Informativa sulla Privacy (Privacy Policy)

La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

Obsidian Technologies di Fabio Dadone
P.IVA: 02864680414
Sede: Via Campania 4, 61032 Fano (PU)
Email: info@bravo6.app

Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non essendo tenuto a farlo ai sensi dell'art. 37 del GDPR. Per qualsiasi richiesta relativa al trattamento dei dati personali, l'Interessato può rivolgersi direttamente al Titolare all'indirizzo info@bravo6.app.

2. Dati Personali Raccolti

2.1 Dati conferiti dall'Utente

Dati di registrazione (obbligatori):

indirizzo email
password (memorizzata in forma crittografata — hash)
nome e cognome
data di nascita (necessaria per la verifica del requisito di età minima)
username (identificativo univoco dell'Utente sulla Piattaforma)
callsign (nome di fantasia scelto dall'Utente per il gioco, es. "Ghost", "Viper")

Dati di profilo (facoltativi):

avatar (immagine del profilo, caricata su server e accessibile pubblicamente tramite URL diretto)
bio (descrizione testuale, max 200 caratteri)
numero di telefono
ruolo tattico preferito (es. Sniper, Assault, Support, Medic, Recon)
arma principale
camo preferito (mimetizzazione)
preferenza di lingua e unità di misura

Dati delle Venue (per account business):

nome della struttura e dei campi
indirizzo completo (via, CAP, città, provincia) e coordinate geografiche della struttura
numero di telefono, indirizzo email e sito web
descrizione e immagini della struttura e dei campi (caricate su server e accessibili pubblicamente tramite URL diretto)
orari di apertura, prezzi, caratteristiche dei campi

Dati di pagamento (per account business con abbonamento a pagamento):

dati di fatturazione (nome, indirizzo di fatturazione, Partita IVA/codice fiscale) — raccolti direttamente da Stripe tramite la pagina di checkout, non memorizzati da Bravo6
i dati del metodo di pagamento (numero carta, CVV, ecc.) sono gestiti esclusivamente da Stripe e non vengono mai memorizzati da Bravo6
Bravo6 memorizza nel proprio database gli identificativi tecnici dell'abbonamento (ID cliente Stripe, ID sottoscrizione, piano, ciclo di fatturazione, periodo corrente) necessari per la gestione del servizio

Contenuti generati dall'Utente:

messaggi inviati nelle chat degli Eventi
descrizioni, titoli e dettagli degli Eventi creati (incluse note, modalità di gioco, requisiti)
voti espressi nei confronti di altri giocatori
segnalazioni relative ad altri Utenti
recensioni con commento e valutazione
blocchi di altri Utenti
strutture salvate tra i preferiti
richieste di amicizia e relazioni di amicizia con altri Utenti

2.2 Dati generati automaticamente

Dati di utilizzo:

eventi a cui l'Utente si è iscritto e partecipazione effettiva (presenze e assenze registrate dalla Struttura ospitante)
Rank (grado di abilità), punti esperienza (XP) e tasso di presenza
preferenze di notifica configurate dall'Utente
disponibilità settimanale e disponibilità specifica per evento (date e fasce orarie in cui l'Utente si dichiara disponibile a partecipare), utilizzate dal sistema di matchmaking per trovare il momento ottimale per gli Eventi
notifiche in-app ricevute dall'Utente

Dati tecnici:

indirizzo IP
tipo di browser e versione
sistema operativo e tipo di dispositivo
pagine visitate e azioni effettuate sulla Piattaforma (solo se l'Utente ha acconsentito ai cookie analytics)

Dati di geolocalizzazione:

posizione GPS del dispositivo, richiesta previo consenso esplicito dell'Utente, utilizzata esclusivamente lato client (nel browser dell'Utente) per calcolare la distanza dai campi disponibili. La posizione GPS non viene mai trasmessa ai server di Bravo6 né memorizzata nel database. Viene temporaneamente salvata nella memoria locale del browser (localStorage) con scadenza automatica di 30 minuti.

2.3 Dati ricevuti da terze parti

Quando l'Utente si registra tramite il servizio di autenticazione Google ("Accedi con Google"), Bravo6 riceve da Google le seguenti informazioni associate all'account Google dell'Utente:

indirizzo email
nome completo
immagine del profilo (avatar)

Tali dati vengono utilizzati esclusivamente per la creazione e la pre-compilazione del profilo sulla Piattaforma. L'Utente può modificare o rimuovere tali informazioni in qualsiasi momento dalla sezione Profilo.

La presente informativa è resa ai sensi dell'art. 14 del GDPR anche con riferimento ai dati personali non raccolti direttamente dall'Interessato. La fonte dei dati è Google LLC, nell'ambito del servizio Google OAuth 2.0, attivato volontariamente dall'Utente al momento della registrazione.

3. Finalità e Basi Giuridiche del Trattamento

Finalità	Dati trattati	Base giuridica (Art. 6 GDPR)
Registrazione e gestione dell'account	Email, password, nome, cognome, data di nascita, username, callsign	Esecuzione del contratto (art. 6.1.b)
Fornitura del servizio (profilo, eventi, chat, rank)	Dati di profilo, contenuti, dati di utilizzo	Esecuzione del contratto (art. 6.1.b)
Gestione pagamenti e abbonamenti Venue	Dati di fatturazione, storico abbonamenti	Esecuzione del contratto (art. 6.1.b)
Adempimento obblighi fiscali e contabili	Dati di fatturazione e storico pagamenti	Obbligo legale (art. 6.1.c) — DPR 600/73 e DPR 633/72
Comunicazioni di servizio (conferme, notifiche eventi, avvisi pagamento)	Email	Esecuzione del contratto (art. 6.1.b)
Ricerca campi per vicinanza geografica	Posizione GPS (solo lato client)	Consenso (art. 6.1.a)
Analisi statistica dell'utilizzo del sito (Google Analytics)	Dati tecnici anonimi e di navigazione	Consenso (art. 6.1.a)
Moderazione e sicurezza della Piattaforma	Segnalazioni, contenuti, indirizzo IP	Legittimo interesse del Titolare (art. 6.1.f)
Comunicazioni di marketing	Email	Consenso esplicito e separato (art. 6.1.a)
Verifica età minima (14 anni)	Data di nascita	Obbligo legale (art. 6.1.c) — Art. 2-quinquies D.lgs. 196/2003

4. Dati Pubblici

L'Utente prende atto che le seguenti informazioni sono visibili ad altri utenti registrati sulla Piattaforma:

callsign
username
avatar e bio
nome completo (se inserito)
sport selezionato
ruolo tattico, arma principale, camo preferito
Rank, punti esperienza (XP) e tasso di presenza

Queste informazioni sono necessarie per il funzionamento del servizio di matchmaking e per consentire ai partecipanti di valutare con chi giocheranno.

Non sono visibili ad altri utenti: indirizzo email, data di nascita, numero di telefono, dati di pagamento.

Quando un Player si iscrive a un Evento, la Struttura ospitante può visualizzare il suo callsign, username, nome, avatar e tasso di presenza individuale ai fini della gestione dell'Evento e della registrazione delle presenze.

5. Destinatari e Responsabili del Trattamento

I dati personali possono essere comunicati ai seguenti soggetti terzi, che agiscono in qualità di Responsabili del trattamento ai sensi dell'art. 28 del GDPR:

Fornitore	Sede	Dati trattati	Finalità	Trasferimento extra-UE
Supabase Inc.	USA — server in UE (Stoccolma, eu-north-1)	Database completo, autenticazione, storage file	Hosting database, autenticazione utenti, archiviazione file	No — i dati risiedono su server AWS nell'Unione Europea
Resend Inc.	UE (Irlanda)	Indirizzo email destinatario, contenuto email transazionale (inclusi: nomi di strutture e campi, date e orari di prenotazioni, dati aggregati di partecipazione)	Invio email di servizio (conferme, avvisi)	No
Stripe Technology Europe, Ltd.	Irlanda (entity UE) — gruppo con sede USA	Email, identificativi utente (in metadata), dati del metodo di pagamento. Stripe raccoglie inoltre direttamente dall'Utente l'indirizzo di fatturazione e la P.IVA/codice fiscale tramite la propria pagina di checkout	Elaborazione pagamenti abbonamenti Venue	Parziale — Stripe ha sede in Irlanda ma trasferisce alcuni dati alla casa madre USA nell'ambito dell'EU-US Data Privacy Framework
Google LLC (Google Analytics 4)	USA	Dati di navigazione (pagine visitate, durata sessione), dati tecnici (IP, browser, dispositivo)	Analisi statistica dell'utilizzo del sito	Sì — Google aderisce all'EU-US Data Privacy Framework. Attivato solo previo consenso dell'Utente
Google LLC (Google Maps API)	USA	Query di ricerca indirizzi, coordinate geografiche delle Strutture	Visualizzazione mappe e calcolo posizioni Strutture	Sì — Google aderisce all'EU-US Data Privacy Framework
Vercel Inc.	USA	Log di accesso, indirizzi IP, dati tecnici di build	Hosting e distribuzione dell'applicazione web	Sì — solo dati di infrastruttura, nessun dato personale degli Utenti trasmesso intenzionalmente. Vercel aderisce all'EU-US Data Privacy Framework

5.1 Trasferimenti extra-UE

I trasferimenti di dati personali verso gli Stati Uniti avvengono sulla base delle seguenti garanzie:

EU-US Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023): Google LLC, Stripe Inc. e Vercel Inc. sono certificati nell'ambito del Data Privacy Framework;
Clausole Contrattuali Standard (SCCs): ove applicabile, i contratti con i fornitori includono le SCCs adottate dalla Commissione Europea.

Il Titolare ha stipulato accordi sul trattamento dei dati (DPA) con ciascun Responsabile del trattamento, come richiesto dall'art. 28 del GDPR.

6. Cookie e Tecnologie di Tracciamento

6.1 Cookie tecnici (necessari)

La Piattaforma utilizza cookie tecnici strettamente necessari al funzionamento del servizio. Questi cookie non richiedono il consenso dell'Utente:

Cookie	Fornitore	Finalità	Durata
Cookie di sessione Supabase	Supabase	Autenticazione e mantenimento della sessione utente	Sessione

6.2 Cookie analitici (previo consenso)

La Piattaforma utilizza Google Analytics 4 per analizzare l'utilizzo del sito e migliorare il servizio. I cookie di Google Analytics vengono attivati esclusivamente dopo il consenso esplicito dell'Utente tramite il banner cookie presente sul sito.

Cookie	Fornitore	Finalità	Durata
_ga	Google Analytics	Distinzione utenti unici	2 anni
_ga_[ID]	Google Analytics	Mantenimento stato sessione	2 anni
_gid	Google Analytics	Distinzione utenti unici (breve periodo)	24 ore

6.3 Dati in localStorage e sessionStorage

La Piattaforma utilizza la memoria locale del browser (localStorage e sessionStorage) per salvare informazioni che non sono trasmesse a server esterni. Le principali categorie di dati memorizzati sono:

Chiave	Contenuto	Scadenza
Posizione GPS	Latitudine, longitudine, timestamp	30 minuti (cancellazione automatica)
Preferenze cookie	Scelta dell'Utente (accettazione/rifiuto analytics)	6 mesi
Preferenze notifiche	Configurazione notifiche per categoria	Nessuna (persistente fino a modifica)
Preferenze privacy profilo	Visibilità profilo, statistiche e attività (preferenze cosmetiche lato client)	Nessuna (persistente fino a modifica)
Cache profilo utente	Copia locale dei dati del profilo (nome, email, bio, sport, ecc.) per ridurre le richieste al server	Sessione di navigazione
Filtri di ricerca	Filtri applicati alla ricerca di eventi e campi (distanza, prezzo, date, partecipanti)	Nessuna (persistente fino a modifica)
Preferenze interfaccia	Tema (chiaro/scuro), unità di misura, lingua, viste calendario, sport selezionato	Nessuna (persistente fino a modifica)

La Piattaforma utilizza inoltre sessionStorage (memoria di sessione, cancellata alla chiusura del browser) per memorizzare temporaneamente i risultati di ricerca e lo stato della navigazione.

6.4 Gestione delle preferenze cookie

L'Utente può modificare le proprie preferenze in qualsiasi momento tramite il link "Gestisci cookie" presente nel footer del sito e nella sezione Impostazioni dell'app. La revoca del consenso ai cookie analytics comporta la disattivazione immediata di Google Analytics e la rimozione dei cookie associati.

