← Home

Privacy & Cookie Policy

Come raccogliamo, utilizziamo e proteggiamo i tuoi dati · How we collect, use and protect your data

Ultimo aggiornamento · Last updated: Marzo 2026 · v1.1
— Privacy Policy —

Titolare del trattamento

Simone Di Marino
San Dorligo della Valle (Trieste), Italia
Email: info@cardalert.org

CardAlert è un servizio gestito da un privato cittadino italiano. Non è richiesta la figura del DPO (Data Protection Officer) ai sensi dell'art. 37 GDPR.

Età minima

Il servizio è riservato a utenti di età pari o superiore a 14 anni, in conformità all'art. 2-quinquies del D.Lgs. 196/2003 (Codice Privacy italiano). I minori di 14 anni non possono registrarsi senza il consenso del genitore o tutore legale.

Dati raccolti e finalità

Raccogliamo i seguenti dati personali al solo scopo di fornire il servizio:

  • Indirizzo email e password — per la creazione e l'accesso all'account. La password è conservata in forma cifrata (bcrypt), non è mai leggibile da noi.
  • Telegram Chat ID — opzionale, fornito volontariamente collegando il proprio account Telegram per ricevere notifiche.
  • Dati della watchlist — le carte e i prezzi target configurati dall'utente, necessari per l'erogazione del servizio di monitoraggio.
  • Log degli alert — storico delle notifiche inviate, conservato per permettere all'utente di consultare i propri alert ricevuti.
Niente tracciamento. Non raccogliamo dati di navigazione, non utilizziamo strumenti di analisi di terze parti (es. Google Analytics), non installiamo cookie di profilazione e non vendiamo dati a terzi.

Base giuridica

Il trattamento dei dati si basa sulle seguenti basi giuridiche:

  • Esecuzione del contratto (art. 6 co. 1 lett. b GDPR) — per email/password, watchlist e log degli alert: sono necessari per erogare il servizio.
  • Consenso (art. 6 co. 1 lett. a GDPR) — per il Telegram Chat ID: fornito volontariamente e revocabile in qualsiasi momento disconnettendo l'account Telegram dal profilo.

Conservazione dei dati

I dati vengono conservati per tutta la durata dell'account attivo. In caso di cancellazione dell'account:

  • Dati del profilo (email, password cifrata): eliminati entro 30 giorni dalla richiesta di cancellazione.
  • Watchlist e dati di configurazione: eliminati immediatamente alla cancellazione dell'account.
  • Log degli alert: eliminati entro 30 giorni dalla cancellazione dell'account. Possono essere conservati in forma anonima e aggregata a fini statistici.
  • Telegram Chat ID: eliminato immediatamente alla disconnessione di Telegram o alla cancellazione dell'account.

Servizi terzi utilizzati

Per erogare il servizio ci avvaliamo dei seguenti sub-processor. Tutti i dati restano all'interno dell'Unione Europea:

  • Hetzner Online GmbH (Germania/Finlandia) — hosting del server in Europa. Privacy Policy Hetzner ↗
  • Resend Inc. — invio email transazionali (benvenuto, reset password, alert Pro). I dati trasmessi sono solo indirizzo email e contenuto della notifica. Privacy Policy Resend ↗
  • Telegram Messenger Inc. — invio notifiche push (solo se l'utente collega volontariamente il proprio account). Privacy Policy Telegram ↗
  • CardTrader S.r.l. — API pubblica per i prezzi delle carte. Non trasmettiamo dati personali degli utenti a CardTrader. Privacy Policy CardTrader ↗

Nessun trasferimento di dati al di fuori dello Spazio Economico Europeo (SEE). Resend elabora le email su server in Europa (Ireland eu-west-1).

Sicurezza dei dati

Adottiamo le seguenti misure tecniche per proteggere i tuoi dati:

  • Connessione cifrata HTTPS/TLS (certificato Let's Encrypt)
  • Password conservate con hashing bcrypt (irreversibile)
  • Token di autenticazione JWT con scadenza 30 giorni
  • Database accessibile solo dalla rete locale del server (non esposto a Internet)

I tuoi diritti (art. 15–22 GDPR)

In qualità di interessato ai sensi del GDPR, hai i seguenti diritti:

Accesso

Ottenere copia dei dati che trattiamo su di te (art. 15)

Rettifica

Correggere dati inesatti o incompleti (art. 16)

Cancellazione

Ottenere la cancellazione dei tuoi dati — "diritto all'oblio" (art. 17)

Limitazione

Limitare il trattamento in determinate circostanze (art. 18)

Portabilità

Ricevere i tuoi dati in formato leggibile (art. 20)

Opposizione

Opporti al trattamento basato su legittimo interesse (art. 21)

Per esercitare questi diritti scrivi a info@cardalert.org. Risponderemo entro 30 giorni dalla ricezione della richiesta.

Diritto di reclamo

Hai il diritto di presentare reclamo all'autorità di controllo competente. In Italia:

  • Garante per la protezione dei dati personaliwww.garanteprivacy.it ↗ — Piazza Venezia 11, 00187 Roma — Tel. +39 06 69677.1

Il server è fisicamente ubicato in Finlandia (Hetzner Helsinki). L'autorità di controllo finlandese è il Tietosuojavaltuutetun toimisto ↗. In ogni caso, puoi rivolgerti al Garante italiano in quanto titolare del trattamento con sede in Italia.

— Cookie Policy —

Cosa sono i cookie

I cookie sono piccoli file di testo salvati nel browser dal sito che stai visitando. Il localStorage è uno spazio di memoria del browser tecnicamente distinto dai cookie, ma con finalità simili per la conservazione di dati lato client.

Nessun cookie di tracciamento

CardAlert non utilizza cookie di profilazione, cookie analitici o cookie di terze parti. Non installiamo Google Analytics, Meta Pixel, o qualsiasi altro strumento di tracciamento.

Storage tecnico utilizzato

Utilizziamo esclusivamente localStorage del browser per conservare informazioni strettamente necessarie al funzionamento del servizio:

Nome Tipo Finalità Scadenza
ca_token localStorage Token di autenticazione JWT — mantiene la sessione di login attiva 30 giorni
ca_lang localStorage Preferenza lingua (IT/EN) Permanente fino a cancellazione
ca_notice localStorage Registra se l'utente ha letto l'avviso privacy (versione + data) Permanente fino a nuova versione policy

Perché non c'è un banner di consenso

Ai sensi dell'art. 122 del Codice Privacy (D.Lgs. 196/2003) e delle Linee Guida del Garante sui cookie (10 giugno 2021), il consenso preventivo è richiesto esclusivamente per cookie e storage non strettamente necessari al funzionamento del servizio.

Poiché utilizziamo solo storage tecnico necessario (autenticazione e preferenza lingua), non è richiesto il tuo consenso preventivo e non è presente un banner di consenso cookie. Viene mostrato un avviso informativo alla prima visita.

Come eliminare i dati dal browser

Puoi cancellare il localStorage di CardAlert in qualsiasi momento:

  • Chrome/Edge: F12 → Application → Local Storage → cardalert.org → tasto destro → Clear
  • Firefox: F12 → Storage → Local Storage → cardalert.org → tasto destro → Delete All
  • Safari: Develop → Show Web Inspector → Storage → Local Storage → cardalert.org
  • Tutti i browser: Impostazioni → Privacy → Cancella dati di navigazione → Dati siti web

La cancellazione del localStorage effettuerà il logout automatico dall'account.

— Privacy Policy —

Data Controller

Simone Di Marino
San Dorligo della Valle (Trieste), Italy
Email: info@cardalert.org

CardAlert is a service operated by an Italian private individual. The appointment of a Data Protection Officer (DPO) is not required under Article 37 GDPR.

Minimum age

This service is intended for users aged 14 years or older, in accordance with Italian law (D.Lgs. 196/2003 Art. 2-quinquies). Users under 14 may not register without parental or guardian consent.

Data collected and purposes

We collect the following personal data solely to provide the service:

  • Email address and password — to create and access your account. Passwords are stored in encrypted form (bcrypt) and are never readable by us.
  • Telegram Chat ID — optional, voluntarily provided by linking your Telegram account to receive push notifications.
  • Watchlist data — the cards and target prices you configure, required to deliver the price monitoring service.
  • Alert log — history of notifications sent, kept so you can review your past alerts.
No tracking. We do not collect browsing data, do not use third-party analytics tools (e.g. Google Analytics), do not install profiling cookies, and do not sell data to third parties.

Legal basis

Data processing is based on the following legal grounds:

  • Performance of a contract (Art. 6(1)(b) GDPR) — for email/password, watchlist, and alert log: required to deliver the service.
  • Consent (Art. 6(1)(a) GDPR) — for the Telegram Chat ID: voluntarily provided and revocable at any time by disconnecting your Telegram account in the Profile section.

Data retention

Data is retained for the duration of your active account. Upon account deletion:

  • Profile data (email, hashed password): deleted within 30 days of the deletion request.
  • Watchlist and configuration data: deleted immediately upon account deletion.
  • Alert log: deleted within 30 days of account deletion. May be retained in anonymous, aggregated form for statistical purposes.
  • Telegram Chat ID: deleted immediately upon Telegram disconnection or account deletion.

Third-party services

We use the following sub-processors to deliver the service. All data remains within the European Union:

No data transfers outside the European Economic Area (EEA). Resend processes emails on European servers (Ireland eu-west-1).

Data security

We implement the following technical measures to protect your data:

  • Encrypted HTTPS/TLS connection (Let's Encrypt certificate)
  • Passwords stored with bcrypt hashing (one-way, irreversible)
  • JWT authentication tokens with 30-day expiry
  • Database accessible only from the server's local network (not exposed to the Internet)

Your rights (Art. 15–22 GDPR)

As a data subject under the GDPR, you have the following rights:

Access

Obtain a copy of the data we hold about you (Art. 15)

Rectification

Correct inaccurate or incomplete data (Art. 16)

Erasure

Request deletion of your data — "right to be forgotten" (Art. 17)

Restriction

Restrict processing in certain circumstances (Art. 18)

Portability

Receive your data in a machine-readable format (Art. 20)

Objection

Object to processing based on legitimate interest (Art. 21)

To exercise these rights, write to info@cardalert.org. We will respond within 30 days of receiving your request.

Right to lodge a complaint

You have the right to lodge a complaint with the supervisory authority. In Italy:

  • Garante per la protezione dei dati personali (Italian Data Protection Authority) — www.garanteprivacy.it ↗ — Piazza Venezia 11, 00187 Rome — Tel. +39 06 69677.1

The server is physically located in Finland (Hetzner Helsinki). The Finnish supervisory authority is the Office of the Data Protection Ombudsman ↗. In any case, you may contact the Italian Garante as the controller is based in Italy.

— Cookie Policy —

What are cookies

Cookies are small text files saved in your browser by the website you're visiting. localStorage is a browser storage space technically distinct from cookies but with similar client-side data storage purposes.

No tracking cookies

CardAlert does not use profiling cookies, analytics cookies, or third-party cookies. We do not install Google Analytics, Meta Pixel, or any other tracking tool.

Technical storage used

We use only localStorage to store information strictly necessary for the service to function:

Name Type Purpose Expiry
ca_token localStorage JWT authentication token — keeps your login session active 30 days
ca_lang localStorage Language preference (IT/EN) Persistent until cleared
ca_notice localStorage Records that the user has read the privacy notice (version + date) Persistent until new policy version

Why there is no consent banner

Under the Italian Privacy Code (D.Lgs. 196/2003 Art. 122) and the Italian DPA's Cookie Guidelines (10 June 2021), prior consent is required only for cookies and storage that are not strictly necessary for the service to function.

Since we use only technically necessary storage (authentication and language preference), your prior consent is not required and no cookie consent banner is shown. A brief informational notice is displayed on first visit.

How to clear browser data

You can clear CardAlert's localStorage at any time:

  • Chrome/Edge: F12 → Application → Local Storage → cardalert.org → right-click → Clear
  • Firefox: F12 → Storage → Local Storage → cardalert.org → right-click → Delete All
  • Safari: Develop → Show Web Inspector → Storage → Local Storage → cardalert.org
  • All browsers: Settings → Privacy → Clear browsing data → Site data

Clearing localStorage will automatically log you out of your account.