Privacy Policy
Questa Privacy Policy descrive come UrbanDROPZ ("DROPZ", "noi", "ci") raccoglie, utilizza e protegge le informazioni personali degli utenti dell'app mobile DROPZ e del sito urbandropz.com, nel rispetto del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003.
1. Titolare del trattamento
UrbanDROPZ
Sede legale: Cosenza, Italia
Email: info@urbandropz.com
2. Dati raccolti
2.1 Dati forniti dall'utente
- Indirizzo email — per la creazione dell'account e le comunicazioni
- Username — scelto durante la registrazione, visibile in classifica
- Password — conservata in forma crittografata (bcrypt) tramite Supabase Auth
- Dati del profilo — avatar, preferenze di lingua
2.2 Dati da accesso social (Google / Apple)
Se scegli di registrarti o accedere tramite Google Sign-In o Sign in with Apple, riceviamo da tali provider esclusivamente:
- Indirizzo email — per identificare o creare il tuo account DROPZ
- Nome visualizzato (se condiviso dal provider) — usato come username iniziale, modificabile in-app
- ID univoco del provider — per collegare l'account social al tuo profilo DROPZ
Non riceviamo password, contatti, foto del profilo Google/Apple né nessun altro dato dell'account social.
2.3 Dati del programma referral
- Codice referral — generato per ogni utente, condiviso su iniziativa dell'utente
- Associazione invitante/invitato — registrata al momento della registrazione tramite link referral, per accreditare il bonus karma
2.4 Dati raccolti automaticamente
- Posizione GPS — durante l'uso dell'app per mostrare i Drop vicini e verificare la prossimità allo sblocco. Se concedi il permesso, l'app può accedere alla posizione anche in background (ad app chiusa) per inviarti notifiche locali quando sei vicino a un Drop (geofencing). Vedi §5
- Coordinate — possono essere conservate quando necessario per lo sblocco, la sicurezza anti-frode e la prevenzione del GPS spoofing (vedi §5)
- Identificativo dell'installazione — un ID pseudonimo generato dall'app sul dispositivo (non un identificatore pubblicitario), usato per la sicurezza anti-frode
- Token push — per l'invio di notifiche (solo se autorizzato dall'utente)
- Log di attività — Drop sbloccati, premi riscattati, date e orari delle operazioni
- Dati di sicurezza e anti-frode — registro degli eventi di sicurezza e attestati di integrità del dispositivo (vedi §9)
- Dati tecnici — versione app/OS, modello dispositivo, piattaforma
2.5 Dati specifici dei merchant
- Partita IVA — verificata tramite il servizio VIES della Commissione Europea al momento della candidatura merchant
- Dati di abbonamento e fatturazione — gestiti tramite Stripe per le subscription dei merchant. I dati della carta sono inseriti e trattati direttamente da Stripe; UrbanDROPZ non li riceve né li conserva
3. Finalità del trattamento
- Erogazione del servizio DROPZ (geolocalizzazione Drop, sblocco premi, validazione QR)
- Gestione dell'account utente e autenticazione
- Invio di notifiche push (con consenso esplicito)
- Classifica pubblica (leaderboard) basata su username e punteggio totale
- Sicurezza: rilevamento frodi, abusi, spoofing GPS
- Comunicazioni di servizio (conferma email, reset password)
- Adempimento di obblighi legali
4. Base giuridica
- Esecuzione del contratto (art. 6.1.b GDPR) — per l'erogazione del servizio
- Consenso (art. 6.1.a GDPR) — per notifiche push e comunicazioni marketing
- Legittimo interesse (art. 6.1.f GDPR) — per sicurezza e anti-frode
- Obbligo legale (art. 6.1.c GDPR) — per adempimenti fiscali e normativi
5. Posizione GPS
La posizione GPS viene utilizzata per:
- Mostrare i Drop disponibili vicino all'utente
- Verificare la prossimità (≤20 metri) prima dello sblocco
- Rilevare e prevenire tentativi di GPS spoofing
Posizione in background. Se concedi il relativo permesso, l'app può accedere alla tua posizione anche in background (ad app chiusa) per la funzione di geofencing: rilevare quando ti trovi vicino a un Drop e inviarti una notifica locale. Questa elaborazione avviene sul dispositivo. Puoi revocare il permesso in qualsiasi momento dalle impostazioni del sistema operativo.
Conservazione delle coordinate. Le coordinate possono essere conservate nei nostri sistemi quando necessario:
- l'ultima posizione di sblocco è salvata (tabella interna
user_positions) per i controlli anti-frode, ad esempio il rilevamento di spostamenti impossibili (teleport); - in caso di anomalie o eventi di sicurezza, le coordinate dell'evento possono essere registrate nel log degli eventi di sicurezza (
security_events) insieme ai metadati tecnici descritti al §9.
6. Conservazione dei dati
- Dati dell'account — fino alla cancellazione dell'account
- Log Drop/riscatti — 12 mesi dalla data dell'operazione
- Dati di sicurezza — 6 mesi
- Backup Supabase — massimo 30 giorni dopo la cancellazione
7. Destinatari dei dati
I dati possono essere condivisi con:
- Supabase Inc. — infrastruttura database e autenticazione (USA, con garanzie SCCs)
- Google LLC — provider Google Sign-In; i dati trasferiti sono regolati dalla Google Privacy Policy (USA, con garanzie SCCs)
- Apple Inc. — provider Sign in with Apple; i dati trasferiti sono regolati dalla Apple Privacy Policy (USA, con garanzie SCCs)
- Expo / EAS — distribuzione app e push notifications
- Stripe — elaborazione di pagamenti e abbonamenti dei merchant. I dati della carta sono inseriti e gestiti direttamente sulla pagina di pagamento di Stripe: UrbanDROPZ non riceve né conserva i numeri di carta. Vedi la Stripe Privacy Policy
- Commissione Europea — servizio VIES — verifica della partita IVA dei merchant in fase di candidatura
- Merchant DROPZ — solo username e codice QR al momento del riscatto, niente altro
- Autorità competenti — solo se richiesto dalla legge
Non vendiamo né condividiamo i dati personali a fini pubblicitari con terze parti.
8. Diritti dell'utente (GDPR)
Ogni utente ha il diritto di:
- ✅ Accedere ai propri dati personali
- ✅ Rettificare dati inesatti
- ✅ Cancellare il proprio account e tutti i dati associati
- ✅ Limitare o opporsi al trattamento
- ✅ Portabilità dei dati in formato leggibile
- ✅ Revocare il consenso in qualsiasi momento
- ✅ Proporre reclamo al Garante Privacy italiano (www.garanteprivacy.it)
Per esercitare i tuoi diritti scrivi a info@urbandropz.com. Risponderemo entro 30 giorni.
Eliminazione account e dati
Puoi eliminare il tuo account e tutti i dati associati direttamente dall'app (Profilo → Elimina account) oppure tramite la pagina dedicata:
→ Richiedi eliminazione account
La cancellazione è immediata e irreversibile. Per gli utenti senza accesso all'app è possibile richiedere la cancellazione manuale scrivendo a privacy@urbandropz.com.
9. Sicurezza e prevenzione delle frodi
Adottiamo misure tecniche e organizzative adeguate a proteggere i dati personali, tra cui:
- Comunicazioni cifrate via HTTPS/TLS
- Autenticazione PKCE per il flusso OAuth
- Chiavi API offuscate nel bundle dell'app
- Row Level Security (RLS) su tutti i dati Supabase
- Rilevamento dispositivi compromessi (root/jailbreak)
Per prevenire frodi e abusi (falsificazione della posizione, dispositivi manomessi, account multipli) registriamo un log di eventi di sicurezza. Questo log può includere:
- versione e build dell'app e piattaforma (iOS/Android);
- l'identificativo pseudonimo dell'installazione (vedi §2.4);
- un attestato di integrità fornito dal sistema operativo — Google Play Integrity su Android e Apple App Attest su iOS — con i relativi metadati ed esito di verifica;
- l'indirizzo IP in forma protetta (hash);
- coordinate o segnali di posizione, quando necessari per l'analisi anti-frode.
Questi dati sono trattati esclusivamente per finalità di sicurezza e anti-frode, sulla base del legittimo interesse (art. 6.1.f GDPR), e non per pubblicità o profilazione.
10. Minori
DROPZ è destinato a utenti di almeno 14 anni. Non raccogliamo consapevolmente dati di minori di 14 anni. Se sei un genitore e ritieni che tuo figlio minore abbia creato un account, contattaci a info@urbandropz.com.
11. Cookie
Questo sito web utilizza esclusivamente cookie tecnici strettamente necessari:
- Cookie di sessione/autenticazione — gestiti da Supabase per mantenere la sessione utente attiva. Necessari per il funzionamento del servizio.
- LocalStorage — utilizzato per preferenze locali (es. dismissal dei banner).
- Google Fonts — il sito carica font dal CDN di Google. Google può registrare l'indirizzo IP del dispositivo. Per maggiori info: Google Privacy Policy.
Non utilizziamo cookie di profilazione, tracciamento o marketing. Non è richiesto il consenso per i cookie tecnici ai sensi dell'art. 122 del Codice Privacy e del provvedimento del Garante.
12. Modifiche alla Privacy Policy
Ci riserviamo il diritto di modificare questa Privacy Policy. In caso di modifiche sostanziali, avviseremo gli utenti via email o notifica push almeno 14 giorni prima dell'entrata in vigore.
Contatti
Per qualsiasi domanda su questa Privacy Policy o sul trattamento dei tuoi dati: