Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è il gestore del servizio Idle Mariussino, raggiungibile all'indirizzo privacy@33idlegames.com. Il sito è pubblicato all'indirizzo 33idlegames.com.

2. Dati raccolti e finalità

• Username ed e-mail: raccolti al momento della registrazione. Finalità: identificazione dell'utente e accesso al servizio. Base giuridica: esecuzione del contratto (Art. 6.1.b GDPR).
• Password: conservata esclusivamente come hash bcrypt irreversibile. Non viene mai memorizzata in chiaro.
• Stato di gioco (rupie, potenziamenti, statistiche slot, streak): necessario per erogare il servizio di gioco. Base giuridica: esecuzione del contratto.
• Indirizzi IP e timestamp: registrati nei log del server per finalità di sicurezza e debug. Conservazione massima: 30 giorni.

3. Storage lato client

Il gioco usa le seguenti tecnologie di memorizzazione sul dispositivo dell'utente:

• localStorage — chiavi access_token, idle_mariussino_v1, username: dati di sessione e stato di gioco offline. Scritto solo con il consenso dell'utente.
• refreshToken — cookie HttpOnly, SameSite=Strict, scadenza 7 giorni: token di rinnovo sessione. Non accessibile da JavaScript. Impostato solo dopo il login.
• gdpr_consent in localStorage: registra la scelta dell'utente sul banner cookie. Scritto prima del consenso poiché necessario per il funzionamento del banner stesso (base giuridica: adempimento di obbligo legale, Art. 6.1.c GDPR).

Se l'utente rifiuta il consenso, nessun dato di gioco viene scritto in localStorage e nessun cookie di sessione viene impostato. Il gioco funziona in modalità in-memory per la durata della sessione.

4. Diritti dell'interessato (GDPR, Art. 15–22)

L'utente ha diritto a:

• Accesso: richiedere copia dei propri dati.
• Rettifica: correggere dati inesatti.
• Cancellazione (Art. 17): eliminare l'account e tutti i dati associati tramite l'endpoint DELETE /api/auth/account (disponibile dalle impostazioni di profilo nel gioco) oppure scrivendo a privacy@33idlegames.com.
• Portabilità (Art. 20): esportare tutti i propri dati in formato JSON tramite l'endpoint GET /api/auth/export.
• Opposizione: opporsi al trattamento in qualsiasi momento, scrivendo al titolare.
• Revoca del consenso: eliminare la chiave gdpr_consent dal localStorage del browser per far ricomparire il banner al prossimo accesso.

Per esercitare i propri diritti è possibile scrivere a privacy@33idlegames.com. L'utente ha inoltre diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (garanteprivacy.it).

5. Trasferimento dati extra-UE

I dati sono trattati e conservati esclusivamente su server ubicati nell'Unione Europea. Non vengono effettuati trasferimenti di dati verso paesi terzi. Non si utilizzano analytics o CDN di terze parti che comportino trasferimenti extra-UE senza adeguate garanzie.

6. Conservazione

• Dati account e stato di gioco: conservati fino alla cancellazione dell'account.
• Sessioni (refresh token): scadono automaticamente dopo 7 giorni di inattività.
• Log server (IP, timestamp): eliminati entro 30 giorni.

7. Sicurezza

Il sito utilizza HTTPS (TLS) gestito tramite Certbot. Le password sono hashate con bcrypt (12 salt round). Il cookie di sessione è impostato con i flag HttpOnly, Secure e SameSite=Strict.