La presente Informativa descrive come Rosterr (“noi”, “Applicazione”) raccoglie, utilizza e protegge i dati personali degli utenti (“tu”, “Utente”) in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018).
1. Titolare del Trattamento
- Denominazione: B4next S.r.l.
- Sede legale: P.zza Ascanio Vitozzi, 2, 05018 Orvieto (TR), Italia
- Partita IVA / Codice Fiscale: P.IVA IT16010721005
- Email di contatto privacy: privacy@rosterr.it
Per qualsiasi richiesta scrivi a privacy@rosterr.it.
2. Tipologie di Dati Raccolti
2.1 Identità e autenticazione
- Email, password (hash bcrypt/argon2), nickname, avatar
- ID Google / Facebook (se social login)
- Token JWT sessione + refresh, device ID, IP accesso, data/ora sessione
2.2 Localizzazione (Discovery Profile)
- Indirizzo dichiarato, geocodificato a zona generica
- Latitudine / longitudine della zona di disponibilità
- Raggio disponibilità dichiarato (1–100 km)
La posizione non è rilevata via GPS senza consenso esplicito. L'utente inserisce un indirizzo che viene geocodificato. Le coordinate esatte non sono mai condivise con altri utenti— mostrate solo distanze relative (es. “3.4 km”).
2.3 Utilizzo e contenuti
- Partecipazione a gruppi, ruoli (Owner/Admin/Member/Guest)
- Statistiche partite (gol, assist, presenze), valutazioni post-match, voti MVP
- Badge, livelli XP, stamina, streak
- Messaggi in candidature/inviti
- Link chat esterna del gruppo (URL WhatsApp/Telegram inserito dall'admin)
- Cronologia match e prenotazioni
2.4 Dati tecnici e del dispositivo
- Device ID, push token (Expo/FCM/APNs)
- Tipo dispositivo, OS, versione app, lingua, fuso orario
- Log tecnici per debugging con anonimizzazione IP
2.5 Dati aggregati anonimi
Metriche d'uso non riconducibili all'utente.
3. Finalità del Trattamento
| Finalità | Base giuridica GDPR | Obbligatorio? |
|---|
| Erogazione servizio (gruppi, match, prenotazioni) | Art. 6(1)(b) — esecuzione contratto | Sì |
| Autenticazione e sicurezza account | Art. 6(1)(b) | Sì |
| Notifiche push operative | Art. 6(1)(b) | Sì |
| Notifiche annunci “Cercasi Giocatore” | Art. 6(1)(a) — consenso | No (opt-out) |
| Discovery Profile (visibilità zona) | Art. 6(1)(a) — consenso esplicito | No (opt-out) |
| Gamification (badge, livelli, statistiche) | Art. 6(1)(b) | Sì |
| Prevenzione frodi e abusi | Art. 6(1)(f) — legittimo interesse | Sì |
| Obblighi di legge | Art. 6(1)(c) | Sì |
| Statistiche aggregate anonime | Art. 6(1)(f) | No (anonimi) |
4. Periodi di Conservazione
| Tipo di dato | Durata |
|---|
| Account attivo | Finché l'account è attivo |
| Dati post cancellazione account | 30 giorni per ripristino, poi cancellazione definitiva. Statistiche di gruppo conservate anonimizzate. |
| Discovery Profile (lat/lng, zona) | Finché profilo Discovery attivo; cancellazione immediata alla disattivazione |
| Log tecnici / audit | 12 mesi |
| Dati per obblighi fiscali | Secondo normativa (es. fatturazione 10 anni) |
| Push token | Finché device associato |
| Token sessione / refresh | Revoca al logout o dopo 30 giorni inattività |
5. Modalità di Trattamento e Sicurezza
Misure ex art. 32 GDPR:
- TLS 1.2+ su tutte le comunicazioni
- Crittografia a riposo (Azure SQL Transparent Data Encryption)
- Hashing password bcrypt/argon2 con salt random
- JWT firmati con chiave rotata periodicamente
- Minimo privilegio sugli accessi
- Backup cifrati con retention limitata
- Audit log amministrativi
In caso di data breach notificheremo alle autorità entro 72 ore (art. 33 GDPR).
6. Condivisione Dati con Terze Parti
Non vendiamo mai i dati personali. Condivisione solo con:
6.1 Responsabili del trattamento (art. 28 GDPR)
| Fornitore | Servizio | Sede | Base trasferimento |
|---|
| Microsoft Azure | Hosting backend, DB, storage | West Europe (Amsterdam) | N/A (no extra-UE) |
| Expo / EAS | Build mobile, push service | USA | EU-US DPF + SCCs |
| Google LLC | Google Sign-In | USA | EU-US DPF + SCCs |
| Meta Platforms Inc. | Facebook Login | USA | EU-US DPF + SCCs |
| Apple Inc. | APNs (push iOS) | USA / Irlanda | EU-US DPF |
| Google / Firebase | FCM (push Android) | USA | EU-US DPF + SCCs |
| Brevo | Email transazionali (OTP) | EU | SCCs |
6.2 Altri utenti
- Nickname e avatar ai membri dei gruppi
- Discovery Profile (se attivo) ad altri giocatori nella zona: solo nickname, distanza approssimativa, sport, disponibilità (mai indirizzo esatto)
- Statistiche all'interno dei gruppi
6.3 Autorità
In caso di richieste legittime (Autorità giudiziaria, forze dell'ordine, Garante), nei limiti di legge.
7. Trasferimenti Extra-UE
Fornitori USA (Expo, Google, Meta). Base:
- EU-US Data Privacy Framework (Decisione Commissione UE 10.07.2023)
- Standard Contractual Clauses (Decisione 2021/914)
- Misure supplementari tecniche e organizzative
Copia garanzie su richiesta a privacy@rosterr.it.
8. Cookie e Tecnologie di Tracciamento
L'App è nativa, non usa cookie web. Tecnologie equivalenti:
- Local storage sicuro (SecureStore/Keychain/Keystore): token autenticazione, device ID, preferenze — necessari
- Facebook SDK: se usi login Facebook, raccoglie identificativi dispositivo per auth + anti-frode. In conformità App Tracking Transparency (iOS 14.5+) chiediamo consenso esplicito via prompt sistema prima di attivare eventuale tracciamento cross-app
- Google Sign-In SDK: attivo solo se scegli login Google
- Expo Notifications: memorizza push token per consegna notifiche
Puoi revocare il consenso Facebook da iOS: Impostazioni → Privacy → Tracking → Rosterr.
9. Diritti dell'Interessato
Artt. 15-22 GDPR:
- Accesso (15) — copia dei dati
- Rettifica (16) — correzione dati inesatti
- Cancellazione (17) — “oblio”, da Profilo → Elimina account o via email
- Limitazione (18) — restringere il trattamento
- Portabilità (20) — export JSON strutturato
- Opposizione (21) — oppositiva al legittimo interesse
- Revoca consenso (7) — in qualsiasi momento
- No decisioni automatizzate (22) — non effettuiamo profilazione automatizzata
Richieste a privacy@rosterr.it con documento d'identità per verifica. Risposta entro 30 giorni (estendibili a 60 in casi complessi ex art. 12(3)).
10. Reclamo al Garante Privacy
- Sito: www.garanteprivacy.it
- Email: garante@gpdp.it
- PEC: protocollo@pec.gpdp.it
- Indirizzo: Piazza Venezia 11, 00187 Roma
Oppure all'autorità di controllo dello Stato membro UE di residenza abituale.
11. Dati dei Minori
Il servizio non è destinato a minori di 14 anni (art. 2-quinquies Codice Privacy). Genitori che ritengano registrazione illecita di un minore: contatto a privacy@rosterr.it per cancellazione immediata.
12. Notifiche Push
- Operative (inviti, promemoria match, prenotazioni, MVP): base contrattuale, non disattivabili singolarmente
- Annunci “Cercasi Giocatore”: base consenso, opt-out da Impostazioni → Notifiche → Annunci cercasi giocatore
Disattivazione totale dalle impostazioni OS.
13. Modifiche a questa Informativa
Modifiche sostanziali notificate via:
- Notifica in-app al primo avvio successivo
- Email (per modifiche rilevanti)
- Aggiornamento data “Ultimo aggiornamento”
Changelog
| Versione | Data | Modifiche |
|---|
| 1.0 | 20/04/2026 | Prima pubblicazione |