesta RGPD / CCPA: 30 giorni (RGPD Art. 12.3) / 45 giorni (CCPA).
2. Natura dell'applicazione (RGPD Art. 13.1.c)
Tivera è un lettore IPTV generico BYOC distribuito tramite Google Play Store (e download diretto dell'APK).
2.1 Ciò che Tivera È
- Un lettore di flussi multimediali (video / audio) che fornisci tu stesso.
- Un organizzatore locale delle tue sorgenti (URL M3U, credenziali Xtream Codes API, URL EPG XMLTV).
- Uno strumento di diagnostica locale (Quality Scanner) + un registratore locale (DVR) su tua richiesta.
- Disponibile in due tier: Free (con pubblicità) o Premium (in abbonamento, senza pubblicità, funzionalità aggiuntive).
2.2 Ciò che Tivera NON È
- Non è un servizio di distribuzione di contenuti (zero canali precaricati, zero catalogo).
- Non è un servizio di raccomandazione algoritmica.
- Non è un servizio di archiviazione di contenuti. La sincronizzazione cloud Premium (profili, preferiti, cronologia, impostazioni selezionate) utilizza il nostro server self-hosted
api.tivera.tve sincronizza soltanto metadati leggeri (etichetta del profilo, avatar, flag bambino, PIN cifrato, identificativi di contenuto opachi) — mai i tuoi flussi né le credenziali delle tue sorgenti. - Non è un intermediario tecnico: comunichi direttamente con il server che scegli.
Sei l'unico responsabile dei flussi che importi e della loro conformità al diritto d'autore applicabile (cfr. Condizioni d'uso + Politica DMCA).
2.3 Differenze Free vs Premium lato dati
| Aspetto | Free | Premium |
|---|---|---|
| Dati raccolti per impostazione predefinita | Nessuno | Nessuno |
| Pubblicità AdMob (banner + native + rewarded) | Sì (modello economico) | No |
| AAID (identificativo pubblicitario Android) letto da AdMob/Google | Sì (gestito da Google Play Services) | No |
| SDK UMP (consenso pubblicità UE/RGPD) | Sì (al primo avvio UE) | Non applicabile |
Telemetria di diagnostica self-hosted (api.tivera.tv) | Fuori UE: attiva per impostazione predefinita (opt-out) · UE/SEE/UK: opt-in | Identica |
| Firebase Analytics / Crashlytics | Rimossi (non più utilizzati) | Rimossi |
| Play Billing (token d'acquisto) | Non applicabile | Sì |
3. Dati trattati
3.1 Dati inseriti dall'utente — archiviati localmente soltanto
Tutti questi dati restano sul tuo dispositivo. Nessuno viene trasmesso a Mitchou né a terzi in un uso normale.
- URL M3U / playlist: SQLCipher AES-256. Lettura dei tuoi flussi. Base giuridica RGPD 6.1.b (esecuzione del contratto). Durata: fino a cancellazione manuale / disinstallazione.
- Credenziali Xtream Codes (host, user, password): Google Tink AEAD (chiave master Android Keystore TEE/StrongBox) sopra SQLCipher, AAD legato alla sorgente (anti cell-swap). Connessione al tuo panel. Base giuridica RGPD 6.1.b.
- URL EPG XMLTV + mapping verso i canali: SQLCipher AES-256 (Tink AEAD se Basic Auth nell'URL). Guida ai programmi. Base giuridica RGPD 6.1.b.
- Cronologia di riproduzione (posizione di ripresa): SQLCipher AES-256. « Continue Watching ». Base giuridica RGPD 6.1.b.
- Preferiti: SQLCipher AES-256. Personalizzazione UI. Base giuridica RGPD 6.1.b.
- Registrazioni DVR (
.ts) + download VOD offline (Premium): scoped storage, non cifrati. Visione differita/offline su tua richiesta. Base giuridica RGPD 6.1.b. - PIN parentale a 4 cifre: Tink AEAD (AAD
parental-pin-v1). Blocco dei contenuti per adulti. Base giuridica RGPD 6.1.b. - Preferenze UI (lingua, tema, qualità): DataStore Proto, non sensibile. Base giuridica RGPD 6.1.f (legittimo interesse).
3.2 Dati raccolti automaticamente dall'applicazione
- AAID (identificativo pubblicitario Android): Free = sì, letto da Google Play Services in occasione di un'impression AdMob. Premium = no.
- Indirizzo IP: il payload di telemetria non contiene il tuo indirizzo IP come dato. Resta visibile a livello di trasporto a qualsiasi server che riceve la richiesta: (a) il server Xtream/EPG che configuri, (b) Google quando AdMob si attiva in Free, (c) il nostro server
api.tivera.tv(+ Cloudflare in transito) quando la telemetria è attiva o quando usi il tuo account. Gli IP eventualmente registrati lato server lo sono per il tempo strettamente necessario alla sicurezza e alla diagnostica, poi cancellati. - Geolocalizzazione precisa: no. Approssimativa (derivata da IP): no da parte di Tivera (AdMob può dedurre il paese tramite IP in Free).
- Contatti / SMS / chiamate: no (permessi non dichiarati). Microfono / fotocamera: no (la fotocamera è usata unicamente per scansionare un QR di abbinamento, 100 % sul dispositivo, nessuna immagine trasmessa). IMEI / n° di serie / MAC: no.
- Android ID (
Settings.Secure.ANDROID_ID): letto unicamente quando la telemetria di diagnostica è attiva (cfr. 3.4), mai trasmesso in chiaro. Serve a derivare, tramite un hash SHA-256 a senso unico proprio dell'app, un identificativo tecnico di dispositivo pseudonimo — stabile per dispositivo: sopravvive alla reinstallazione dell'app e alla cancellazione dei suoi dati (viene reimpostato solo al factory-reset), e non è un identificativo hardware (un identificativo software app-scope).
3.3 Dati tecnici necessariamente trasmessi ai server che configuri tu
Quando importi un panel Xtream o un URL M3U/EPG, le tue richieste escono dal tuo dispositivo verso il server che hai scelto (né Mitchou né Tivera). Questo server riceve necessariamente il tuo IP, le tue credenziali Xtream e il tuo User-Agent. Non abbiamo alcun controllo sulla sua informativa sulla privacy — consultala prima di affidargli le tue credenziali.
3.4 Telemetria di diagnostica self-hosted (api.tivera.tv)
Per correggere i bug e migliorare la stabilità, Tivera raccoglie una telemetria di diagnostica tecnica inviata unicamente verso il nostro server self-hosted api.tivera.tv (PocketBase, infrastruttura dell'Editore, Marocco / CNDP) — mai verso terzi.
Tre canali: (1) Report di crash (crash_reports): stacktrace + estratto del registro tecnico al momento del crash; (2) Statistiche d'uso anonimizzate (app_events): apertura di schermata (route), inizio di sessione, avvio di riproduzione — nessun URL, nessun nome di canale; (3) Registro delle prestazioni giornaliero (≤ 125 KB/24 h): misure interne (es. tempo di avvio a freddo) + classe di dispositivo (Build.MANUFACTURER + MODEL, es. « Samsung SM-S911B » — una classe di dispositivo, non un dato personale) + versione app/Android + piattaforma.
Identificativo: ogni invio è collegato all'identificativo tecnico di dispositivo pseudonimo (cfr. 3.2) — stabile per dispositivo, sopravvive alla reinstallazione dell'app e alla cancellazione dei dati. Non è la tua identità.
Modello di consenso (condizionato geograficamente):
| Regione | Stato predefinito | Base giuridica | Come revocare |
|---|---|---|---|
| Fuori UE / SEE / UK | Attiva per impostazione predefinita (opt-out) | Legittimo interesse (RGPD Art. 6(1)(f)): diagnostica interna, minimizzata, self-hosted | Diritto di opposizione (Art. 21): Impostazioni → Privacy → Dati di diagnostica: OFF (effetto immediato) |
| UE / SEE / UK | Disattivata per impostazione predefinita | Consenso (RGPD Art. 6(1)(a)) — richiesto perché la lettura di ANDROID_ID rientra nell'art. 5(3) della Direttiva ePrivacy 2002/58/CE (e delle sue trasposizioni nazionali) | Rifiutare, o revocare (Art. 7(3)) tramite lo stesso toggle |
Il canale non è mai attivo prima dell'age gate (conferma 13+, cfr. § 7). La revoca (toggle OFF) cancella immediatamente gli invii in sospeso non trasmessi.
