Informativa sulla privacy

1. Chi è responsabile dei tuoi dati (titolare del trattamento)

Il titolare del trattamento responsabile delle operazioni descritte nella presente informativa è:

Lorenzo Pironti (ditta individuale), Viale Partigiani d'Italia 35, 43123 Parma (PR), Italia. Partita IVA: IT03106290343.

Per tutte le questioni relative alla privacy, compreso l'esercizio dei tuoi diritti in qualità di interessato, puoi contattarci all'indirizzo privacy@tcgnotify.com.

Responsabile della protezione dei dati (DPO): non nominato (non sussiste l'obbligo di nomina ai sensi dell'art. 37 GDPR). Rappresentante UE (art. 27 GDPR): non applicabile, in quanto il titolare è stabilito nell'Unione europea (Italia). Rappresentante nel Regno Unito: non applicabile.

2. Ambito di applicazione: sito web e App

La presente informativa riguarda due contesti molto diversi e, di conseguenza, le pratiche relative ai dati differiscono.

Sito web (minimale). Questo sito di marketing è progettato per dare priorità alla privacy. Non utilizza analytics, pubblicità, pixel di tracciamento né profilazione di terze parti. L'unico cookie che può impostare è un cookie di preferenza linguistica strettamente funzionale, e solo quando cambi manualmente lingua (vedi l'Informativa sui cookie).

App. L'App iOS TCGNotify è un prodotto basato su account che ti aiuta a monitorare collezioni di carte da gioco, prezzi e gradazioni, nonché a ricevere avvisi. Per farlo, l'App tratta necessariamente più dati personali, tutti descritti di seguito.

3. Dati che trattiamo tramite il sito web

Non utilizziamo alcuna tecnologia di analytics, pubblicità, tracciamento o profilazione su questo sito.

Preferenza linguistica. Quando cambi manualmente la lingua del sito, memorizziamo la tua scelta in un cookie strettamente funzionale denominato NEXT_LOCALE. Contiene solo un codice di lingua (ad esempio "en" o "de"), non contiene dati personali ed è utilizzato esclusivamente per ricordare la tua preferenza. Nessun cookie di questo tipo viene impostato a meno che tu non cambi attivamente la lingua.

Sicurezza e distribuzione (Cloudflare). Il nostro sito e la nostra infrastruttura sono erogati tramite Cloudflare, che funge da rete di distribuzione dei contenuti (CDN) e da firewall per applicazioni web. Nell'ambito dell'erogazione sicura dei contenuti, Cloudflare può trattare in modo transitorio dati tecnici di connessione, come il tuo indirizzo IP e i metadati delle richieste, e può impostare cookie di sicurezza strettamente necessari, per proteggere da attacchi e abusi. La base giuridica è il nostro legittimo interesse a mantenere il servizio sicuro e disponibile (art. 6, par. 1, lett. f, GDPR).

Non creiamo profili degli utenti a partire dalle visite al sito e non combiniamo i dati del sito con i dati dell'App.

4. Categorie di dati che trattiamo nell'App

A seconda di come utilizzi l'App, potremmo trattare le seguenti categorie di dati personali:

Account e profilo: il tuo nome visualizzato, le preferenze del profilo e gli identificativi di autenticazione del provider di accesso che scegli (Apple, Google o Discord).

Indirizzo email: memorizzato in forma crittografata e, inoltre, indicizzato tramite un hash unidirezionale, in modo da poter cercare un account senza conservare una copia in chiaro disponibile per le consultazioni quotidiane. Se accedi con Apple e scegli la funzione "Hide My Email", l'indirizzo email che riceviamo è un indirizzo di inoltro anonimizzato (@privaterelay.appleid.com) — in tal caso non abbiamo accesso al tuo indirizzo email reale e tutte le comunicazioni transitano attraverso il servizio di inoltro Apple.

Token push del dispositivo: memorizzati in forma crittografata, così da poterti recapitare gli avvisi che hai attivato.

Dati della collezione: le carte che aggiungi alla tua collezione e le copie che possiedi, comprese condizione, quantità, immagini di ricevute o prove d'acquisto e le tue note personali.

Wishlist: le carte che desideri acquisire.

Acquisti e portafoglio: prezzi di acquisto, date e dati di valutazione del portafoglio che registri.

Immagini di scansione ed embedding di machine learning: le foto che scatti per identificare o valutare le carte e i vettori numerici di caratteristiche (embedding) da esse derivati per l'abbinamento.

Link social: eventuali link a profili o marketplace esterni che scegli di aggiungere.

Log di audit e di sicurezza: registri di eventi rilevanti per la sicurezza, che possono includere il tuo indirizzo IP, lo user-agent, le marche temporali e l'azione eseguita, conservati per proteggere il tuo account e il nostro servizio.

