Informativa Privacy
Come trattiamo i dati personali raccolti tramite l'app mobile, la console di amministrazione e il sito Fantasista, ai sensi del Reg. UE 2016/679 (GDPR) e del D.Lgs. 196/2003 e s.m.i.
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti tramite l'app mobile "Fantasista", la console di amministrazione web e il sito web fantasista.app (di seguito, complessivamente, il "Servizio") è:
Claudio Castellani
Forma: persona fisica (sviluppatore indipendente)
Sede: Petriolo (MC), Italia
Email: info@fantasista.app
Partita IVA: non ancora attiva (in fase di apertura prima dell'avvio della monetizzazione)
PEC: non disponibile — usare l'email indicata
Di seguito, "Titolare" o "Noi".
2. App mobile Fantasista (utenti tifosi)
L'app mobile è destinata ai tifosi e non richiede registrazione né login. L'accesso ai contenuti è anonimo.
2.1 Dati raccolti
Dati raccolti automaticamente
- Token Firebase Cloud Messaging (FCM): identificatore univoco assegnato al dispositivo per ricevere notifiche push. Non identifica direttamente la persona ma il singolo dispositivo.
- Squadra preferita selezionata: salvata localmente sul dispositivo (SharedPreferences) e usata per iscrivere il dispositivo al "topic" di notifiche della squadra. Il Titolare può aggregare statistiche anonime sul numero di iscritti per squadra.
- Dati di utilizzo dell'app: schermate visualizzate, tap sui bottoni principali, tempo di permanenza, eventi di errore (crash). Raccolti tramite Google Firebase Analytics e Firebase Crashlytics, in forma aggregata e con identificatori pseudonimizzati.
- Dati tecnici: modello dispositivo, sistema operativo e versione, versione app, lingua, fascia oraria.
Dati NON raccolti
L'app non raccoglie: posizione geografica precisa, contatti rubrica, foto della galleria personale, microfono, telecamera, dati sanitari, dati biometrici, indirizzo email, nome e cognome dell'utente.
2.2 Finalità e basi giuridiche
| Finalità | Dati trattati | Base giuridica |
|---|---|---|
| Erogazione del servizio (visualizzazione partite, classifiche, formazioni, news, marcatori) | Dati tecnici necessari al funzionamento | Esecuzione di un servizio richiesto dall'utente — Art. 6.1.b GDPR |
| Invio notifiche push gol/eventi della squadra preferita | Token FCM, squadra preferita | Consenso (Art. 6.1.a GDPR), revocabile rimuovendo la squadra preferita |
| Statistiche aggregate di utilizzo (Firebase Analytics) | Eventi di utilizzo pseudonimizzati | Legittimo interesse al miglioramento del servizio — Art. 6.1.f GDPR |
| Diagnostica errori (Firebase Crashlytics) | Stack trace, modello dispositivo, versione app | Legittimo interesse alla stabilità del servizio — Art. 6.1.f GDPR |
2.3 Dati di terzi mostrati nell'app
L'app mostra dati personali di giocatori, staff, dirigenti delle società sportive abbonate al Servizio (nome, foto, ruolo, numero di maglia). Il Titolare di tali dati è la società sportiva stessa, che li raccoglie dai propri tesserati e li carica tramite la console di amministrazione.
Il Titolare del Servizio Fantasista agisce in tale ambito come Responsabile del trattamento ai sensi dell'Art. 28 GDPR per conto della società sportiva. Per richieste su tali dati (rimozione foto, rettifica nome, ecc.), l'utente deve rivolgersi direttamente alla società sportiva di appartenenza del soggetto interessato.
3. Console di amministrazione (operatori delle società)
La console web (console.fantasista.app) è destinata a:
- team_admin: operatori delle società sportive abbonate (gestione rosa, partite, news, sponsor della propria squadra);
- global_admin: gestori del Servizio (gestione campionati, partner, utenti).
L'accesso richiede credenziali (email + password) gestite tramite Firebase Authentication.
3.1 Dati raccolti per gli amministratori
- Email (utilizzata per il login);
- Password (memorizzata in forma cifrata; il Titolare non ha accesso alla password in chiaro — l'hash è gestito direttamente da Firebase Authentication);
- Display name (nome visualizzato nell'interfaccia);
- Ruolo applicativo (
global_admin,team_admin); - Associazione a società (campo
squadra_id, solo per team_admin); - Token FCM del dispositivo (per ricevere conferme di invio notifiche);
- Log di accesso (data, ora, indirizzo IP) gestiti da Firebase Authentication; retention secondo policy Google.
3.2 Finalità e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Autenticazione e gestione account | Esecuzione del contratto B2B con la società di appartenenza — Art. 6.1.b GDPR |
| Sicurezza accessi e prevenzione frodi | Legittimo interesse del Titolare — Art. 6.1.f GDPR |
| Adempimenti di legge (es. log accesso ex Provv. Garante 27.11.2008 sull'amministratore di sistema, ove applicabile) | Obbligo legale — Art. 6.1.c GDPR |
I log di accesso degli amministratori sono conservati per almeno 6 mesi. Le credenziali sono soggette a politiche di robustezza (lunghezza minima, complessità) imposte da Firebase Authentication.
L'amministratore può richiedere la disattivazione del proprio account alla cessazione del rapporto con la società di appartenenza, scrivendo a info@fantasista.app. La disattivazione comporta la rimozione dell'associazione alla squadra e della possibilità di accedere alla console.
4. Modalità del trattamento e infrastruttura
I dati sono trattati con strumenti elettronici, sui server di Google Firebase in regione Unione Europea:
- Cloud Firestore (database principale): regione
europe-west8(Milano, Italia); - Firebase Storage (immagini, foto, contenuti caricati): regione
europe-west3(Francoforte, Germania); - Cloud Functions (logica server): regione
europe-west4(Eemshaven, Paesi Bassi); - Firebase Authentication, Cloud Messaging, Analytics, Crashlytics: servizi globali Google con server primari nell'UE.
Sono adottate misure tecniche e organizzative adeguate ai sensi dell'Art. 32 GDPR: cifratura in transito (TLS 1.2+), cifratura at-rest (AES-256), controllo accessi basato su ruoli (Firestore Security Rules + Storage Rules), log di audit lato Firebase.
5. Tempi di conservazione
| Dato | Tempo di conservazione |
|---|---|
| Token FCM | Per la durata dell'installazione dell'app; cancellato alla disinstallazione o revoca del consenso |
| Squadra preferita | Salvata sul dispositivo finché l'utente non la rimuove |
| Dati di utilizzo (Firebase Analytics) | 14 mesi (impostazione standard Firebase Analytics) |
| Crash report (Crashlytics) | 90 giorni |
| Account utente console + log accessi | Fino a richiesta di cancellazione, salvo obblighi di legge |
| Foto e dati di tesserati delle società | Fino a rimozione richiesta dalla società sportiva titolare |
6. Comunicazione e trasferimento dei dati
I dati possono essere comunicati a:
- Google Ireland Ltd. / Google LLC in qualità di Responsabile del trattamento, per i servizi Firebase. Garanzie: Standard Contractual Clauses + Google Cloud Data Processing and Security Terms.
- Apple Inc. (in caso di rilascio futuro per iOS) per Apple Push Notification Service. Garanzie: SCC + DPA Apple.
- Le società sportive abbonate (Titolari autonomi rispetto ai dati dei propri tesserati) per i contenuti che esse stesse hanno caricato.
- Autorità pubbliche, su richiesta motivata e nei limiti di legge.
I dati possono essere trasferiti al di fuori dello Spazio Economico Europeo nei limiti consentiti dal GDPR e con adeguate garanzie (Standard Contractual Clauses + Transfer Impact Assessment), in particolare verso server Google negli Stati Uniti per le componenti gestite globalmente.