Minimizzazione: tutto il contenuto passa attraverso i filtri SecretRedactor + UrlRedactor lato client, prima di qualsiasi invio (URL, credenziali, token Bearer, IBAN, lunghe stringhe esadecimali ≥ 32 caratteri rimossi), gli identificativi di canale sono hashati/troncati, e il payload è limitato a 125 KB.
Mai trasmesso: nessun nome / email / telefono; nessuna delle tue sorgenti, canali o cronologia; nessun AAID; nessuna pubblicità, nessuna rivendita.
Responsabile del trattamento: nessuno — api.tivera.tv è il server self-hosted dell'Editore, non un terzo di dati. Cloudflare assicura unicamente il transito di rete + TLS (nessuna archiviazione). Cifrato in transito (HTTPS). Conservazione: 90 giorni (cancellazione automatica lato server). Questo server si trova in Marocco (cfr. § 9).
3.5 Firebase Crashlytics / Analytics + GlitchTip/Sentry — RIMOSSI
Firebase Crashlytics, Firebase Analytics e il canale GlitchTip/Sentry non sono più utilizzati dall'app. Sono forzati all'arresto all'avvio su tutte le build (debug / release / beta). Nessun report di crash né statistica d'uso viene più trasmesso a Google né ad alcun terzo per questi fini. La funzione di diagnostica è ora interamente assicurata dal canale self-hosted descritto in 3.4.
Nota: Google AdMob (Free — § 3.6) e Google Play Billing (Premium — § 3.7) sono servizi Google distinti e non interessati da questa rimozione; restano dichiarati.
3.6 Google AdMob (solo modalità Free)
Nel tier Free, l'app mostra pubblicità tramite l'SDK Google Mobile Ads (AdMob). Formati: banner adattivo 320×50 dp in basso allo schermo, native nel rail Browse, rewarded (opt-in) per una scansione supplementare del Quality Scanner. Nessuna pubblicità su Android TV / Leanback.
Dati trasmessi a Google dall'SDK AdMob — in modalità personalizzata (consenso UE fornito): AAID, IP, User-Agent, modello di dispositivo, package + versione, ad unit ID, cronologia delle pubblicità viste (frequenza), interessi dedotti, interazioni passate. In modalità non personalizzata (consenso rifiutato): AAID anonimizzato, IP (targeting paese approssimativo), User-Agent, modello, package + versione, ad unit ID — nessuna cronologia, nessuna coorte, nessuna interazione passata.
UMP SDK: al primo avvio rilevato nell'UE, una finestra di dialogo Google UMP raccoglie il tuo consenso alla pubblicità personalizzata (accettare = personalizzata; rifiutare = non personalizzata). Disattivazione totale di AdMob: passare a Premium. Nessun toggle granulare AdMob in Free (modello economico).
Responsabile del trattamento: Google LLC. Conservazione: secondo la politica di Google (tipicamente ~14 mesi per le coorti pubblicitarie).
3.7 Google Play Billing (solo modalità Premium)
Quando sottoscrivi il tier Premium (abbonamento mensile 3,99 USD / annuale 24,99 USD con prova gratuita di 7 giorni sull'annuale). Nessun acquisto definitivo « a vita » è proposto.
- Dati gestiti da Google Play (mai visti da Tivera): metodo di pagamento (carta, PayPal, Google Pay, operatore), indirizzo di fatturazione.
- Dati ricevuti da Tivera: token d'acquisto (purchase token, prova opaca) + stato dell'abbonamento (attivo / annullato / grace period) tramite BillingClient.
- Archiviato localmente da Tivera: stato Premium (booleano, DataStore) + purchase token (Tink AEAD, AAD
play-billing-v1) per la riconvalida periodica.
Nessun dato di pagamento (numero di carta, CVV, scadenza) viene mai trattato, visto o archiviato da Tivera. Annullamento: Google Play Store → Abbonamenti → Tivera → Annulla. Rimborsi: politica standard Google Play (48 h per gli abbonamenti) — richiesta tramite Google Play, non tramite Tivera.
