Versión 2026-06-06 · En vigor desde el 06 de junio de 2026
Esta política describe cómo tratamos tus datos personales cuando usas Trova il Tesoro, conforme a los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD). Explicamos qué datos recopilamos, con qué finalidades y sobre qué bases jurídicas, durante cuánto tiempo los conservamos y qué derechos puedes ejercer.
El responsable del tratamiento se indica al final de esta página, junto con los datos de contacto para cualquier solicitud en materia de protección de datos. Puedes dirigirte al responsable para ejercer tus derechos o para cualquier aclaración sobre esta política.
Tratamos: datos de la cuenta (correo, nombre de usuario, nombre, avatar, idioma); datos de juego (hallazgos realizados, finalizaciones, método de verificación); datos de geolocalización (latitud, longitud y precisión del GPS captados en una etapa activada); el selfi tomado en cada etapa, conservado en un repositorio privado; datos de pago (importes, estado, identificadores de Stripe — nosotros no almacenamos datos de la tarjeta); las pruebas de los consentimientos prestados; y los registros de seguridad (identificador de usuario, evento, dirección IP, detalles técnicos).
Tratamos tus datos para: crear y gestionar tu cuenta; prestar la búsqueda del tesoro y verificar las etapas (NFC, GPS y selfi); gestionar los pagos y las obligaciones fiscales conexas; conservar la prueba de los consentimientos prestados; y garantizar la seguridad del servicio y prevenir fraudes y abusos.
No realizamos elaboración de perfiles con fines de marketing en el lanzamiento. Si en el futuro introducimos finalidades adicionales, te informaremos previamente.
Los datos de cuenta, selfi, geolocalización y pago se tratan para la ejecución del contrato de participación (art. 6.1.b RGPD). Los pagos se tratan también para cumplir obligaciones legales de carácter fiscal y contable (art. 6.1.c RGPD).
La seguridad del servicio, las auditorías y la prevención del fraude se basan en nuestro interés legítimo (art. 6.1.f RGPD): el interés perseguido es proteger la plataforma y a los usuarios frente a accesos no autorizados, manipulaciones y conductas fraudulentas. La conservación de la prueba de los consentimientos responde al principio de responsabilidad proactiva (arts. 5.2 y 7.1 RGPD).
Los datos de pago se conservan durante 10 años desde el último registro, en virtud de las obligaciones civiles y fiscales (art. 2220 del Código Civil italiano). Los selfis se conservan durante la duración del juego y durante una ventana de unos 90 días para la gestión de eventuales reclamaciones. Los datos de juego y de geolocalización (hallazgos) se conservan unos 12 meses para la gestión de reclamaciones. Los registros de auditoría y seguridad se conservan unos 6 meses (ampliables ante necesidades antifraude motivadas).
En caso de solicitud de supresión de la cuenta, los datos se eliminan sin dilación indebida, por lo general en unos 30 días, salvo obligaciones legales y los plazos necesarios para la defensa de un derecho. Para los datos sin vencimiento fijo indicamos los criterios para determinar el plazo de conservación.
Tus datos son tratados por proveedores que actúan como encargados del tratamiento sobre la base de acuerdos conformes con el art. 28 RGPD: Supabase (base de datos y almacenamiento), Stripe (pagos) y Vercel (alojamiento). Los datos también pueden comunicarse a las autoridades fiscales o judiciales cuando lo exija la ley. No vendemos tus datos a terceros.
Algunos proveedores (Supabase, Stripe, Vercel) pueden tratar datos en los Estados Unidos. Dichas transferencias se realizan con garantías adecuadas, como la certificación en el Marco de Privacidad de Datos UE-EE. UU. y/o las Cláusulas Contractuales Tipo de la Comisión Europea (Dec. UE 2021/914). Puedes solicitar una copia poniéndote en contacto con el responsable.
Tienes derecho a acceder a tus datos y a obtener su rectificación, supresión y la limitación del tratamiento, así como el derecho a la portabilidad y el derecho de oposición, dentro de los límites previstos por el RGPD. Cuando el tratamiento se base en el consentimiento, puedes revocarlo en cualquier momento (art. 7.3 RGPD), sin que ello afecte a la licitud del tratamiento realizado antes de la revocación. Para ejercer tus derechos puedes contactar con el responsable en los datos que figuran abajo.
Si consideras que el tratamiento de tus datos infringe la normativa, tienes derecho a presentar una reclamación ante la autoridad de control. En Italia es competente el Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma; correo protocollo@gpdp.it; correo certificado protocollo@pec.gpdp.it; sitio web www.garanteprivacy.it.
El suministro de los datos de la cuenta, del selfi, de la geolocalización y de pago es necesario para participar en las búsquedas del tesoro: la negativa hace imposible la prestación del servicio. Los demás datos son facultativos y su negativa no afecta a la participación.
No adoptamos decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o significativos sobre ti en el sentido del art. 22 RGPD: la proclamación del ganador siempre está sujeta a una revisión humana del selfi y de las pruebas de finalización. Utilizamos controles antifraude automáticos (por ejemplo, coherencia de GPS y tiempos) como apoyo, pero la decisión final sigue siendo humana.
Algunos datos de tu perfil pueden ser visibles para otros participantes, por ejemplo el nombre de usuario y el avatar, en particular en las clasificaciones y en las páginas de juego. El correo electrónico, el nombre real y los datos de contacto no se hacen públicos.
El selfi es una imagen fotográfica del rostro, examinada exclusivamente por un operador humano para la única comparación visual necesaria para validar los hallazgos y al ganador. No se realiza ningún reconocimiento facial automático, ni extracción de plantillas biométricas, ni detección de vida (liveness).
La base jurídica del tratamiento del selfi es la ejecución del contrato de participación (art. 6.1.b RGPD), siendo el selfi necesario para la verificación del ganador, núcleo de la prestación. Una foto del rostro sometida únicamente a la revisión visual de un operador no constituye, por sí misma, un dato biométrico. Para mayor protección, cuando sea necesario, recabamos por separado un consentimiento explícito específico para este tratamiento, revocable en cualquier momento.
No es obligatorio el nombramiento de un Delegado de protección de datos (DPD) conforme al art. 37 RGPD. No obstante, para cuestiones de privacidad puedes escribirnos a la dirección de correo dedicada que figura en nuestros datos de contacto.
Para cualquier solicitud relativa al tratamiento de tus datos personales o para ejercer tus derechos, puedes contactar con el responsable en los datos que figuran al final de esta página.
Responsable del tratamiento
Davide Melis
Warsaw ORdynacka 14
P.IVA 000000000000
davide94melis@gmail.com · davide94melis@pec.it