Privacy Policy

Ultimo aggiornamento: 21 aprile 2026

1. Titolare del trattamento

Titolare del trattamento: Desarius Games S.R.L.
Via Riva Gulli 12, 34138 Trieste (Italia)
P.IVA 01445110321
Capitale sociale: 10.000 € i.v.
Contatto privacy: privacy@desarius.net

2. Dati raccolti

Raccogliamo i seguenti dati personali:

• Profilo utente: username, indirizzo email, avatar, biografia e preferenze di visualizzazione.
• Autenticazione: hash della password (algoritmo argon2id), codici TOTP cifrati con AES-256-GCM, recovery codes.
• Sicurezza: indirizzo IP, user-agent, timestamp degli accessi e fingerprint del dispositivo (valore derivato, non raw).
• Attività: log di audit delle azioni sensibili (login, cambio password, consenso OAuth).
• Posizione (opt-in): città approssimata ricavata dall'IP tramite MaxMind GeoLite2, utilizzata esclusivamente per la funzione DN-Proximity.
• Notifiche: preferenze per categoria di notifica (transazionale, sicurezza, social).

3. Finalità del trattamento

• Autenticazione e identità federata: fornitura dell'account unico per l'ecosistema Desarius (SSO).
• Sicurezza dell'account: autenticazione a due fattori, device trust, protezione anti-bruteforce e rate-limiting.
• Comunicazioni transazionali: verifica email, reset password, alert di sicurezza.
• Proximity social (solo con consenso esplicito): scoperta di altri utenti nelle vicinanze per la funzione DN-Proximity.

4. Base giuridica

• Art. 6(1)(b) GDPR — Esecuzione del contratto: trattamento necessario per fornire il servizio di profilo e autenticazione.
• Art. 6(1)(f) GDPR — Legittimo interesse: sicurezza dell'account, prevenzione frodi, protezione dall'abuso del servizio.
• Art. 6(1)(a) GDPR — Consenso: trattamento dei dati di posizione per DN-Proximity, revocabile in qualsiasi momento.

5. Conservazione dei dati

• Log di audit: 365 giorni.
• Sessioni attive: 30 giorni dall'ultimo utilizzo.
• Query log proximity: 30 giorni.
• Città di riferimento: 180 giorni.
• Grant OAuth: fino a revoca o scadenza (massimo 30 giorni).
• Account disattivato: cancellazione a cascata di tutti i dati entro 30 giorni dalla disattivazione.

6. Condivisione dei dati

I tuoi dati personali vengono condivisi esclusivamente con i client OAuth che hai esplicitamente autorizzato, e solo limitatamente agli scope approvati durante il flusso di consenso. Non trasferiamo dati a terzi per finalità commerciali o pubblicitarie.

7. I tuoi diritti (artt. 15–22 GDPR)

Hai diritto di:

• Accesso ai tuoi dati personali (disponibile tramite Dashboard account).
• Rettifica dei dati inesatti (modifica profilo in Impostazioni sicurezza).
• Cancellazione self-service da /account/security: richiede conferma con password (e codice TOTP se 2FA attiva), è seguita da un periodo di grazia di 30 giorni durante il quale puoi annullare la richiesta prima della cancellazione definitiva. Se l'account self-service non è accessibile, contatta privacy@desarius.net.
• Revoca del consenso per proximity, grant OAuth e comunicazioni marketing, in qualsiasi momento dalla dashboard.
• Portabilità dei tuoi dati in formato JSON su richiesta scritta.

Per esercitare questi diritti scrivi a privacy@desarius.net. Risponderemo entro 30 giorni come previsto dal GDPR.

8. Cookie

Per informazioni sui cookie utilizzati da Desarius Network consulta la nostra Cookie Policy.

9. Modifiche alla presente policy

Questa informativa può essere aggiornata per riflettere cambiamenti normativi o evolutivi del servizio. Le modifiche significative saranno notificate via email all'indirizzo registrato sul tuo account con almeno 14 giorni di preavviso.