3.8 Profili utente + sincronizzazione cloud Premium (profiles)
Tivera permette di creare più profili su uno stesso account (preferiti e cronologia per profilo, profilo con restrizioni opzionale). I profili sono archiviati localmente (Room SQLCipher AES-256) e, unicamente se sei abbonato Premium e attivi la sync cloud, sincronizzati verso il nostro server self-hosted tramite la collezione profiles (api.tivera.tv).
Dati sincronizzati per profilo (Premium + sync attiva soltanto): name (etichetta — potenzialmente personale se ci metti un nome reale; raccomandazione: usa uno pseudonimo, soprattutto per un profilo bambino), avatarId (indice di illustrazione neutra), isKids (flag di filtraggio scelto dal titolare, NON una dichiarazione di età), pinCiphertext (PIN cifrato Google Tink AES-256-GCM, mai decifrato lato server). Nessuna data di nascita viene raccolta. Preferiti e cronologia sono ormai per profilo; nessun flusso, nessun nome di canale/film/serie, nessuna credenziale Xtream transita verso api.tivera.tv (identità di contenuto = SHA-256 opaco). Responsabile del trattamento: nessuno; sync opt-in (Premium, attivabile/disattivabile nelle Impostazioni).
3.9 Account Tivera (indirizzo email + codice OTP)
L'account è facoltativo. Nessun account è necessario per utilizzare l'app in Free (importare le tue sorgenti, leggere i tuoi flussi, scansionare i tuoi canali). Crei un account soltanto per sbloccare Premium, attivare la sync cloud, gestire i tuoi dispositivi, o inserire un codice promozionale.
- Indirizzo email: fornito da te; accesso tramite codice monouso (OTP) (nessuna password). Trasmesso al nostro server self-hosted
api.tivera.tv(Marocco / CNDP) e ivi archiviato per identificare il tuo account (entitlement Premium, elenco dei dispositivi, codici promozionali). Base giuridica: RGPD 6.1.b (esecuzione del contratto). Responsabile del trattamento: nessuno; cifrato in transito. Conservazione: fino alla cancellazione del tuo account (cfr. § 5 + § 10). La tua email non viene mai utilizzata per la pubblicità, mai rivenduta, mai condivisa con broker.
4. Destinatari dei dati (RGPD Art. 13.1.e)
| Destinatario | Dati interessati | Finalità | Localizzazione |
|---|---|---|---|
| Tu stesso (sul tuo dispositivo) | 100 % dei dati inseriti | Uso dell'app | Locale |
| Server IPTV/EPG che configuri | Credenziali Xtream + IP + User-Agent | Autenticazione + lettura | Variabile (tua scelta) |
Server self-hosted api.tivera.tv — Account (Editore, non un terzo) | Email dell'account (OTP) — facoltativa | Gestione dell'account / entitlement / sync / dispositivi / codici promozionali | Marocco / CNDP |
Server self-hosted api.tivera.tv — Telemetria (Editore, non un terzo) | Stacktrace + statistiche d'uso (route di schermata) + registro delle prestazioni + classe di dispositivo + identificativo pseudonimo | Diagnostica / stabilità | Marocco / CNDP |
| RIMOSSO — nessun trasferimento verso Google per questi fini (cfr. 3.5) | — | — | |
| Google AdMob (Free) | AAID + IP + dispositivo + ad unit ID + coorti (in personalizzata) | Visualizzazione pubblicitaria | USA + UE (SCC + DPF) |
| Google Play Billing (Premium) | Purchase token (nessun dato bancario) | Convalida abbonamento | Google (globale) |
Server self-hosted api.tivera.tv — Sync cloud (Editore, non un terzo) | Profili (etichetta, avatar, flag bambino, PIN cifrato) + preferiti + cronologia per profilo (identità di contenuto SHA-256 opaca) | Sincronizzazione multi-dispositivo | Marocco / CNDP |
| Cloudflare | Transito di rete (CDN + Tunnel + WAF) — vede IP/header, non archivia alcun dato personale | Instradamento + sicurezza di rete | Multinazionale (DPA) |
Nessuna vendita di dati a broker o aggregatori. Nessuna condivisione a fini pubblicitari diversa da Google AdMob (Free soltanto).