7. Periodo di Conservazione dei Dati

Categoria di dati	Periodo di conservazione
Dati di registrazione e profilo	Per tutta la durata dell'account. Cancellati o anonimizzati alla cancellazione dell'account
Dati di utilizzo (eventi, rank, statistiche)	Per tutta la durata dell'account. Cancellati alla cancellazione dell'account
Contenuti generati dall'Utente (recensioni, preferiti, amicizie, blocchi, segnalazioni)	Per tutta la durata dell'account. Cancellati o anonimizzati alla cancellazione dell'account
File caricati (avatar, immagini strutture e campi)	Per tutta la durata dell'account. Eliminati dai server di archiviazione alla cancellazione dell'account
Messaggi nelle chat	Per tutta la durata dell'account. In caso di cancellazione dell'account: i messaggi vengono anonimizzati (contenuto sostituito, autore reso anonimo) per preservare la continuità delle conversazioni degli altri partecipanti
Dati di fatturazione e pagamento (Venue)	7 anni dalla data dell'ultima transazione, in ottemperanza agli obblighi fiscali (DPR 600/73 e DPR 633/72 — termini di accertamento)
Dati di navigazione e analytics	Secondo le policy di Google Analytics (fino a 26 mesi, configurabile)
Registro consensi cookie	6 anni dalla data del consenso (termine di prescrizione per le sanzioni del Garante). Il registro include: identificativo utente, scelta espressa (accettazione/rifiuto), data e ora del consenso, tipo di browser e dispositivo (user agent)
Posizione GPS (localStorage)	30 minuti (cancellazione automatica lato client)
Segnalazioni	Per il tempo necessario alla gestione della segnalazione e per un ulteriore periodo necessario a tutelarsi in caso di contenzioso

8. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'Interessato ha diritto di:

Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali;
Rettifica (art. 16): ottenere la correzione dei dati inesatti o l'integrazione dei dati incompleti, direttamente tramite la sezione Profilo della Piattaforma o mediante richiesta al Titolare;
Cancellazione (art. 17): ottenere la cancellazione dei propri dati, tramite la funzione "Elimina account" nella sezione Impostazioni della Piattaforma o mediante richiesta al Titolare. La cancellazione è soggetta alle eccezioni previste dalla legge (es. obblighi fiscali);
Limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla legge;
Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
Opposizione (art. 21): opporsi al trattamento dei propri dati per motivi legittimi;
Revoca del consenso (art. 7): revocare in qualsiasi momento il consenso prestato per la geolocalizzazione, i cookie analytics o le comunicazioni di marketing, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca.

8.1 Come esercitare i diritti

L'Interessato può esercitare i propri diritti:

per l'accesso, la rettifica e la cancellazione: direttamente tramite le funzionalità della Piattaforma (sezione Profilo e Impostazioni);
per tutti i diritti: inviando una richiesta a info@bravo6.app, specificando il diritto che si intende esercitare. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione all'Interessato.

8.2 Diritto di reclamo

L'Interessato ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:

Garante per la protezione dei dati personali
Piazza Venezia, 11 — 00187 Roma
www.garanteprivacy.it
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it

9. Trattamento dei Dati dei Minori

La Piattaforma è destinata a Utenti di età pari o superiore a 14 anni, in conformità all'art. 2-quinquies del D.lgs. 196/2003 (che fissa a 14 anni l'età minima per il consenso al trattamento dei dati personali in relazione all'offerta di servizi della società dell'informazione in Italia).

La registrazione di soggetti di età inferiore a 14 anni è tecnicamente impedita dalla Piattaforma. Il Titolare non raccoglie consapevolmente dati personali di soggetti di età inferiore a 14 anni. Qualora il Titolare venga a conoscenza di aver raccolto dati di un minore di 14 anni, provvederà alla cancellazione tempestiva degli stessi.

Per gli Utenti di età compresa tra 14 e 17 anni, il trattamento avviene sulla base della dichiarazione resa dall'Utente al momento della registrazione di aver ottenuto il consenso del genitore o tutore legale.

10. Sicurezza dei Dati

Il Titolare adotta misure tecniche e organizzative appropriate per proteggere i dati personali da accesso non autorizzato, perdita, alterazione o distruzione, tra cui:

crittografia delle password (hashing);
comunicazioni crittografate tramite protocollo HTTPS;
policy di controllo degli accessi a livello di database (Row Level Security);
autenticazione tramite token JWT con scadenza limitata;
hosting del database in regione UE (Stoccolma) su infrastruttura AWS con crittografia a riposo e in transito;
limitazione degli accessi ai dati secondo il principio del minimo privilegio.

11. Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, pubblicando la versione aggiornata sulla Piattaforma all'indirizzo https://bravo6.app/privacy. In caso di modifiche sostanziali, l'Utente sarà informato tramite email e/o avviso in-app. La data dell'ultimo aggiornamento è indicata in cima al presente documento.

12. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati personali:

Email: info@bravo6.app
Titolare: Obsidian Technologies di Fabio Dadone — P.IVA 02864680414
Sede: Via Campania 4, 61032 Fano (PU)

La presente informativa è resa ai sensi del Regolamento (UE) 2016/679 (GDPR), del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, e della normativa italiana vigente in materia di protezione dei dati personali.