Informativa sulla Privacy

Djambar AI FZCO Dubai Silicon Oasis, Dubai, Emirati Arabi Uniti Email: privacy@myumrah.ai Per i dati dei pellegrini, l'agenzia di viaggio cliente è il titolare del trattamento e Djambar AI FZCO agisce come responsabile del trattamento.

Dati dell'agenzia: nome, indirizzo, iscrizione al registro delle imprese, email, telefono, coordinate bancarie, numero di partita IVA intracomunitaria. Dati dei pellegrini (raccolti dall'agenzia tramite la piattaforma): • Identità: nome, data di nascita, nazionalità • Documenti: numero di passaporto, visto (crittografato AES-256) • Salute: informazioni mediche necessarie per il viaggio (crittografato AES-256) • Contatto: email, telefono, contatto di emergenza • Viaggio: date, pacchetto, preferenze Dati di pagamento: tipo di carta bancaria (Visa, Mastercard, Amex), ultime quattro cifre della carta, identificativo transazione Stripe. I numeri completi delle carte, i codici di sicurezza (CVV/CVC) e le date di scadenza non vengono mai raccolti, elaborati o memorizzati da MyUmrah.ai. Questi dati sono trattati esclusivamente da Stripe, fornitore certificato PCI DSS Livello 1. Dati di navigazione: pagine visitate, durata della sessione (tramite Umami Analytics, nessun cookie, nessun dato personale).

• Gestione del rapporto commerciale con le agenzie • Fornitura dei servizi della piattaforma (gestione pacchetti, CRM, messaggistica) • Conformità normativa (GDPR, PDPL) tramite modulo vDPO • Miglioramento della piattaforma (analitica anonimizzata) • Sicurezza della piattaforma (rilevamento frodi, registro di audit)

• Esecuzione del contratto (Art. 6.1.b GDPR): fornitura dei servizi sottoscritti • Interesse legittimo (Art. 6.1.f GDPR): sicurezza, miglioramento del servizio • Obbligo di legge (Art. 6.1.c GDPR): conformità fiscale e normativa • Consenso esplicito (Art. 9 GDPR): dati sanitari e convinzioni religiose

I dati sono accessibili esclusivamente a: • L'agenzia di viaggio interessata (tramite isolamento RLS) • Il team tecnico di Djambar AI FZCO (supporto, manutenzione) • I nostri sub-responsabili tecnici: Supabase (hosting), Vercel (CDN), Stripe (pagamenti), Anthropic (IA) Ogni sub-responsabile è vincolato da un DPA conforme all'articolo 28 del GDPR.

I dati possono essere trattati nei seguenti paesi: • Unione Europea (Supabase EU) • Stati Uniti (Vercel, Stripe, Anthropic) - Clausole Contrattuali Standard (SCC) in vigore • Emirati Arabi Uniti (sede di Djambar AI) Tutti i trasferimenti sono coperti da garanzie adeguate in conformità con il Capitolo V del GDPR e i requisiti del PDPL.

• Dati critici (passaporto, salute): cancellazione automatica 6 mesi dopo il viaggio • Dati sensibili (finanziari, contatti di emergenza): massimo 3 anni • Dati standard (identità, preferenze): durata del contratto + 1 anno • Dati di fatturazione: 10 anni (obbligo di legge) • Analitica: anonimizzata continuamente, nessun dato personale conservato

Ai sensi del GDPR (articoli da 15 a 22) e del PDPL, disponete dei seguenti diritti: • Diritto di accesso • Diritto di rettifica • Diritto alla cancellazione ("diritto all'oblio") • Diritto alla limitazione del trattamento • Diritto alla portabilità dei dati • Diritto di opposizione Per esercitare questi diritti: privacy@myumrah.ai Tempo di risposta: massimo 30 giorni. Potete inoltre presentare un reclamo presso la CNIL (Francia), SDAIA (Arabia Saudita) o qualsiasi autorità competente per la protezione dei dati.

MyUmrah.ai utilizza Umami Analytics, una soluzione analitica rispettosa della privacy che non imposta cookie e non raccoglie dati personali. Stripe, il nostro fornitore di pagamento, può utilizzare cookie strettamente necessari per la prevenzione delle frodi e la sicurezza delle transazioni durante il processo di pagamento. Questi cookie sono esenti dal requisito di consenso ai sensi dell'articolo 5(3) della Direttiva 2002/58/CE (Direttiva ePrivacy). A parte questi cookie funzionali, non è necessario alcun banner di consenso.

Implementiamo le seguenti misure: • Crittografia AES-256 dei dati sensibili a riposo • TLS 1.3 per tutte le comunicazioni • Row Level Security (RLS) per l'isolamento dei dati per agenzia • Autenticazione MFA disponibile • Registro di audit di tutti gli accessi ai dati sensibili • Test di sicurezza regolari • Conformità con il NIST Cybersecurity Framework e CIS Benchmarks Level 1

In conformità con la legge sulla protezione dei dati personali (PDPL): • Registrazione SDAIA: documentazione precompilata disponibile • Doppio opt-in per dati sensibili (salute, religione) • Consenso genitoriale richiesto per i dati dei minori • Notifica di violazione entro 72 ore a SDAIA • Periodo di conservazione limitato ai sensi dell'articolo 18 del PDPL

Ci riserviamo il diritto di modificare questa politica. Qualsiasi modifica sostanziale sarà notificata ai Clienti via email almeno 30 giorni prima dell'entrata in vigore.

Per qualsiasi domanda riguardante questa politica: Djambar AI FZCO Email: privacy@myumrah.ai Indirizzo: Dubai Silicon Oasis, Dubai, EAU