5. I tuoi diritti (RGPD Art. 13.2.b + Art. 15-22 + CCPA/CPRA)
5.1 Diritti RGPD (residenti UE / SEE / UK)
- Accesso (Art. 15): i tuoi dati locali sono sul tuo dispositivo (Impostazioni → Sorgenti / Aspetto…). Dati dell'account: export machine (email, entitlement, dispositivi, fatture, profili, preferiti + cronologia per profilo, registri che ti riguardano) — su richiesta a
privacy@tivera.tv. - Rettifica (Art. 16): direttamente nell'app (Impostazioni → Sorgenti → Modifica); email dell'account modificabile, o richiesta a
privacy@tivera.tv. - Limitazione (Art. 18): disattiva la telemetria (toggle « Dati di diagnostica », Impostazioni → Privacy).
- Portabilità (Art. 20): Impostazioni → Aiuto → Invia un report di diagnostica (ZIP leggibile); export dell'account su richiesta a
privacy@tivera.tv. - Opposizione (Art. 21): fuori dall'UE/SEE/UK, la telemetria si basa sul legittimo interesse → puoi opporti in qualsiasi momento tramite il toggle « Dati di diagnostica », senza degradazione del servizio. Nell'UE/SEE/UK, questo canale è comunque disattivato fino al tuo consenso.
- Decisione automatizzata (Art. 22): nessuna profilazione né decisione automatizzata. I motori di recovery/scanner utilizzano euristiche tecniche — nessun Machine Learning / IA ai sensi del Regolamento UE 2024/1689 (EU AI Act).
Cancellazione dell'account e cancellazione dei tuoi dati (Art. 17)
- Dati locali: Impostazioni → Svuota la cache elimina canali/EPG/registrazioni/download (le credenziali Xtream sono preservate per la riconnessione); disinstallare l'app elimina tutto (
/data/data/com.mitchou.tivera/). - Telemetria di diagnostica: disattivare il toggle « Dati di diagnostica » cancella immediatamente gli invii in sospeso; per la cancellazione dei dati già trasmessi a
api.tivera.tv, scrivi aprivacy@tivera.tvindicando il tuo identificativo tecnico di dispositivo (Impostazioni → Aiuto) — cancellazione entro 30 giorni (e cancellazione automatica a 90 giorni). - Profili sincronizzati: eliminare un profilo nell'app attiva un soft-delete (occultamento immediato, cancellazione server entro 30 giorni).
- Cancellazione dell'account (a cascata): dall'app o su richiesta a
privacy@tivera.tv. La cancellazione dell'account cancella a cascata, lato serverapi.tivera.tv, tutti i tuoi profili (compresi i profili bambinoisKids), i tuoi preferiti e la tua cronologia per profilo, le tue impostazioni e sorgenti sincronizzate, il tuo entitlement Premium, i tuoi dispositivi registrati e i tuoi token di abbinamento, e anonimizza le tue righe del registro di audit. Anche le tue fatture vengono eliminate. Puoi esportarle prima (cfr. § 5.1), e il prestatore di pagamento ne conserva una propria copia (cfr. § 10). - Premium: annullare l'abbonamento tramite Google Play, poi disinstallare.
5.2 Diritti CCPA / CPRA (residenti California)
Tivera non vende dati. Right to Know — categorie raccolte (ultimi 12 mesi): Identifiers (AAID in Free; identificativo tecnico di dispositivo pseudonimo per la telemetria; email se account); Commercial information (stato dell'abbonamento); Internet/Network Activity (interazioni AdMob; route di schermata della telemetria); Geolocation (paese approssimativo derivato dall'IP da AdMob in Free). Fonti: tu + il tuo dispositivo. Finalità commerciali: pubblicità (Free), fornitura del servizio, diagnostica. Condiviso/« venduto »: unicamente AAID + attività di rete tramite Google AdMob (Free) — una « condivisione » ai sensi del CPRA, rifiutabile tramite UMP; la telemetria va verso il nostro server self-hosted (non un terzo — fuori dall'ambito di una « condivisione »/« vendita » CCPA). Right to Delete / Correct: cfr. § 5.1. Opt-Out of Sale/Sharing: la condivisione AdMob (in personalizzata) è rifiutabile tramite il consenso UMP (e automaticamente non personalizzata per gli utenti CCPA rilevati da Google). Limit Use of Sensitive PI: nessun dato sensibile raccolto. Non-Discrimination + Authorized Agent applicabili. Termine 45 giorni — privacy@tivera.tv.
