Il titolare del trattamento dei tuoi dati personali è Corporate Business Consulting Group Limited (Company No. 78675544), una Private Company Limited by Shares costituita ai sensi delle leggi di Hong Kong SAR, con sede legale presso RM 701, UNIT 108, 7/F, TWR B, NEW MANDARIN PLAZA, 14 SCIENCE MUSEUM RD, TSIM SHA TSUI, HONG KONG (di seguito denominata "la Società", "noi", "ci" o "nostro"). La Società opera la piattaforma KeyCandle (la "Piattaforma"). La presente Privacy Policy descrive come raccogliamo, trattiamo, conserviamo e proteggiamo i tuoi dati personali quando accedi o utilizzi la Piattaforma, in conformità con la Personal Data (Privacy) Ordinance di Hong Kong (Cap. 486) ("PDPO"), il Regolamento Generale sulla Protezione dei Dati dell'UE ("GDPR") ove applicabile, e ogni altra legislazione pertinente in materia di protezione dei dati.

Raccogliamo e trattiamo le seguenti categorie di dati personali, a seconda dell'utilizzo della Piattaforma:

• Dati dell'account: nome completo, indirizzo email, data di nascita, paese di residenza, nome utente e password crittografata tramite hashing.
• Dati di verifica dell'identità (KYC): documento di identità rilasciato dal governo (passaporto, carta d'identità o patente di guida), prova dell'indirizzo di residenza, selfie o verifica biometrica di vivacità, e nazionalità.
• Dati finanziari: indirizzi dei wallet di criptovaluta, storico dei depositi e dei prelievi, registrazioni delle transazioni, storico delle scommesse e informazioni sul saldo.
• Dati tecnici: indirizzo IP, tipo e versione del browser, sistema operativo, identificativi del dispositivo, risoluzione dello schermo, fuso orario e durata della sessione.
• Dati di utilizzo: pagine visitate, funzionalità utilizzate, pattern di clic, percorsi di navigazione e interazioni con l'interfaccia della Piattaforma.
• Dati di comunicazione: registrazioni delle richieste di supporto, messaggi in chat, email inviate e ricevute dalla Società e invii di feedback.

Trattiamo i tuoi dati personali sulla base delle seguenti basi giuridiche:

• Esecuzione del contratto: il trattamento è necessario per adempiere ai nostri obblighi contrattuali nei tuoi confronti, inclusa la gestione dell'account, l'esecuzione delle operazioni di trading e le operazioni di deposito/prelievo.
• Obbligo legale: il trattamento è richiesto per conformarsi alle leggi e ai regolamenti applicabili, inclusi i requisiti antiriciclaggio (AML) e di contrasto al finanziamento del terrorismo (CTF), gli obblighi di reportistica fiscale e le richieste delle autorità di regolamentazione.
• Legittimo interesse: il trattamento è necessario per i nostri legittimi interessi commerciali, inclusa la prevenzione delle frodi, la sicurezza della piattaforma, il miglioramento dei servizi e l'analisi dei dati — a condizione che tali interessi non prevalgano sui tuoi diritti fondamentali.
• Consenso: ove richiesto dalla legge, otteniamo il tuo consenso esplicito prima di trattare i tuoi dati per finalità specifiche, come le comunicazioni di marketing. Puoi revocare il consenso in qualsiasi momento.

I tuoi dati personali vengono trattati per le seguenti finalità:

• Fornire, gestire e mantenere la Piattaforma e le sue funzionalità principali
• Verificare la tua identità come richiesto dalle normative KYC/AML e prevenire attività fraudolente
• Elaborare i tuoi depositi, prelievi, scommesse e altre transazioni finanziarie sulla Piattaforma
• Comunicare con te riguardo il tuo account, le transazioni, le richieste di supporto e gli aggiornamenti del servizio
• Conformarsi a tutti gli obblighi legali e normativi applicabili, inclusa la risposta a richieste legittime delle autorità competenti
• Condurre analisi anonimizzate e ricerche statistiche per migliorare le funzionalità della Piattaforma, l'affidabilità e l'esperienza utente
• Rilevare, prevenire e investigare incidenti di sicurezza, accessi non autorizzati e altre attività potenzialmente dannose

La seguente tabella fornisce una mappatura dettagliata di ogni attività di trattamento con le corrispondenti categorie di dati e basi giuridiche ai sensi del GDPR e del PDPO:

Possiamo divulgare i tuoi dati personali alle seguenti categorie di destinatari, con l'adozione di adeguate misure di salvaguardia:

• Fornitori di servizi: terze parti fidate che ci assistono nella gestione della Piattaforma, inclusi fornitori di hosting cloud, processori di pagamento, servizi di consegna email e strumenti di analisi. Questi fornitori sono contrattualmente vincolati a proteggere i tuoi dati.
• Autorità di regolamentazione: forze dell'ordine, regolatori finanziari, autorità fiscali e tribunali, quando richiesto dalla legge o in risposta a un procedimento legale valido.
• Partner di verifica KYC: fornitori specializzati nella verifica dell'identità (es. SumSub) che elaborano i tuoi documenti d'identità e le verifiche biometriche per nostro conto.
• Consulenti professionali: consulenti legali, revisori e consulenti di conformità, nella misura necessaria per la prestazione dei loro servizi professionali.

Non vendiamo, affittiamo o scambiamo i tuoi dati personali ad alcuna terza parte per finalità di marketing o qualsiasi altro scopo commerciale.

Ci avvaliamo delle seguenti categorie di fornitori di servizi terzi per supportare il funzionamento della Piattaforma. Ogni fornitore è vincolato da obblighi contrattuali a trattare i dati personali esclusivamente in conformità con le nostre istruzioni e le leggi applicabili sulla protezione dei dati:

Poiché la Società è costituita a Hong Kong e opera a livello globale, i tuoi dati personali possono essere trasferiti, conservati e trattati in giurisdizioni al di fuori del tuo paese di residenza — inclusa Hong Kong SAR e altre sedi in cui operano i nostri fornitori di servizi. Quando i dati personali vengono trasferiti al di fuori dello Spazio Economico Europeo (SEE), implementiamo adeguate garanzie come le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, o ci basiamo su decisioni di adeguatezza, per garantire un livello equivalente di protezione dei dati.

Implementiamo misure tecniche e organizzative conformi agli standard del settore per proteggere i tuoi dati personali da accessi non autorizzati, alterazioni, divulgazioni o distruzioni:

• Tutti i dati in transito sono protetti dalla crittografia TLS 1.3 su ogni endpoint
• Le password sono conservate utilizzando hashing adattivo bcrypt — non conserviamo mai credenziali in chiaro
• L'autenticazione a due fattori (2FA) tramite TOTP è disponibile e fortemente raccomandata per tutti gli account
• Rilevamento intrusioni 24/7 e monitoraggio in tempo reale di tutti i sistemi per attività anomale
• Rigoroso controllo degli accessi basato sui ruoli (RBAC): l'accesso dei dipendenti ai dati personali è limitato al personale autorizzato su base need-to-know
• Il 95% dei fondi degli utenti è conservato in wallet cold storage air-gapped e multi-firma, isolati dai sistemi connessi a internet

Conserviamo i tuoi dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti, o come richiesto dalla legge applicabile. I dati dell'account vengono conservati per la durata dello stato attivo dell'account e per un minimo di cinque (5) anni dopo la chiusura dell'account, in conformità con i requisiti di conservazione documentale antiriciclaggio. Le registrazioni delle transazioni sono conservate per un minimo di sette (7) anni. I dati tecnici e di utilizzo raccolti per finalità analitiche vengono resi anonimi o cancellati entro ventiquattro (24) mesi. Puoi richiedere la cancellazione dei tuoi dati personali in qualsiasi momento, nel rispetto dei nostri obblighi legali e normativi.

Ai sensi del PDPO e, ove applicabile, del GDPR, hai diritto di esercitare i seguenti diritti in relazione ai tuoi dati personali:

• Diritto di accesso — ottenere una copia dei dati personali che deteniamo su di te
• Diritto di rettifica — richiedere la correzione di dati inesatti o incompleti
• Diritto alla cancellazione ("diritto all'oblio") — richiedere la cancellazione dei tuoi dati, nel rispetto degli obblighi legali di conservazione
• Diritto di opposizione — opporsi al trattamento dei tuoi dati quando ci basiamo su interessi legittimi
• Diritto alla portabilità dei dati — ricevere i tuoi dati in un formato strutturato e leggibile da dispositivo automatico
• Diritto alla limitazione del trattamento — richiedere che limitiamo il trattamento dei tuoi dati in circostanze specifiche

Per esercitare uno qualsiasi di questi diritti, contattaci all'indirizzo privacy@keycandle.com. Risponderemo alla tua richiesta entro trenta (30) giorni.