5. Finalità e basi giuridiche

Trattiamo i tuoi dati personali per le seguenti finalità e sulle seguenti basi giuridiche ai sensi dell'art. 6 GDPR:

Per fornire il servizio (contratto — art. 6, par. 1, lett. b). Creazione e gestione del tuo account, archiviazione della tua collezione e della tua wishlist, calcolo dei valori di portafoglio ed erogazione delle funzionalità principali che richiedi.

Per mantenere il servizio sicuro e affidabile (legittimo interesse — art. 6, par. 1, lett. f). Mantenimento dei log di audit, prevenzione di frodi e abusi, debug e protezione della nostra infrastruttura. Puoi opporti a questo trattamento come descritto di seguito nella sezione relativa ai tuoi diritti.

Per inviare notifiche (contratto e consenso). Gli avvisi fondamentali, relativi al servizio, fanno parte della fornitura dell'App. I canali di notifica facoltativi possono essere disattivati singolarmente e la funzione di abbinamento scambi è esclusivamente su base opt-in. Laddove ci basiamo sul consenso (art. 6, par. 1, lett. a), puoi revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Per identificare e valutare le carte dalle tue scansioni. Trattamento delle immagini di scansione e degli embedding per alimentare il riconoscimento e le stime dei grade, nell'ambito della fornitura delle funzionalità che utilizzi.

Non svolgiamo attività di pubblicità, targeting pubblicitario o processi decisionali automatizzati che producano effetti giuridici o analogamente significativi nei tuoi confronti.

6. Sub-responsabili e destinatari

Ci avvaliamo di un numero ristretto di sub-responsabili del trattamento accuratamente selezionati per gestire il servizio. Non vendiamo i tuoi dati personali e non li condividiamo con inserzionisti pubblicitari. Non utilizziamo fornitori di analytics di terze parti, reti pubblicitarie né, al momento, alcun processore di pagamenti.

Apple Inc. — Finalità: autenticazione Sign in with Apple e notifiche push tramite APNs. Dati trattati: identificativo Apple ID; nome (solo se scegli di condividerlo al primo accesso); indirizzo email (il tuo Apple ID reale oppure, se scegli "Hide My Email", un indirizzo di inoltro anonimizzato @privaterelay.appleid.com — in tal caso non abbiamo accesso all'email reale e tutte le comunicazioni transitano attraverso il servizio di inoltro Apple); token push del dispositivo. Luogo del trattamento: USA. Base del trasferimento: Clausole Contrattuali Tipo dell'UE e, ove applicabile, EU–US Data Privacy Framework. Privacy policy: https://www.apple.com/legal/privacy/.

Google LLC — Finalità: autenticazione Sign in with Google. Dati trattati: identificativo univoco dell'account Google, nome, indirizzo email e, ove disponibile, immagine del profilo. Luogo del trattamento: USA. Base del trasferimento: Clausole Contrattuali Tipo dell'UE ed EU–US Data Privacy Framework. Privacy policy: https://policies.google.com/privacy.

Discord Inc. — Finalità: accesso OAuth e notifiche facoltative via webhook. Dati trattati: identificativo dell'account Discord, username, indirizzo email; per i webhook che configuri, i messaggi di avviso che recapitiamo all'URL del webhook. Luogo del trattamento: USA. Base del trasferimento: Clausole Contrattuali Tipo dell'UE. Privacy policy: https://discord.com/privacy.

Resend, Inc. — Finalità: recapito di email transazionali (verifica dell'account, reset della password, comunicazioni relative all'account e al servizio). Dati trattati: indirizzo email, nome (ove fornito) e contenuto del messaggio transazionale. Luogo del trattamento: USA. Base del trasferimento: Clausole Contrattuali Tipo dell'UE. Privacy policy: https://resend.com/legal/privacy-policy.

Cloudflare, Inc. — Finalità: rete di distribuzione dei contenuti (CDN), firewall per applicazioni web e tunnel sicuro per la nostra infrastruttura. Dati trattati: metadati di connessione (indirizzo IP, header di richiesta, user-agent) trattati in modo transitorio per rilevare e mitigare abusi, oltre a cookie di sicurezza strettamente necessari. Luogo del trattamento: rete edge distribuita globalmente, comprese SEE e USA. Base del trasferimento: Clausole Contrattuali Tipo dell'UE ove applicabili. Privacy policy: https://www.cloudflare.com/privacypolicy/.

Object storage self-hosted (MinIO) — Finalità: archiviazione delle immagini che carichi (ricevute, scansioni). Gestito sulla nostra infrastruttura, all'interno dello SEE. Nessun responsabile esterno coinvolto; le immagini sono archiviate crittografate a riposo e servite tramite URL prefirmati di breve durata.

Observability self-hosted (OpenTelemetry) — Finalità: logging e tracing operativi per debug e risposta agli incidenti. Gestito sulla nostra infrastruttura, all'interno dello SEE. Nessun servizio SaaS di analytics di terze parti.