5.3 Reclamo
- CNDP (Marocco): https://www.cndp.ma
- Residenti UE/SEE: l'autorità di controllo della tua residenza (es. CNIL in Francia: https://www.cnil.fr/fr/plaintes). Elenco: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG: https://oag.ca.gov
6. Sicurezza dei dati (RGPD Art. 32)
6.1 Cifratura a riposo
- SQLCipher AES-256 sul database locale (canali, EPG, sorgenti, cronologia, download).
- Google Tink AEAD (chiave master Android Keystore TEE/StrongBox) come sovrastrato per: credenziali Xtream (AAD legato alla sorgente, anti cell-swap), credenziali EPG, PIN parentale (AAD
parental-pin-v1), purchase token Play Billing (AADplay-billing-v1). - Registrazioni / download VOD: file
.tsnon cifrati in scoped storage, eliminati alla disinstallazione.
6.2 Cifratura in transito
- HTTPS rigoroso verso i domini first-party (Google Play Services / AdMob) + verso il nostro backend
api.tivera.tv. - Cleartext HTTP tollerato unicamente verso i server IPTV/EPG che configuri tu (la maggioranza dei panel Xtream serve ancora in HTTP — rifiutarlo interromperebbe l'uso BYOC).
6.3 Architettura difensiva
- Permessi Android minimi; CAMERA unicamente per scansionare un QR di abbinamento (trattamento 100 % locale). Permessi aggiunti dagli SDK Google (versione pubblicata):
com.android.vending.BILLING(Premium),AD_ID+ACCESS_ADSERVICES_*(AdMob, Free soltanto),BIND_GET_INSTALL_REFERRER_SERVICE(attribuzione di installazione),READ_EPG_DATA(rail « Continue Watching » del launcher Android TV). Nessun permesso pericoloso runtime al di fuori di CAMERA. - R8/ProGuard in release; regole di backup restrittive (escludono le credenziali Xtream cifrate dal backup Google Drive);
SecretRedactor+UrlRedactorsu ogni log E ogni payload di telemetria prima dell'invio.
6.4 Notifica di violazione (RGPD Art. 33-34)
In caso di violazione che pregiudica i tuoi diritti, Mitchou notifica all'autorità di controllo competente (CNDP in Marocco; CNIL o l'autorità UE dell'utente interessato) entro 72 ore, e a te direttamente se il rischio è elevato.
7. Minori (COPPA US + RGPD Art. 8)
Tivera è destinato ai 13 anni o più. Age gate dichiarativo al primo avvio (« Ho 13 anni » + accettazione del Disclaimer). Nessuna raccolta intenzionale di dati di minori di 13 anni. La telemetria di diagnostica è vincolata all'age gate: nessun identificativo persistente viene trasmesso prima della conferma 13+. PIN parentale a 4 cifre + profili con restrizioni (isKids) = controllo parentale best-effort, opzionale, nessuna data di nascita richiesta, nessun analytics né pubblicità mirata vincolata a un profilo bambino. Genitore/tutore: privacy@tivera.tv.
Pubblicità e minori (UE): nell'UE/SEE, l'età del consenso digitale (RGPD Art. 8) varia da 13 a 16 anni a seconda dello Stato membro. Per proteggere gli utenti che potrebbero essere minori, la pubblicità personalizzata non viene mai attivata senza un consenso valido raccolto tramite l'SDK Google UMP; in mancanza (o in caso di rifiuto), vengono servite soltanto pubblicità non personalizzate (NPA — senza profilazione né targeting comportamentale). Il tier Premium rimuove ogni pubblicità.
