INFORMATIVA SULLA PRIVACY
Versione in vigore dal 11 luglio 2026
La presente Informativa è resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (“GDPR”) e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 (“Codice Privacy”). Descrive come sono raccolti e trattati i dati personali degli Utenti della Piattaforma Splax (app mobile e versione web splax.io, nonché sito vetrina splax.app).
1. TITOLARE DEL TRATTAMENTO E CONTATTI
- Titolare: Tomas Garulli — titolare dell’impresa individuale familiare si sensi dell’art. 230-bis c.c.
- Codice Fiscale: GRLTMS69P24G337G
- Partita IVA: 02281470340
- Codice ATECO: 62.01.00 (Produzione di software non connesso all’edizione)
- Sede legale: Strada Tamborino 4, 43024 Bazzano (Parma), Italia
- Coadiuvante familiare: Lorenzo Garulli (CF: GRLLNZ98L22G337J)
- E-mail per richieste privacy e diritti dell’interessato: support@splax.app
2. RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)
Il Titolare non ha nominato un Data Protection Officer, non ricorrendo, allo stato, le condizioni di obbligo di cui all’art. 37 GDPR. Le comunicazioni relative alla protezione dei dati e l’esercizio dei diritti devono essere indirizzate direttamente al Titolare all’indirizzo support@splax.app.
Il Titolare si riserva di nominare un DPO ove necessario a seguito dell’evoluzione del servizio; l’eventuale nomina sarà comunicata tramite aggiornamento della presente Informativa.
3. CATEGORIE DI DATI PERSONALI TRATTATI
Splax tratta, a seconda delle funzionalità utilizzate, le seguenti categorie di dati:.
Identificativi e anagrafici
- Nome, cognome, username
- Data di nascita (per verifica dei 18 anni di età minima)
- Codice Fiscale (per Utenti in veste di presidente di squadra, legale rappresentante di associazione o per esigenze di tesseramento FIGT)
- Partita IVA, ragione sociale, numero REA (per Utenti “Shop”, “Arena”, “Organization”)
- Numero e tipo del documento d’identità (per la procedura di verifica tramite Stripe Identity)
Contatto
- Indirizzo e-mail (principale)
- Numero di telefono (opzionale / obbligatorio per Utenti verificati come business)
- Indirizzo postale (residenza, sede legale, indirizzo di spedizione/fatturazione)
- Paese, regione, città, CAP, coordinate GPS approssimate del luogo associato al profilo o agli eventi
- Handle social (Instagram, Facebook, YouTube, sito web) se inseriti volontariamente
Autenticazione
- Credenziali di accesso (e-mail + password, quest’ultima conservata come hash irreversibile presso il provider di autenticazione Supabase)
- Token di sessione (JWT), token di rinfresco, cookie di sessione web
- Registri degli accessi (IP, user-agent, timestamp) conservati dal provider di autenticazione
Pagamento e fatturazione
- Identificativi Stripe (Customer ID, Connect Account ID, Subscription ID)
- Identificativi RevenueCat (per acquisti in-app Apple/Google)
- Informazioni della carta di pagamento: non trattate direttamente dal Titolare; sono acquisite e conservate unicamente da Stripe in ambiente certificato PCI-DSS; la Piattaforma riceve solo il token di riferimento e gli ultimi 4 numeri/tipo carta per finalità di visualizzazione.
- Storico pagamenti, importi, stato, metodo, metadati ordine
- Coordinate di accredito (IBAN, conto bancario) dei Venditori / gestori arena / squadre / associazioni, gestite tramite Stripe Connect
- Informazioni di fatturazione e indirizzi collegati
Verifica identità (KYC)
Raccolti per le verifiche obbligatorie antiriciclaggio quando l’Utente configura l’incasso di pagamenti (Shop, Arena, Organization, Venditori, organizzatori eventi): - Immagine del documento d’identità fronte/retro (carta d’identità, patente, passaporto) - Selfie / immagine del volto per confronto biometrico - Risultati della verifica
Tali dati sono trattati da Stripe, in qualità di autonomo titolare del trattamento ai sensi dei propri accordi, e non sono accessibili al Titolare in formato originale: il Titolare riceve solo l’esito della verifica e i dati strutturati necessari (es. nome, data di nascita, scadenza).
Utilizzo del servizio
- Contenuti caricati: annunci marketplace (testi, foto, prezzi), post e thread del forum, messaggi chat 1-to-1, chat di squadra, chat di transazione marketplace/evento, chat di supporto in-app con il personale Splax, recensioni, feedback, commenti, segnalazioni, documenti di squadra e di affiliazione
- Comportamento sulla piattaforma: interazioni (like, follow, preferiti), pagine visitate, visualizzazioni annunci, orari di accesso, ultima presenza (“last seen”), tempo di risposta medio
- Punti BB Points e relative transazioni
- Statistiche: numero vendite, rating medio, reputation
- Feature Usage (funzioni utilizzate) a scopo di manutenzione e miglioramento
Dispositivo e diagnostica
- Identificativo di installazione dell’app
- Tipo di dispositivo, modello, sistema operativo, versione app, lingua, fuso orario
- Token di notifica push (Firebase Cloud Messaging – FCM)
- Dati di crash / errore trasmessi a Firebase Crashlytics a fini di diagnostica
- IP address (presso i log del backend e dei provider)
- Identificatori pubblicitari trasmessi a Google AdMob: IDFA (Identifier for Advertisers) su iOS, AAID (Android Advertising ID) su Android. L’Utente può limitare/reimpostare tali identificatori dalle impostazioni del sistema operativo. Su iOS l’identificatore è trasmesso solo previo consenso esplicito tramite il prompt ATT (App Tracking Transparency).
