Informativa sul trattamento dei dati personali
Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR). Ultimo aggiornamento: 17 maggio 2026.
1. Titolare del trattamento
Il titolare del trattamento è Soloweb S.R.L., con sede legale in Via Enrico Mattei 24, 28100 Novara (NO), Italia. P.IVA e Codice Fiscale 02927680344, iscritta al Registro delle Imprese di Novara al n. REA NO-247568, capitale sociale €10.000,00 i.v.
Email contatti: info@soloweb.io · PEC: pec@soloweb.io · Telefono: +39 331 42 06 495.
Per richieste relative al prodotto Rankly nello specifico: support@rankly.it.
Non abbiamo nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, in quanto i trattamenti svolti non rientrano tra quelli che lo richiedono obbligatoriamente. Per qualunque richiesta relativa alla privacy è sufficiente scrivere agli indirizzi sopra indicati.
2. Dati personali trattati
Rankly raccoglie e tratta le seguenti categorie di dati personali:
2.1 Dati raccolti automaticamente via OAuth (Google/Discord)
Quando ti registri o accedi tramite Google o Discord, riceviamo dal provider: nome visualizzato, indirizzo email, identificativo univoco del provider, URL dell'immagine profilo. Non riceviamo password né dati di altro tipo dal provider. Non pubblichiamo nulla sul tuo profilo Google o Discord.
2.2 Dati forniti dall'utente
Username scelto (univoco sulla piattaforma), nome dell'organizzazione, slug pubblico dell'organizzazione, dati dei tornei creati (nomi tornei, partecipanti, risultati match). I dati dei partecipanti aggiunti manualmente dall'organizer (nome, eventuale email, ruolo nell'evento) sono trattati per conto dell'organizer secondo finalità da lui definite.
2.3 Dati di pagamento
I dati di pagamento (carta, IBAN, dati di fatturazione) non transitano mai per i nostri server: il pagamento è gestito interamente da Stripe Payments Europe Ltd. che agisce come autonomo titolare per la parte di sua competenza (vedi privacy policy Stripe). Riceviamo da Stripe solo: identificativo cliente Stripe, stato della subscription (trial/attiva/scaduta), data di rinnovo, stato dei pagamenti (riusciti/falliti). Nessun PAN o CVV.
2.4 Dati tecnici di navigazione
Indirizzo IP (utilizzato per fini di sicurezza e antiabuso, conservato nei log server per max 30 giorni), user-agent del browser, timestamp delle richieste. Non utilizziamo Google Analytics, Facebook Pixel, Hotjar o altri tracker pubblicitari di terze parti. Non profiliamo gli utenti.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio (account, tornei, ranking) | Esecuzione del contratto (art. 6.1.b GDPR) | Durata del rapporto + 90 giorni post-cancellazione |
| Gestione fatturazione e adempimenti fiscali | Obbligo legale (art. 6.1.c GDPR) | 10 anni (normativa fiscale italiana) |
| Sicurezza, antiabuso, log server | Legittimo interesse (art. 6.1.f GDPR) | 30 giorni |
| Email transazionali (conferma iscrizione, reminder trial in scadenza, notifica pagamento fallito) | Esecuzione del contratto (art. 6.1.b GDPR) | Durata del rapporto |
Non inviamo email di marketing. Se in futuro decideremo di inviare comunicazioni commerciali (newsletter, novità prodotto) aggiorneremo questa informativa e richiederemo consenso esplicito separato.
4. Sub-processor (fornitori che trattano dati per conto nostro)
Per erogare il servizio ci appoggiamo a fornitori tecnici che possono trattare dati personali in qualità di Responsabili del Trattamento (art. 28 GDPR):
| Fornitore | Servizio | Localizzazione dati |
|---|---|---|
| Vercel Inc. | Hosting frontend (Next.js) | Datacenter EU (Francoforte) |
| Railway Corp. | Hosting backend (API + database Postgres) | Datacenter EU (Amsterdam) |
| Stripe Payments Europe Ltd. | Gestione pagamenti e fatturazione | EU + USA (con SCC) |
| Google LLC | OAuth login (solo se l'utente sceglie Google) | USA (con SCC + Adequacy Decision EU-US DPF) |
| Discord Inc. | OAuth login (solo se l'utente sceglie Discord) | USA (con SCC) |
Tutti i sub-processor sono vincolati da Data Processing Agreement (DPA) conformi al GDPR. I trasferimenti extra-UE verso fornitori statunitensi (Stripe USA, Google, Discord) avvengono in base alle Standard Contractual Clauses della Commissione Europea e/o all'EU-US Data Privacy Framework.
DPA Rankly disponibile su richiesta a info@soloweb.io per clienti B2B che ne abbiano necessità.
5. Cookie e tecnologie di tracciamento
Rankly utilizza esclusivamente cookie tecnici essenziali per il funzionamento del servizio. Non utilizziamo cookie di profilazione né tracker analitici di terze parti.
| Cookie | Funzione | Durata |
|---|---|---|
| __Secure-better-auth.session_token | Sessione di login (signed cookie) | 7 giorni (rinnovato a ogni accesso) |
| rankly_current_org | Memorizza l'organizzazione corrente (utenti multi-org) | 365 giorni |
| rankly-theme | Preferenza tema chiaro/scuro | localStorage (no expiry) |
Tutti i cookie sopra elencati sono strettamente necessari al funzionamento del servizio (eccetto la preferenza tema, che è una scelta esplicita dell'utente memorizzata localmente). Per questo motivo, ai sensi del Provvedimento del Garante Privacy del 10 giugno 2021, non è richiesto banner di consenso.
6. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR hai diritto a:
- Accesso: ottenere conferma del trattamento dei tuoi dati e copia degli stessi
- Rettifica: correggere dati inesatti (puoi farlo autonomamente dal pannello account)
- Cancellazione (diritto all'oblio): chiedere la rimozione dei tuoi dati (con eccezioni per i dati che dobbiamo conservare per obbligo legale, es. fatture)
- Portabilità: ricevere i tuoi dati in formato strutturato leggibile (export JSON disponibile da pannello, prossimamente)
- Limitazione: chiedere di sospendere temporaneamente il trattamento
- Opposizione: opporti al trattamento basato su legittimo interesse
- Reclamo: presentare reclamo al Garante Privacy italiano (garanteprivacy.it)
Per esercitare questi diritti scrivi a info@soloweb.io oppure support@rankly.it. Rispondiamo entro 30 giorni (art. 12 GDPR).
7. Conservazione e cancellazione dei dati
Se cancelli il tuo account o disattivi l'organizzazione: i dati vengono conservati in stato di sola lettura per 90 giorni (per consentirti ripensamento o esportazione). Dopo 90 giorni i dati personali identificabili vengono rimossi (hard delete dei match completati, anonimizzazione delle relazioni storiche). I dati fiscali (fatture) restano conservati 10 anni per obbligo di legge.
Le pagine pubbliche dei tornei restano raggiungibili con un banner "torneo archiviato" durante i 90 giorni, poi vengono completamente rimosse.
8. Sicurezza
Adottiamo misure tecniche e organizzative adeguate per proteggere i dati: TLS 1.3 obbligatorio su tutti gli endpoint, password hash (per i pochi flussi non OAuth) con argon2, cookie di sessione signed con HMAC, backup giornalieri del database con retention 7 giorni, accesso al database limitato alle sole istanze applicative tramite rete privata.
In caso di data breach che possa comportare rischio per i diritti e libertà degli interessati, ti notificheremo entro 72 ore come previsto dall'art. 33 GDPR.
9. Modifiche all'informativa
Possiamo aggiornare questa informativa nel tempo (cambio sub-processor, nuove funzionalità che trattano dati diversi, modifiche normative). Le modifiche vengono pubblicate su questa pagina con data di aggiornamento aggiornata in alto. Per modifiche sostanziali (es. nuove finalità di trattamento) ti notificheremo via email almeno 30 giorni prima dell'entrata in vigore.