8. Cookie / tracker di terzi
Tivera è un'app mobile nativa (non un sito web). Nessun cookie HTTP proprio; gli eventuali cookie server di terzi (es. __cf_bm di un panel) sono gestiti in RAM (InMemoryCookieJar), mai persistiti. Nessun pixel/beacon proprietario. Il sito tivera.tv: nessun cookie di terzi, nessuno script analytics/pubblicitario di terzi, nessun CDN esterno in runtime (regola interna R-NA-1) — le chiamate vanno unicamente verso il nostro backend (api.tivera.tv) su azione dell'utente.
9. Trasferimenti internazionali (RGPD Art. 44-50)
| Trasferimento | Quadro giuridico |
|---|---|
| Il tuo dispositivo → server IPTV/EPG che configuri tu | Nessun trasferimento orchestrato da Mitchou (scegli tu il destinatario). |
| Telemetria + sync cloud Premium → server self-hosted (Marocco) | Il Marocco non beneficia di una decisione di adeguatezza UE (Art. 45). Basi di trasferimento adottate per gli utenti UE/SEE: (a) telemetria di diagnostica — consenso esplicito (deroga Art. 49(1)(a)), essendo comunque questo canale opt-in nell'UE; (b) account + sincronizzazione cloud Premium — trasferimento necessario all'esecuzione del contratto che richiedi (Art. 49(1)(b)). Misure complementari: pseudonimizzazione + minimizzazione (SecretRedactor/UrlRedactor) + cifratura in transito; titolare unico (l'Editore ospita esso stesso, nessun importatore terzo distinto ai sensi delle linee guida CEPD 05/2021); quadro giuridico locale Legge 09-08 + autorità CNDP. |
| AdMob (Free) / Play Billing (Premium) → Google LLC (USA) | SCC + DPF. |
| Transito Cloudflare | Instradamento di rete (nessuna archiviazione di dati personali); DPA Cloudflare. |
10. Durata di conservazione (RGPD Art. 13.2.a)
- Dati locali (Xtream, M3U, EPG, cronologia, registrazioni, download): finché l'app è installata; cancellazione immediata alla disinstallazione o tramite « Svuota la cache ».
- Telemetria di diagnostica (
crash_reports+app_events+ registro delle prestazioni): 90 giorni poi cancellazione automatica. Revoca anticipata tramite il toggle. - Firebase Crashlytics / Analytics: n/d (rimossi, nessuna raccolta).
- Account (email, entitlement, dispositivi, abbinamenti, profili, preferiti, cronologia): fino alla cancellazione dell'account (cancellazione a cascata). Entitlement: fino alla scadenza + finestra contenziosi/rimborso.
- Fatture (metadati): eliminate alla chiusura dell'account (cancellazione a cascata). Il prestatore di pagamento ne conserva una propria copia in virtù del proprio obbligo contabile (anche in caso di contenzioso).
- Coorti AdMob (Free): secondo la politica di Google (~14 mesi). Premium purchase token: finché l'abbonamento è attivo + grace period.
- Registro di audit (
audit_log, incl. IP del client): 90 giorni; righe anonimizzate alla cancellazione dell'account.
11. Aggiornamento della presente informativa
Qualsiasi modifica sostanziale comporta: notifica in-app al successivo avvio (banner non bloccante + link al diff) + aggiornamento della data + conservazione del diff Git versionato pubblicamente + ri-accettazione se viene aggiunta una nuova categoria di trattamento (es. nuova rete pubblicitaria). Le modifiche minori non attivano la ri-accettazione.
12. Contatto
- Email generale:
contact@tivera.tv - Email privacy (esercizio dei diritti):
privacy@tivera.tv - Email DMCA:
dmca@tivera.tv(cfr. Politica DMCA) - Indirizzo postale: Tralles, rue Essanaouabar, Casablanca, Marocco
Termine di risposta: 30 giorni (RGPD) / 45 giorni (CCPA).
13. Documenti associati
Stato: BOZZA v2.1 — divulga il modello Free + Premium (AdMob in Free, Play Billing in Premium), la telemetria self-hosted (Firebase rimosso) e la sincronizzazione cloud Premium. Da validare da parte di un avvocato (Legge 09-08 / CNDP + RGPD/ePrivacy) prima della pubblicazione definitiva: base giuridica della telemetria, garanzie di trasferimento Marocco → UE, meccanismo di opt-out. La versione francese fa fede; le altre lingue sono traduzioni di cortesia.