Informativa sulla Privacy

1. Titolare del trattamento

2. Tipologie di dati raccolti

a) Dati inseriti volontariamente

Indirizzo email (fornito alla registrazione), nome visualizzato (opzionale), username BuzzerBeater e codice di accesso BBAPI (forniti opzionalmente per l'integrazione), registrazioni di consenso (informativa privacy, termini e condizioni, autorizzazione BBAPI — tutti con timestamp).

b) Dati di autenticazione

Timestamp di accesso, tipo di provider di autenticazione (email/password o Google), token di sessione. Per gli utenti autenticati, utilizziamo esclusivamente cookie tecnici strettamente necessari alla gestione della sessione. Questi cookie non tracciano l'utente, non vengono condivisi con terze parti e non richiedono consenso ai sensi della Direttiva ePrivacy (art. 5.3).

c) Dati di utilizzo strumenti

Quando utilizzi i nostri strumenti di analisi (es. Ripescaggi), registriamo quale strumento è stato usato, i parametri selezionati (nazione, serie, stagione) e il momento dell'utilizzo. NON raccogliamo indirizzi IP, fingerprint del browser o altre informazioni personali per questo scopo. Questi dati vengono aggregati in forma anonima e utilizzati esclusivamente per migliorare il servizio e capire quali funzionalità sono più utili.

3. Finalità del trattamento

I tuoi dati sono utilizzati esclusivamente per:

• Fornire un servizio di analytics a supporto dei manager di BuzzerBeater
• Autenticare il tuo account e gestire le sessioni
• Recuperare i tuoi dati BuzzerBeater tramite BBAPI (solo con il tuo consenso esplicito)
• Inviare email transazionali (verifica, reset password)
• Registrare statistiche di utilizzo degli strumenti per migliorare il servizio (interesse legittimo, Art. 6(1)(f) GDPR)

3bis. Registrazione e accesso tramite Google

Se scegli di registrarti o accedere tramite Google ("Continua con Google"), il processo di autenticazione è gestito tramite il protocollo OAuth 2.0 di Google, con Supabase come intermediario per la gestione della sessione.

Dati Google a cui accediamo

Richiediamo esclusivamente gli scope OAuth email e openid. Di questi, utilizziamo unicamente l'indirizzo email associato al tuo account Google. Non accediamo ad altri dati del tuo profilo Google (nome visualizzato, foto, contatti, calendario, file, ecc.).

Come utilizziamo i dati Google

L'indirizzo email ottenuto da Google viene utilizzato esclusivamente per:

• Creare o aggiornare il tuo account utente su buzzeriq.com
• Autenticarti nelle sessioni successive
• Inviarti email transazionali (verifica, reset password)

Condivisione dei dati Google con terze parti

L'indirizzo email ottenuto da Google viene condiviso esclusivamente con i seguenti servizi, necessari al funzionamento della piattaforma:

• Supabase (autenticazione): gestisce il flusso OAuth e conserva le credenziali di accesso. Server nell'Unione Europea. Info: supabase.com/privacy

Non vendiamo, affittiamo né condividiamo i dati Google con altre terze parti per nessuna finalità.

Conservazione e protezione dei dati Google

L'indirizzo email ottenuto da Google è conservato nel database PostgreSQL gestito da Supabase (server nell'Unione Europea). La protezione dei dati è garantita da:

• Crittografia in transito (TLS/HTTPS) per tutte le comunicazioni
• Accesso al database limitato tramite credenziali autenticate e policy di rete
• Backup giornalieri cifrati su Cloudflare R2 (server UE), con retention di 30 giorni

I dati sono conservati finché l'account rimane attivo.

