Privacy Policy
Ultimo aggiornamento: 13 maggio 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali trattati da Swirl è Marcello Luigi Graziano.
Per richieste privacy puoi scrivere a [email protected]. Per richieste di supporto puoi scrivere a [email protected].
2. Che cos'è Swirl
Swirl è un'app gratuita per iPhone che aiuta a catalogare e gestire una collezione personale di carte collezionabili: binder, vault, wishlist/to-buy, scansioni, riconoscimento OCR e stime indicative di valore.
Swirl non è un'app ufficiale e non è affiliata, sponsorizzata, approvata o gestita da Nintendo, The Pokemon Company, Game Freak, Creatures Inc. o altri titolari dei relativi marchi.
3. Dati trattati
A seconda delle funzioni usate, Swirl tratta queste categorie di dati.
- Account email/password: indirizzo email, password hashata, nome o display name opzionale, stato di verifica email.
- Sign in with Apple: identificativo Apple associato all'account Swirl, email condivisa da Apple, eventuale nome condiviso al primo accesso.
- Profilo guest: identificativo casuale di installazione e segreto associato al singolo dispositivo. Questo identificativo serve a collegare le collezioni guest a quel device.
- Dati di collezione: carte salvate, binder, wishlist/to-buy, vault, note, lingua, condizioni, posizione fisica, quantità, eventi di acquisto o vendita, prezzi target, prezzi pagati, stime manuali e snapshot del valore della collezione.
- Foto, scansioni e OCR: immagini di carte caricate o scattate dall'utente, testo OCR riconosciuto, risultati di riconoscimento e carte private create dall'utente quando una carta non è presente nel catalogo.
- Ricerche e richieste tecniche: query di ricerca carte, identificativi di richiesta, tempi di risposta, errori tecnici, indirizzo IP usato per sicurezza, log e rate limit.
- Supporto: contenuto dei messaggi inviati via email o canali di supporto aperti dall'app, se scegli di contattarci.
4. Dati locali su iPhone
L'app conserva localmente token di sessione, dati utente essenziali, credenziali del profilo guest, preferenze, cache delle collezioni e cache immagini. I token sono conservati in Keychain o in storage locale dell'app; le credenziali guest sono salvate in un'area protetta ed esclusa dal backup iCloud. Logout ed eliminazione account puliscono lo stato locale dell'app.
5. Permessi iOS
Swirl richiede l'accesso alla fotocamera per scansionare le carte. La selezione di immagini dalla libreria usa il selettore foto di sistema. Non sono richiesti permessi per posizione, contatti, salute, microfono, notifiche push o tracking pubblicitario.
6. Finalità e basi giuridiche
- Fornire il servizio: account, login, profilo guest, sincronizzazione, salvataggio collezioni, riconoscimento carte, wishlist e stime. Base giuridica: esecuzione del servizio richiesto.
- Sicurezza e prevenzione abusi: token, sessioni, rate limit, IP, log tecnici, audit minimale di cancellazione. Base giuridica: legittimo interesse alla sicurezza del servizio.
- Supporto: risposte a richieste inviate dall'utente. Base giuridica: esecuzione della richiesta e legittimo interesse.
- Adempimenti tecnici o legali: conservazione limitata di log, backup e audit quando necessario. Base giuridica: obbligo legale o legittimo interesse, secondo il caso.
7. Servizi e fornitori
- DigitalOcean: hosting backend/web, database PostgreSQL gestito e DigitalOcean Spaces per immagini utente. Server e database sono configurati in regione FRA1.
- Cloudflare: CDN, protezione anti-bot, sicurezza edge, TLS e caching tecnico forniti direttamente o tramite DigitalOcean App Platform. Cloudflare puo` trattare indirizzo IP, header tecnici della richiesta e cookie strettamente necessari al funzionamento e alla sicurezza del sito.
- OVH: dominio swirl.cards e invio email tramite SMTP per comunicazioni transazionali e supporto.
- Apple: Sign in with Apple, distribuzione App Store e servizi di sistema iOS.
- Fonti catalogo e prezzi: API esterne usate per catalogo carte, immagini pubbliche e dati prezzo di mercato. Nella normale esperienza utente non vengono inviati a tali fonti email, identificativi account o collezioni personali.
- Telegram: se usi il pulsante feedback che apre Telegram, il messaggio viene gestito anche secondo le regole di Telegram.
Nella prima release non sono attivi SDK pubblicitari, pixel di marketing, analytics esterni, crash reporting remoto o OpenAI in produzione.
8. Trasferimenti extra UE
Server e database sono configurati su DigitalOcean FRA1. Alcuni fornitori, come Apple o DigitalOcean, possono comunque operare anche tramite società o infrastrutture fuori dallo Spazio Economico Europeo secondo le proprie condizioni contrattuali. In caso di attivazione futura di nuovi fornitori extra UE, questa informativa verrà aggiornata.
9. Conservazione
- Account registrato: dati account e collezione sono conservati finché l'account resta attivo.
- Profilo guest: i dati restano associati al dispositivo finché usi il profilo guest o finché li elimini dall'app. Se disinstalli l'app senza aver collegato un account, potresti perdere l'accesso al profilo guest perché le credenziali locali non vengono ripristinate da backup iCloud. La disinstallazione dell'app non comporta automaticamente la cancellazione immediata dei dati già salvati sul server. Per richieste di assistenza o cancellazione puoi scrivere a [email protected].
- Cancellazione account/dati: la cancellazione dall'app elimina il record utente, token, sessioni, collezioni, binder, wishlist, scansioni, OCR e immagini utente su DigitalOcean Spaces. Se la cancellazione degli asset Spaces fallisce, il sistema blocca la cancellazione del DB per evitare immagini pubbliche orfane e permette il retry.
- Backup database: il database PostgreSQL gestito da DigitalOcean mantiene backup/PITR automatici fino a 7 giorni. I dati eliminati possono rimanere temporaneamente in tali backup fino alla rotazione tecnica.
- Log tecnici: i log sono conservati per debug, sicurezza e funzionamento del servizio per il tempo necessario, normalmente non oltre 30 giorni nei sistemi sotto il nostro controllo, salvo necessità di sicurezza o obblighi applicabili.
10. Diritti GDPR
Puoi chiedere accesso, rettifica, cancellazione, limitazione, opposizione e portabilità dei dati nei casi previsti dal GDPR. Puoi eliminare account e dati direttamente dall'app oppure scrivere a [email protected].
Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali.
11. Minori
Swirl è destinata a un pubblico generale di collezionisti e non è rivolta specificamente a bambini o minori. Se ritieni che un minore abbia fornito dati personali senza adeguata autorizzazione, contattaci per richiederne la cancellazione.
12. Tracking, pubblicità e cookie
Nella prima release Swirl non usa i dati per tracking pubblicitario, non vende dati personali, non mostra pubblicità nell'app e non usa pixel o cookie marketing sulle pagine pubbliche. Le pagine pubbliche possono usare cookie tecnici strettamente necessari, inclusi cookie Cloudflare come __cf_bm per protezione anti-bot e sicurezza del traffico. Questi cookie non sono usati da Swirl per profilazione pubblicitaria o tracking cross-site. Se in futuro verranno introdotti pixel, analytics marketing o pubblicità, questa informativa verrà aggiornata prima dell'attivazione.
13. Modifiche
Possiamo aggiornare questa informativa per riflettere modifiche del prodotto, dei fornitori o della legge applicabile. La versione aggiornata sarà pubblicata su questa pagina.