Privacy Policy
Ultimo aggiornamento: 13 maggio 2026
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 («GDPR») e del D.Lgs. 196/2003 e ss.mm.ii. («Codice Privacy») agli utenti del servizio Winny (di seguito anche «Servizio» o «Sito»), accessibile dal dominio sul quale è pubblicata la presente informativa e dalle relative applicazioni web.
1. Titolare del trattamento
Il Titolare del trattamento è MP Informatica S.r.l., con sede legale in Strada di Santa Bona Nuova 33/B, 31100 Treviso (TV), Italia.
- P.IVA / C.F.: 05355370262
- Iscrizione Registro Imprese di Treviso, REA: TV-437915
- Capitale sociale: € 10.000,00 i.v.
- Email: info@winnyai.it
- PEC: mpinformatica-srl@pec.it
- Telefono: +39 0422 1991085
Winny è un prodotto di MP Informatica S.r.l. Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile scrivere all'indirizzo email indicato, specificando nell'oggetto «Privacy Winny».
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare non ha nominato un Data Protection Officer in quanto non sussistono i presupposti di obbligatorietà di cui all'art. 37 GDPR. È possibile rivolgere ogni richiesta in materia di protezione dei dati direttamente al Titolare ai recapiti sopra indicati.
3. Tipologie di dati trattati
Il Servizio tratta le seguenti categorie di dati personali:
3.1 Dati forniti dall'utente
- Dati di registrazione: indirizzo email, password (memorizzata in forma cifrata tramite hashing bcrypt), eventuale codice affiliato di provenienza.
- Dati di pagamento: trattati esclusivamente dal processore di pagamento Stripe (vedi sez. 7). Il Titolare riceve solo dati di transazione non sensibili (ID transazione, ultime 4 cifre, brand carta, stato pagamento).
- Dati di utilizzo del Servizio: selezioni di partite, analisi richieste, scommesse salvate nel Tracker, bankroll impostato per il calcolatore Kelly, note personali sulle partite.
3.2 Dati raccolti automaticamente
- Dati di navigazione: indirizzo IP, user-agent, timestamp delle richieste, URL richiesti, log di accesso del server. Tali dati sono conservati nei log del web server per il tempo strettamente necessario alla diagnostica e alla sicurezza.
- Cookie tecnici: esclusivamente cookie di sessione, di autenticazione e di preferenza necessari al funzionamento del Servizio. Per il dettaglio si rimanda alla Cookie Policy.
4. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del Servizio (account, autenticazione, generazione analisi, storico scommesse, Kelly) | Esecuzione di un contratto di cui l'interessato è parte (art. 6.1.b GDPR) | Durata del rapporto contrattuale + 30 giorni dalla cancellazione account |
| Fatturazione e adempimenti contabili / fiscali | Obbligo legale (art. 6.1.c GDPR) | 10 anni (art. 2220 c.c.) |
| Sicurezza del Servizio, prevenzione frodi, contrasto abusi | Legittimo interesse del Titolare (art. 6.1.f GDPR) | Massimo 12 mesi per i log di accesso |
| Adempimento di richieste delle autorità competenti | Obbligo legale (art. 6.1.c GDPR) | Tempo richiesto dall'autorità |
| Gestione di richieste di assistenza inviate via email | Esecuzione di misure precontrattuali / contratto (art. 6.1.b GDPR) | 24 mesi dalla chiusura della richiesta |
Il Titolare non effettua attività di marketing diretto, profilazione commerciale o decisioni unicamente automatizzate che producano effetti giuridici sull'interessato. Qualora in futuro vengano introdotte finalità ulteriori (ad esempio newsletter o comunicazioni promozionali), saranno raccolti consensi specifici e separati.
5. Natura del conferimento
Il conferimento dei dati di registrazione, dei dati di pagamento e dei dati di utilizzo è necessario per l'erogazione del Servizio. Il rifiuto comporta l'impossibilità di creare un account e di accedere alle funzionalità di Winny.
6. Modalità del trattamento e sicurezza
I dati sono trattati con strumenti informatici e telematici, adottando misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR. In particolare:
- L'infrastruttura applicativa e il database PostgreSQL (Supabase self-hosted) sono ospitati su VPS dedicato di Aruba S.p.A. presso datacenter sito in Italia (Arezzo, IT1).
- Trasmissione dei dati protetta tramite TLS 1.2+ con certificati validi.
- Password utenti memorizzate esclusivamente in forma cifrata mediante hashing bcrypt (no plaintext, no recupero).