Cancellazione dei dati Google e revoca dell'accesso

L'utente può in qualsiasi momento:

• Eliminare il proprio account dalla pagina profilo: l'indirizzo email viene anonimizzato irreversibilmente (vedi sezione "Eliminazione account" di seguito)
• Revocare l'accesso di buzzeriq.com al proprio account Google dalle impostazioni del tuo account Google

3ter. Eliminazione account e anonimizzazione

Quando elimini il tuo account:

• Account di autenticazione: viene eliminato definitivamente (non potrai più accedere)
• Dati personali identificabili (email, nome, credenziali BBAPI, consensi): vengono anonimizzati irreversibilmente
• Record anonimizzati: possono essere conservati per statistiche aggregate come consentito dal Considerando 26 del GDPR

L'anonimizzazione irreversibile costituisce una forma valida di cancellazione ai sensi dell'art. 17 del GDPR (diritto all'oblio), poiché i dati anonimizzati non sono più considerati dati personali (Considerando 26 del GDPR).

4. Base giuridica

Utenti registrati: Il trattamento avviene sulla base dell'esecuzione del contratto di servizio (art. 6.1.b GDPR) e del consenso esplicito prestato in fase di registrazione (art. 6.1.a GDPR). L'utente può revocare il consenso in qualsiasi momento.

5. Cookie e analytics

Cookie tecnici (strettamente necessari)

Per gli utenti che effettuano il login, utilizziamo cookie tecnici strettamente necessari al funzionamento del servizio (autenticazione e protezione della sessione). Questi cookie non contengono dati personali, non vengono condivisi con terze parti e non richiedono consenso preventivo (art. 5.3 Direttiva ePrivacy, art. 122 Codice Privacy italiano).

Gestione consenso cookie (Klaro)

Utilizziamo Klaro come gestore del consenso ai cookie. Alla prima visita, un banner ti permette di accettare o rifiutare i cookie analitici. La tua preferenza è memorizzata in un cookie 'klaro' (365 giorni). Puoi modificare le preferenze in qualsiasi momento tramite il pulsante 'Preferenze Cookie' nel footer.

Google Analytics (consenso richiesto)

Statistiche senza cookie

Riepilogo cookie

Per i visitatori non registrati che rifiutano i cookie analitici, non viene impostato alcun cookie ad eccezione del cookie di preferenza Klaro.

6. Conservazione e sicurezza

I dati dell'account sono conservati in Supabase (regione EU). I codici BBAPI sono crittografati a riposo con crittografia simmetrica Fernet. Le password sono gestite da Supabase Auth (hashing bcrypt). Tutto il traffico è crittografato tramite HTTPS/TLS.

I dati dell'account (profilo, credenziali di autenticazione) vengono sottoposti a backup giornaliero cifrato su Cloudflare R2 (server nell'Unione Europea). I backup vengono conservati per 30 giorni e successivamente eliminati automaticamente. I dati anonimizzati a seguito della cancellazione dell'account vengono rimossi anche dai backup alla scadenza della retention.

Servizi terze parti

• Supabase Auth — gestione autenticazione, conforme GDPR, server EU. Tratta i dati di autenticazione (email, password hash) come responsabile del trattamento. Info: supabase.com/privacy
• Cloudflare R2 — storage backup cifrati, server EU. Info: cloudflare.com/privacypolicy
• Simple Analytics — analytics senza cookie, nessun dato personale raccolto. Info: simpleanalytics.com/privacy
• Google Analytics 4 — analytics con consenso, anonimizzazione IP attiva. I cookie vengono impostati solo dopo opt-in esplicito tramite banner Klaro. Info: policies.google.com/privacy

7. I tuoi diritti (GDPR)

Come utente registrato, ai sensi del GDPR hai diritto a:

• Accesso (art. 15): visualizzare i tuoi dati dal tuo profilo
• Rettifica (art. 16): modificare i tuoi dati in qualsiasi momento
• Cancellazione (art. 17): eliminare il tuo account e tutti i dati associati
• Portabilità (art. 20): richiedere una copia dei tuoi dati
• Revoca consenso: revocare il consenso BBAPI o eliminare l'account in qualsiasi momento

Puoi esercitare questi diritti direttamente dal tuo profilo o contattandoci a [email protected]

8. Modifiche alla presente informativa

La presente informativa può essere aggiornata in qualunque momento. Ti invitiamo a consultare periodicamente questa pagina.

9. Contatti per richieste privacy

Per qualsiasi domanda sulla privacy, richieste di accesso, rettifica o cancellazione dei dati, scrivici a: