privacy
privacy policy.
Ultimo aggiornamento: 14 maggio 2026 Versione 1.0 (MVP — soggetta a revisione legale prima del rilascio pubblico su App Store)
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite l'applicazione tappa. ("App") è:
tappa. (in corso di costituzione come società a responsabilità limitata)
Rappresentante legale: Alberto Allegretti
Sede legale: Milano, Italia
Email per esercizio dei diritti: privacy@tappa.club
Email generale: support@tappa.club
Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali puoi scriverci a privacy@tappa.club. Ti risponderemo entro 30 giorni come previsto dalla normativa.
2. Cosa è tappa.
tappa. è una piattaforma di fidelizzazione che digitalizza le carte raccolta-punti dei locali italiani (bar, gelaterie, pasticcerie, caffetterie). Quando visiti un locale aderente, accumuli timbri digitali tramite un dispositivo NFC fisico. Raggiunto un certo numero di timbri, puoi riscattare un premio offerto dall'esercente.
Per offrirti questo servizio, abbiamo bisogno di trattare alcuni dati personali. Questa policy spiega quali dati raccogliamo, perché, come li proteggiamo e quali diritti hai.
3. Quali dati raccogliamo
3.1 Dati che ci fornisci direttamente
- Nome: solo il tuo nome di battesimo (non chiediamo il cognome). Lo usiamo per personalizzare l'app ("ciao, alberto.").
- Numero di telefono: necessario per l'autenticazione tramite codice SMS (OTP). Non chiediamo email.
3.2 Dati raccolti automaticamente dall'uso
- Timbri e tessere: ogni volta che usi tappa. presso un locale aderente, registriamo il timbro (data, ora, locale, tessera associata).
- Premi: registriamo quando sblocchi e riscatti un premio.
- Posizione (opzionale): solo se concedi il permesso, usiamo la tua posizione geografica per mostrarti i locali aderenti vicini a te. Non tracciamo la tua posizione in background. Se rifiuti il permesso, l'app funziona comunque mostrando una zona di default.
- Eventi di sicurezza: per prevenire frodi e tentativi di accesso non autorizzati, registriamo eventi come login, logout, tentativi falliti di autenticazione, validazioni NFC fallite. Questi eventi includono l'indirizzo IP e il tipo di dispositivo.
3.3 Dati che NON raccogliamo
Per scelta esplicita di privacy, tappa. non raccoglie:
- Il tuo cognome
- Il tuo indirizzo email (mai)
- Il tuo indirizzo di residenza
- I tuoi dati bancari o di pagamento (tappa. è gratuita per il cliente)
- Il tuo comportamento di navigazione su altri siti o app
- I tuoi contatti, foto, calendario o altri dati del dispositivo
- Dati biometrici (impronte, riconoscimento facciale)
Non usiamo strumenti di analisi di terze parti come Google Analytics, Facebook Pixel, Mixpanel, Amplitude o simili. Le statistiche di utilizzo, quando ne raccogliamo, restano nei nostri server e non sono condivise con nessuno.
4. Perché trattiamo i tuoi dati (finalità e basi giuridiche)
| Finalità | Base giuridica (GDPR Art. 6) |
|---|---|
| Autenticarti tramite codice SMS | Esecuzione del contratto (Art. 6.1.b) |
| Fornirti il servizio di raccolta punti | Esecuzione del contratto (Art. 6.1.b) |
| Mostrarti locali vicini sulla mappa | Consenso (Art. 6.1.a) — revocabile in qualsiasi momento dalle impostazioni del telefono |
| Prevenire frodi e accessi non autorizzati | Legittimo interesse (Art. 6.1.f) |
| Adempiere a obblighi di legge | Obbligo legale (Art. 6.1.c) |
Non effettuiamo profilazione automatizzata, non usiamo i tuoi dati per pubblicità mirata, non li vendiamo a terzi.
5. Con chi condividiamo i tuoi dati
I tuoi dati sono trattati principalmente all'interno di tappa. Alcuni fornitori tecnici trattano dati per nostro conto come responsabili del trattamento (GDPR Art. 28):
| Fornitore | Cosa fa | Dove ha sede | Garanzie |
|---|---|---|---|
| Twilio Inc. | Invio degli SMS con codice OTP | Stati Uniti | EU-US Data Privacy Framework |
| Google LLC | Mappe nella sezione "scopri" | Stati Uniti | EU-US Data Privacy Framework |
| Hetzner Online GmbH | Server e database (hosting) | Germania | Trattamento interamente in UE |
| Apple Inc. | Distribuzione app, notifiche push (future) | Stati Uniti | EU-US Data Privacy Framework |
5.1 Con gli esercenti
Ogni esercente vede solo i propri clienti, ovvero le persone che hanno almeno una tessera attiva nel suo locale. Vede:
- Il tuo nome di battesimo
- Il numero di timbri accumulati
- I premi riscattati
- L'ultima volta che hai visitato il suo locale
Non vede il tuo numero di telefono completo (solo le ultime 4 cifre, per identificarti se necessario al banco), né le tue tessere presso altri locali.
5.2 Con le autorità
Possiamo condividere i tuoi dati con autorità giudiziarie o di polizia solo se obbligati da un provvedimento legale (ordine del giudice, richiesta formale della Guardia di Finanza, ecc.). In nessun altro caso.
6. Trasferimenti dei dati fuori dall'Unione Europea
Alcuni dei nostri fornitori tecnici (Twilio, Google, Apple) hanno sede negli Stati Uniti. I trasferimenti di dati verso questi fornitori avvengono nel rispetto del EU-US Data Privacy Framework, riconosciuto dalla Commissione Europea con decisione di adeguatezza del 10 luglio 2023.
I server principali di tappa. sono fisicamente situati in Germania (UE) presso Hetzner Online GmbH, quindi la maggior parte del trattamento dei tuoi dati avviene all'interno del territorio europeo.
7. Per quanto tempo conserviamo i tuoi dati
| Tipo di dato | Periodo di conservazione |
|---|---|
| Account attivo (nome, telefono, tessere) | Per tutta la durata del tuo account |
| Account cancellato | 30 giorni di "soft delete" recuperabile, poi cancellazione definitiva |
| Timbri storici (per statistiche locale) | Anonimizzati dopo 24 mesi |
| Log di sicurezza (login, frodi) | 12 mesi |
| Log tecnici (errori applicazione) | 90 giorni |
| Backup automatici del database | 30 giorni di rotazione |
Quando cancelli il tuo account, i tuoi dati personali (nome, telefono) vengono immediatamente anonimizzati. Conserviamo per 30 giorni un riferimento minimo (solo il fatto che l'account è esistito) per gestire eventuali contestazioni, poi viene eliminato definitivamente.
8. I tuoi diritti
Come previsto dal GDPR (artt. 15-22), in qualsiasi momento hai diritto a:
8.1 Diritto di accesso (Art. 15)
Sapere quali tuoi dati abbiamo e perché. Puoi esercitare questo diritto direttamente dall'app: profilo → privacy e dati → esporta i tuoi dati. Riceverai un documento PDF leggibile con tutte le informazioni che ti riguardano, più un file dati strutturato (JSON) per portabilità tecnica.
8.2 Diritto di rettifica (Art. 16)
Correggere dati inesatti. Puoi modificare il tuo nome direttamente dalle impostazioni dell'app. Per il numero di telefono contattaci a privacy@tappa.club.
8.3 Diritto alla cancellazione (Art. 17 — "diritto all'oblio")
Eliminare il tuo account e tutti i tuoi dati. Puoi farlo direttamente dall'app: profilo → privacy e dati → elimina il tuo account. L'operazione è irreversibile e cancella anche tutti i tuoi timbri accumulati.
8.4 Diritto alla portabilità (Art. 20)
Ricevere i tuoi dati in formato strutturato e leggibile da macchina (JSON). Stesso meccanismo dell'esportazione (vedi 8.1).
