Privacy Policy — UsatoTattico
Ultima revisione: [DATA DA INSERIRE] Versione: 1.0
La presente informativa descrive come UsatoTattico raccoglie e tratta i dati personali degli Utenti dell'applicazione mobile, del sito web e dei servizi correlati, in conformità al Regolamento (UE) 2016/679 ("GDPR") e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy").
1. Titolare del trattamento
HubOne di Guerriero Angelo — ditta individuale, titolare del marchio "UsatoTattico"
- Sede legale: [DA INSERIRE]
- P.IVA / C.F.: [DA INSERIRE]
- Email contatto privacy: [DA INSERIRE — es. privacy@usatotattico.app]
- PEC: [DA INSERIRE]
Di seguito anche "il Titolare".
Per questioni di natura privacy, l'Utente può rivolgersi all'indirizzo email dedicato sopra indicato.
2. Tipologie di dati trattati
Il Titolare tratta le seguenti categorie di dati personali:
2.1. Dati forniti dall'Utente
- Dati anagrafici e di contatto: nome, cognome, email, eventuale numero di telefono, indirizzo di residenza, indirizzo di spedizione.
- Credenziali di accesso: password (memorizzata in forma cifrata da Supabase Auth) o identificativi forniti da provider di Single Sign-On (Google, Apple).
- Foto profilo: immagine caricata dall'Utente.
- Contenuti annunci: foto, video, descrizioni dei beni messi in vendita.
- Comunicazioni: messaggi inviati tramite la chat in-app tra Utenti, comunicazioni inviate al servizio clienti.
- Dati di pagamento: gestiti direttamente da Stripe Inc.; il Titolare riceve unicamente identificativi tecnici e metadati delle transazioni (importo, stato, riferimento ordine), non i dati della carta.
- Dati Stripe Connect (solo Venditori): documenti di identità e dati anagrafici/IBAN forniti per l'onboarding del conto pagamenti, gestiti direttamente da Stripe.
2.2. Dati raccolti automaticamente
- Dati di utilizzo: log degli accessi, attività in App (annunci visualizzati, ordini, chat), interazioni con le funzionalità.
- Dati tecnici: indirizzo IP, tipo di dispositivo e sistema operativo, identificativi pubblicitari, lingua del dispositivo, fuso orario.
- Dati di geolocalizzazione: solo se l'Utente concede esplicito consenso, per stimare costi di spedizione e visualizzare annunci nelle vicinanze.
- Token notifiche push (FCM): identificativo del dispositivo necessario per inviare notifiche push tramite Firebase Cloud Messaging.
- Cookie e tecnologie analoghe: vedi la Cookie Policy dedicata.
2.3. Dati relativi al programma Partner Tattico
Per i Partner: codice referral personale, dati di attribuzione delle vendite, registro delle commissioni, dati fiscali necessari al pagamento delle commissioni. Per gli Utenti reclutati: viene raccolto un fingerprint tecnico (hash crittografico calcolato a partire dall'indirizzo IP e dalla lingua del browser) al momento del clic sul link referral, al solo fine di abbinare l'attribuzione alla successiva registrazione. Il fingerprint non identifica direttamente la persona e viene scartato dopo l'abbinamento o dopo un periodo limitato in caso di mancata registrazione.
2.4. Dati di terzi forniti dall'Utente
Se l'Utente fornisce dati relativi a terzi (es. indirizzo di consegna di un destinatario diverso), garantisce di aver ottenuto il consenso degli stessi e si fa carico di eventuali responsabilità verso detti soggetti.
2.5. Dati di minori
Il servizio non è destinato a minori di 18 anni. Il Titolare non raccoglie consapevolmente dati di minori. Se viene rilevato un account intestato a un minore, l'account è chiuso e i dati cancellati senza ritardo.
3. Finalità e basi giuridiche del trattamento
| # | Finalità | Base giuridica (art. 6 GDPR) |
|---|---|---|
| a | Registrazione e gestione dell'account, autenticazione | Esecuzione di un contratto (art. 6.1.b) |
| b | Pubblicazione di annunci e perfezionamento di ordini tra Utenti | Esecuzione di un contratto (art. 6.1.b) |
| c | Intermediazione dei pagamenti tramite Stripe | Esecuzione di un contratto (art. 6.1.b) |
| d | Gestione di messaggi, dispute e assistenza clienti | Esecuzione di un contratto (art. 6.1.b) e legittimo interesse del Titolare (art. 6.1.f) |
| e | Invio di notifiche push e comunicazioni operative inerenti al servizio | Esecuzione di un contratto (art. 6.1.b) |
| f | Programma Partner Tattico, attribuzione delle vendite, calcolo commissioni | Esecuzione di un contratto (art. 6.1.b) |
| g | Geolocalizzazione per stima costi spedizione e annunci nelle vicinanze | Consenso dell'Utente (art. 6.1.a), revocabile in qualsiasi momento |
| h | Prevenzione frodi, sicurezza della Piattaforma, audit | Legittimo interesse (art. 6.1.f) e obbligo di legge (art. 6.1.c) |
| i | Adempimenti contabili, fiscali e di legge (incluso reporting DAC7) | Obbligo di legge (art. 6.1.c) |
| j | Marketing diretto (es. email con offerte, novità) | Consenso dell'Utente (art. 6.1.a), revocabile in qualsiasi momento |
| k | Difesa in giudizio e gestione di reclami | Legittimo interesse (art. 6.1.f) |
L'Utente può rifiutare o revocare il consenso per le finalità basate sull'art. 6.1.a senza alcuna conseguenza sull'erogazione del servizio principale; il rifiuto può tuttavia limitare l'accesso a funzionalità accessorie (es. geolocalizzazione → niente stima automatica spedizione).
4. Modalità del trattamento
I dati sono trattati con strumenti elettronici e automatizzati, con misure tecniche e organizzative adeguate a garantire riservatezza, integrità e disponibilità (art. 32 GDPR). In particolare:
- archiviazione su infrastruttura Supabase (database PostgreSQL gestito) in data center dell'Unione Europea;
- comunicazioni in transito cifrate via HTTPS/TLS;
- password memorizzate in forma irreversibile (hashing);
- accesso ai dati limitato al personale autorizzato e ai responsabili del trattamento.
Il Titolare non utilizza processi decisionali interamente automatizzati né profilazione che producano effetti giuridici significativi sull'Utente, ai sensi dell'art. 22 GDPR.
5. Destinatari dei dati e responsabili del trattamento
I dati possono essere comunicati ai seguenti soggetti, in qualità di responsabili del trattamento (art. 28 GDPR) o di autonomi titolari:
| Soggetto | Ruolo | Finalità |
|---|---|---|
| Supabase Inc. | Responsabile | Hosting database, autenticazione, storage media, edge functions |
| Stripe Payments Europe Ltd. / Stripe Inc. | Autonomo Titolare | Elaborazione pagamenti, Stripe Connect onboarding (KYC) |
| Google LLC (Firebase Cloud Messaging, Google Sign-In) | Autonomo Titolare / Responsabile | Notifiche push, autenticazione SSO |
| Apple Inc. (Sign in with Apple) | Autonomo Titolare | Autenticazione SSO |
| Cloudflare Inc. | Responsabile | CDN, protezione DDoS |
| Vettori di spedizione indicati dal Venditore | Autonomo Titolare | Consegna del bene |
| Eventuali consulenti, commercialisti, legali del Titolare | Responsabile / Autonomo Titolare | Adempimenti professionali |
| Autorità pubbliche (Agenzia Entrate, Polizia, Autorità Giudiziaria) | Autonomo Titolare | Adempimenti di legge, indagini, contenzioso |
Il Titolare si avvale unicamente di soggetti che presentano garanzie sufficienti in termini di privacy e sicurezza, con i quali sono stipulati appositi accordi di trattamento ex art. 28 GDPR.
L'elenco aggiornato dei responsabili del trattamento è fornito su richiesta scritta all'indirizzo email dedicato (Sezione 1).
6. Trasferimenti extra-UE
Alcuni servizi terzi (in particolare Stripe, Google, Apple, Cloudflare) possono comportare trasferimenti di dati personali verso Stati Uniti d'America o altri Paesi al di fuori dello Spazio Economico Europeo.
Tali trasferimenti avvengono in conformità al GDPR mediante:
- Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework per soggetti aderenti negli USA);
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea;
- misure aggiuntive ove necessarie (cifratura, pseudonimizzazione).
