Privacy Policy
Ultimo aggiornamento: 26 aprile 2026
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali raccolti attraverso l'applicazione Jessico e il sito web jessico.app è:
Leonardo Cotta
Sviluppatore indipendente
Email: info@jessico.app
2. Dati Raccolti
Jessico raccoglie diverse categorie di dati personali, suddivise in base alla modalità di raccolta e alla finalità.
2.1 Dati di registrazione
Per creare un account su Jessico, raccogliamo:
- Email: utilizzata per l'autenticazione e le comunicazioni di servizio
- Password: conservata in forma crittografata (hash) e mai accessibile in chiaro
- Nome e cognome: per l'identificazione nel profilo
- Autovalutazione livello di gioco: valore numerico (1-10) per il matchmaking
Se utilizzi l'accesso tramite Google o Apple ID, riceviamo dal provider il tuo nome e indirizzo email. Non accediamo ad altri dati del tuo account Google o Apple.
2.2 Dati del profilo
Puoi arricchire il tuo profilo con informazioni aggiuntive, tutte facoltative:
- Foto profilo: immagine caricata dalla galleria o dalla fotocamera
- Numero di telefono: per essere contattato da altri giocatori
- Biografia: breve descrizione personale
- Posizioni preferite: ruoli di gioco preferiti
- Sport praticati: discipline sportive selezionate
- Zona di gioco preferita: nome e coordinate (lat/lng) della zona scelta come riferimento per partite e tornei
Vengono inoltre generati e mantenuti automaticamente alcuni indicatori legati all'uso del Servizio:
- Valutazione pubblica (media delle recensioni ricevute) e numero totale di recensioni
- Indice di affidabilità (reliability score) e contatore di mancate presenze (no-show count), aggiornati in base alla puntualità e al rispetto degli impegni presi su partite, prenotazioni e tornei
- Timestamp di accettazione dei Termini, della Privacy Policy e dei regolamenti dei tornei a cui partecipi
- Ruoli e flag dell'account (es. utente standard, organizzatore di tornei, proprietario di centro sportivo, sospensione)
2.3 Dati di iscrizione ai tornei
Attenzione — Dati identificativi e categorie particolari di dati: L'iscrizione a un torneo può richiedere la compilazione di dati identificativi e anagrafici, necessari per obblighi regolamentari sportivi, assicurativi e per la verifica dei requisiti di partecipazione (es. fasce d'età, idoneità). I campi effettivamente richiesti sono configurati dal singolo organizzatore e possono comprendere:
- Nome e cognome del giocatore
- Sesso (M/F): richiesto per tornei a categorie separate o regolamenti federali
- Data di nascita: per verificare l'età minima/massima richiesta dal torneo e per la copertura assicurativa
- Luogo di nascita (comune): per finalità anagrafiche e tesseramento
- Numero di telefono con prefisso internazionale
- Codice fiscale: richiesto per adempimenti assicurativi, fiscali e regolamentari
- Numero del documento d'identità (carta d'identità, passaporto o patente): per la verifica dell'identità del partecipante
- Indirizzo di residenza: per finalità organizzative e regolamentari
- Numero di maglia e accettazione del regolamento
I dati sopra elencati — in particolare codice fiscale, documento d'identità, residenza, data e luogo di nascita, sesso — sono accessibili esclusivamente all'organizzatore del torneo (e all'eventuale staff da lui autorizzato) tramite policy di sicurezza del database (Row Level Security). Non sono mai visibili pubblicamente agli altri utenti dell'app: agli altri partecipanti vengono mostrati soltanto nome, cognome, foto e numero di maglia.
La base giuridica per il trattamento di questi dati è il consenso esplicitodell'interessato (Art. 6.1.a GDPR), manifestato al momento dell'iscrizione, in combinato disposto con l'esecuzione del contratto di partecipazione al torneo (Art. 6.1.b GDPR) e con l'adempimento di obblighi di legge a carico dell'organizzatore (Art. 6.1.c GDPR), in particolare in materia assicurativa e di tesseramento sportivo.
Il sesso, in quanto dato anagrafico raccolto per finalità sportivo-regolamentari, non viene utilizzato per profilazione né per finalità di marketing.
2.4 Dati di geolocalizzazione
Jessico raccoglie dati di geolocalizzazione solo con il tuo esplicito consenso, richiesto al primo utilizzo delle funzionalità che ne hanno bisogno:
- Coordinate GPS del dispositivo (latitudine e longitudine): utilizzate per mostrarti partite, tornei e centri sportivi nelle vicinanze
- Geocoding inverso: le coordinate vengono convertite in nomi di città tramite il servizio OpenStreetMap/Nominatim per mostrarti l'indicazione della tua zona
- Zona di gioco scelta dall'utente: nome località e coordinate del punto geografico selezionato come riferimento, salvato sui nostri server (campi
home_area_name, home_lat, home_lngdel profilo) - Ultima posizione nota (campi
last_lat, last_lng, location_updated_at): se attivi la funzione "mostra giocatori vicini" o partecipi ad eventi che richiedono prossimità, l'app può salvare in modo aggregato la tua ultima posizione nota per consentire il matching geografico. Puoi disattivare in qualsiasi momento dalle impostazioni del sistema operativo o dalla sezione "Privacy e Dati" dell'app - Localizzazione di partite, tornei e centri sportivi: inserita manualmente dall'organizzatore o dal proprietario del centro
La geolocalizzazione opera solo in primo piano (foreground): l'app non traccia la tua posizione mentre è chiusa o in background. Puoi revocare il consenso in qualsiasi momento dalle impostazioni del tuo dispositivo; in tal caso le funzionalità basate su prossimità non saranno disponibili.
2.5 Contenuti generati dagli utenti
- Messaggi in chat: chat di gruppo per partite, tornei, squadre; chat dirette tra utenti. I messaggi possono contenere testo o immagini ed includono mittente, destinatari, data e stato di lettura
- Foto: foto partite, foto tornei, galleria profilo, avatar, loghi squadre, foto allegate alla chat, foto e cover dei centri sportivi
- Tag su foto: puoi essere identificato da te stesso o da altri utenti in foto di partite e tornei. Puoi rimuovere i tag che ti riguardano dalla sezione "Foto" del tuo profilo
- Recensioni: valutazioni numeriche e commenti testuali su altri giocatori, sulle partite, sui tornei e sui centri sportivi. Le recensioni sono pubbliche e firmate
- Documenti caricati: PDF di regolamenti, comunicati e materiali allegati a tornei, partite o centri sportivi (es. certificati, attestati di idoneità ove richiesti dall'organizzatore)
- Voti MVP: voti espressi al termine delle partite per eleggere il miglior giocatore
- Inviti: codici personali generati dall'app per invitare amici a partite, tornei o squadre
2.6 Dati raccolti automaticamente
- Token push notification: identificativo del dispositivo per l'invio delle notifiche, associato alla piattaforma (iOS/Android) tramite Expo Push Notifications
- Tipo di dispositivo e sistema operativo (iOS o Android), versione dell'app (header
x-app-version) e identificatore tecnico di sessione - Dati di sessione Supabase: token di autenticazione per mantenere la sessione attiva
- Identificatore anonimo di analytics (client_id): UUID generato localmente dall'app per misurare in forma aggregata l'utilizzo delle funzionalità tramite Google Analytics 4 (Measurement Protocol). Non è legato al tuo nome o email
- Indirizzo IP: registrato temporaneamente nei log tecnici dei nostri fornitori di infrastruttura (Supabase, Expo, Stripe, OpenStreetMap) per finalità di sicurezza, anti-frode e diagnostica. Non viene salvato dall'app né collegato al tuo profilo
- Log di audit: per i tornei viene mantenuto un registro delle modifiche più rilevanti (chi, cosa, quando) accessibile esclusivamente all'organizzatore e all'amministratore della piattaforma, per finalità di trasparenza e contestazione dei risultati
Non raccogliamo: IDFA / Advertising ID, dati biometrici, dati sanitari, dati sull'orientamento sessuale, opinioni politiche, religiose o sindacali, dati relativi a condanne penali. Non profiliamo gli utenti per finalità pubblicitarie e non vendiamo i tuoi dati a terzi.
