Privacy Policy
Informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR).
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è Davide Mele, persona fisica che gestisce DarkDex come progetto indipendente.
Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile scrivere a privacy@darkdex.app. Le richieste vengono evase entro 30 giorni come previsto dall'articolo 12 del GDPR.
2. Tipologie di dati raccolti
DarkDex tratta le seguenti categorie di dati personali, raccolti direttamente dall'utente al momento della registrazione e dell'utilizzo del servizio.
2.1 Dati account
- Email: utilizzata come identificativo univoco dell'account e canale di comunicazione tecnica.
- Nome visualizzato: campo opzionale, usato per personalizzare l'interfaccia.
- Password: memorizzata solo come hash bcrypt a 12 round. Il valore in chiaro non viene mai conservato né registrato nei log.
- Lingua preferita: per la localizzazione dell'interfaccia.
2.2 Dati di utilizzo
- Contenuti della collezione: carte, prodotti sigillati, prezzi di acquisto, condizioni, quantità e altri attributi inseriti volontariamente dall'utente. Questi dati non sono considerati personali in senso stretto, ma sono associati all'account.
- Wishlist e raccoglitori: elenchi di carte desiderate o organizzazione della collezione.
- Log tecnici: indirizzi IP, user agent, timestamp di accesso. Conservati per il periodo strettamente necessario alla sicurezza del servizio (massimo 30 giorni).
2.3 Dati di pagamento
DarkDex non raccoglie e non memorizzadati di pagamento (numeri di carta, IBAN, dati bancari). I servizi a pagamento non sono ancora attivi: quando lo saranno, verrà selezionato un provider PCI-compliant indicato in una versione aggiornata di questa informativa, prima dell'attivazione dei piani.
2.4 Consenso al marketing (opzionale)
In fase di registrazione l'Utente può scegliere se ricevere email di marketing su novità di prodotto e nuovi piani. La scelta è separata dall'accettazione dei Terminied è revocabile in qualsiasi momento dalla pagina Account. Le email transactional (verifica account, reset password, alert di sicurezza) non rientrano nel marketing e vengono inviate a prescindere da questa scelta, in quanto necessarie all'esecuzione del contratto (art. 6.1.b GDPR).
3. Finalità e basi giuridiche
| Finalità | Base giuridica | Periodo di conservazione |
|---|---|---|
| Erogazione del servizio (creazione account, autenticazione, accesso alle funzionalità) | Esecuzione di un contratto (art. 6.1.b GDPR) e termini di servizio accettati dall'utente | Per tutta la durata dell'account |
| Gestione abbonamenti e fatturazione | Esecuzione di un contratto (art. 6.1.b GDPR) e obblighi di legge (art. 6.1.c GDPR) | 10 anni dalla cessazione (obbligo fiscale) |
| Sicurezza del servizio e prevenzione di abusi | Legittimo interesse del titolare (art. 6.1.f GDPR) | Massimo 30 giorni per i log |
| Adempimento di obblighi legali, fiscali e risposta a richieste di autorità | Obbligo legale (art. 6.1.c GDPR) | Per il periodo previsto dalla normativa |
| Comunicazioni di servizio (es. cambio password, conferma operazioni) | Esecuzione di un contratto (art. 6.1.b GDPR) | Per tutta la durata dell'account |
DarkDex non effettua attività di marketing via email o altri canali, e non utilizza i dati personali per profilazione commerciale.
4. Modalità di trattamento
I dati sono trattati con strumenti elettronici, in modo da garantire la sicurezza e la riservatezza ai sensi degli articoli 25 e 32 del GDPR. Le misure di sicurezza adottate includono:
- password memorizzate come hash bcrypt a 12 round, mai in chiaro;
- autenticazione tramite token JWT a vita breve (15 minuti) con rotazione automatica del refresh token;
- comunicazioni cifrate via HTTPS/TLS verso il backend API e i servizi terzi;
- sanitizzazione globale degli input per prevenire injection;
- rate limiting per prevenire attacchi brute force;
- controllo di proprietà su ogni operazione di lettura o modifica dei dati utente.
5. Periodo di conservazione
I dati sono conservati per il periodo strettamente necessario alle finalità per cui sono stati raccolti (vedi tabella in sezione 3).
In caso di cancellazione volontaria dell'account, i dati personali e i contenuti vengono rimossi entro 30 giorni, fatti salvi quelli che è obbligatorio conservare per legge (es. dati di fatturazione per 10 anni).
6. Soggetti che possono accedere ai dati
I dati personali possono essere comunicati ai seguenti responsabili del trattamento, nominati ai sensi dell'articolo 28 del GDPR.
| Sub-responsabile | Finalità | Sede / Garanzie |
|---|---|---|
| Resend (Resend Inc.) | Invio di email transactional (verifica account, reset password, notifiche di sicurezza). L'indirizzo email dell'utente viene trasmesso a Resend per la consegna del messaggio. | USA. Trasferimento coperto da Standard Contractual Clauses (SCC) ai sensi dell'art. 46 GDPR. Privacy policy Resend. |
| Cloudflare (Cloudflare Inc.) | DNS, CDN, instradamento email (Cloudflare Email Routing) e, se abilitato, verifica anti-bot tramite Cloudflare Turnstile. Il traffico di rete transita attraverso l'infrastruttura Cloudflare. | USA / globale. Trasferimento coperto da SCC. Privacy policy Cloudflare. |
| Railway (Railway Corp.) | Hosting del backend e del database MongoDB. I dati degli utenti (account, collezione, wishlist) sono memorizzati sui server Railway. | USA (regione US West). Trasferimento coperto da SCC. Privacy policy Railway. |
| Google (Google LLC) | Autenticazione OAuth opzionale ("Accedi con Google"). Se l'utente sceglie questo metodo, il nome e l'indirizzo email vengono ricevuti da Google e memorizzati nell'account DarkDex. Chi si registra con email e password non è soggetto a questo trasferimento. | USA / globale. Trasferimento coperto da SCC. Privacy policy Google. |
| CardTrader (CardTrader S.r.l.) | Recupero prezzi di mercato delle carte tramite API ufficiale. Le richieste sono inviate server-to-server e non includono dati personali dell'utente DarkDex. | Italia / Unione Europea. Nessun trasferimento di dati personali. |
I dati non vengono ceduti, venduti o comunicati a terzi per finalità di marketing o profilazione.
7. Trasferimenti extra-UE
Attualmente i dati personali rimangono nell'Unione Europea. Quando verrà attivato il provider di pagamento, alcuni dati potranno essere trasferiti al di fuori dell'UE: l'informativa verrà aggiornata con il dettaglio del provider, della sede di trattamento e delle garanzie applicate (art. 45 e 46 GDPR).
8. Diritti dell'interessato
Ai sensi degli articoli da 15 a 22 del GDPR, l'utente ha il diritto di:
- Accesso ai propri dati personali (art. 15);
- Rettifica di dati inesatti o incompleti (art. 16);
- Cancellazione dei dati (diritto all'oblio, art. 17);
- Limitazione del trattamento (art. 18);
- Portabilità dei dati in formato strutturato e leggibile (art. 20);
- Opposizione al trattamento basato sul legittimo interesse (art. 21);
- Revoca del consenso in qualsiasi momento per i trattamenti basati su di esso, senza pregiudicare la liceità del trattamento già effettuato.
Le richieste possono essere inviate a privacy@darkdex.app. Risposta garantita entro 30 giorni.
La cancellazione dell'account, l'export dei propri dati in JSON e la modifica dei dati personali sono inoltre disponibili direttamente dalla pagina Account.
9. Reclamo al Garante
L'utente ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali se ritiene che il trattamento dei propri dati avvenga in violazione del GDPR. I riferimenti del Garante italiano sono disponibili su garanteprivacy.it.
10. Minori di 16 anni
DarkDex non è destinato a minori di 16 anni e non raccoglie consapevolmente dati di minori di tale età. Se un genitore o tutore ritiene che un minore abbia fornito dati personali al servizio, può contattare il titolare per richiederne la rimozione immediata.
11. Modifiche alla presente informativa
La presente informativa può essere aggiornata per riflettere modifiche al servizio o alla normativa applicabile. La data di ultimo aggiornamento è indicata in alto. Le modifiche sostanziali vengono comunicate via email agli utenti registrati con almeno 15 giorni di preavviso.
12. Contatti
Per qualsiasi domanda o richiesta relativa al trattamento dei dati personali: privacy@darkdex.app.