Minori “affiliati da squadra”
Come descritto nei Termini (Sezione 5.3 e 20.3), i minori non possono creare un Account. Tuttavia, la Piattaforma può trattare dati anagrafici di atleti minorenni inseriti dalla squadra di appartenenza a scopo di affiliazione FIGT e di assicurazione: - Nome, cognome, data di nascita del minore - Numero tessera/carta - Dati del tutore legale (nome, cognome, codice fiscale, contatti) - Eventuali flag organizzativi interni
Il consenso del tutore è raccolto a cura della squadra (modulo cartaceo esterno alla Piattaforma) e ne è la squadra responsabile. Il Titolare agisce come responsabile del trattamento ex art. 28 GDPR per conto della squadra, relativamente a tali dati, nei termini di un accordo quadro applicabile a tutte le squadre iscritte.
Dati particolari e giudiziari (art. 9 GDPR)
Il Titolare non richiede intenzionalmente il trattamento di dati appartenenti a categorie particolari (salute, origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, dati biometrici per identificazione univoca, vita o orientamento sessuale).
La procedura Stripe Identity comporta l’acquisizione di un’immagine del volto a scopo di confronto: tale trattamento non è considerato “dato biometrico” ex art. 9 GDPR nella misura in cui è utilizzato solo per la verifica dell’identità dichiarata e non per identificazione biometrica successiva. Ove l’Utente ritenga di non voler fornire tali dati, potrà rinunciare alle funzioni che li richiedono (es. ricezione di pagamenti come Venditore/organizzatore).
Il Titolare non raccoglie dati giudiziari. In caso di segnalazioni all’Autorità (Sezione 9 dei Termini), il Titolare può trasmettere contenuti pubblicati e dati identificativi nei termini di legge, senza che ciò costituisca un trattamento sistematico di dati giudiziari.
Dati di interazione pubblicitaria
- Numero di visualizzazioni giornaliere di video pubblicitari premiati (“rewarded ad”) da parte dell’Utente, conservato a scopo anti-abuso e per applicare il limite massimo di 5 video/giorno previsto dal programma BB Points
- Eventi di visualizzazione e click sugli annunci nativi pubblicati nelle liste marketplace e forum (raccolti e gestiti da Google AdMob / AdSense in qualità di autonomi titolari)
- Saldo BB Points e relativo storico transazioni
- Paese di residenza dichiarato dall’Utente (codice ISO-2), utilizzato per l’erogazione del Marketplace, riservato ai soli residenti in Italia (Sezione 20)
4. FINALITÀ DEL TRATTAMENTO E BASI GIURIDICHE
Il Titolare tratta i dati personali degli Utenti esclusivamente per finalità determinate, esplicite e legittime, individuando per ciascun trattamento una base giuridica ai sensi dell’art. 6 GDPR. In particolare, il trattamento può fondarsi, a seconda dei casi, sull’esecuzione del contratto o di misure precontrattuali richieste dall’Utente, sull’adempimento di obblighi di legge, sul consenso dell’interessato oppure sul legittimo interesse del Titolare o di terzi, previo bilanciamento con i diritti e le libertà fondamentali degli interessati.
La creazione e la gestione dell’Account, nonché l’erogazione delle funzionalità richieste dall’Utente — inclusi contenuti, marketplace, eventi, prenotazioni, chat, forum e gestione delle squadre — comportano il trattamento di dati identificativi, di contatto, di autenticazione e di utilizzo del servizio. Tale trattamento è necessario per consentire l’accesso alla Piattaforma e l’esecuzione dei servizi richiesti dall’Utente e trova fondamento nell’art. 6, par. 1, lett. b) GDPR.
I dati relativi ai pagamenti, alla fatturazione, agli identificativi transazionali e, ove applicabile, alle coordinate di accredito sono trattati per gestire pagamenti, escrow, transazioni, rimborsi, ricevute, fatture e adempimenti fiscali. Il trattamento è necessario sia per l’esecuzione del rapporto contrattuale con l’Utente sia per adempiere agli obblighi legali in materia fiscale, contabile, antiriciclaggio e antifrode, ai sensi dell’art. 6, par. 1, lett. b) e c) GDPR.
Per gli Utenti che intendono vendere beni, ricevere pagamenti, gestire arene, organizzare eventi o comunque utilizzare funzioni che comportano incassi, possono essere trattati dati necessari alla verifica dell’identità e alle procedure KYC tramite Stripe Identity, quali dati anagrafici, documento d’identità, immagine del volto per confronto e risultato della verifica. Tale trattamento è fondato sull’esecuzione del contratto, nella misura in cui la verifica sia necessaria per abilitare le relative funzioni, nonché sull’adempimento degli obblighi di legge applicabili in materia di identificazione, prevenzione delle frodi, antiriciclaggio e gestione dei pagamenti, ai sensi dell’art. 6, par. 1, lett. b) e c) GDPR.
