Privacy Policy

Talea S.r.L. (in costituzione) ("Talea" o "noi") gestisce l'app web e mobile talea.football ("Servizio"), rivolta alle famiglie di giovani calciatori del settore giovanile italiano (10-18 anni).

La presente informativa descrive in modo trasparente come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali e quelli del minore di cui sei genitore o esercente la potestà. Il documento è redatto in linguaggio chiaro come richiesto dall'art. 12, par. 1, GDPR, in particolare in considerazione del fatto che il Servizio è utilizzato da minori.

Per qualsiasi domanda relativa a questa policy puoi contattare il nostro DPO all'indirizzo dpo@talea.football.

Il Titolare del trattamento dei dati personali è:

Il Responsabile della Protezione dei Dati (DPO), designato ai sensi degli artt. 37-39 GDPR, è raggiungibile a:

Trattiamo le seguenti categorie di dati:

1. 01Dati anagrafici del genitore — nome, cognome, email, numero di telefono, indirizzo IP.
2. 02Dati di verifica identità del genitore — copia di documento d'identità in corso di validità, selfie con liveness check, cross-check biometrico volto-documento. Forniti da ShuftiPro Ltd. come responsabile esterno (vedi sezione 9).
3. 03Dati anagrafici del minore — nome, età, ruolo in campo, categoria FIGC, club di appartenenza, numero di maglia.
4. 04Dati relativi alle prestazioni sportive del minore — video registrati durante allenamenti e partite, statistiche descrittive estratte automaticamente (distanza percorsa, tocchi palla, passaggi, tiri, duelli, velocità, posizione in campo).
5. 05Dati di pagamento — gestiti integralmente dai nostri fornitori Nexi Payments S.p.A. (carta) e Satispay S.p.A. (app), entrambi regolati dalla Banca d'Italia. Talea non memorizza i dati della carta di credito, ma riceve solamente token di riferimento e ultimi 4 numeri della carta per fini di reportistica.
6. 06Dati di utilizzo del Servizio — log di accesso, indirizzi IP, identificativi del dispositivo, pagine visitate, interazioni con i contenuti.
7. 07Contenuti generati dall'utente — domande sottoposte tramite la funzione "Chiedi a Giorgio", post pubblicati nella community, contenuti audiovisivi caricati.
8. 08Comunicazioni — corrispondenza email e in-app, registrazioni dei webinar a cui l'utente partecipa.

I dati sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 GDPR (e dell'art. 8 par. 2 GDPR per i minori):

Talea applica le tutele rafforzate previste dall'art. 8 GDPR e dall'art. 2-quinquies del Codice Privacy come introdotto dal D.Lgs. 101/2018 per il trattamento dei dati di minori.

• L'età minima per utilizzare il Servizio è di 14 anni, soglia stabilita dalla legislazione italiana per il consenso digitale del minore (art. 2-quinquies, comma 1, Codice Privacy).
• Per i minori tra i 14 e i 17 anni il consenso al trattamento dei dati richiede comunque la conferma dell'esercente la potestà genitoriale tramite procedura di KYC verificabile descritta nella sezione 9.
• Sotto i 14 anni il Servizio non è accessibile direttamente al minore. Solo il genitore può aprire un account e gestire le funzionalità per conto del figlio.
• Al raggiungimento della maggiore età il minore deve riconfermare i consensi da utente adulto. In assenza di riconferma entro 30 giorni l'account viene posto in sospensione automatica.
• Le aree community sono segregate per fascia d'età (14-17 e 18+). Non è ammessa comunicazione privata diretta tra minori. Tutta la moderazione è documentata e auditabile.
• Il design dell'interfaccia è progettato per evitare i dark pattern rivolti ai minori, in conformità all'art. 28 del Regolamento (UE) 2022/2065 (Digital Services Act).

Talea utilizza sistemi di intelligenza artificiale per l'elaborazione automatica dei video di partite e allenamenti, per la generazione di raccomandazioni personalizzate e per il riconoscimento del giocatore. Tali sistemi sono qualificati come ad alto rischio ai sensi dell'Allegato III, punto 1, del Regolamento (UE) 2024/1689 (AI Act).

• Una Valutazione d'impatto sui diritti fondamentali (FRIA) ai sensi dell'art. 27 AI Act è stata avviata e sarà completata prima dell'attivazione delle funzionalità AI in produzione.
• Il sistema è iscritto nella banca dati UE dei sistemi ad alto rischio ai sensi dell'art. 71 e dell'Allegato VIII AI Act.
• Il sistema è dotato di marcatura CE di conformità ai sensi dell'art. 48 AI Act.
• Tutti gli output generati dall'AI sono chiaramente identificati come tali nell'interfaccia, ai sensi dell'art. 50 AI Act.
• Talea non utilizza nessuna delle pratiche vietate dall'art. 5 AI Act. In particolare: nessun social scoring, nessuna categorizzazione biometrica del minore, nessun "talent verdict" o "punteggio di talento" emesso dall'AI.
• Il sistema effettua un monitoraggio post-commercializzazione continuo ai sensi dell'art. 72 AI Act, con audit interni trimestrali.
• Le statistiche estratte dai video sono di natura esclusivamente descrittiva. Non costituiscono valutazione professionale del talento del minore né strumento di profilazione decisionale automatizzata ai sensi dell'art. 22 GDPR.