- Backup periodici cifrati del database, conservati separatamente per finalità di disaster recovery.
- Accesso amministrativo ai server limitato a personale autorizzato e tracciato tramite log di sistema.
- Aggiornamenti di sicurezza applicati con cadenza regolare al sistema operativo e ai componenti software.
7. Destinatari dei dati e responsabili esterni
Per la fornitura del Servizio il Titolare si avvale dei seguenti fornitori, designati Responsabili del trattamento ex art. 28 GDPR mediante appositi DPA o equivalenti:
| Fornitore | Finalità | Sede / Trasferimento dati |
|---|---|---|
| Aruba S.p.A. | Hosting VPS (server applicativi, database, posta SMTP) | Italia (UE) |
| Stripe Payments Europe Ltd. | Gestione pagamenti e abbonamenti | Irlanda (UE) / USA — Standard Contractual Clauses |
| OpenRouter Inc. | Gateway verso modelli LLM per la generazione delle analisi (Google Gemini, Perplexity) | USA — Standard Contractual Clauses |
| FootyStats Ltd. | Dati statistici calcio | Regno Unito (decisione di adeguatezza UE 2021) |
| API-Sports (api-sports.io) | Dati partite, formazioni, infortuni, quote, statistiche basket | Francia (UE) |
| API-Tennis (api-tennis.com) | Dati partite e statistiche tennis | Giurisdizione del fornitore non dichiarata; trattamento limitato a dati pubblici non personali |
I dati personali degli utenti non vengono trasmessi a OpenRouter, FootyStats, API-Sports o API-Tennis: tali servizi ricevono esclusivamente parametri tecnici relativi agli incontri sportivi (es. ID partita, nomi squadre/giocatori, mercati) e restituiscono dati statistici o di previsione pubblici. Le richieste verso questi servizi avvengono server-to-server, senza esposizione dell'identità dell'utente finale.
I dati possono inoltre essere comunicati a consulenti professionali (commercialista, avvocato) e ad autorità giudiziarie o di pubblica sicurezza ove richiesto dalla legge. I dati non sono oggetto di diffusione né di cessione a terzi per finalità di marketing.
8. Trasferimenti extra-UE
Alcuni Responsabili (Stripe, OpenRouter) effettuano trattamenti che possono comportare il trasferimento di dati al di fuori dello Spazio Economico Europeo, in particolare verso gli Stati Uniti. Tali trasferimenti avvengono sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione di esecuzione (UE) 2021/914) e, ove applicabile, della certificazione EU-U.S. Data Privacy Framework.
9. Diritti dell'interessato
L'utente, in qualità di interessato, può esercitare in qualsiasi momento i diritti di cui agli articoli da 15 a 22 GDPR:
- Accesso ai propri dati personali (art. 15);
- Rettifica di dati inesatti o integrazione di dati incompleti (art. 16);
- Cancellazione («diritto all'oblio», art. 17);
- Limitazione del trattamento (art. 18);
- Portabilità dei dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20);
- Opposizione al trattamento fondato sul legittimo interesse (art. 21);
- Revoca del consenso in qualsiasi momento per i trattamenti basati su consenso, senza pregiudicare la liceità del trattamento svolto precedentemente alla revoca.
Le richieste vanno inviate via email a info@winnyai.it o via PEC a mpinformatica-srl@pec.it. Il Titolare risponde entro 30 giorni, fatte salve proroghe motivate ex art. 12.3 GDPR.
L'utente ha inoltre diritto di proporre reclamo all'Autorità di controllo competente (in Italia: Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, sito web garanteprivacy.it).
10. Cancellazione dell'account
L'utente può richiedere la cancellazione del proprio account in qualsiasi momento scrivendo a info@winnyai.it. Entro 30 giorni dalla richiesta i dati personali identificativi vengono eliminati o anonimizzati, salvo quanto necessario per:
- l'adempimento di obblighi fiscali e contabili (10 anni ex art. 2220 c.c.);
- la difesa in giudizio del Titolare;
- il rispetto di obblighi di legge.
11. Minori
Il Servizio è riservato a maggiorenni (età minima 18 anni) e non è in alcun modo rivolto a minori. Il Titolare non raccoglie consapevolmente dati di minorenni. Qualora venisse rilevato un account associato a un minore, sarà immediatamente eliminato.
12. Modifiche alla presente Informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli utenti registrati tramite email o tramite avviso sul Sito. La versione aggiornata è sempre disponibile alla presente pagina con indicazione della data di ultimo aggiornamento.