Le notifiche push relative al funzionamento del servizio, quali aggiornamenti sugli ordini, messaggi chat, eventi, prenotazioni e comunicazioni operative, richiedono il trattamento del token di notifica e delle informazioni relative all’evento notificato. Tali notifiche sono inviate solo ove l’Utente abbia prestato il relativo consenso tramite le autorizzazioni del sistema operativo o dell’applicazione, consenso sempre revocabile dalle impostazioni del dispositivo o dell’app, ai sensi dell’art. 6, par. 1, lett. a) GDPR.
L’indirizzo e-mail dell’Utente è trattato per l’invio di comunicazioni transazionali e di servizio, quali conferma della registrazione, reset della password, ricevute, aggiornamenti sugli ordini e comunicazioni strettamente connesse all’utilizzo della Piattaforma. Tale trattamento è necessario all’esecuzione del contratto ai sensi dell’art. 6, par. 1, lett. b) GDPR. Diversamente, l’invio di newsletter e comunicazioni promozionali del Titolare avviene solo previo consenso specifico, libero e revocabile dell’Utente, ai sensi dell’art. 6, par. 1, lett. a) GDPR.
Il Titolare tratta dati di utilizzo del servizio, indirizzi IP, log, dati diagnostici, informazioni di pagamento e altri elementi tecnici pertinenti per prevenire frodi, abusi, accessi non autorizzati, manipolazioni del servizio, violazioni dei Termini e comportamenti illeciti o dannosi per la Piattaforma e per gli Utenti. Tale trattamento si fonda sul legittimo interesse del Titolare alla sicurezza, integrità e affidabilità del servizio e alla tutela degli Utenti, ai sensi dell’art. 6, par. 1, lett. f) GDPR, fermo restando il bilanciamento con i diritti e le libertà degli interessati.
I contenuti generati dagli Utenti, le segnalazioni, i log e le informazioni correlate possono essere trattati per finalità di moderazione, gestione delle segnalazioni, contrasto a contenuti illeciti o contrari ai Termini e adempimento degli obblighi previsti dal Digital Services Act e dalla normativa applicabile. La base giuridica è costituita, a seconda dei casi, dall’adempimento di obblighi legali e dal legittimo interesse del Titolare a mantenere un ambiente digitale sicuro e conforme, ai sensi dell’art. 6, par. 1, lett. c) e f) GDPR.
I dati di utilizzo possono inoltre essere trattati, anche in forma pseudonimizzata o aggregata, per elaborare statistiche interne non individuali, monitorare il funzionamento della Piattaforma, comprendere l’utilizzo delle funzionalità, migliorare il servizio e risolvere malfunzionamenti tecnici, inclusi i dati di crash e diagnostica trasmessi tramite Crashlytics. Tali trattamenti si fondano sul legittimo interesse del Titolare alla manutenzione, sicurezza, evoluzione e miglioramento della Piattaforma, ai sensi dell’art. 6, par. 1, lett. f) GDPR.
Quando l’Utente abilita funzionalità basate sulla posizione, quali mappe, eventi, luoghi o ricerca di arene, possono essere trattate coordinate GPS o dati di localizzazione. Il trattamento avviene esclusivamente nei limiti delle autorizzazioni concesse dall’Utente tramite il sistema operativo o l’applicazione ed è fondato sul consenso dell’interessato, revocabile in qualsiasi momento, ai sensi dell’art. 6, par. 1, lett. a) GDPR.
Il Titolare può trattare tutte le categorie di dati pertinenti, nei limiti di necessità e proporzionalità, per adempiere a obblighi legali, conservare documentazione obbligatoria, rispondere a richieste dell’Autorità, collaborare con autorità pubbliche competenti, prevenire o accertare illeciti e tutelare i propri diritti in sede stragiudiziale o giudiziale. Tali trattamenti si fondano sull’art. 6, par. 1, lett. c) GDPR, ove imposti dalla legge, e sull’art. 6, par. 1, lett. f) GDPR, ove necessari per l’accertamento, l’esercizio o la difesa di un diritto.
Per le funzionalità relative al tesseramento FIGT, alle affiliazioni e alle coperture assicurative sportive, il Titolare può trattare dati anagrafici, di contatto, di pagamento e documenti necessari al tesseramento, all’affiliazione, alla gestione delle squadre e alla trasmissione agli enti competenti. Il trattamento è necessario per l’esecuzione dei servizi richiesti, per l’adempimento di obblighi legali o regolamentari in ambito sportivo e, ove pertinente, per il legittimo interesse alla corretta gestione del rapporto con squadre, associazioni e federazione, ai sensi dell’art. 6, par. 1, lett. b), c) e f) GDPR.