L'Utente può richiedere copia delle garanzie applicate scrivendo all'indirizzo privacy del Titolare.
7. Periodi di conservazione
I dati sono conservati per i tempi indicati di seguito, fatti salvi obblighi di legge che impongano periodi diversi:
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati account attivi | Per tutta la durata del rapporto con l'Utente |
| Dati account chiuso (cancellazione volontaria) | Cancellazione entro 30 giorni, salvo dati richiamati di seguito |
| Documenti contabili e fiscali (ordini, fatture, ricevute) | 10 anni dall'emissione (art. 2220 c.c.) |
| Dati di prevenzione frodi e log di sicurezza | Massimo 24 mesi dall'evento |
| Dati relativi a controversie legali in essere | Fino al termine del giudizio e dei termini di impugnazione |
| Dati DAC7 (segnalazione vendite) | Conservati nel registro fiscale per i tempi imposti dalla normativa fiscale |
| Dati di marketing (consenso) | Fino a revoca del consenso, e comunque non oltre 24 mesi dall'ultima interazione |
| Token notifiche push | Cancellati al logout o a revoca delle notifiche |
| Fingerprint referral Partner non claimato | Massimo 90 giorni dalla generazione |
Trascorsi tali termini, i dati vengono cancellati o anonimizzati in modo irreversibile.
8. Diritti dell'Utente
In qualunque momento l'Utente può esercitare i diritti previsti dagli artt. 15-22 GDPR, e in particolare:
- Diritto di accesso (art. 15): ottenere conferma del trattamento e copia dei dati;
- Diritto di rettifica (art. 16): correggere dati inesatti o incompleti;
- Diritto alla cancellazione / "diritto all'oblio" (art. 17): chiedere la cancellazione dei dati nei casi previsti;
- Diritto di limitazione del trattamento (art. 18);
- Diritto alla portabilità dei dati (art. 20): ricevere i propri dati in un formato strutturato e leggibile;
- Diritto di opposizione (art. 21): in particolare per finalità di marketing diretto;
- Diritto di revoca del consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento già effettuato;
- Diritto di non essere sottoposto a decisioni automatizzate (art. 22).
Per esercitare tali diritti l'Utente può scrivere all'indirizzo privacy del Titolare (Sezione 1). La risposta è fornita entro 30 giorni dalla ricezione, prorogabili a 60 giorni in casi complessi.
L'Utente ha inoltre diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (https://www.garanteprivacy.it) o all'autorità di controllo del Paese in cui risiede.
9. Sicurezza dei dati
Il Titolare adotta misure di sicurezza tecniche e organizzative adeguate al rischio, ivi incluse:
- cifratura in transito (TLS) e a riposo per i dati sensibili;
- controllo accessi basato su ruoli (RLS PostgreSQL);
- monitoraggio degli accessi e logging delle operazioni rilevanti;
- backup periodici;
- aggiornamento continuo dell'infrastruttura;
- formazione del personale autorizzato.
In caso di violazione di dati personali (data breach) il Titolare provvede, ove ne ricorrano i presupposti, alla notifica al Garante entro 72 ore ex art. 33 GDPR e alla comunicazione agli Utenti interessati ove richiesto dall'art. 34 GDPR.
10. Cookie e tecnologie analoghe
L'utilizzo dei cookie e di tecnologie analoghe è disciplinato dalla Cookie Policy dedicata, parte integrante della presente informativa, disponibile all'indirizzo:
https://usatotattico.app/legal/cookie
11. Modifiche alla Privacy Policy
Il Titolare può aggiornare la presente informativa per adeguarla a evoluzioni normative, tecniche o di servizio. Le modifiche sono pubblicate in App e sul sito, con indicazione della data dell'ultima revisione. Modifiche sostanziali sono comunicate via email o notifica push con preavviso di almeno 30 giorni.
L'Utente è invitato a consultare periodicamente questa pagina.
12. Contatti
Per qualsiasi richiesta in materia di trattamento dati personali:
HubOne di Guerriero Angelo
- Email privacy: [DA INSERIRE]
- PEC: [DA INSERIRE]
- Indirizzo postale: [DA INSERIRE]
Documento redatto in italiano. Versione 1.0 — Privacy Policy UsatoTattico.