Privacy Policy
Come trattiamo i tuoi dati su FunTicket — quali, perché, per quanto tempo, con quali diritti.
Ultimo aggiornamento ·
1. Chi siamo
Toxicode è il titolare del trattamento dei dati personali raccolti tramite l’app FunTicket (iOS e Android) e tramite il sito funticket.musme.app. Puoi contattarci scrivendo a it.funticket@gmail.com per qualsiasi domanda relativa a questa policy o per esercitare i tuoi diritti.
2. In breve: cosa NON facciamo
Prima delle scuse legali, le promesse concrete:
- Le foto dei tuoi biglietti restano sul telefono. L’OCR (riconoscimento testo) e i parser (IATA BCBP, TicketOne, Live Nation) girano interamente sul dispositivo grazie a Apple ML Kit e al nostro modulo nativo. Non inviamo le immagini ai nostri server per “interpretarle”.
- Non vendiamo i tuoi dati a nessuno. Mai. Non è il nostro modello di business.
- Niente tracker pubblicitari di terze parti dentro l’app. Niente Google Analytics, Facebook Pixel, AppsFlyer e simili.
- Niente account obbligatorio. Puoi usare FunTicket in guest mode: i biglietti restano solo sul tuo dispositivo.
3. Quali dati raccogliamo
3.1 Account (solo se ti registri o accedi con SSO)
Quando crei un account, manualmente o con Sign in with Apple / Google Sign-In (tramite idToken nativo, senza redirect web), riceviamo:
- Indirizzo email (necessario per accesso e recupero password)
- Nome / display name (facoltativo, modificabile in Impostazioni)
- Provider SSO (apple/google, se usato)
- Identificatore utente univoco (UUID generato da noi al primo accesso)
Per gli utenti migrati dal vecchio sistema Firebase manteniamo anche il firebase_uid originale per garantire la continuità dei tuoi biglietti.
3.2 Contenuti che crei
- Biglietti (titolo, data, luogo, settore, posto, eventuali campi specifici per voli/cinema)
- Personalizzazioni (colori, font scelti, template selezionato)
- Immagini dei biglietti (foto caricate dopo la registrazione vengono sincronizzate su Supabase Storage con URL firmati a tempo)
- Notifiche e promemoria schedulate
3.3 Dati tecnici
Quando l’app comunica col nostro backend per sync e download dei template, registriamo per finalità di sicurezza e debug:
- Indirizzo IP (mascherato dopo 30 giorni)
- User-Agent del dispositivo
- Timestamp delle richieste
- Eventuali errori (codice, percorso, request id correlato a logger interno)
Questi log restano massimo 30 giorni poi vengono ruotati.
4. Cosa NON raccogliamo
- Geolocalizzazione GPS. L’app non richiede mai i permessi di localizzazione.
- Contatti, calendario, foto di altri album (solo le immagini che scegli tu di importare).
- Audio / microfono (i permessi sono dichiarati nel manifest solo perché la camera SDK li richiede, ma il microfono non viene mai attivato).
- Cronologia di navigazione web.
5. Perché trattiamo i tuoi dati (base giuridica GDPR)
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio (login, sync biglietti, notifiche) | Esecuzione del contratto (art. 6.1.b GDPR) |
| Sicurezza del sistema, antifrode, log degli errori | Legittimo interesse (art. 6.1.f GDPR) |
| Adempimenti legali (es. richieste autorità) | Obbligo legale (art. 6.1.c GDPR) |
| Comunicazioni promozionali (oggi non ne inviamo) | Consenso espresso (art. 6.1.a GDPR) |
6. Dove vivono i tuoi dati
Tutti i dati sono ospitati su Supabase self-hosted su server in Unione Europea. Niente trasferimenti extra-UE per i contenuti utente. Le sole eccezioni sono:
- Apple / Google SSO: il flusso di autenticazione iniziale tocca i loro server (Stati Uniti) ma noi riceviamo solo l’
idTokene l’email verificata. - Apple Push Notification Service / Firebase Cloud Messaging: indispensabili per le notifiche push, gestiti da Apple/Google con i loro standard.
7. Per quanto tempo
| Tipo di dato | Conservazione |
|---|---|
| Profilo utente attivo | Finché mantieni l’account |
| Biglietti e personalizzazioni | Finché non li elimini tu |
| Account dopo cancellazione | Eliminato entro 30 giorni (i ticket cloud subito) |
| Log tecnici (IP, User-Agent) | 30 giorni |
| Backup di sicurezza | Massimo 90 giorni dalla cancellazione |
8. I tuoi diritti
Ai sensi degli artt. 15-22 GDPR puoi esercitare in ogni momento:
- Accesso ai tuoi dati personali
- Rettifica di dati inesatti
- Cancellazione (“diritto all’oblio”)
- Limitazione del trattamento
- Portabilità (esporta i tuoi biglietti in formato JSON dall’app, in Impostazioni → Esporta dati)
- Opposizione ai trattamenti basati su legittimo interesse
- Reclamo al Garante per la protezione dei dati personali (www.gpdp.it)
Scrivi a it.funticket@gmail.com per esercitare uno qualsiasi di questi diritti. Rispondiamo entro 30 giorni.
9. Sicurezza
- Trasporto cifrato TLS 1.3 end-to-end
- JWT HS256 con rotazione access/refresh token, secure storage nativo (Keychain iOS / EncryptedSharedPreferences Android)
- Row Level Security Postgres su tutti i contenuti utente — anche se qualcuno comprometesse il backend, le RLS impediscono la lettura cross-utente
- OCR e parsing on-device: le immagini non lasciano mai il tuo telefono per essere interpretate
- Backend audit-loggato, 91 test di integrazione verificano i flussi sensibili a ogni release
10. Modifiche
Aggiorneremo questa policy quando cambiano le pratiche di trattamento. La data di “Ultimo aggiornamento” in cima alla pagina è autoritativa. Modifiche sostanziali ti verranno comunicate via email (se hai un account) e tramite banner in-app.
11. Contatti
Toxicode · per qualsiasi domanda relativa al trattamento dei dati personali: it.funticket@gmail.com
Non abbiamo nominato un DPO obbligatorio (i criteri dell’art. 37 GDPR non si applicano), ma per le richieste privacy l’email sopra è il canale ufficiale.