I dati dei minori “affiliati da squadra”, non abilitati alla creazione autonoma di Account, possono essere trattati esclusivamente nei limiti necessari all’affiliazione, al tesseramento, alla copertura assicurativa e alla gestione amministrativa della squadra o associazione. In tale contesto, Splax opera nei limiti del ruolo descritto nella presente Informativa e negli accordi applicabili con la squadra, mentre la raccolta del consenso o dell’autorizzazione del tutore resta in capo alla squadra secondo quanto indicato alla Sezione 3. La base giuridica è individuata nell’esecuzione del rapporto contrattuale o associativo gestito dalla squadra o federazione con il tutore e negli eventuali obblighi legali o regolamentari connessi.
In relazione alla normativa DAC7, il Titolare tratta i dati identificativi, fiscali, di residenza, bancari e transazionali dei Venditori Comunicanti, inclusi corrispettivi trimestrali, numero di operazioni e commissioni, al fine di effettuare le verifiche richieste, predisporre la comunicazione annuale e trasmettere i dati all’Agenzia delle Entrate entro i termini di legge. Tale trattamento è necessario per adempiere a un obbligo legale cui è soggetto il Titolare ai sensi del D.lgs. 32/2023 e si fonda sull’art. 6, par. 1, lett. c) GDPR; l’Utente non può opporsi alla comunicazione ove ricorrano i presupposti normativi.
La Piattaforma può mostrare annunci pubblicitari di terze parti tramite Google AdMob sull’app mobile e Google AdSense sul web, anche mediante annunci nativi nelle liste marketplace e forum e video pubblicitari opzionali “rewarded” che l’Utente può scegliere di visualizzare per ottenere BB Points. Per gli annunci contestuali e per il sostegno economico del servizio gratuito, il trattamento si fonda sul legittimo interesse del Titolare al funzionamento e alla sostenibilità della Piattaforma, ai sensi dell’art. 6, par. 1, lett. f) GDPR. Per annunci personalizzati, identificatori pubblicitari, cookie di profilazione e tracciamenti non tecnici, il trattamento avviene solo previo consenso dell’Utente, raccolto tramite prompt ATT su iOS, autorizzazioni pertinenti su Android o banner/CMP sul web, ai sensi dell’art. 6, par. 1, lett. a) GDPR.
La verifica del paese di residenza dichiarato dall’Utente è effettuata per consentire o negare l’accesso alle funzionalità del Marketplace, riservate ai soli residenti in Italia in ragione della normativa nazionale applicabile alla vendita, detenzione e spedizione di repliche softair, marcatori paintball e accessori soggetti a disciplina speciale. Tale trattamento è necessario per l’esecuzione del contratto e per l’adempimento di obblighi legali o regolamentari, ai sensi dell’art. 6, par. 1, lett. b) e c) GDPR.
Infine, i dati relativi al programma fedeltà BB Points, quali saldo, storico delle transazioni, azioni di accumulo o spesa, limiti giornalieri, generazione e utilizzo di QR code o codici alternativi presso attività affiliate, sono trattati per consentire l’erogazione e la gestione del programma medesimo. Tale trattamento è necessario per l’esecuzione del servizio richiesto dall’Utente e trova fondamento nell’art. 6, par. 1, lett. b) GDPR; i conteggi antifrode o anti-abuso connessi al programma possono inoltre fondarsi sul legittimo interesse del Titolare alla prevenzione di utilizzi impropri della Piattaforma, ai sensi dell’art. 6, par. 1, lett. f) GDPR.
Nessun dato personale è trattato per finalità ulteriori rispetto a quelle sopra indicate, salvo che il Titolare informi preventivamente l’Utente e individui un’idonea base giuridica. Qualora una nuova finalità richieda il consenso dell’interessato, il trattamento sarà avviato solo dopo l’acquisizione di tale consenso, che potrà essere revocato in qualsiasi momento.
Con riferimento ai dati trattati per finalità DAC7, la comunicazione all’Agenzia delle Entrate e l’eventuale successivo scambio con le autorità fiscali degli altri Stati membri dell’Unione Europea avvengono esclusivamente nei casi e nei limiti previsti dalla normativa applicabile. Tali dati sono conservati per il periodo indicato alla Sezione 11 e il Venditore non può opporsi alla relativa comunicazione quando essa costituisca adempimento di un obbligo di legge.
5. DATI DI MINORI
La Piattaforma è riservata a Utenti maggiorenni. In fase di registrazione è richiesta la data di nascita e, qualora risulti un’età inferiore a 18 anni, la creazione dell’Account è impedita.
Qualora il Titolare accerti che un Account sia stato creato da un minore in violazione della presente Informativa e dei Termini, ne dispone la sospensione o cancellazione e provvede alla cancellazione dei relativi dati personali, salvo quanto debba essere conservato per obbligo di legge o per tutela dei propri diritti.
Resta fermo il trattamento dei dati dei minori “affiliati da squadra”, limitato alle finalità di affiliazione, tesseramento, copertura assicurativa e gestione amministrativa indicate alla Sezione 3. Il tutore legale può richiedere rettifica o cancellazione dei dati tramite la squadra di appartenenza o direttamente al Titolare.
6. MODALITÀ DI RACCOLTA
I dati sono raccolti:
- Direttamente dall’interessato in fase di registrazione, configurazione dell’Account, utilizzo del servizio, caricamento di contenuti e pagamento;
- Automaticamente dal sistema tramite la tecnologia della Piattaforma (log, cookie tecnici, token, diagnostica);
- Da terzi: (a) da Stripe relativamente all’esito della verifica identità e alle operazioni di pagamento; (b) da Apple/Google/RevenueCat relativamente agli acquisti in-app; (c) dai corrieri (Packlink — annunci marketplace generici; SendCloud → BRT per repliche softair e marcatori paintball, in forza di contratto specifico Splax↔BRT che consente l’accettazione di tale categoria merceologica) in relazione a tracciamento spedizione; (d) dalla squadra/associazione per i dati dei minori affiliati; (e) da Google AdMob/AdSense in forma aggregata, relativamente alle metriche di pubblicazione degli annunci.
7. CATEGORIE DI DESTINATARI
I dati possono essere comunicati a:
- Altri Utenti della Piattaforma, limitatamente ai dati pubblicati come tali (profilo pubblico, annunci, post del forum, recensioni) o strettamente necessari a una transazione (nome, indirizzo di spedizione nella fase di ordine tra Venditore/Acquirente);
- Fornitori di servizi che agiscono come responsabili del trattamento ex art. 28 GDPR (sub-processor), per attività strumentali alla Piattaforma (hosting, autenticazione, pagamenti, notifiche, mappe, spedizioni, moderazione automatizzata, traduzione, assistenza) — elenco alla Sezione 8;
- Stripe in qualità di autonomo titolare per le attività di pagamento e di verifica identità (oltre al ruolo tecnico di sub-processor per alcuni dati);
- Apple e Google in qualità di autonomi titolari per il processamento degli acquisti in-app;
- FIGT e l’ente assicurativo partner (ACSI o altro) in qualità di titolari distinti, per i dati strettamente funzionali all’affiliazione, al tesseramento e alla polizza;
- Autorità pubbliche (forza pubblica, autorità giudiziaria, autorità di protezione dei dati, autorità fiscali) ove la comunicazione sia richiesta dalla legge o da un provvedimento;
- Consulenti professionali del Titolare (commercialista, avvocato) nei limiti di quanto necessario alla gestione ordinaria.
8. ELENCO DEI FORNITORI E SUB-PROCESSOR
Il Titolare si avvale di fornitori e subprocessor che prestano servizi di infrastruttura tecnologica, pagamento, spedizione, pubblicità, traduzione, geocoding/mappe, affiliazione sportiva e copertura assicurativa. L’elenco è mantenuto aggiornato e può evolvere nel tempo; eventuali modifiche significative saranno comunicate tramite aggiornamento della presente Informativa e, se del caso, con avviso via email o inapp.
Tra i principali fornitori rientrano:
provider di hosting, database, autenticazione e archiviazione file (UE);
fornitori di servizi di pagamento e gestione acquisti in app (UE/USA);
fornitori di servizi di spedizione e tracking (UE);
fornitori di servizi pubblicitari online e misurazione delle campagne (UE/USA);
fornitori di servizi di traduzione automatica, geocoding e mappe (UE/USA/UK);
- federazioni sportive ed enti assicurativi per affiliazione, tesseramento e gestione delle polizze (Italia, UE).
Per ciascuno di tali soggetti sono trattate, a seconda dei casi, dati anagrafici, di contatto, dati di pagamento, dati relativi alle spedizioni, identificativi tecnici e di utilizzo dell’app/sito, nei limiti necessari all’erogazione dei servizi.
8-bis Elenco sub-processor sempre aggiornato
L’elenco dei subprocessor è tenuto aggiornato dal Titolare e corrisponde ai fornitori indicati nella presente Sezione 8. Eventuali variazioni significative (aggiunta o sostituzione di un subprocessor) saranno comunicate tramite aggiornamento dell’Informativa e, ove l’impatto sull’Utente risulti rilevante, mediante notifica via email o avviso inapp.
8-ter Comunicazione alle autorità fiscali (DAC7)
Come indicato alla finalità 15 della Sezione 4, il Titolare trasmette annualmente all’Agenzia delle Entrate i dati dei Venditori Comunicanti. L’Agenzia può, a sua volta, trasmettere tali dati alle autorità fiscali degli altri Stati membri UE competenti, nei casi previsti dalla Direttiva (UE) 2021/514. La trasmissione avviene in adempimento a un obbligo di legge e non richiede il consenso degli interessati.
9. TRASFERIMENTI DI DATI EXTRA-UE
Alcuni fornitori (in particolare Stripe, RevenueCat, Mapbox e società del gruppo Google/Apple) possono trattare i dati anche al di fuori dell’Unione Europea, prevalentemente negli Stati Uniti. In tali casi, il Titolare assicura, nei limiti della propria disponibilità contrattuale, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. GDPR, segnatamente:
- Clausole Contrattuali Tipo (“SCC”) adottate dalla Commissione europea ai sensi della Decisione (UE) 2021/914;
- Eventuali decisioni di adeguatezza applicabili (p.es. EU-US Data Privacy Framework, se il fornitore è certificato e la decisione è vigente);
- Misure supplementari tecniche e organizzative ove necessarie in esito a valutazione d’impatto sui trasferimenti (“Transfer Impact Assessment”).
L’Utente può richiedere al Titolare copia o evidenza delle garanzie adottate scrivendo a support@splax.app
10. PROFILAZIONE, DECISIONI AUTOMATIZZATE E MODERAZIONE AUTOMATICA
Il Titolare non effettua direttamente attività di profilazione pubblicitaria né vende dati a terzi. Eventuali suggerimenti di contenuti interni alla Piattaforma (annunci, eventi, arene “vicine”) sono basati su criteri tecnici (posizione dichiarata, categoria, preferenze esplicitate) e non costituiscono profilazione nel senso dell’art. 22 GDPR.
Tuttavia, la Piattaforma mostra annunci pubblicitari di terzi tramite Google AdMob (app mobile) e Google AdSense (web). Tali servizi, in qualità di autonomi titolari del trattamento, possono utilizzare identificatori pubblicitari e cookie per personalizzare gli annunci. L’Utente può limitare/disattivare la personalizzazione:
- iOS: rifiutando il prompt App Tracking Transparency oppure dalle impostazioni di sistema → Privacy e Sicurezza → Tracking;
- Android: dalle impostazioni Google → Annunci → “Reimposta ID pubblicità” / “Disattiva annunci personalizzati”;
- Web: revocando il consenso dal banner cookie (CMP) al primo accesso o successivamente tramite la voce “Gestisci consenso” nel footer; in alternativa visitando https://adssettings.google.com.
In caso di mancato consenso/limitazione, gli annunci continueranno a essere mostrati ma in modalità “contestuale” (non personalizzata), generando ricavi inferiori per il Titolare ma con minore raccolta di dati. Si veda la Sezione 17 per il dettaglio.
Alcuni processi tecnici operano in modo automatizzato senza intervento umano immediato, tra cui:
- Rilascio automatico dell’escrow decorse 48 (quarantotto) ore dalla consegna senza azioni dell’Acquirente;
- Auto-risoluzione delle dispute in caso di mancata risposta del Venditore;
- Filtri anti-abuso su contenuti segnalati;
- Valutazione Stripe Identity sull’autenticità del documento (gestita da Stripe).
L’Utente ha diritto a contestare l’esito di tali automatismi, ottenere un riesame umano e far valere il proprio punto di vista, scrivendo a support@splax.app.
11. CONSERVAZIONE DEI DATI
I dati sono conservati per il tempo strettamente necessario alle finalità e comunque:
| Categoria | Periodo di conservazione |
|---|---|
| Dati del profilo attivo (Account) | Per tutta la durata dell’Account, salvo richiesta di cancellazione |
| Dati di un Account cancellato dall’Utente | Cancellazione completa entro 30 (trenta) giorni dalla richiesta (periodo di grazia per ripensamento), salvo obblighi di conservazione legale |
| Log di accesso e sicurezza | Fino a 12 (dodici) mesi |
| Dati di pagamento e documenti fiscali (fatture, ricevute, incassi) | 10 anni ai sensi dell’art. 2220 c.c. e della normativa tributaria italiana |
| Dati raccolti ai fini DAC7 (identificativi del Venditore, corrispettivi trimestrali, commissioni) | 10 anni dalla fine dell’anno di riferimento (art. 6 D.lgs. 32/2023) |
| Documenti di verifica identità (Stripe Identity) | Trattati da Stripe secondo i tempi stabiliti da Stripe stesso in adempimento agli obblighi KYC/AML (tipicamente 5–10 anni) |
| Messaggi chat 1-to-1 e di squadra | Per tutta la durata dell’Account; il mittente e il destinatario possono eliminarli singolarmente nei limiti tecnici della Piattaforma |
| Annunci Marketplace | Fino alla chiusura/rimozione; gli ordini associati restano nello storico |
| Ordini Marketplace e dispute | 10 anni dalla conclusione (obblighi fiscali e difesa in giudizio) |
| Dati relativi a eventi, prenotazioni arena, affiliazioni FIGT | Per la durata del servizio + 10 anni per documenti fiscali |
| Dati di minori “affiliati da squadra” | Fino a cancellazione richiesta dalla squadra/tutore, o scadenza dell’affiliazione + periodo di archiviazione richiesto da FIGT |
| Cookie | Si veda la Cookie Policy |
| Segnalazioni e relativa documentazione (DSA) | Almeno 6 mesi dalla definizione, fino a 5 anni per segnalazioni di illeciti |
Al termine dei periodi di conservazione, i dati sono cancellati o resi anonimi.
12. DIRITTI DELL’INTERESSATO
L’Utente può esercitare, in qualsiasi momento, i diritti riconosciuti dagli artt. 15-22 del Regolamento (UE) 2016/679, tra cui, in particolare:
- diritto di accesso ai propri dati personali;
- diritto di rettifica dei dati inesatti e di integrazione di quelli incompleti;
- diritto alla cancellazione dei dati (“diritto all’oblio”), nei limiti previsti dalla legge;
- diritto alla limitazione del trattamento;
- diritto alla portabilità dei dati forniti, in formato strutturato e di uso comune;
- diritto di opposizione al trattamento basato sul legittimo interesse del Titolare e al trattamento per finalità di marketing diretto;
- diritto di non essere sottoposto a decisioni unicamente automatizzate che producano effetti giuridici o incidano in modo significativo sulla sua persona.
