INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
Versione 1.0 — in vigore dal 15 maggio 2026
1. TITOLARE DEL TRATTAMENTO
Il titolare del trattamento dei dati personali raccolti tramite la piattaforma GOALNECT (di seguito "Piattaforma" o "Servizio") è:
Magrone Communication — Ditta Individuale
- Sede legale: Via Giuseppe Giusti, Bari (BA), 70131, Italia
- P. IVA / C.F.: 09160770724
- E-mail: goalnectita@outlook.it
- PEC: magronecommunication@pec.it
- Sito web: https://goalnect.com
Al momento non è stato nominato un Responsabile della Protezione dei Dati (DPO). Per qualsiasi comunicazione relativa al trattamento dei dati personali, l'interessato può contattare il Titolare agli indirizzi sopra indicati.
2. DEFINIZIONI
Ai fini della presente informativa si intende per:
- "GDPR": il Regolamento (UE) 2016/679;
- "Dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile;
- "Trattamento": qualsiasi operazione o insieme di operazioni compiute su dati personali;
- "Interessato": la persona fisica i cui dati personali sono oggetto di trattamento;
- "Giocatore": utente registrato con ruolo di calciatore;
- "Scout / Agente": utente registrato con ruolo professionale (procuratore, direttore sportivo, osservatore, allenatore, club);
- "Responsabile del trattamento": soggetto che tratta dati per conto del Titolare;
- "Dati riservati": dati comuni (non sensibili ex art. 9 GDPR) la cui visibilità è ristretta per design del servizio: anno di nascita, altezza, peso, indirizzo email;
- "Stripe Customer": cliente creato sulla piattaforma Stripe al momento della registrazione dell'utente, identificato da uno Stripe Customer ID univoco; la creazione comporta la trasmissione a Stripe di nome, cognome ed email dell'utente;
- "Stripe Customer ID": identificativo univoco del cliente assegnato da Stripe e conservato nel database della Piattaforma;
- "Stripe Client Secret": token crittografico temporaneo generato da Stripe per l'inizializzazione sicura di sessioni di pagamento; non contiene dati di pagamento e decade automaticamente.
3. TIPI DI DATI RACCOLTI
3.1 Dati forniti volontariamente
Per tutti gli utenti (registrazione):
- Nome e cognome
- Indirizzo email
- Data di nascita
- Password (cifrata)
- Ruolo utente (Giocatore o Scout)
- Consenso ai Termini di Servizio e alla presente Informativa (con timestamp)
Per i Giocatori:
- Anno di nascita
- Zona geografica (approssimata, es. regione o provincia)
- Ruolo calcistico primario e secondario
- Piede preferito
- Altezza e peso
- Status di disponibilità (es. svincolato, sotto contratto)
- Biografia e note tecniche (testo libero)
- Fotografia del profilo
- URL di video highlights pubblicati su piattaforme esterne (YouTube, Vimeo)
- Preferenza di visibilità del profilo (pubblico / privato)
Per gli Scout / Agenti:
- Nome e cognome
- Ruolo professionale
- Società o agenzia di appartenenza
- Città o zona operativa
- Numero di telefono (visibile solo dopo verifica)
- Sito web o profilo professionale
- Biografia professionale
3.2 Dati raccolti automaticamente
- Indirizzo IP (in occasione di registrazione e consensi)
- User-agent del browser
- Timestamp delle operazioni di accesso, modifica, consenso e cancellazione
- Log delle sessioni di autenticazione
3.3 Dati di log per accountability GDPR
- Hash dell'indirizzo email (SHA-256 con salt) associato ai log di consenso
- Tipo di consenso espresso
- Versione del documento accettato
- Timestamp dell'azione
- User-agent del browser al momento dell'azione
3.4 Dati trasmessi a Stripe al momento della registrazione
Al completamento della registrazione, la Piattaforma crea automaticamente un cliente (Customer) sulla piattaforma Stripe. Questa operazione comporta la trasmissione a Stripe dei seguenti dati dell'utente:
- Nome e cognome
- Indirizzo email
Stripe restituisce uno Stripe Customer ID univoco, che viene conservato nel database della Piattaforma e utilizzato per associare l'utente a qualsiasi operazione commerciale presente o futura (abbonamenti, fatturazione).
L'utente è pertanto visibile come cliente nella dashboard Stripe del Titolare fin dal momento della registrazione, indipendentemente dall'attivazione di un abbonamento o dall'inserimento di un metodo di pagamento.