8.5 Diritto di opposizione (Art. 21)
Opporti al trattamento basato sul legittimo interesse. Scrivici a privacy@tappa.club spiegando i motivi.
8.6 Diritto di limitazione (Art. 18)
Chiederci di "congelare" il trattamento in attesa di una verifica. Scrivici a privacy@tappa.club.
8.7 Diritto di revoca del consenso
Se hai dato il consenso al trattamento di un dato (es. posizione geografica), puoi revocarlo in qualsiasi momento dalle impostazioni del telefono. La revoca non pregiudica la liceità del trattamento già effettuato.
8.8 Diritto di reclamo
Se ritieni che il trattamento dei tuoi dati violi la normativa, hai diritto di proporre reclamo al Garante per la protezione dei dati personali:
Garante per la Protezione dei Dati Personali Piazza Venezia 11, 00187 Roma www.garanteprivacy.it PEC: protocollo@pec.gpdp.it
9. Sicurezza dei dati
Adottiamo misure tecniche e organizzative per proteggere i tuoi dati:
- Cifratura delle comunicazioni con i nostri server (HTTPS/TLS 1.3)
- Cifratura delle password con algoritmi a stato dell'arte (Argon2id)
- Cifratura dei dati NFC con AES-128 per prevenire clonazione dei timbri
- Accessi al database limitati ai soli amministratori autorizzati con autenticazione a due fattori
- Log di sicurezza monitorati per rilevare accessi anomali
- Backup automatici crittografati
- Server in data center certificati ISO/IEC 27001 (Hetzner)
Nonostante l'adozione di queste misure, nessun sistema è inviolabile al 100%. In caso di violazione che possa comportare un rischio elevato per i tuoi diritti, ti notificheremo entro 72 ore dalla scoperta, come previsto dal GDPR (Art. 34).
10. Minori
tappa. è destinata a persone con almeno 14 anni, l'età minima per il consenso al trattamento dei dati in Italia per i servizi della società dell'informazione (D.lgs. 196/2003 come modificato dal D.lgs. 101/2018).
Se hai meno di 14 anni, non utilizzare tappa. e non fornire i tuoi dati. Se scopriamo che un account è stato creato da una persona di età inferiore, lo cancelleremo immediatamente.
11. Cookie e tecnologie simili
L'app tappa. non utilizza cookie in senso tradizionale (non è un sito web). Utilizziamo solo:
- Token di sessione salvati localmente sul tuo dispositivo, necessari per mantenerti autenticato. Tecnicamente equiparabili a cookie tecnici, non richiedono consenso esplicito.
- Cache locale dei dati (tessere, locali) per permettere all'app di funzionare anche con connessione lenta o assente. Anche questa è una funzionalità tecnica essenziale.
Nessun tracker pubblicitario, nessuna tecnologia di profilazione cross-app, nessun "Single Sign-On" verso terzi.
12. Modifiche a questa policy
Possiamo aggiornare questa policy se le funzionalità dell'app cambiano o se la normativa lo richiede. In caso di modifiche significative:
- Ti notificheremo in app (modale all'apertura successiva)
- La nuova versione sarà disponibile su
tappa.club/privacye in profilo → privacy e dati → privacy policy - Avrai 30 giorni per esaminare le modifiche prima che entrino in vigore
- Se non sei d'accordo, puoi cancellare il tuo account senza penalità
L'utilizzo continuato dell'app dopo l'entrata in vigore della nuova policy costituisce accettazione delle modifiche.
13. Domande, dubbi, contatti
Per qualsiasi domanda su questa privacy policy o sul trattamento dei tuoi dati:
- Email:
privacy@tappa.club - Tempo di risposta: entro 30 giorni (come da GDPR)
Per richieste tecniche generali: support@tappa.club
Documento redatto in italiano. In caso di traduzioni in altre lingue, la versione italiana prevale in caso di discrepanze.
Versione 1.0 — 14 maggio 2026 — MVP per fase pilot. Soggetta a revisione legale prima del rilascio pubblico su App Store.