L’Utente ha inoltre il diritto di revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la liceità dei trattamenti effettuati prima della revoca, e il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, ai sensi dell’art. 77 GDPR.
13. COME ESERCITARE I DIRITTI
L’Utente può esercitare i propri diritti:
- Tramite le funzioni di gestione account presenti nell’app (modifica profilo, eliminazione Account, esportazione dati dove disponibile);
- Scrivendo a support@splax.app indicando “Richiesta Privacy – [tipo di richiesta]” nell’oggetto. Il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni (prorogabili di ulteriori 60 in casi complessi con preavviso motivato, ex art. 12.3 GDPR).
L’esercizio dei diritti è gratuito, salvo richieste manifestamente infondate, eccessive o ripetute, per le quali il Titolare può richiedere un contributo ragionevole o rifiutare la richiesta motivatamente.
Per verificare l’identità del richiedente, il Titolare può chiedere informazioni aggiuntive, nei limiti di quanto strettamente necessario.
14. RECLAMO ALL’AUTORITÀ DI CONTROLLO
L’Utente può proporre reclamo al Garante per la protezione dei dati personali:
- Sito: https://www.gpdp.it
- Piazza Venezia 11, 00187 Roma
- E-mail: garante@gpdp.it – PEC: protocollo@pec.gpdp.it
Gli Utenti residenti in altri Stati membri dell’UE possono rivolgersi alla rispettiva Autorità di controllo nazionale.
15. SICUREZZA DEL TRATTAMENTO
Il Titolare ha adottato misure tecniche e organizzative ragionevolmente adeguate al rischio, in particolare:
- Cifratura in transito (TLS 1.2+) dei dati scambiati tra app e backend;
- Controlli di accesso basati sui ruoli (RLS – Row Level Security) sul database;
- Token di sessione con scadenza e rotazione;
- Archiviazione delle password mediante hash irreversibile gestito dal fornitore di autenticazione Supabase;
- Non conservazione dei dati di carta di pagamento presso il Titolare (delegati a Stripe – ambiente PCI-DSS);
- Log di sicurezza e monitoraggio delle attività degli amministratori (admin_logs);
- Policy di segregazione degli ambienti e di gestione delle credenziali;
- Formazione del personale coinvolto.
In caso di violazione dei dati personali (“data breach”), il Titolare si impegna a notificarla all’Autorità Garante entro 72 ore ove ne ricorrano i presupposti (art. 33 GDPR) e a informare gli interessati nei casi previsti dall’art. 34 GDPR.
16. COOKIE E TECNOLOGIE SIMILI
L’applicazione mobile utilizza esclusivamente meccanismi tecnici (SharedPreferences/Keychain) paragonabili a cookie tecnici necessari al funzionamento.
La versione web (splax.io) e il sito vetrina (splax.app) utilizzano cookie, come descritto nella Cookie Policy disponibile sui medesimi Siti e integrata nella presente Informativa. L’URL definitivo della Cookie Policy sarà pubblicato al momento del deploy del sito web.
17. PUBBLICITÀ DI TERZE PARTI (GOOGLE ADMOB E GOOGLE ADSENSE)
La Piattaforma è offerta gratuitamente agli Utenti. Per finanziarne i costi di sviluppo e gestione, Splax mostra annunci pubblicitari forniti da:
- Google AdMob (Google Ireland Limited) sull’app mobile iOS e Android: annunci nativi inseriti nelle liste del marketplace e del forum (ogni 6 elementi) e video pubblicitari opzionali (“rewarded”) nella sezione BB Points;
- Google AdSense (Google Ireland Limited) sul sito web splax.app/splax.io: annunci display e nativi.
In futuro il Titolare potrà aggiungere ulteriori reti pubblicitarie in regime di “mediation” (es. Meta Audience Network), comunicandolo previo aggiornamento di questa Informativa.
AdMob e AdSense, in qualità di autonomi titolari del trattamento, possono raccogliere:
- Identificatori pubblicitari del dispositivo: IDFA (iOS) o AAID (Android), trasmessi solo previo consenso dell’Utente al prompt ATT su iOS o all’autorizzazione “annunci personalizzati” su Android;
- Indirizzo IP (per geolocalizzazione approssimativa a livello nazionale/regionale);
- Cookie tecnici e di profilazione su web;
- Modello dispositivo, sistema operativo, lingua, fuso orario;
- Eventi di visualizzazione e click sugli annunci, durata permanenza, frequenza.
Le finalità di tali trattamenti sono descritte nelle policy di Google: https://policies.google.com/technologies/ads.
Nella sezione BB Points l’Utente trova un banner opzionale “Guarda un video, ottieni X BB Points”. L’Utente sceglie liberamente se attivare la funzione. Il limite è di 5 (cinque) video al giorno per profilo. Il consumo di un video pubblicitario implica:
- l’esecuzione di un AdRequest verso Google AdMob;
- la trasmissione dei dati indicati al punto 17.2;
- al termine della visione, l’accredito automatico del valore configurato di BB Points sul saldo dell’Utente (al momento 5 BB Points per video).
Il Titolare non riceve da AdMob l’identità dell’inserzionista mostrato, ma soltanto la conferma dell’evento “reward earned” per il calcolo del punteggio.
Il Titolare non controlla preventivamente i singoli annunci pubblicati, che sono selezionati in tempo reale dall’asta di Google. Eventuali annunci non conformi possono essere segnalati a Google (link presente accanto a ogni annuncio) o al Titolare a support@splax.app.
Si veda la Sezione 10.1 per le modalità di limitazione degli ad personalizzati. L’Utente che preferisca un’esperienza completamente priva di pubblicità potrà valutare l’eventuale piano “Premium senza pubblicità” se reso disponibile dal Titolare in futuro.
18. PROGRAMMA FEDELTÀ BB POINTS
I “BB Points” sono punti fedeltà accumulati dagli Utenti compiendo azioni nella Piattaforma (es. partecipazione a eventi, recensioni, visualizzazione di video pubblicitari opzionali, login giornaliero). L’elenco completo delle azioni e il loro valore sono pubblicati nella schermata BB Points dell’app/sito, e sono configurabili lato server senza modifiche al codice.
Al momento dell’ultimo aggiornamento di questa Informativa: 1.500 BB Points = €5 di sconto. I valori effettivi sono memorizzati nella tabella bb_points_config del backend e possono essere modificati nel tempo; la versione in vigore è sempre quella visualizzata nella schermata BB Points dell’app.
Lo sconto può essere applicato:
- In app: durante l’acquisto su marketplace, prenotazione arena o iscrizione a evento a pagamento che accetti BB Points, lo sconto è automatico;
- Fuori app: presso negozi/arene affiliati che decidano di accettare il programma. Il riscatto avviene mostrando il QR Code personale (o il codice alternativo BB-XXXXXXXXXX) all’esercente. L’accettazione del pagamento con BB Points fuori dall’app è a esclusiva discrezione del singolo esercente.
Saldo punti, storico transazioni (data, azione, importo, motivazione), conteggi giornalieri per il calcolo dei limiti (es. massimo 5 video pubblicitari al giorno). Tali dati sono conservati per la durata dell’Account dell’Utente e sono visibili dal medesimo nella sezione “Storico” della schermata BB Points.
Il Titolare può sospendere o azzerare il saldo di BB Points in caso di accumulo fraudolento (es. account multipli, automatismi, uso di emulatori per le pubblicità). Si vedano i Termini per il dettaglio.
19. CERTIFICATI DI AFFILIAZIONE FIGT
Per le squadre regolarmente affiliate alla Federazione Italiana Giochi Tattici (FIGT), il Titolare genera automaticamente, al momento della conferma del pagamento di affiliazione, un certificato di affiliazione in formato DOCX/PDF contenente i dati della squadra (denominazione, codice affiliato FIGT, anno sportivo, comitato regionale di appartenenza, polizze assicurative attive). Il certificato è firmato dal Presidente FIGT.
Il file è salvato su Supabase Storage in un bucket privato (figt-certificates), accessibile solo:
- al proprietario della squadra (lettura, via URL firmata temporanea);
- ai membri staff dell’associazione FIGT (admin, segreteria, presidenza).
Le polizze citate nel certificato (RCT, Infortuni, eventuale Tutela Giudiziaria) sono lette al momento della generazione dalla tabella figt_insurance_policies, che il Titolare aggiorna periodicamente in coordinamento con FIGT/ACSI senza che ciò comporti rigenerazione automatica dei certificati già emessi.
I certificati sono conservati per 10 (dieci) anni dalla data di emissione, per consentire ricostruzioni storiche e adempimenti federali.
20. RESTRIZIONE GEOGRAFICA DEL MARKETPLACE (SOLO ITALIA)
Il Marketplace della Piattaforma è riservato a Utenti residenti in Italia.
La restrizione è funzionale al rispetto della normativa italiana sulla detenzione, cessione e spedizione di repliche softair, marcatori paintball, accessori e abbigliamento tattico (in particolare il D.lgs. 204/2010 e succ. mod.), che impone vincoli specifici sul territorio nazionale. Tale restrizione non è discriminatoria ai sensi del Regolamento (UE) 2018/302 (Geo-blocking) in quanto giustificata da divieti previsti dal diritto dell’Unione e dell’ordinamento nazionale per categorie di beni soggetti a regolamentazione speciale.
Un Utente che aggiorni il proprio paese di residenza dichiarata vedrà attivarsi/disattivarsi le funzioni Marketplace in modo automatico. Il Titolare può richiedere documentazione ulteriore in caso di dubbi sull’effettiva residenza.
21. MODIFICHE ALL’INFORMATIVA
Il Titolare si riserva di aggiornare la presente Informativa qualora intervengano modifiche al servizio, ai fornitori utilizzati, alle modalità di trattamento o alla normativa applicabile. In caso di modifiche sostanziali, il Titolare ne darà comunicazione agli Utenti mediante notifica in-app o e-mail. La data dell’ultimo aggiornamento è indicata all’inizio del documento.