Privacy Policy
Questa Privacy Policy descrive come UrbanDROPZ ("DROPZ", "noi", "ci") raccoglie, utilizza e protegge le informazioni personali degli utenti dell'app mobile DROPZ e del sito urbandropz.com, nel rispetto del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003.
1. Titolare del trattamento
UrbanDROPZ
Sede legale: Cosenza, Italia
Email: dropz@urbandropz.com
2. Dati raccolti
2.1 Dati forniti dall'utente
- Indirizzo email — per la creazione dell'account e le comunicazioni
- Username — scelto durante la registrazione, visibile in classifica
- Password — conservata in forma crittografata (bcrypt) tramite Supabase Auth
- Dati del profilo — avatar, preferenze di lingua
2.2 Dati da accesso social (Google / Apple)
Se scegli di registrarti o accedere tramite Google Sign-In o Sign in with Apple, riceviamo da tali provider esclusivamente:
- Indirizzo email — per identificare o creare il tuo account DROPZ
- Nome visualizzato (se condiviso dal provider) — usato come username iniziale, modificabile in-app
- ID univoco del provider — per collegare l'account social al tuo profilo DROPZ
Non riceviamo password, contatti, foto del profilo Google/Apple né nessun altro dato dell'account social.
2.3 Dati del programma referral
- Codice referral — generato per ogni utente, condiviso su iniziativa dell'utente
- Associazione invitante/invitato — registrata al momento della registrazione tramite link referral, per accreditare il bonus karma
2.4 Dati raccolti automaticamente
- Posizione GPS — esclusivamente durante l'uso attivo dell'app, per verificare la prossimità ai Drop e permettere lo sblocco
- Device ID anonimo — identificatore di dispositivo non personale, per sicurezza anti-frode
- Token push — per l'invio di notifiche (solo se autorizzato dall'utente)
- Log di attività — Drop sbloccati, premi riscattati, date e orari delle operazioni
- Dati tecnici — versione OS, modello dispositivo (raccolti da Supabase)
3. Finalità del trattamento
- Erogazione del servizio DROPZ (geolocalizzazione Drop, sblocco premi, validazione QR)
- Gestione dell'account utente e autenticazione
- Invio di notifiche push (con consenso esplicito)
- Classifica pubblica (leaderboard) basata su username e punteggio totale
- Sicurezza: rilevamento frodi, abusi, spoofing GPS
- Comunicazioni di servizio (conferma email, reset password)
- Adempimento di obblighi legali
4. Base giuridica
- Esecuzione del contratto (art. 6.1.b GDPR) — per l'erogazione del servizio
- Consenso (art. 6.1.a GDPR) — per notifiche push e comunicazioni marketing
- Legittimo interesse (art. 6.1.f GDPR) — per sicurezza e anti-frode
- Obbligo legale (art. 6.1.c GDPR) — per adempimenti fiscali e normativi
5. Posizione GPS
La posizione GPS viene richiesta solo durante l'uso attivo dell'app (modalità "in uso"). Non accediamo alla posizione in background. Il dato viene utilizzato esclusivamente per:
- Mostrare i Drop disponibili vicino all'utente
- Verificare la prossimità (≤20 metri) prima dello sblocco
- Rilevare tentativi di GPS spoofing
La posizione precisa non viene conservata nei nostri server dopo l'elaborazione. Registriamo solo il fatto che uno sblocco è avvenuto, non le coordinate esatte dell'utente.
6. Conservazione dei dati
- Dati dell'account — fino alla cancellazione dell'account
- Log Drop/riscatti — 12 mesi dalla data dell'operazione
- Dati di sicurezza — 6 mesi
- Backup Supabase — massimo 30 giorni dopo la cancellazione
7. Destinatari dei dati
I dati possono essere condivisi con:
- Supabase Inc. — infrastruttura database e autenticazione (USA, con garanzie SCCs)
- Google LLC — provider Google Sign-In; i dati trasferiti sono regolati dalla Google Privacy Policy (USA, con garanzie SCCs)
- Apple Inc. — provider Sign in with Apple; i dati trasferiti sono regolati dalla Apple Privacy Policy (USA, con garanzie SCCs)
- Expo / EAS — distribuzione app e push notifications
- Merchant DROPZ — solo username e codice QR al momento del riscatto, niente altro
- Autorità competenti — solo se richiesto dalla legge
Non vendiamo né condividiamo i dati personali a fini pubblicitari con terze parti.
8. Diritti dell'utente (GDPR)
Ogni utente ha il diritto di:
- ✅ Accedere ai propri dati personali
- ✅ Rettificare dati inesatti
- ✅ Cancellare il proprio account e tutti i dati associati
- ✅ Limitare o opporsi al trattamento
- ✅ Portabilità dei dati in formato leggibile
- ✅ Revocare il consenso in qualsiasi momento
- ✅ Proporre reclamo al Garante Privacy italiano (www.garanteprivacy.it)
Per esercitare i tuoi diritti scrivi a dropz@urbandropz.com. Risponderemo entro 30 giorni.
Eliminazione account e dati
Puoi eliminare il tuo account e tutti i dati associati direttamente dall'app (Profilo → Elimina account) oppure tramite la pagina dedicata:
→ Richiedi eliminazione account
La cancellazione è immediata e irreversibile. Per gli utenti senza accesso all'app è possibile richiedere la cancellazione manuale scrivendo a privacy@urbandropz.com.
9. Sicurezza
Adottiamo misure tecniche e organizzative adeguate a proteggere i dati personali, tra cui:
- Comunicazioni cifrate via HTTPS/TLS
- Autenticazione PKCE per il flusso OAuth
- Chiavi API offuscate nel bundle dell'app
- Row Level Security (RLS) su tutti i dati Supabase
- Rilevamento dispositivi compromessi (root/jailbreak)
10. Minori
DROPZ è destinato a utenti di almeno 14 anni. Non raccogliamo consapevolmente dati di minori di 14 anni. Se sei un genitore e ritieni che tuo figlio minore abbia creato un account, contattaci a dropz@urbandropz.com.
11. Cookie
Questo sito web utilizza esclusivamente cookie tecnici strettamente necessari:
- Cookie di sessione/autenticazione — gestiti da Supabase per mantenere la sessione utente attiva. Necessari per il funzionamento del servizio.
- LocalStorage — utilizzato per preferenze locali (es. dismissal dei banner).
- Google Fonts — il sito carica font dal CDN di Google. Google può registrare l'indirizzo IP del dispositivo. Per maggiori info: Google Privacy Policy.
Non utilizziamo cookie di profilazione, tracciamento o marketing. Non è richiesto il consenso per i cookie tecnici ai sensi dell'art. 122 del Codice Privacy e del provvedimento del Garante.
12. Modifiche alla Privacy Policy
Ci riserviamo il diritto di modificare questa Privacy Policy. In caso di modifiche sostanziali, avviseremo gli utenti via email o notifica push almeno 14 giorni prima dell'entrata in vigore.
Contatti
Per qualsiasi domanda su questa Privacy Policy o sul trattamento dei tuoi dati: