Versione 2026-06-06 · In vigore dal 06 giugno 2026
La presente informativa descrive come trattiamo i tuoi dati personali quando usi Trova il Tesoro, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR). Spieghiamo quali dati raccogliamo, per quali finalità e su quali basi giuridiche, per quanto tempo li conserviamo e quali diritti puoi esercitare.
Il Titolare del trattamento è indicato in fondo a questa pagina, con i relativi recapiti per ogni richiesta in materia di protezione dei dati. Puoi rivolgerti al Titolare per esercitare i tuoi diritti o per qualsiasi chiarimento su questa informativa.
Trattiamo: dati dell'account (email, username, nome, avatar, lingua); dati di gioco (scoperte effettuate, completamenti, metodo di verifica); dati di geolocalizzazione (latitudine, longitudine e accuratezza GPS rilevate al momento di una tappa armata); il selfie scattato a ogni tappa, conservato in un archivio privato; dati di pagamento (importi, stato, identificativi Stripe — nessun dato della carta è memorizzato da noi); le prove dei consensi prestati; i log di sicurezza (identificativo utente, evento, indirizzo IP, dettagli tecnici).
Trattiamo i tuoi dati per: creare e gestire il tuo account; erogare la caccia al tesoro e verificare le tappe (NFC, GPS e selfie); gestire i pagamenti e gli adempimenti fiscali connessi; conservare la prova dei consensi prestati; garantire la sicurezza del servizio e prevenire frodi e abusi.
Non effettuiamo profilazione per finalità di marketing al momento del lancio. Se in futuro introdurremo finalità ulteriori, te ne informeremo preventivamente.
Account, selfie, geolocalizzazione e pagamenti sono trattati per l'esecuzione del contratto di partecipazione (art. 6.1.b GDPR). I pagamenti sono trattati anche per adempiere a obblighi legali di natura fiscale e contabile (art. 6.1.c GDPR).
La sicurezza del servizio, gli audit e la prevenzione delle frodi si fondano sul nostro legittimo interesse (art. 6.1.f GDPR): l'interesse perseguito è proteggere la piattaforma e gli utenti da accessi non autorizzati, manomissioni e comportamenti fraudolenti. La conservazione della prova dei consensi risponde al principio di responsabilizzazione (art. 5.2 e 7.1 GDPR).
I dati di pagamento sono conservati per 10 anni dall'ultima registrazione, in forza degli obblighi civilistici e fiscali (art. 2220 c.c.). I selfie sono conservati per la durata della gara e per una finestra di circa 90 giorni per la gestione di eventuali contestazioni. I dati di gioco e di geolocalizzazione (finds) sono conservati per circa 12 mesi per la gestione delle contestazioni. I log di audit e sicurezza sono conservati per circa 6 mesi (estendibili in presenza di esigenze antifrode motivate).
In caso di richiesta di cancellazione dell'account, i dati sono eliminati senza ingiustificato ritardo, di norma entro circa 30 giorni, fatti salvi gli obblighi di legge e i termini necessari alla difesa di un diritto. Per i dati privi di scadenza fissa indichiamo i criteri di determinazione del periodo di conservazione.
I tuoi dati sono trattati da fornitori che agiscono come responsabili del trattamento sulla base di accordi conformi all'art. 28 GDPR: Supabase (database e archiviazione), Stripe (pagamenti) e Vercel (hosting). I dati possono inoltre essere comunicati alle autorità fiscali o giudiziarie quando richiesto dalla legge. Non vendiamo i tuoi dati a terzi.
Alcuni fornitori (Supabase, Stripe, Vercel) possono trattare dati negli Stati Uniti. Tali trasferimenti avvengono in presenza di garanzie adeguate, quali la certificazione al Data Privacy Framework UE-USA e/o le Clausole Contrattuali Standard della Commissione europea (Dec. UE 2021/914). Puoi richiederne copia contattando il Titolare.
Hai il diritto di accedere ai tuoi dati e di ottenerne la rettifica, la cancellazione, la limitazione del trattamento, nonché il diritto alla portabilità e il diritto di opposizione, nei limiti previsti dal GDPR. Quando il trattamento si fonda sul consenso, puoi revocarlo in qualsiasi momento (art. 7.3 GDPR), senza pregiudicare la liceità del trattamento svolto prima della revoca. Per esercitare i tuoi diritti puoi contattare il Titolare ai recapiti in calce.
Se ritieni che il trattamento dei tuoi dati violi la normativa, hai il diritto di proporre reclamo all'autorità di controllo. In Italia è competente il Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma; email protocollo@gpdp.it; PEC protocollo@pec.gpdp.it; sito www.garanteprivacy.it.
Il conferimento dei dati dell'account, del selfie, della geolocalizzazione e dei dati di pagamento è necessario per partecipare alle cacce al tesoro: il rifiuto rende impossibile l'erogazione del servizio. Gli altri conferimenti sono facoltativi e il loro rifiuto non pregiudica la partecipazione.
Non adottiamo decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici o significativi nei tuoi confronti ai sensi dell'art. 22 GDPR: la proclamazione del vincitore è sempre soggetta a una verifica umana del selfie e delle prove di completamento. Utilizziamo controlli antifrode automatici (ad esempio coerenza di GPS e tempi) come ausilio, ma la decisione finale resta umana.
Alcuni dati del tuo profilo possono essere visibili agli altri partecipanti, ad esempio l'username e l'avatar, in particolare nelle classifiche e nelle pagine di gioco. Email, nome reale e dati di contatto non sono resi pubblici.
Il selfie è un'immagine fotografica del volto, esaminata esclusivamente da un operatore umano per il solo confronto visivo necessario a validare le scoperte e il vincitore. Non viene effettuato alcun riconoscimento facciale automatico, né estrazione di modelli biometrici, né rilevamento di liveness.
La base giuridica del trattamento del selfie è l'esecuzione del contratto di partecipazione (art. 6.1.b GDPR), essendo il selfie necessario alla verifica del vincitore, cuore della prestazione. Una foto del volto sottoposta alla sola revisione visiva di un operatore non costituisce, di per sé, un dato biometrico. A maggior tutela, ove richiesto, raccogliamo separatamente uno specifico consenso esplicito per questo trattamento, revocabile in qualsiasi momento.
Non è obbligatoria la nomina di un Responsabile della protezione dei dati (DPO) ai sensi dell'art. 37 GDPR. Per le questioni relative alla privacy puoi comunque scriverci all'indirizzo email dedicato indicato nei nostri recapiti.
Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali o per esercitare i tuoi diritti, puoi contattare il Titolare ai recapiti indicati in fondo a questa pagina.
Titolare del trattamento
Davide Melis
Warsaw ORdynacka 14
P.IVA 000000000000
davide94melis@gmail.com · davide94melis@pec.it