7. Per quanto tempo conserviamo i tuoi dati (conservazione)

La cancellazione dell'account utilizza un periodo di tolleranza di soft-delete di 30 giorni. Quando richiedi la cancellazione, il tuo account viene disattivato immediatamente e programmato per la rimozione permanente. Trascorsi 30 giorni, i tuoi dati vengono cancellati in modo permanente dai nostri sistemi tramite cancellazione a cascata, fatta eccezione per i limitati registri descritti di seguito.

I link alle immagini hanno breve durata. L'accesso alle immagini archiviate viene concesso tramite URL prefirmati (presigned) che scadono dopo 15 minuti; le immagini stesse restano crittografate a riposo fino alla cancellazione.

I log di audit e di sicurezza sono conservati per fino a 7 anni (il collegamento alla tua identità viene anonimizzato in modo irreversibile dopo l'eliminazione dell'account) per adempiere ai nostri obblighi di sicurezza e legali e possono essere conservati dopo la cancellazione dell'account nella misura necessaria (vedi la pagina Cancellazione dei dati).

Laddove la legge ci imponga di conservare determinati registri per un periodo più lungo, conserveremo solo ciò che la legge richiede e per non più tempo del necessario.

8. I tuoi diritti

Fatte salve le condizioni previste dal GDPR, hai il diritto di:

Accedere e ottenere una copia (export portabile) dei tuoi dati personali;

Rettificare dati inesatti o incompleti;

Cancellare i tuoi dati ("diritto all'oblio");

Limitare il trattamento in determinate circostanze;

Portabilità dei dati, per ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico;

Opporti al trattamento basato sui nostri legittimi interessi; e

Revocare il consenso in qualsiasi momento, laddove il trattamento si basi sul consenso, senza pregiudicare il trattamento precedente.

Come esercitare i tuoi diritti. Puoi esercitare la maggior parte di questi diritti direttamente nell'App (compresi l'export e la cancellazione dell'account). Puoi anche contattarci all'indirizzo privacy@tcgnotify.com. Potremmo aver bisogno di verificare la tua identità prima di dare seguito a una richiesta.

Diritto di reclamo. Hai inoltre il diritto di proporre reclamo a un'autorità di controllo per la protezione dei dati, in particolare nello Stato membro dell'UE/SEE in cui risiedi abitualmente, lavori o in cui si è verificata la presunta violazione. In Italia, l'autorità competente è il «Garante per la protezione dei dati personali» (Piazza Venezia 11, 00187 Roma; www.garanteprivacy.it). Se ti trovi nel Regno Unito, puoi invece rivolgerti all'Information Commissioner's Office (ICO) del Regno Unito.

9. Trasferimenti internazionali di dati

Alcuni dei nostri sub-responsabili (come Apple, Google, Discord, Resend e Cloudflare) possono trattare i dati al di fuori dello Spazio economico europeo. Laddove i dati personali vengano trasferiti verso un Paese che non ha ricevuto una decisione di adeguatezza, ci basiamo su garanzie adeguate ai sensi del Capo V del GDPR, in particolare le Clausole Contrattuali Tipo (SCC) della Commissione europea e, ove applicabile, il Data Privacy Framework UE–USA (DPF).

Puoi richiedere ulteriori informazioni su queste garanzie contattandoci all'indirizzo privacy@tcgnotify.com.

10. Minori

L'App non è destinata ai minori. Per creare un account devi avere almeno 16 anni, in linea con l'art. 8 GDPR (fatta salva un'eventuale età inferiore stabilita dal tuo Stato membro).

Se ritieni che un minore ci abbia fornito dati personali senza un consenso adeguato, contatta privacy@tcgnotify.com e adotteremo le misure necessarie per cancellarli.

11. Come proteggiamo i tuoi dati (sicurezza)

Applichiamo misure tecniche e organizzative adeguate al rischio, tra cui: la crittografia dei dati sensibili a riposo (come indirizzi email e token di dispositivo); l'autenticazione senza password e federata (Sign in with Apple, Google e Discord), così da non memorizzare mai password; l'hashing unidirezionale per le ricerche delle email; gli URL prefirmati a breve durata per l'accesso alle immagini; nonché controlli di accesso e logging in tutta la nostra infrastruttura.

Nessun metodo di trasmissione o archiviazione è completamente sicuro, ma ci impegniamo a proteggere i tuoi dati e a rispondere tempestivamente a qualsiasi incidente.

12. Modifiche alla presente informativa

Potremmo aggiornare di tanto in tanto la presente Informativa sulla privacy. Quando apportiamo modifiche sostanziali, aggiorneremo la data di "ultimo aggiornamento" e, ove opportuno, ti informeremo nell'App.

La versione in lingua inglese è la versione che fa fede; le traduzioni sono fornite esclusivamente a titolo di cortesia.