Utilizziamo cookie e tecnologie di tracciamento simili (come local storage e identificativi di sessione) per gestire la Piattaforma, mantenere la tua sessione autenticata, ricordare le tue preferenze e analizzare i pattern di utilizzo. Per una descrizione dettagliata dei tipi di cookie che utilizziamo, le loro finalità, i periodi di conservazione e le opzioni per gestirli, consulta la nostra Cookie Policy.

Possiamo utilizzare le tue informazioni di contatto per inviarti comunicazioni di marketing sui nostri servizi, promozioni e aggiornamenti. Ci impegniamo alla trasparenza e al tuo diritto di controllare come comunichiamo con te:

• Ti invieremo comunicazioni di marketing solo laddove tu abbia fornito il tuo consenso esplicito e affermativo (opt-in). Non vengono mai utilizzate caselle pre-selezionate.
• Ogni comunicazione di marketing include un meccanismo di cancellazione chiaro e funzionale. Puoi cancellarti in qualsiasi momento con un singolo clic e processeremo la tua richiesta entro settantadue (72) ore.
• Le comunicazioni transazionali e relative al servizio (es. avvisi di sicurezza, notifiche dell'account, conferme di prelievo) non sono marketing e continueranno ad essere inviate indipendentemente dalle tue preferenze di marketing, in quanto essenziali per il funzionamento sicuro del tuo account.
• Puoi gestire le tue preferenze di comunicazione in qualsiasi momento tramite le impostazioni del tuo account o contattandoci all'indirizzo privacy@keycandle.com.

In conformità all'Articolo 22 del GDPR, ti informiamo che potremmo utilizzare il trattamento automatizzato, inclusa la profilazione, in circostanze limitate in connessione con la Piattaforma. Ciò include: (a) sistemi automatizzati di valutazione del rischio e rilevamento delle frodi che valutano i pattern delle transazioni, il comportamento di accesso e le impronte digitali dei dispositivi per identificare attività potenzialmente fraudolente o sospette; (b) controlli KYC/AML automatizzati eseguiti dai nostri partner di verifica dell'identità, che possono risultare nell'accettazione, nell'escalation o nel rifiuto di una domanda di verifica; e (c) regolamento automatizzato del mercato, dove gli esiti delle posizioni sono determinati algoritmicamente sulla base di dati OHLC verificati. Non utilizziamo decisioni automatizzate per profilazione marketing, scoring creditizio o qualsiasi finalità che produca effetti legali o effetti analogamente significativi su di te senza supervisione umana. Hai il diritto di richiedere una revisione umana di qualsiasi decisione automatizzata che ti riguardi in modo significativo, di esprimere il tuo punto di vista e di contestare la decisione. Per esercitare questo diritto, contattaci all'indirizzo privacy@keycandle.com.

La Piattaforma non è destinata, né diretta, a individui di età inferiore ai diciotto (18) anni. Non raccogliamo, conserviamo o trattiamo consapevolmente dati personali di persone al di sotto di questa età. La verifica dell'età è applicata durante il processo di registrazione dell'account e attraverso le nostre procedure di verifica dell'identità KYC. Se veniamo a conoscenza di aver raccolto inavvertitamente dati personali da un minore, adotteremo misure immediate per eliminare tali dati dai nostri sistemi e chiudere l'account associato. Se sei un genitore o tutore e ritieni che un minore ci abbia fornito dati personali, contattaci immediatamente all'indirizzo privacy@keycandle.com affinché possiamo prendere le misure appropriate.

In qualità di piattaforma di prediction market che opera con asset digitali, siamo soggetti a rigorosi obblighi antiriciclaggio (AML) e di contrasto al finanziamento del terrorismo (CTF). In relazione ai dati finanziari, si applicano le seguenti disposizioni specifiche:

• Tutti gli utenti devono completare la verifica KYC prima di depositare fondi, aprire posizioni o prelevare saldi. La due diligence rafforzata (EDD) può essere richiesta per transazioni di importo elevato o account segnalati dai nostri sistemi automatizzati di valutazione del rischio.
• Siamo obbligati a segnalare le transazioni sospette all'Unità di Informazione Finanziaria (UIF) competente e a cooperare con le indagini delle forze dell'ordine. Tale segnalazione è obbligatoria e può essere effettuata senza previa notifica all'utente interessato, come richiesto dalla legge.
• Tutte le transazioni sulla Piattaforma sono soggette a monitoraggio automatizzato in tempo reale per individuare pattern indicativi di riciclaggio di denaro, finanziamento del terrorismo, violazioni delle sanzioni o altri reati finanziari. Tale monitoraggio è condotto mediante software di compliance specializzato.
• I registri finanziari, inclusi storico depositi/prelievi, log delle transazioni e documentazione KYC, sono conservati per un minimo di sette (7) anni dall'ultima transazione o dalla chiusura dell'account, in conformità con i requisiti di conservazione documentale AML applicabili.

In caso di violazione dei dati personali che possa comportare un rischio per i tuoi diritti e le tue libertà, notificheremo l'autorità di controllo competente senza indebito ritardo e, ove possibile, entro settantadue (72) ore dal momento in cui ne veniamo a conoscenza, in conformità all'Articolo 33 del GDPR. Laddove la violazione possa comportare un rischio elevato per i tuoi diritti e le tue libertà, ti informeremo anche direttamente senza indebito ritardo, in conformità all'Articolo 34 del GDPR, fornendoti: (a) una descrizione della natura della violazione; (b) il nome e i dati di contatto del nostro Responsabile della Protezione dei Dati; (c) una descrizione delle probabili conseguenze della violazione; e (d) una descrizione delle misure adottate o proposte per affrontare la violazione e attenuarne i potenziali effetti negativi. Manteniamo un piano di risposta agli incidenti completo e conduciamo esercitazioni di sicurezza regolari per garantire una risposta rapida ed efficace a qualsiasi incidente di sicurezza dei dati.

Se sei insoddisfatto del modo in cui abbiamo gestito i tuoi dati personali o qualsiasi richiesta relativa alla privacy, hai il diritto di presentare un reclamo. Ti incoraggiamo a contattarci prima all'indirizzo privacy@keycandle.com affinché possiamo cercare di risolvere la tua preoccupazione direttamente. Daremo riscontro al tuo reclamo entro cinque (5) giorni lavorativi e forniremo una risposta sostanziale entro trenta (30) giorni. Se non sei soddisfatto della nostra risposta, o se preferisci presentare un reclamo direttamente a un'autorità di controllo, puoi contattare: (a) l'Office of the Privacy Commissioner for Personal Data (PCPD) di Hong Kong (www.pcpd.org.hk); oppure (b) la tua autorità locale per la protezione dei dati all'interno dello Spazio Economico Europeo, se il GDPR si applica al trattamento dei tuoi dati. Hai inoltre il diritto di cercare un rimedio giudiziario dinanzi a un tribunale competente.

Puoi richiedere la chiusura del tuo account in qualsiasi momento contattando support@keycandle.com. Al ricevimento della tua richiesta di chiusura, si applicano le seguenti procedure di gestione dei dati: (a) tutti i saldi in sospeso devono essere prelevati prima della chiusura dell'account, nel rispetto delle procedure di verifica e prelievo applicabili; (b) il tuo account verrà disattivato e l'accesso alla Piattaforma verrà revocato; (c) i dati personali saranno conservati per il periodo minimo richiesto dalla legge — tipicamente cinque (5) anni per i dati dell'account e sette (7) anni per i registri finanziari, come previsto dalla normativa antiriciclaggio; (d) dopo la scadenza di tutti i periodi di conservazione obbligatori, i tuoi dati personali residui saranno cancellati in modo sicuro o resi anonimi in modo irreversibile; (e) i dati già anonimizzati e aggregati per finalità statistiche non saranno influenzati dalla chiusura dell'account, poiché non possono più essere ricondotti a te. Puoi richiedere una copia dei tuoi dati personali in un formato strutturato e leggibile da dispositivo automatico (portabilità dei dati) in qualsiasi momento prima o durante il processo di chiusura.

Potremmo aggiornare la presente Privacy Policy di tanto in tanto per riflettere cambiamenti nelle nostre pratiche, requisiti legali o indicazioni normative. Quando apporteremo modifiche sostanziali, ti informeremo tramite email e/o pubblicando un avviso ben visibile sulla Piattaforma almeno trenta (30) giorni prima dell'entrata in vigore delle modifiche. La data di "Ultimo aggiornamento" in cima a questa pagina indica la revisione più recente. L'uso continuato della Piattaforma dopo la data di efficacia costituisce accettazione della policy aggiornata.