Il caricamento e l'elaborazione di video contenenti l'immagine del minore avviene previa liberatoria specifica rilasciata dall'esercente la potestà genitoriale, ai sensi degli artt. 96 e 97 della Legge 22 aprile 1941, n. 633 (Legge sul diritto d'autore).

• La liberatoria è revocabile in qualsiasi momento dall'area Privacy del Servizio. La revoca produce effetti immediati e comporta la rimozione dei contenuti dal Servizio entro 48 ore.
• L'immagine del minore non è mostrata pubblicamente al di fuori dell'app. Le funzioni di condivisione esterna (link, social media) richiedono un'azione esplicita del genitore e sono soggette a watermark.
• L'immagine del minore non viene utilizzata per finalità promozionali o pubblicitarie senza un consenso ulteriore e specifico.

Decorso il periodo di conservazione i dati vengono cancellati o anonimizzati irreversibilmente, salvo obblighi di legge che impongano periodi più lunghi (in particolare obblighi fiscali e di prevenzione di frodi).

I tuoi dati possono essere comunicati ai seguenti soggetti, designati come responsabili esterni del trattamento ai sensi dell'art. 28 GDPR. Con ciascuno è stato sottoscritto un Data Processing Agreement (DPA) e, ove applicabile, le Standard Contractual Clauses (SCC) della Commissione Europea.

Per quanto possibile i dati sono trattati e conservati all'interno dello Spazio Economico Europeo. Per i fornitori statunitensi (Anthropic, OpenAI, Vercel, Supabase, Cloudflare, Modal, Resend, Inngest, PostHog) il trasferimento avviene con le seguenti garanzie:

• Adesione del fornitore al EU-US Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023), ove applicabile.
• Sottoscrizione delle Standard Contractual Clauses (SCC) della Commissione Europea (Decisione 2021/914) come misura supplementare.
• Esecuzione di una Transfer Impact Assessment (TIA) a seguito della sentenza Schrems II (CGUE C-311/18), con valutazione caso per caso del rischio di accesso da parte di autorità straniere.
• Cifratura end-to-end dei dati in transito e a riposo.
• Selezione di regioni di hosting fisicamente situate nell'Unione Europea (Dublino, Frankfurt) ove disponibili.

In qualunque momento puoi esercitare i seguenti diritti, previsti dagli articoli 15-22 del GDPR:

Per esercitare uno di questi diritti scrivi a dpo@talea.football oppure utilizza i pulsanti dedicati nell'area Privacy dell'app. Risponderemo entro 30 giorni dalla richiesta (art. 12, par. 3, GDPR), prorogabili di ulteriori 60 giorni in casi complessi con preventiva comunicazione.

Per i trattamenti basati sul consenso (in particolare elaborazione video, comunicazioni promozionali, dataset di scouting) puoi revocare il consenso in qualunque momento dall'area Privacy dell'app, senza necessità di motivazione. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca stessa (art. 7, par. 3, GDPR).

La revoca dei consensi obbligatori (es. trattamento dati per erogazione del Servizio) comporta la sospensione e successiva cancellazione dell'account, in quanto incompatibile con l'esecuzione del contratto.

Il Servizio utilizza cookie tecnici, statistici e di profilazione descritti in dettaglio nella nostra Cookie Policy. La gestione del consenso ai cookie è affidata al fornitore Iubenda S.r.l.

Talea adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per proteggere i tuoi dati da perdita, accesso non autorizzato, distruzione e divulgazione. In particolare:

• Cifratura TLS 1.3 per tutte le comunicazioni in transito.
• Cifratura at-rest dei video tramite chiavi gestite con key-wrapping; le chiavi non sono accessibili prima del consenso del genitore.
• Architettura multi-tenant con Row-Level Security (RLS) sul database Postgres che garantisce l'isolamento dei dati di una famiglia rispetto a un'altra.
• Audit log immutabile firmato (chained hash SHA-256) di ogni evento sensibile.
• Politica di accesso ai sistemi a minimo privilegio. Nessun dipendente di Talea accede ai contenuti di una famiglia se non per un'azione di assistenza esplicitamente richiesta dal cliente.
• Test di sicurezza periodici e penetration test annuale.
• Procedura di gestione degli incidenti con notifica al Garante entro 72 ore (art. 33 GDPR) e all'interessato senza ingiustificato ritardo (art. 34 GDPR).

Talea può aggiornare questa Privacy Policy per riflettere modifiche al Servizio, alle leggi applicabili o alle migliori pratiche di settore. In caso di modifiche sostanziali ti notificheremo via email e tramite avviso in-app con un preavviso di almeno 30 giorni prima dell'entrata in vigore. Le versioni precedenti sono archiviate e disponibili su richiesta.

Se ritieni che il trattamento dei tuoi dati violi il GDPR hai diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:

Per qualunque richiesta relativa a questa policy o all'esercizio dei tuoi diritti:

Per maggiori informazioni puoi visitare la pagina contatti o leggere i nostri Termini di servizio.