Viene inoltre generato da Stripe uno Stripe Client Secret: token crittografico temporaneo per l'inizializzazione sicura di sessioni di pagamento, che decade automaticamente al termine della sessione e non viene conservato.
I dati di pagamento veri e propri (numero di carta, IBAN, dati fiscali) non transitano né vengono conservati sui server del Titolare: sono trattati esclusivamente da Stripe Payments Europe, Ltd. nel rispetto dello standard PCI-DSS.
4. FINALITÀ E BASI GIURIDICHE
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Registrazione, autenticazione e gestione account | Esecuzione contratto (lett. b) |
| Erogazione del Servizio (profili, ricerca, like, provini) | Esecuzione contratto (lett. b) |
| Verifica età (minimo 14 anni) | Obbligo legale (lett. c) — art. 8 GDPR + D.Lgs. 101/2018 |
| Invio email transazionali (verifica account, comunicazioni di servizio) | Esecuzione contratto (lett. b) |
| Conservazione log di consenso per accountability | Obbligo legale (lett. c) — art. 7(1) GDPR |
| Sicurezza della Piattaforma e prevenzione frodi | Legittimo interesse (lett. f) |
| Gestione "like" e shortlist personale dello Scout | Esecuzione contratto (lett. b) |
| Creazione Stripe Customer (trasmissione nome ed email a Stripe) | Esecuzione contratto (lett. b) — predisposizione infrastruttura commerciale |
| Gestione abbonamenti e pagamenti tramite Stripe | Esecuzione contratto (lett. b) |
| Conservazione dati fiscali e di fatturazione | Obbligo legale (lett. c) — D.P.R. 633/1972, D.P.R. 917/1986 |
| Eliminazione account e pseudonimizzazione dati Stripe | Obbligo legale (lett. c) — art. 17 GDPR |
5. MODALITÀ DEL TRATTAMENTO
Il trattamento avviene con strumenti informatici e telematici. I dati sono conservati su database PostgreSQL serverless gestito da Neon (responsabile del trattamento). Le fotografie sono ospitate su UploadThing (responsabile del trattamento).
Il trattamento è effettuato esclusivamente dal personale autorizzato del Titolare o dai responsabili designati. Non viene effettuata profilazione automatizzata ex art. 22 GDPR che produca effetti giuridici significativi.
6. PERIODO DI CONSERVAZIONE
| Tipologia di dato | Periodo |
|---|---|
| Dati profilo utente attivo | Fino a cancellazione account |
| Stripe Customer ID | Pseudonimizzato irreversibilmente alla cancellazione account; il record Stripe corrispondente è conservato da Stripe per obblighi PCI-DSS |
| Stripe Client Secret | Scadenza automatica al termine della sessione di pagamento; non conservato |
| Dati di abbonamento e fatturazione | 10 anni da cessazione (obbligo fiscale ex D.P.R. 633/1972) |
| Log di consenso (hash email) | 10 anni (accountability GDPR + prescrizione civile) |
| Token temporanei pre-autenticazione | 10 minuti, cancellazione automatica |
| Log applicativi di sicurezza | 1–2 anni |
| Fotografie su UploadThing | Cancellate alla sostituzione o alla cancellazione account |
6.1 Pseudonimizzazione dello Stripe Customer ID alla cancellazione
Alla cancellazione dell'account, lo Stripe Customer ID conservato nel database della Piattaforma viene pseudonimizzato in modo irreversibile: il valore originale è sostituito con un hash non reversibile, rendendo impossibile la reidentificazione dell'utente a partire dal dato residuo lato Piattaforma. Il record cliente su Stripe è soggetto alle policy di conservazione di Stripe stessa, indipendenti dalla Piattaforma, per obblighi PCI-DSS e di legge applicabile.
7. COOKIE E TECNOLOGIE SIMILI
La Piattaforma utilizza esclusivamente cookie tecnici strettamente necessari all'erogazione del Servizio. Non utilizza cookie di profilazione, marketing o tracker di terze parti.
| Cookie | Finalità | Durata |
|---|---|---|
| Sessione autenticazione (Better Auth) | Mantenere login | Sessione |
pre_auth_data | Dati temporanei pre-registrazione | 10 minuti |
Viene inoltre utilizzato localStorage per memorizzare la chiusura del banner informativo cookie; tale dato resta sul dispositivo dell'utente e non è trasmesso al server.
8. TERZE PARTI E RESPONSABILI DEL TRATTAMENTO
| Provider | Servizio | Dati trasmessi | Sede | Garanzie extra-UE |
|---|---|---|---|---|
| Neon | Database PostgreSQL | Tutti i dati | USA | SCC + DPF |
| UploadThing | Hosting immagini | Foto profilo | USA | SCC |
| Google (SMTP) | Email transazionali | Email destinatario, contenuto messaggio | USA | SCC |
| Stripe Payments Europe, Ltd. | Creazione cliente, pagamenti, abbonamenti, fatturazione | Nome, cognome, email (alla registrazione); dati di pagamento e fiscali (se abbonamento attivo) | Irlanda (UE) | — |
Better Auth è una libreria di autenticazione eseguita sui server del Titolare; i dati di autenticazione risiedono nel database Neon.
Nota su Stripe: Stripe Payments Europe, Ltd. ha sede in Irlanda e opera all'interno dello Spazio Economico Europeo; il trasferimento non richiede garanzie aggiuntive ex Capo V GDPR. Nome ed email di ogni utente vengono trasmessi a Stripe al momento della registrazione per la creazione del profilo cliente. Stripe agisce come responsabile del trattamento per i servizi tecnici di elaborazione pagamenti e come titolare autonomo per gli obblighi di conformità PCI-DSS e antiriciclaggio a essa direttamente applicabili. Si rinvia alla Privacy Policy di Stripe per i dettagli.
9. TRASFERIMENTI DI DATI EXTRA-UE
I trasferimenti verso provider con sede negli USA (Neon, UploadThing, Google) avvengono nel rispetto del Capo V GDPR, mediante:
- Standard Contractual Clauses (SCC) approvate con Decisione (UE) 2021/914
- Aderenza al Data Privacy Framework UE-USA, ove applicabile
Stripe Payments Europe, Ltd. ha sede in Irlanda (UE): non si configura trasferimento extra-UE per i dati a essa trasmessi.
È possibile richiedere copia delle garanzie contattando il Titolare.
10. DIRITTI DELL'INTERESSATO
Ai sensi degli artt. 15-22 GDPR, l'interessato ha diritto di:
- Accesso (art. 15): conferma del trattamento e accesso ai dati, inclusi Stripe Customer ID e log correlati
- Rettifica (art. 16): correzione di dati inesatti
- Cancellazione (art. 17): diritto all'oblio, con pseudonimizzazione irreversibile dello Stripe Customer ID e conservazione dei soli dati necessari per obblighi legali
- Limitazione (art. 18): blocco del trattamento in determinati casi
- Portabilità (art. 20): ricezione in formato strutturato (JSON/CSV)
- Opposizione (art. 21): per trattamenti basati su legittimo interesse
- Revoca consenso (art. 7): in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente
Modalità: inviare richiesta a goalnectita@outlook.it o PEC magronecommunication@pec.it. Risposta entro 30 giorni (prorogabili a 90 per richieste complesse).
11. DIRITTO DI RECLAMO
È possibile proporre reclamo al Garante per la protezione dei dati personali: Piazza Venezia, 11 — 00187 Roma — www.garanteprivacy.it
12. UTENTI MINORENNI (14–17 ANNI)
La Piattaforma è accessibile agli utenti di età pari o superiore a 14 anni.
In conformità con l'art. 8 GDPR e l'art. 2-quinquies D.Lgs. 101/2018, il minore che ha compiuto 14 anni può esprimere autonomamente il consenso al trattamento dei propri dati personali per i servizi della società dell'informazione. Non è richiesto il consenso del genitore o tutore per legge per questa fascia d'età.
La Piattaforma verifica la data di nascita dichiarata in fase di registrazione lato server. Gli utenti sotto i 14 anni non possono registrarsi.
Per i 14-17enni, il Titolare adotta misure di tutela rafforzate:
- visibilità dei dati di contatto nulla (email mai esposta);
- zona geografica approssimata;
- accesso ai dati fisici e all'anno di nascita solo a Scout verificati, con log di ogni accesso;
- creazione dello Stripe Customer: anche per gli utenti minorenni vengono trasmessi a Stripe nome ed email al momento della registrazione, al solo fine di predisporre l'infrastruttura tecnica del servizio. Nessun metodo di pagamento può essere associato né alcun abbonamento può essere attivato da un utente minorenne senza il consenso verificato del genitore o tutore legale.
13. VISIBILITÀ DEI PROFILI E ACCESSO AI DATI
13.1 Profilo Giocatore
I profili con visibilità pubblica attiva (profilazione_pubblica = true) mostrano:
- Nome, cognome, ruolo, piede, zona geografica approssimata, bio, foto, link video, status disponibilità.
I seguenti dati — pur essendo dati comuni ex art. 6 GDPR — sono accessibili solo agli Scout verificati per design del servizio e per la tutela dei minori:
- Anno di nascita
- Altezza e peso
- Indirizzo email (mai visualizzato in chiaro)
Il Giocatore può disattivare la visibilità pubblica in qualsiasi momento dalla dashboard.
13.2 Profilo Scout
I profili Scout verificati mostrano nome, cognome, ruolo, società, città, sito web, bio. Il numero di telefono è visibile solo dopo verifica.
14. SCUDO EMAIL
L'indirizzo email del Giocatore non è mai esposto agli Scout.
Per contattare un Giocatore, lo Scout compila un form interno alla Piattaforma. Il messaggio viene inoltrato dal sistema all'email del Giocatore, che decide autonomamente se e come rispondere, eventualmente rivelando il proprio contatto diretto.
Questo meccanismo garantisce:
- minimizzazione dei dati (lo Scout non accede all'email);
- controllo da parte del Giocatore;
- prevenzione dello scraping di indirizzi email.
Ogni richiesta di contatto è tracciata nei log applicativi (ID mittente, ID destinatario, timestamp).
15. SISTEMA "LIKE" E SHORTLIST
La funzione "Like" consente allo Scout di salvare un Giocatore nella propria shortlist privata. La tabella likes registra agente_id, calciatore_id, created_at.
- Lo Scout vede solo la propria shortlist.
- Il Giocatore vede solo il conteggio aggregato dei like ricevuti, non l'identità dei singoli Scout.
Base giuridica: esecuzione del contratto (funzione core del Servizio per gli Scout).
16. LINK A VIDEO ESTERNI
La Piattaforma non ospita né riproduce video. I Giocatori possono inserire link di redirect verso piattaforme esterne (YouTube, Vimeo).
Cliccando su tali link l'utente esce dalla Piattaforma e accede a servizi di terze parti regolati da autonome privacy policy e cookie. Il Titolare non tratta dati derivanti dalla visualizzazione dei video su tali piattaforme.
17. VERIFICA DEGLI SCOUT
L'accesso ai dati riservati dei Giocatori (inclusi i minori) è subordinato alla verifica manuale dell'account Scout da parte del Titolare.
La verifica avviene previo contatto diretto via email, con richiesta di documentazione attestante l'attività professionale nel settore calcistico (es. tesseramento federale, visura societaria, link a sito web professionale). La decisione di approvazione è discrezionale.
Gli Scout non verificati possono navigare i profili pubblici ma non accedono ai dati riservati né possono inviare richieste di contatto.
18. MISURE DI SICUREZZA
Il Titolare adotta misure tecniche e organizzative ai sensi dell'art. 32 GDPR:
- Comunicazioni cifrate via HTTPS/TLS
- Cookie di sessione con attributi
HttpOnly,Secure,SameSite - Hash SHA-256 con salt per i log di consenso
- Token crittografici per link di verifica (scadenza automatica)
- Accesso al database limitato a variabili d'ambiente
- Protezione a livello SQL: i dati riservati vengono filtrati direttamente in query, non solo in UI
DELETE CASCADEsui dati correlati alla cancellazione account- Pseudonimizzazione irreversibile dello Stripe Customer ID alla cancellazione account
- Cancellazione automatica file da UploadThing alla rimozione del profilo
- Log applicativi su database dedicato per tracciabilità accessi ai dati dei minori
19. MODIFICHE ALL'INFORMATIVA
Il Titolare si riserva di modificare la presente informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate via email o tramite avviso sulla Piattaforma con preavviso di almeno 15 giorni. Il proseguimento dell'utilizzo dopo la pubblicazione delle modifiche costituisce accettazione.
Versione 1.0 — Ultima modifica: 15 maggio 2026 Titolare del trattamento: Magrone Communication — goalnectita@outlook.it