7. Diritti dell'utente
L'utente ha diritto, ai sensi degli Artt. 15-22 GDPR, di:
- Accedere ai propri dati personali e ottenerne copia;
- Rettificare dati inesatti;
- Cancellare i dati ("diritto all'oblio"), nei limiti consentiti dalla legge;
- Limitare il trattamento;
- Opporsi al trattamento basato sul legittimo interesse;
- Portabilità dei dati in formato strutturato e leggibile da macchina;
- Revocare il consenso in qualunque momento (la revoca non pregiudica la liceità dei trattamenti precedenti);
- Proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Per esercitare i propri diritti, scrivere a info@fantasista.app. Il Titolare risponde entro 30 giorni dalla ricezione (estendibili a 60 giorni in casi complessi, con preavviso).
7.1 Esercizio self-service nell'app mobile
L'utente dell'app mobile può esercitare in autonomia, immediatamente e senza alcuna richiesta scritta, i seguenti diritti tramite il menu Impostazioni → Privacy e dati:
- Art. 15 (accesso) e Art. 20 (portabilità): il pulsante "Scarica i miei dati" genera un file JSON con tutti i dati personali presenti localmente sul dispositivo (squadra preferita, iscrizioni a topic di notifica, identificatore FCM offuscato, consensi attivi) e lo condivide via menu di sistema.
- Art. 17 (cancellazione): il pulsante "Cancella i miei dati" disiscrive da tutti i topic FCM, elimina l'identificatore presso Firebase Messaging, azzera le preferenze locali e disattiva analytics e crash reporting. Per cancellazione definitiva si raccomanda anche la disinstallazione dell'app.
- Art. 21 (opposizione): i toggle "Statistiche di utilizzo" e "Segnalazione crash" permettono di disabilitare in qualsiasi momento il trattamento opzionale a fini di telemetria. La scelta è persistente fra le sessioni.
- Rimozione mirata: "Rimuovi squadra preferita" disiscrive dalle sole notifiche di squadra mantenendo l'app funzionante per altri usi.
7.2 Esercizio dei diritti via email (utenti console)
Per gli amministratori delle società (team admin e admin globali), per i quali l'app fornisce un accesso autenticato ma non un flusso self-service di cancellazione, le richieste GDPR vanno inoltrate a info@fantasista.app indicando l'oggetto "Richiesta GDPR" e l'email associata all'account. Il Titolare esegue la cancellazione manualmente entro 30 giorni.
8. Cookie policy (sito web fantasista.app)
Il sito web fantasista.app utilizza esclusivamente cookie tecnici di sessione, necessari al corretto funzionamento delle pagine. Non sono utilizzati cookie di profilazione né di terze parti.
| Tipo | Nome | Scopo | Durata | Consenso |
|---|---|---|---|---|
| Tecnico | cf_clearance | Sessione Cloudflare (anti-bot) | Sessione | Non richiesto |
L'app mobile non utilizza cookie. Le funzionalità equivalenti (Analytics, Crashlytics) sono descritte nelle sezioni precedenti.
L'utente può gestire i cookie del sito tramite le impostazioni del proprio browser (Chrome, Firefox, Safari, Edge).
9. Modifiche all'informativa
Il Titolare può aggiornare la presente informativa. Le modifiche sostanziali sono comunicate all'utente tramite avviso in app o al primo avvio successivo. La data di ultimo aggiornamento è indicata in cima al documento.
10. Riferimenti normativi
- Regolamento (UE) 2016/679 (GDPR);
- D.Lgs. 196/2003 e s.m.i. ("Codice Privacy" italiano);
- Provvedimento Garante 27.11.2008 in materia di amministratori di sistema (ove applicabile);
- Linee guida EDPB su consenso, profilazione e trasferimenti internazionali.