La presente Informativa descrive come Rosterr (“noi”, “Applicazione”) raccoglie, utilizza e protegge i dati personali degli utenti (“tu”, “Utente”) in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018).
1. Titolare del Trattamento
- Denominazione: B4next S.r.l.
- Sede legale: P.zza Ascanio Vitozzi, 2, 05018 Orvieto (TR), Italia
- Partita IVA / Codice Fiscale: P.IVA IT16010721005
- Email di contatto privacy: privacy@rosterr.it
Per qualsiasi richiesta scrivi a privacy@rosterr.it.
2. Tipologie di Dati Raccolti
2.1 Identità e autenticazione
- Email, password (hash bcrypt/argon2), nickname
- Immagine profilo (avatar)— caricata volontariamente dall'utente e archiviata su Azure Blob Storage(West Europe). L'URL dell'immagine è temporanea e protetta da token di autenticazione (SAS token): non è accessibile pubblicamente senza un token valido. L'immagine viene eliminata definitivamente alla cancellazione dell'account.
- ID Google / Facebook (se social login)
- Token JWT sessione + refresh, device ID, IP accesso, data/ora sessione
2.2 Localizzazione (Discovery Profile)
- Indirizzo dichiarato, geocodificato a zona generica
- Latitudine / longitudine della zona di disponibilità
- Raggio disponibilità dichiarato (1–100 km)
La posizione non è rilevata via GPS senza consenso esplicito. L'utente inserisce un indirizzo che viene geocodificato. Le coordinate esatte non sono mai condivise con altri utenti— mostrate solo distanze relative (es. “3.4 km”).
2.3 Utilizzo e contenuti
- Partecipazione a gruppi, ruoli (Owner/Admin/Member/Guest)
- Statistiche partite (gol, assist, presenze), valutazioni post-match, voti MVP
- Badge, livelli XP, stamina, streak
- Messaggi in candidature/inviti
- Link chat esterna del gruppo (URL WhatsApp/Telegram inserito dall'admin)
- Cronologia match e prenotazioni
- Luogo delle partite e delle prenotazioni, incluso nome del campo da gioco, indirizzo o zona indicata dall'admin e, ove necessario, coordinate geografiche associate al luogo di gioco. Tali dati sono riferiti al campo o alla struttura sportiva e non alla posizione in tempo reale dell'utente.
2.4 Dati tecnici e del dispositivo
- Device ID, push token (Expo/FCM/APNs)
- Tipo dispositivo, OS, versione app, lingua, fuso orario
- Log tecnici per debugging con anonimizzazione IP
2.5 Dati aggregati anonimi
Metriche d'uso non riconducibili all'utente.
3. Finalità del Trattamento
| Finalità | Base giuridica GDPR | Obbligatorio? |
|---|
| Erogazione servizio (gruppi, match, prenotazioni, gestione dei luoghi di gioco e organizzazione delle partite) | Art. 6(1)(b) — esecuzione contratto | Sì |
| Autenticazione e sicurezza account | Art. 6(1)(b) | Sì |
| Notifiche push operative | Art. 6(1)(b) | Sì |
| Annunci “Cercasi Giocatore” e ricerca giocatori nelle vicinanze del luogo di gioco | Art. 6(1)(a) — consenso, per gli utenti che attivano il Discovery Profile o ricevono notifiche dedicate | No (opt-out) |
| Discovery Profile (visibilità zona) | Art. 6(1)(a) — consenso esplicito | No (opt-out) |
| Gamification (badge, livelli, statistiche) | Art. 6(1)(b) | Sì |
| Prevenzione frodi e abusi | Art. 6(1)(f) — legittimo interesse | Sì |
| Obblighi di legge | Art. 6(1)(c) | Sì |
| Statistiche aggregate anonime | Art. 6(1)(f) | No (anonimi) |
4. Periodi di Conservazione
| Tipo di dato | Durata |
|---|
| Account attivo | Finché l'account è attivo |
| Dati post cancellazione account | 30 giorni per ripristino, poi cancellazione definitiva. Statistiche di gruppo conservate anonimizzate. |
| Discovery Profile (lat/lng, zona) | Finché profilo Discovery attivo; cancellazione immediata alla disattivazione |
| Luoghi di gioco associati a match, prenotazioni e annunci | Fino alla cancellazione del match, della prenotazione o dell'annuncio, oppure fino alla cancellazione del gruppo/account secondo le logiche di conservazione previste. I dati possono essere conservati nello storico del gruppo quando necessari per ricostruire partite, prenotazioni e statistiche. |
| Log tecnici / audit | 12 mesi |
| Dati per obblighi fiscali | Secondo normativa (es. fatturazione 10 anni) |
| Immagine profilo (avatar) | Finché l'account è attivo; eliminazione definitiva da Azure Blob Storage alla cancellazione account |
| Push token | Finché device associato |
| Token sessione / refresh | Revoca al logout o dopo 30 giorni inattività |
5. Modalità di Trattamento e Sicurezza
Misure ex art. 32 GDPR:
- TLS 1.2+ su tutte le comunicazioni
- Crittografia a riposo (Azure SQL Transparent Data Encryption)
- Hashing password bcrypt/argon2 con salt random
- JWT firmati con chiave rotata periodicamente
- Minimo privilegio sugli accessi
- Avatar protetti da SAS token — gli URL delle immagini profilo su Azure Blob Storage sono temporanei e firmati; l'accesso senza token valido è negato
- Backup cifrati con retention limitata
- Audit log amministrativi
In caso di data breach notificheremo alle autorità entro 72 ore (art. 33 GDPR).
6. Condivisione Dati con Terze Parti
Non vendiamo mai i dati personali. Condivisione solo con:
6.1 Responsabili del trattamento (art. 28 GDPR)
| Fornitore | Servizio | Sede | Base trasferimento |
|---|
| Microsoft Azure | Hosting backend, DB, storage | West Europe (Amsterdam) | N/A (no extra-UE) |
| Expo / EAS | Build mobile, push service | USA | EU-US DPF + SCCs |
| Google LLC | Google Sign-In | USA | EU-US DPF + SCCs |
| Meta Platforms Inc. | Facebook Login | USA | EU-US DPF + SCCs |
| Apple Inc. | APNs (push iOS) | USA / Irlanda | EU-US DPF |
| Google / Firebase | FCM (push Android) | USA | EU-US DPF + SCCs |
| Brevo | Email transazionali (OTP) | EU | SCCs |
6.2 Altri utenti
- Nickname e avatar ai membri dei gruppi
- Discovery Profile (se attivo) ad altri giocatori nella zona: solo nickname, distanza approssimativa, sport, disponibilità (mai indirizzo esatto)
- Statistiche all'interno dei gruppi
- Luogo delle partite, delle prenotazioni e degli annunci “Cercasi Giocatore” visibile ai membri del gruppo, agli utenti invitati o ai giocatori che visualizzano/candidano a un annuncio, nei limiti necessari per organizzare la partecipazione all'evento sportivo.
6.3 Autorità
In caso di richieste legittime (Autorità giudiziaria, forze dell'ordine, Garante), nei limiti di legge.
7. Trasferimenti Extra-UE
Fornitori USA (Expo, Google, Meta). Base:
- EU-US Data Privacy Framework (Decisione Commissione UE 10.07.2023)
- Standard Contractual Clauses (Decisione 2021/914)
- Misure supplementari tecniche e organizzative
Copia garanzie su richiesta a privacy@rosterr.it.
8. Cookie e Tecnologie di Tracciamento
L'App è nativa, non usa cookie web. Tecnologie equivalenti:
- Local storage sicuro (SecureStore/Keychain/Keystore): token autenticazione, device ID, preferenze — necessari
- Facebook SDK: se usi login Facebook, raccoglie identificativi dispositivo per auth + anti-frode. In conformità App Tracking Transparency (iOS 14.5+) chiediamo consenso esplicito via prompt sistema prima di attivare eventuale tracciamento cross-app
- Google Sign-In SDK: attivo solo se scegli login Google
- Expo Notifications: memorizza push token per consegna notifiche
Puoi revocare il consenso Facebook da iOS: Impostazioni → Privacy → Tracking → Rosterr.
9. Diritti dell'Interessato
Artt. 15-22 GDPR:
- Accesso (15) — copia dei dati
- Rettifica (16) — correzione dati inesatti
- Cancellazione (17) — “oblio”, da Profilo → Elimina account o via email
- Limitazione (18) — restringere il trattamento
- Portabilità (20) — export JSON strutturato
- Opposizione (21) — oppositiva al legittimo interesse
- Revoca consenso (7) — in qualsiasi momento
- No decisioni automatizzate (22) — non effettuiamo profilazione automatizzata
Richieste a privacy@rosterr.it con documento d'identità per verifica. Risposta entro 30 giorni (estendibili a 60 in casi complessi ex art. 12(3)).
10. Reclamo al Garante Privacy
- Sito: www.garanteprivacy.it
- Email: garante@gpdp.it
- PEC: protocollo@pec.gpdp.it
- Indirizzo: Piazza Venezia 11, 00187 Roma
Oppure all'autorità di controllo dello Stato membro UE di residenza abituale.
11. Dati dei Minori
Il servizio non è destinato a minori di 14 anni (art. 2-quinquies Codice Privacy). Genitori che ritengano registrazione illecita di un minore: contatto a privacy@rosterr.it per cancellazione immediata.
12. Notifiche Push
- Operative (inviti, promemoria match, prenotazioni, MVP): base contrattuale, non disattivabili singolarmente
- Annunci “Cercasi Giocatore”: base consenso, opt-out da Impostazioni → Notifiche → Annunci cercasi giocatore
Disattivazione totale dalle impostazioni OS.
13. Modifiche a questa Informativa
Modifiche sostanziali notificate via:
- Notifica in-app al primo avvio successivo
- Email (per modifiche rilevanti)
- Aggiornamento data “Ultimo aggiornamento”
Changelog
| Versione | Data | Modifiche |
|---|
| 1.0 | 20/04/2026 | Prima pubblicazione |
| 1.1 | 13/05/2026 | Aggiunto trattamento luoghi di gioco (match, prenotazioni, annunci Cercasi Giocatore) nelle sezioni 2.3, 3, 4 e 6.2 |