2.7 Dati di pagamento
Per alcune funzionalità (es. iscrizione a tornei a pagamento, prenotazione di campi presso i centri sportivi affiliati, garanzia per le prenotazioni) Jessico si avvale di Stripecome gestore dei pagamenti. In tali casi vengono trattati i seguenti dati:
- Identificativo cliente Stripe (
stripe_customer_id) collegato al tuo account - Identificativi di pagamento (Payment Intent ID, importo, valuta, stato, eventuali rimborsi, tipologia: pagamento completo, deposito, quota condivisa, addebito per mancata presenza)
- Email e nome dell'intestatario del pagamento
I dati della carta di pagamento (numero, CVV, scadenza) vengono inseriti direttamente nelle interfacce sicure di Stripe e non transitano mai attraverso i server di Jessico. Stripe Payments Europe Ltd. opera come autonomo titolare/responsabile del trattamento per la gestione del pagamento secondo la suaPrivacy Policy.
2.8 Dati dei centri sportivi e degli organizzatori professionali
Se richiedi di pubblicare un centro sportivo sulla piattaforma, oltre ai dati di profilo raccogliamo informazioni necessarie alla verifica dell'attività e alla fatturazione:
- Ragione sociale, nome del centro, descrizione e fotografie
- Partita IVA, codice fiscale aziendale e nome del rappresentante legale
- Indirizzo, città, coordinate geografiche della sede
- Telefono, email, sito web di contatto
- Documenti di verifica caricati su nostra richiesta (es. visura camerale, autocertificazioni, attestati). Vengono conservati per il tempo necessario alla verifica e per gli adempimenti normativi e fiscali successivi
- Account Stripe Connect (
stripe_account_id) per ricevere i pagamenti degli utenti, gestito interamente da Stripe - Orari, listino prezzi, servizi (amenities), staff, coupon, recensioni
Per i centri sportivi, in quanto soggetti professionali, il trattamento si fonda sull'esecuzione del contrattodi servizio (Art. 6.1.b GDPR), sull'adempimento di obblighi legali in materia fiscale e di antiriciclaggio (Art. 6.1.c GDPR) e sul legittimo interesse di Jessico nella verifica degli operatori che pubblicano servizi a pagamento (Art. 6.1.f GDPR).
3. Finalità e Base Giuridica
| Finalità | Base giuridica | Dati coinvolti |
|---|---|---|
| Creazione e gestione dell'account | Esecuzione del contratto (Art. 6.1.b) | Email, password, nome, cognome |
| Organizzazione partite e tornei | Esecuzione del contratto (Art. 6.1.b) | Dati profilo, localizzazione partite/tornei |
| Iscrizione ai tornei con dati identificativi | Consenso esplicito (Art. 6.1.a) ed esecuzione del contratto (Art. 6.1.b); obblighi di legge a carico dell'organizzatore (Art. 6.1.c) | Codice fiscale, documento d'identità, data e luogo di nascita, sesso, residenza |
| Pagamenti (iscrizioni a pagamento, prenotazioni campi, depositi, addebiti per mancata presenza) | Esecuzione del contratto (Art. 6.1.b) e obblighi fiscali (Art. 6.1.c) | Stripe customer ID, Payment Intent ID, importo, email, eventuali rimborsi |
| Pubblicazione e gestione di centri sportivi | Esecuzione del contratto (Art. 6.1.b), obblighi di legge (Art. 6.1.c) e legittimo interesse alla verifica degli operatori (Art. 6.1.f) | P. IVA, rappresentante legale, documenti di verifica, dati di pagamento Stripe Connect |
| Geolocalizzazione | Consenso (Art. 6.1.a) | Coordinate GPS del dispositivo |
| Messaggistica e chat | Esecuzione del contratto (Art. 6.1.b) | Messaggi, immagini condivise |
| Notifiche push | Consenso (Art. 6.1.a) | Token dispositivo |
| Recensioni e valutazioni | Legittimo interesse (Art. 6.1.f) | Rating, commenti, identità recensore |
| Indice di affidabilità e contatore di mancate presenze | Legittimo interesse a tutelare gli altri utenti e gli organizzatori (Art. 6.1.f) | Reliability score, no-show count, partecipazione/conferme partite |
| Misurazione anonima dell'utilizzo dell'app (Google Analytics 4) | Legittimo interesse al miglioramento del Servizio (Art. 6.1.f); ove richiesto, consenso (Art. 6.1.a) | Client ID anonimo, eventi, schermate visitate, OS, versione app |
| Audit log dei tornei | Legittimo interesse alla trasparenza e gestione contestazioni (Art. 6.1.f) | Azioni dell'organizzatore, modifiche prima/dopo, motivazione, timestamp |
| Funzionamento offline | Esecuzione del contratto (Art. 6.1.b) | Cache locale dei dati (partite, profilo) |
4. Conservazione dei Dati
- Dati dell'account e profilo: conservati fino alla cancellazione dell'account, seguita da eliminazione entro 30 giorni
- Dati di iscrizione torneo (codice fiscale, documento, data e luogo di nascita, sesso, residenza): conservati per la durata del torneo e per il periodo necessario a eventuali contestazioni o adempimenti assicurativi (di norma fino a 12 mesi dalla fine dell'evento). L'utente può richiederne la cancellazione in qualsiasi momento tramite l'app o contattandoci via email
- Dati di pagamento (Stripe ID, transazioni): conservati per 10 anniai sensi degli obblighi civilistici e fiscali italiani (art. 2220 c.c. e D.P.R. 600/1973)
- Documenti di verifica dei centri sportivi: conservati per la durata del rapporto contrattuale e per 10 anni successivi per finalità fiscali e antiriciclaggio
- Messaggi chat: conservati fino alla cancellazione dell'account o alla rimozione della conversazione da parte dell'utente
- Recensioni: conservate fino alla cancellazione dell'account del recensore o del recensito
- Foto caricate e relativi tag: conservate fino alla cancellazione da parte dell'utente o dell'organizzatore
- Notifiche: conservate fino alla cancellazione da parte dell'utente, che può eliminarle in qualsiasi momento dall'app
- Token push: aggiornati ad ogni accesso, rimossi alla cancellazione dell'account o alla disinstallazione dell'app dal dispositivo
- Audit log dei tornei: conservati per 24 mesi dalla data dell'evento
- Indice di affidabilità e mancate presenze: conservati per la durata dell'account; vengono periodicamente attenuati per riflettere il comportamento recente
- Cache locale (AsyncStorage): dati temporanei con scadenza di 30 minuti, eliminati automaticamente o alla disconnessione
5. Condivisione e Visibilità dei Dati
5.1 Dati visibili ad altri utenti
- Profilo pubblico: nome, cognome, foto profilo, biografia, valutazione pubblica, numero di recensioni, posizioni preferite, sport praticati, nome della zona di gioco (non le coordinate precise)
- Partite pubbliche: i partecipanti sono visibili con i loro profili
- Tornei: squadre e membri visibili (nome, cognome, foto, numero maglia). Non vengono mai esposti al pubblico: codice fiscale, numero documento d'identità, residenza, data e luogo di nascita, sesso, telefono
- Recensioni: visibili pubblicamente con identità del recensore
- Chat: i messaggi sono visibili ai soli partecipanti della conversazione
- Foto e tag: le foto delle partite e dei tornei sono visibili ai partecipanti dell'evento; i tag che ti riguardano sono visibili a chi può vedere la foto
5.2 Dati condivisi con organizzatori e centri sportivi
Quando ti iscrivi a un torneo, l'organizzatore può visualizzare i tuoi dati di iscrizione (inclusi codice fiscale, documento, data e luogo di nascita, sesso, residenza, telefono) per finalità organizzative, assicurative, fiscali e regolamentari. Quando prenoti un campo presso un centro sportivo, il centro visualizza nome, cognome, telefono, email, data e ora della prenotazione e, se applicabile, lo stato del pagamento. Organizzatori e centri sportivi agiscono in qualità di autonomi titolari del trattamento per le finalità loro proprie (es. tesseramento federale, fatturazione, gestione presenze) e sono tenuti a rispettare la normativa applicabile.
5.3 Comunicazione a obblighi di legge
I tuoi dati possono essere comunicati ad autorità pubbliche, di vigilanza o giudiziarie quando richiesto da una legge applicabile, da un provvedimento dell'autorità competente o per la tutela in giudizio dei diritti del Titolare.
6. Servizi di Terze Parti
Jessico si avvale dei seguenti servizi di terze parti per il funzionamento:
| Servizio | Utilizzo | Dati trattati | Localizzazione server |
|---|---|---|---|
| Supabase (PostgreSQL + Auth + Storage + Realtime) | Database, autenticazione, file storage, aggiornamenti in tempo reale | Tutti i dati dell'applicazione | UE (AWS eu-central-1, Francoforte) |
| Google OAuth | Autenticazione con account Google | Email, nome (da Google) | USA (con SCC) |
| Apple Sign In | Autenticazione con Apple ID (iOS) | Email, nome completo (da Apple) | USA/Irlanda (con SCC) |
| Expo Push Notifications | Invio notifiche push | Token dispositivo, contenuto notifica | USA (con SCC) |
| OpenStreetMap / Nominatim | Geocoding e ricerca località | Coordinate GPS, indirizzo IP (nei log del servizio) | Europa |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti, gestione clienti, payout per centri sportivi (Stripe Connect) | Identificativi cliente e pagamento, importi, email, dati della carta (gestiti direttamente da Stripe) | UE (Irlanda) con possibili sub-processor extra-UE |
| Google Analytics 4 (Measurement Protocol) | Misurazione anonima dell'utilizzo delle funzionalità dell'app | Client ID anonimo, eventi, sistema operativo, versione app, indirizzo IP (troncato lato Google) | USA (con SCC e EU-US Data Privacy Framework) |
Non vendiamo né cediamo a terzi i tuoi dati personali per finalità commerciali o di marketing. L'app utilizza esclusivamente Google Analytics 4 in modalità aggregata e senza identificatori pubblicitari (no IDFA, no Ad ID).
7. Trasferimento Extra-UE
I dati principali dell'applicazione sono conservati su server Supabase in UE(Francoforte, Germania). Alcuni servizi di terze parti (Google, Apple, Expo) possono comportare trasferimento di dati verso gli Stati Uniti. In tali casi sono adottate garanzie adeguate ai sensi degli artt. 46-49 del GDPR, tra cui:
- Clausole Contrattuali Standard (SCC) della Commissione Europea
- EU-US Data Privacy Framework (dove applicabile)
8. Archiviazione Locale sul Dispositivo
L'app salva alcuni dati localmente sul tuo dispositivo tramite AsyncStorage:
- Sessione di autenticazione: token di sessione per mantenerti connesso
- Cache dati: copia temporanea di partite, tornei e profilo (scadenza: 30 minuti) per consentire la consultazione offline
- Azioni in coda: azioni eseguite offline (es. messaggi, adesione a partite) sincronizzate automaticamente al ripristino della connessione
- Preferenze geolocalizzazione: raggio di ricerca e zona personalizzata
Questi dati sono eliminati al logout o alla disinstallazione dell'app.
