La versione giuridicamente vincolante di questo documento è quella francese. Questa versione in italiano è una traduzione di cortesia.
Ultimo aggiornamento: 2026-05-26
Informativa sulla privacy -- TIVERA
Versione: 2.0-beta -- DRAFT (riscrittura post-cloud self-hosted) Data di efficacia: 2026-06-01 Ultimo aggiornamento: 2026-06-01 Lingua di riferimento: francese (giurisdizione del titolare: Marocco -- Legge 09-08, autorità CNDP; il RGPD si applica a titolo extraterritoriale -- Art. 3.2 -- per gli utenti residenti nell'UE/SEE)
⚠️ DRAFT -- DA VALIDARE DA PARTE DI UN AVVOCATO (CNDP / legge 09-08 + RGPD) prima della pubblicazione. Questa riscrittura divulga l'account cloud opzionale + la telemetria self-hosted ormai in produzione (la versione 1.5-beta non li copriva). I campi ancora da compilare sono segnalati con
[A COMPLETER : ...](vincolati alla costituzione della LLC / a una casella postale in Marocco).Editore: Mitchou, persona fisica di diritto marocchino. La costituzione di TIVERA LLC (Wyoming) + l'attivazione dei pagamenti (Stripe / PayPal / BTCPay) saranno oggetto di un aggiornamento (titolare del trattamento, trasferimenti, rappresentante UE).
TL;DR
TIVERA è un'applicazione Android player IPTV BYOC (Bring Your Own Content). Importi i tuoi flussi (M3U / Xtream Codes / EPG XMLTV). Noi non ospitiamo, non distribuiamo e non suggeriamo alcun contenuto.
- Il cuore dell'app (riproduzione BYOC) non richiede ALCUN account: i tuoi flussi, le tue credenziali, la tua cronologia restano localmente sul tuo dispositivo, cifrati (SQLCipher AES-256 + Google Tink AEAD). Nulla viene inviato ai nostri server.
- Un account è OPZIONALE: unicamente se attivi Premium o la sincronizzazione multi-dispositivo. In tal caso vengono trattati una superficie minima di dati (la tua email, lo stato del tuo abbonamento, l'elenco dei tuoi dispositivi, le tue fatture) sul nostro backend self-hosted.
- Telemetria anonima: per migliorare la stabilità e l'app, raccogliamo statistiche di utilizzo anonime e rapporti di crash, indicizzati tramite un identificatore pseudonimo per-installazione (mai la tua identità, mai i tuoi flussi/canali).
- Zero pubblicità, zero tracker di terzi, zero vendita di dati.
1. Titolare del trattamento (Art. 13.1.a RGPD)
| Campo | Valore |
|---|---|
| Editore | Mitchou (editore indipendente, privato di diritto marocchino) |
| Pseudonimo commerciale | TIVERA |
| Email di contatto | [email protected] |
| Email privacy | [email protected] |
| Indirizzo postale | [A COMPLETER : adresse postale Maroc valide pour notice legale] |
| Responsabile della protezione dei dati (DPO) | Non richiesto (Art. 37 RGPD -- editore indipendente, < 250 dipendenti, nessun trattamento su larga scala di dati sensibili) |
| Rappresentante UE (Art. 27 RGPD) | [A COMPLETER : a designer avant le lancement public -- requis car responsable hors UE ciblant des utilisateurs UE] |
| Giurisdizione applicabile | Marocco -- Legge 09-08 (autorità: CNDP). RGPD a titolo extraterritoriale (Art. 3.2) per gli utenti UE/SEE. |
Termine di risposta impegnato: 30 giorni (Art. 12.3 RGPD).
2. Natura dell'applicazione (Art. 13.1.c RGPD)
TIVERA è un lettore IPTV generico BYOC distribuito sotto forma di APK diretto (e tramite gli store). Il package Android è com.mitchou.iptvpro.
Ciò che TIVERA È:
- Un lettore di flussi multimediali (video / audio) che apporti tu stesso.
- Un organizzatore locale delle tue fonti (URL M3U, Xtream Codes API, EPG XMLTV).
- Uno strumento di diagnostica locale + un registratore locale (DVR) su tua richiesta.
- Opzionalmente: un servizio di account (Premium + sincronizzazione dello stato dell'abbonamento tra i tuoi dispositivi), tramite un backend che noi operiamo (vedi § 3.4).
Ciò che TIVERA NON È:
- Non è un servizio di distribuzione di contenuti (zero canali precaricati, zero catalogo).
- Non è un servizio di raccomandazione algoritmica.
