Informativa sulla privacy

La presente informativa descrive come Curre (curre.app), tratta i dati personali degli utenti in conformità al Regolamento (UE) 2016/679 («GDPR») e alla normativa italiana applicabile.

1. Titolare del trattamento

Il titolare del trattamento è il gestore del servizio curre.app. Per esercitare i diritti previsti dal GDPR o per richieste sulla privacy puoi scrivere a privacy@curre.app.

2. Tipologie di dati trattati

2.1 Navigazione senza account

Puoi consultare il catalogo gare senza registrarti. In tal caso il sito elabora i parametri di ricerca che imposti (ad esempio regione, provincia, comune, parole chiave, intervallo date, distanze, filtri su medaglia o maglietta) per mostrarti gli eventi corrispondenti. Se usi la funzione «Vicino a me», il browser può chiederti il permesso di geolocalizzazione: le coordinate approssimative vengono usate per la ricerca (anche nell'URL della pagina) ma non vengono associate a un profilo utente finché non crei un account o salvi una ricerca.

L'infrastruttura di hosting e i log tecnici del server possono registrare in modo automatico dati come indirizzo IP, data e ora della richiesta e user agent: sono trattati per sicurezza e funzionamento del servizio.

2.2 Account con email e password

Se ti registri con email e password, trattiamo:

• indirizzo email (obbligatorio);
• password: non la conserviamo in chiaro. Sul server salviamo solo un hash crittografico (algoritmo scrypt con salt casuale); al login confrontiamo la password inserita con quell'hash, senza poter recuperare la password originale;
• nome visualizzato (facoltativo);
• stato di verifica dell'email;
• preferenza sulle notifiche via email (attiva di default, modificabile dall'area account);
• data di creazione e aggiornamento dell'account.

2.3 Accesso con Google

Se scegli «Continua con Google», riceviamo dal provider Google i dati necessari all'autenticazione (in particolare identificativo Google, email e, se disponibile, nome) e li associamo al tuo account. Non conserviamo la password Google.

2.4 Sessione e sicurezza

Dopo l'accesso impostiamo un cookie tecnico di sessione (curr_session, httpOnly) e conserviamo l'hash del token di sessione nel database, con scadenza massima di 30 giorni. Per la verifica email e il reset password usiamo token monouso a scadenza, conservati fino all'utilizzo o alla scadenza.

2.5 Ricerche salvate e avvisi

Se hai un account puoi salvare ricerche con i filtri che preferisci (testo, luogo, date, distanze, opzioni su gare competitive, medaglia, maglietta, eventuale posizione e raggio «vicino a me»). Per ogni ricerca puoi attivare o disattivare gli avvisi. Quando una gara pubblicata corrisponde a una ricerca con avvisi attivi e la tua email è verificata, possiamo inviarti un'email di notifica tramite il fornitore Resend.

2.6 App mobile (se utilizzata)

L'app iOS collegata al medesimo account può registrare un token per le notifiche push (Apple Push Notification Service), associato al tuo utente e alla piattaforma.

3. Finalità e basi giuridiche

• Erogazione del servizio (catalogo, account, ricerche salvate, sessione): esecuzione del contratto o misure precontrattuali (art. 6.1.b GDPR).
• Email di servizio (conferma registrazione, reset password, avvisi gare richiesti): contratto e, per gli avvisi legati alle ricerche salvate, il servizio da te configurato; puoi disattivare le notifiche dall'account.
• Geolocalizzazione nel browser: il permesso è richiesto dal dispositivo; il trattamento delle coordinate serve solo a eseguire la ricerca che hai avviato.
• Sicurezza, prevenzione abusi e log tecnici: legittimo interesse del titolare (art. 6.1.f GDPR), nel rispetto dei tuoi diritti.

4. Destinatari e responsabili esterni

I dati possono essere trattati da fornitori che agiscono come responsabili o sub-responsabili, tra cui:

• Resend — invio email transazionali e di notifica;
• Google — autenticazione OAuth, se la utilizzi;
• Apple — notifiche push su dispositivi iOS, se abilitate;
• fornitori di hosting e database (es. Railway o equivalente in produzione).

L'elenco aggiornato dei responsabili può essere richiesto all'indirizzo privacy@curre.app.

5. Conservazione

• Account e ricerche salvate: fino alla cancellazione dell'account da parte tua.
• Sessione: fino a 30 giorni dall'ultimo accesso o fino al logout.
• Token verifica email / reset password: per il tempo necessario allo scopo, poi eliminati o invalidati.
• Log notifiche email: per gestire invii e contestazioni, per un periodo limitato e proporzionato.

6. Cancellazione account

Puoi eliminare l'account dall'area personale (conferma esplicita). La cancellazione comporta la rimozione di profilo, sessioni, ricerche salvate, token dispositivo e dati collegati, salvo obblighi di legge o dati anonimi/aggregati.

7. Diritti dell'interessato

Puoi chiedere accesso, rettifica, cancellazione, limitazione, opposizione (nei casi previsti) e portabilità dei dati, nonché proporre reclamo all'Autorità Garante per la protezione dei dati personali (garanteprivacy.it). Per le richieste: privacy@curre.app.

8. Cookie e tecnologie simili

Usiamo cookie tecnici strettamente necessari alla sessione dell'account. Non utilizziamo, nel codice applicativo del sito, strumenti di profilazione pubblicitaria o analytics di terze parti (es. Google Analytics).

9. Minori

Il servizio non è destinato a minori di 16 anni senza consenso dei genitori o di chi esercita la responsabilità genitoriale. Non raccogliamo consapevolmente dati di minori in violazione di questa policy.

10. Modifiche

Possiamo aggiornare questa informativa. La data in calce alla pagina indica l'ultima revisione. In caso di modifiche rilevanti ti informeremo con mezzi appropriati (es. avviso sul sito o email agli utenti registrati).

Per i termini d'uso del servizio vedi i Termini e condizioni.