9. Sicurezza dei Dati
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:
- Tutte le comunicazioni avvengono tramite HTTPS/TLS
- Le password sono hashate con algoritmi sicuri (bcrypt via Supabase Auth)
- L'accesso al database è regolato da Row Level Security (RLS): ogni utente può accedere solo ai propri dati o a quelli esplicitamente pubblici
- I dati sensibili dei tornei (codice fiscale, documento, data e luogo di nascita, sesso, residenza) sono protetti da policy RLS che limita l'accesso al solo organizzatore e allo staff da lui autorizzato
- I dati di pagamento (carta) non transitano dai server di Jessico: vengono raccolti e gestiti direttamente da Stripe (PCI-DSS Level 1)
- I documenti di verifica dei centri sportivi sono memorizzati su Supabase Storage in bucket con accesso ristretto al titolare e all'amministratore
- Le foto sono conservate in bucket Supabase Storage con accesso controllato in base alla visibilità (avatar pubblici, foto chat private, ecc.)
- I token di sessione hanno scadenza automatica e meccanismo di refresh
- Per i tornei viene mantenuto un audit log delle modifiche più rilevanti per garantire la tracciabilità delle azioni amministrative
- In caso di violazione dei dati personali (data breach) che comporti un rischio per i diritti e le libertà degli interessati, notificheremo l'Autorità Garante entro 72 ore e, se richiesto, comunicheremo l'evento agli utenti coinvolti senza ingiustificato ritardo (Artt. 33-34 GDPR)
10. I Tuoi Diritti
Ai sensi del GDPR (Regolamento UE 2016/679), hai diritto di:
- Accesso (Art. 15): ottenere conferma e copia dei tuoi dati personali
- Rettifica (Art. 16): correggere dati inesatti o incompleti, direttamente dalla sezione "Modifica profilo" dell'app
- Cancellazione (Art. 17): richiedere l'eliminazione dei tuoi dati. Puoi eliminare il tuo account dalla sezione "Profilo" dell'app
- Portabilità (Art. 20): scaricare i tuoi dati in formato strutturato tramite la funzione "Esporta dati" disponibile nell'app
- Limitazione (Art. 18): limitare il trattamento in determinate circostanze
- Opposizione (Art. 21): opporti al trattamento basato su legittimo interesse
- Revoca del consenso: revocare in qualsiasi momento il consenso per geolocalizzazione, notifiche push, o trattamento dei dati identificativi dei tornei
Per esercitare i tuoi diritti, puoi:
- Utilizzare le funzioni "Esporta dati" e "Elimina account" direttamente nell'app
- Scrivere a info@jessico.app
Risponderemo entro 30 giorni dalla ricezione della richiesta, come previsto dal GDPR.
11. Minori
Jessico è destinata a utenti di almeno 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni. Per la partecipazione di minori di 18 anni a tornei che richiedono dati identificativi (CF, documento), o a partite e prenotazioni a pagamento, è necessario il consenso di chi esercita la responsabilità genitoriale: l'organizzatore del torneo e/o il centro sportivo sono tenuti a verificare la sussistenza di tale consenso prima dell'ammissione all'evento.
Se ritieni che un minore di 16 anni abbia creato un account, contattaci immediatamente ainfo@jessico.app e provvederemo alla rimozione dei dati senza ingiustificato ritardo.
12. Modifiche alla Privacy Policy
Ci riserviamo il diritto di aggiornare questa Privacy Policy. In caso di modifiche sostanziali riguardanti nuove finalità di trattamento o nuove categorie di dati, ti informeremo via email o tramite notifica nell'app almeno 15 giorni prima dell'entrata in vigore. La data di ultimo aggiornamento è sempre indicata a inizio pagina.
13. Reclami
Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi presentare reclamo all'autorità di controllo competente:
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma
www.garanteprivacy.it
Email: urp@gpdp.it
14. Contatti
Per qualsiasi domanda relativa a questa Privacy Policy o al trattamento dei tuoi dati:
Leonardo Cotta
Email: info@jessico.app