- Non è un servizio pubblicitario (zero tracker pubblicitario, zero rete ad di terzi).
Importante: usare TIVERA per riprodurre i tuoi flussi non richiede alcun account né alcuna connessione ai nostri server. L'account (§ 3.4) e la telemetria (§ 3.5) sono gli unici trattamenti che coinvolgono i nostri server; sono descritti in dettaglio qui di seguito.
Sei l'unico responsabile dei flussi che importi. Vedi Condizioni d'uso e Politica DMCA.
3. Dati trattati (Art. 13.1.c, 13.2.a RGPD)
3.1 Dati inseriti dall'utente -- archiviati localmente solo sul tuo dispositivo
| Dato | Finalità | Base giuridica (Art. 6 RGPD) | Archiviazione | Durata |
|---|---|---|---|---|
| URL M3U / playlist | Riproduzione dei tuoi flussi | Esecuzione del contratto (6.1.b) | Locale, SQLCipher AES-256 | Fino alla cancellazione manuale / disinstallazione |
| Credenziali Xtream (host, username, password) | Connessione al tuo pannello IPTV | Esecuzione del contratto (6.1.b) | Locale, Google Tink AEAD (chiave Android Keystore) su SQLCipher | Idem |
| URL / mapping EPG XMLTV | Guida ai programmi | Esecuzione del contratto (6.1.b) | Locale, SQLCipher AES-256 | Idem |
| Cronologia di riproduzione + posizione di ripresa | "Continue Watching" | Esecuzione del contratto (6.1.b) | Locale, SQLCipher AES-256 | Idem |
| Preferiti | Personalizzazione UI | Esecuzione del contratto (6.1.b) | Locale, SQLCipher AES-256 | Idem |
Registrazioni (DVR .ts/.mp4) | Visione differita su tua richiesta | Esecuzione del contratto (6.1.b) | Locale, non cifrato, scoped storage | Idem |
| Preferenze UI | Personalizzazione UX | Interesse legittimo (6.1.f) | Locale, DataStore Proto | Idem |
Nessuno di questi dati viene trasmesso a Mitchou né ad alcun terzo.
3.2 Dati raccolti automaticamente dall'applicazione
| Dato | Raccolto? |
|---|---|
| Identificatore pubblicitario (AAID/GAID) | No |
| Geolocalizzazione | No |
| Contatti / SMS / chiamate | No |
| Foto / file (esclusi le registrazioni DVR esplicite) | No |
| Dati biometrici | No |
| Identificatore hardware (Android ID, IMEI, MAC) | No |
| Microfono / fotocamera | No (permessi non dichiarati) |
| Indirizzo IP | Non per la navigazione corrente. Tuttavia, durante operazioni sensibili legate all'account (revoca di un dispositivo, abbinamento, richieste RGPD, limitazione di banda), il nostro backend registra temporaneamente l'IP client + lo User-Agent in un registro di audit (audit_log) a fini di sicurezza / anti-abuso -- vedi § 3.4. Conservazione 90 giorni, anonimizzata alla cancellazione dell'account. |
3.3 Dati tecnici trasmessi ai server che configuri tu
Quando importi un pannello Xtream o un URL M3U/EPG, le tue richieste escono dal tuo dispositivo verso il server che hai scelto (né Mitchou né TIVERA). Tale server riceve il tuo IP, le tue credenziali Xtream e il tuo User-Agent. Non abbiamo alcun controllo sulla sua informativa sulla privacy -- consultala prima di affidargli le tue credenziali.
3.4 Account cloud TIVERA -- OPZIONALE (Premium / multi-dispositivo)
Se -- e solo se -- crei un account (per attivare Premium o sincronizzare il tuo stato tra dispositivi), trattiamo una superficie minima di dati sul nostro backend self-hosted (software PocketBase, sull'infrastruttura di Mitchou in Marocco, esposto tramite Cloudflare Tunnel). Nessuno dei tuoi flussi, credenziali Xtream, canali o cronologia viene mai inviato a questo backend -- restano sul tuo dispositivo (§ 3.1).
| Dato | Finalità | Base giuridica |
|---|---|---|
| Email (connessione tramite link magico / codice OTP, oppure « Continua con Google » opzionale) | Identificare il tuo account, inviarti il codice di connessione | Esecuzione del contratto (6.1.b) |
Stato dell'abbonamento (entitlement: piano, fornitore, data di scadenza) | Dare accesso a Premium sui tuoi dispositivi | Esecuzione del contratto (6.1.b) |
| Dispositivi (id, nome dato da te, piattaforma, ultima attività -- max 5) | Gestire i tuoi dispositivi + sicurezza | Esecuzione del contratto + interesse legittimo (sicurezza) |
| Abbinamento (token effimero hashato, scade in 5 min, monouso) | Connessione tramite QR tra dispositivi | Esecuzione del contratto (6.1.b) |
| Fatture (metadati: importo visualizzato, stato, link PDF ospitato presso il prestatore di pagamento) | Obbligo contabile / contenziosi | Obbligo legale (6.1.c) |
Registro di audit (audit_log: azione, IP client, User-Agent, email ridotta al dominio) | Sicurezza / anti-abuso / prova RGPD | Interesse legittimo (6.1.f) |
- L'eventuale password è archiviata hashata (mai in chiaro). I token di abbinamento sono archiviati hashati (SHA-256), mai in chiaro.
- Conservazione: fino alla cancellazione del tuo account (§ 5, diritto alla cancellazione -- purga a cascata), salvo le fatture (obbligo contabile, vedi § 10) e il registro di audit (90 gg, PII anonimizzata alla cancellazione).
3.5 Telemetria (statistiche di utilizzo + rapporti di crash) -- anonima / pseudonima
Per migliorare la stabilità e l'applicazione, raccogliamo una telemetria indicizzata tramite un identificatore installId pseudonimo: un UUID casuale generato per-installazione, senza alcun identificatore hardware, senza email, senza PII, e mai collegato al tuo account.
| Flusso | Dati | Finalità | Base giuridica | Conservazione |
|---|---|---|---|---|
Statistiche di utilizzo (app_events, il nostro backend) | installId pseudonimo, evento di utilizzo (es. apertura di una schermata), piattaforma, versione dell'app | Misure di prodotto (utenti attivi, retention) | Interesse legittimo (6.1.f) -- [A COMPLETER : a confirmer avec l avocat : interet legitime vs consentement pour l analytics] | 90 giorni |
| Rapporti di crash | installId pseudonimo, stack di chiamate, sequenza di eventi tecnici (breadcrumbs redatti), modello del dispositivo, versione | Diagnostica + stabilità | Interesse legittimo (6.1.f) | 90 giorni |
Aggregati (daily_metrics, il nostro backend) | installId pseudonimo, contatori e percentili aggregati (nessun nome di canale, nessun URL) | Confronto di versioni, tendenze | Interesse legittimo (6.1.f) | 180 giorni |
Strumenti di crash: transizione in corso da Google Firebase Crashlytics (storico) verso GlitchTip self-hosted (sentry.tivera.tv, infrastruttura di Mitchou). Durante la transizione, i due possono coesistere; Crashlytics resta opt-in (disattivato per impostazione predefinita, Impostazioni -> Privacy). Il dump diagnostico completo va invece sul nostro backend (self-hosted).
Ciò che NON è MAI nella telemetria: i tuoi URL M3U/EPG, le tue credenziali Xtream, i nomi dei tuoi canali/film/serie, la tua cronologia di riproduzione, la tua email, alcun identificatore pubblicitario. Una redazione sistematica (SecretRedactor) elimina URL/credenziali/token prima di qualsiasi emissione.
3.6 Nessun altro strumento di analytics / pubblicitario
Nessun Firebase Analytics, Google Analytics, Meta/Facebook SDK, AdMob né rete pubblicitaria, Mixpanel/Amplitude/Segment, pixel di tracciamento. (Qualsiasi aggiunta futura comporterà un aggiornamento di questa informativa + notifica in-app -- § 11.)
4. Destinatari dei dati (Art. 13.1.e RGPD)
| Destinatario | Dati | Finalità | Paese |
|---|---|---|---|
| Tu (sul tuo dispositivo) | 100% dei dati BYOC inseriti | Uso dell'app | Locale |
| Server IPTV/EPG che configuri tu | Credenziali Xtream + IP + User-Agent | Autenticazione + riproduzione | Variabile (tua scelta) |
| Il nostro backend self-hosted (Mitchou, Marocco) | UNICAMENTE se account: email, entitlement, dispositivi, abbinamento, fatture (metadati), audit; + telemetria pseudonima (installId) | Account / Premium / sicurezza / miglioramento prodotto | Marocco |
| Cloudflare | Transito di rete (CDN + Tunnel + WAF) -- vede IP/header, non archivia alcun dato personale | Instradamento + sicurezza di rete | Multinazionale (DPA) |
| GlitchTip (self-hosted) | Rapporti di crash pseudonimi | Diagnostica | Marocco (infra Mitchou) |
| Prestatori di pagamento (Stripe / PayPal / BTCPay) | Dati di pagamento inseriti sulle loro pagine (redirezione) -- TIVERA non vede mai la tua carta | Incasso Premium | USA / variabile (loro DPA) |
| Email transazionale (prestatore SMTP, es. Brevo) | Email + codice di connessione (OTP) | Invio del link/codice | UE / variabile (DPA) |
| Google (opzionale) | OAuth « Continua con Google » (se scelto); Play Integrity (anti-frode); Play Billing (se acquisto tramite il Play Store) | Connessione / anti-frode / pagamento | USA (DPA Google) |
| Google Firebase Crashlytics (opt-in, in transizione) | Stack trace + Installation ID pseudonimo | Diagnostica crash | USA/UE (CCT + DPF) |
Nessuna vendita di dati. Nessuna condivisione pubblicitaria. Nessun dato di flussi/canali lascia il tuo dispositivo.
5. I tuoi diritti (Art. 13.2.b, 15 a 22 RGPD + CCPA)
5.1 Diritti RGPD (residenti UE / SEE / UK)
| Diritto | Come esercitarlo |
|---|---|
| Accesso (Art. 15) | Dati locali: Impostazioni -> Privacy -> Esporta i miei dati. Dati dell'account: esportazione machine-readable del tuo account (email, entitlement, dispositivi, fatture, abbinamenti [token redatto], registri che ti riguardano) -- da /account o su richiesta a [email protected]. |
| Rettifica (Art. 16) | Locale: nell'app. Account: email modificabile, oppure richiesta a [email protected]. |
| Cancellazione / oblio (Art. 17) | Locale: Impostazioni -> Privacy -> Cancella tutti i miei dati OPPURE disinstalla. Account: cancellazione a cascata (da /account o tramite [email protected]) -- elimina entitlement, dispositivi, fatture, abbinamenti, e anonimizza le tue righe del registro di audit. |
| Limitazione (Art. 18) | Disattivare Crashlytics opt-in; cancellare le fonti locali; richiedere la limitazione dell'account a [email protected]. |
| Portabilità (Art. 20) | Le stesse esportazioni JSON (locale + account), formati aperti. |
| Opposizione (Art. 21) | Telemetria (interesse legittimo): [A COMPLETER : mecanisme d opt-out a confirmer avec l avocat]. Account: cancellalo. |
| Decisione automatizzata (Art. 22) | Nessuna profilazione né decisione automatizzata. Il motore di recovery è puramente euristico -- nessun Machine Learning / AI ai sensi dell'AI Act. |
5.2 Diritti CCPA / CPRA (California)
TIVERA non vende né condivide dati ai sensi del CCPA. Diritti Know / Delete / Correct / Opt-Out (non applicabile) / Limit (nessun dato sensibile) / Non-Discrimination / Authorized Agent applicabili -- esercizio tramite [email protected] (termine 45 gg).
5.3 Reclamo
- CNDP (Marocco): https://www.cndp.ma
- Residenti UE/SEE: la tua autorità nazionale (es. CNIL: https://www.cnil.fr/fr/plaintes). Elenco: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG: https://oag.ca.gov/contact/consumer-complaint-against-business-or-company
6. Sicurezza dei dati (Art. 32 RGPD)
6.1 Sul dispositivo
- SQLCipher (AES-256) sul database locale; Google Tink AEAD (chiave Android Keystore TEE/StrongBox) come sovrastrato per le credenziali Xtream/EPG (AAD vincolato alla riga, anti cell-swap).
- Permessi Android minimi (nessun permesso pericoloso runtime); R8/ProGuard; regole di backup restrittive;
SecretRedactorsu ogni log.
6.2 Backend (account + telemetria)
- Backend self-hosted (PocketBase, Marocco); esposto tramite Cloudflare Tunnel (TLS terminato al bordo, WAF).
- Webhook di pagamento verificati (HMAC + anti-rejeu + idempotenza); lease di abbonamento firmato (Ed25519); token di abbinamento hashati; password hashate.
- Backup cifrati (AES-256); registro di audit per le operazioni sensibili.
6.3 Cifratura in transito
- HTTPS verso il nostro backend (
api.tivera.tv) e i nostri sottodomini. - Cleartext HTTP tollerato unicamente verso i server IPTV/EPG che configuri tu (molti pannelli servono ancora in HTTP -- rifiutarlo romperebbe l'uso BYOC).
6.4 Notifica di violazione (Art. 33-34 RGPD)
In caso di violazione che interessa i tuoi diritti, Mitchou notifica la CNDP (e, per gli utenti UE, l'autorità competente) entro 72 ore, e te direttamente se il rischio è elevato. Procedura: docs/cloud/INCIDENT_RESPONSE.md.
7. Minori (COPPA + Art. 8 RGPD)
TIVERA è destinato ai 13 anni o più. Nessuna raccolta intenzionale di dati di minori di età inferiore a 13 anni; age gate dichiarativo al primo avvio. Genitore/tutore: [email protected] per qualsiasi cancellazione.
8. Cookie / tracker di terzi
- Applicazione: nessun cookie HTTP proprio; eventuali cookie di server terzi (es.
__cf_bmdi un pannello) gestiti in RAM (InMemoryCookieJar), mai persistiti. Nessun pixel/beacon. - Sito
tivera.tv: nessun cookie di terzi, nessuno script analytics/pubblicitario di terzi, nessun CDN esterno in runtime (regola interna R-NA-1). Le chiamate vanno unicamente verso il nostro backend (api.tivera.tv) su azione dell'utente (connessione, account).
9. Trasferimenti internazionali (Art. 44 a 50 RGPD)
| Trasferimento | Quadro |
|---|---|
| Il tuo dispositivo -> server IPTV/EPG che configuri tu | Nessun trasferimento orchestrato da Mitchou (sei tu a scegliere il destinatario). |
| Il tuo dispositivo -> il nostro backend (Marocco) (se account/telemetria) | Il Marocco non è nell'elenco di adeguatezza UE. Per gli utenti UE: [A COMPLETER : base/garantie a confirmer avec l avocat -- necessite contractuelle (Art. 49) et/ou garanties appropriees + designation d un representant UE Art. 27]. |
| Transito Cloudflare | Instradamento di rete (nessuna archiviazione di dati personali); DPA Cloudflare. |
| Pagamento (Stripe/PayPal/BTCPay), SMTP, Google (opzionali) | Sotto i loro rispettivi DPA / CCT / DPF. |
| Crashlytics opt-in -> Google LLC | CCT UE + DPF; pseudonimizzazione. |
10. Durata di conservazione (Art. 13.2.a RGPD)
| Categoria | Durata |
|---|---|
| Dati locali (M3U, Xtream, EPG, cronologia, registrazioni) | Finché l'app è installata; cancellazione immediata alla disinstallazione / tramite Cancella tutti i miei dati. |
| Account (email, entitlement, dispositivi, abbinamenti) | Fino alla cancellazione dell'account (purga a cascata). Entitlement: fino alla scadenza + 90 gg (finestra contenziosi/rimborso). |
| Fatture | 3 anni minimo (obbligo contabile -- da confermare; richiesto anche dai prestatori di pagamento per i contenziosi). |
Registro di audit (audit_log, incl. IP) | 90 giorni; righe anonimizzate alla cancellazione dell'account. |
Statistiche di utilizzo (app_events) | 90 giorni. |
Rapporti di crash (crash_reports / GlitchTip) | 90 giorni. |
Aggregati (daily_metrics) | 180 giorni (contatori anonimi). |
| Crashlytics opt-in | 90 gg lato Google; cancellazione su richiesta. |
Log PerfEvent (buffer.log dispositivo) | Ring buffer locale, mai trasmesso tale e quale; cancellato alla disinstallazione. |
11. Aggiornamento di questa informativa
Qualsiasi modifica sostanziale comporta: notifica in-app al successivo avvio + aggiornamento della data + conservazione del diff Git (versionata pubblicamente) + ri-accettazione se viene aggiunta una nuova categoria di trattamento. Le modifiche minori non attivano la ri-accettazione.
12. Contatto
- Email generale:
[email protected] - Email privacy (esercizio dei diritti):
[email protected] - Email DMCA:
[email protected](cfr. Politica DMCA) - Indirizzo postale:
[A COMPLETER : adresse postale Maroc valide]
Termine di risposta: 30 giorni (RGPD) / 45 giorni (CCPA).
13. Documenti associati
Stato: DRAFT v2.0-beta del 2026-06-01 -- divulga l'account cloud opzionale + la telemetria self-hosted ormai in produzione. Da validare da parte di un avvocato (CNDP legge 09-08 + RGPD) prima della pubblicazione definitiva: base giuridica della telemetria (interesse legittimo vs consenso), garanzie di trasferimento Marocco->UE, rappresentante UE (Art. 27), meccanismo di opt-out della telemetria. La versione francese fa fede; le altre lingue sono traduzioni di cortesia.