Privacy Policy
Document version: 1.6
Effective date: 21 April 2026
Last update: 21 April 2026
Quick index
Versione italiana
Titolare del trattamento: IKARUSDEV DI PALESE ENRICO, VIA F. PETRARCA N.6, 73014 GALLIPOLI (LE), email: [email protected].
DPO: non nominato per il profilo attuale dell'attività.
Canale richieste privacy: [email protected] (oggetto consigliato: Privacy request - KickLeak).
Dati trattati: dati account, identificativi autenticazione social (provider, subject ID, email provider/relay Apple), preferenze (incluse preferenze tema UI, timezone locale e match già visti salvati nel browser), dati invito/referral, log tecnici, dati di supporto, notifiche/follow, statistiche aggregate, voti community, dati di fatturazione cliente e storico pagamenti/abbonamento.
Finalità e basi giuridiche: erogazione del servizio e premi invito (contratto), gestione abbonamenti/pagamenti e futura fatturazione elettronica (contratto / obbligo legale), sicurezza e prevenzione abusi (interesse legittimo), adempimenti normativi (obbligo legale).
Responsabili/fornitori: Cloudflare Turnstile, stack Web Push, SMTP IONOS, API-Football/RapidAPI, Google LLC (Sign-In), Apple Inc. (Sign in with Apple), Stripe Payments Europe Ltd., PayPal.
Dati di fatturazione e pagamenti: il profilo di fatturazione salvato nel pannello utente viene usato per avviare checkout, associare il cliente ai provider di pagamento, mantenere uno storico server-side di abbonamenti/pagamenti e preparare i dati necessari alla successiva emissione fiscale. Le modifiche al profilo valgono solo per eventi futuri e non riscrivono lo storico.
Conservazione billing/payment: i dati profilo restano fino a modifica o eliminazione account; lo storico pagamenti e subscription viene conservato per obblighi amministrativi, difesa da contestazioni e riconciliazione operativa per il tempo richiesto dalla normativa applicabile o, in assenza di un termine più lungo, fino a eliminazione account con successiva minimizzazione dei metadati non più necessari.
Trasferimenti extra SEE: possono avvenire tramite fornitori terzi con misure contrattuali e tecniche adeguate, incluse Clausole Contrattuali Standard (SCC) dove richiesto.
Conservazione dati:
| Categoria | Base giuridica | Periodo | Criterio di cancellazione |
|---|---|---|---|
| Account | Contratto | Fino a richiesta di eliminazione | Hard delete al termine della finestra tecnica |
| Identificativi autenticazione social (provider, subject ID, email/relay) | Contratto / legittimo interesse sicurezza | Fino a eliminazione account o cambio metodo autenticazione | Aggiornamento o cancellazione nel flusso account/switch metodo |
| Cookie di sessione | Legittimo interesse / tecnica necessaria | Sessione | Scadenza automatica a fine sessione |
Cookie preferenza competizioni (kkl_pin_comp) |
Legittimo interesse | 12 mesi (solo guest) | Scadenza automatica o cancellazione browser |
Cookie preferenza tema (kkl_theme_pref) |
Legittimo interesse | 12 mesi | Scadenza automatica o cancellazione browser |
Cookie timezone locale (kkl_tzo) |
Legittimo interesse | 12 mesi | Scadenza automatica o cancellazione browser |
Storage locale match già visti (kkl_seen_matches_v1) |
Legittimo interesse | 15 giorni | Scadenza automatica locale o cancellazione dati browser |
| Dati invito/referral | Contratto / legittimo interesse anti-abuso | Fino a eliminazione account | Eliminazione nel flusso account deletion |
| Ticket supporto, messaggi, allegati | Contratto / obbligo legale | 24 mesi dalla chiusura | Rimozione periodica a retention scaduta |
| Request audit log (incl. sicurezza accesso/reset password) | Obbligo legale / sicurezza | 90 giorni | Cleanup automatico |
| Follow e notifiche inbox | Contratto | 12 mesi | Cleanup periodico |
| Push subscription | Consenso / contratto | Fino a disiscrizione; inattive 30 giorni | Cancellazione su unsubscribe o cleanup inattive |
| Preset e preferenze utente | Contratto | Fino a cancellazione utente o rimozione esplicita | Eliminazione nel flusso account deletion |
| Voti community | Legittimo interesse | 24 mesi | Anonimizzazione dopo 24 mesi |
| Web stats aggregate | Legittimo interesse | 24 mesi | Eliminazione aggregati a retention scaduta |
Account
Base: Contratto
Periodo: Fino a richiesta di eliminazione
Cancellazione: Hard delete al termine della finestra tecnica
Identificativi autenticazione social
Base: Contratto / legittimo interesse sicurezza
Periodo: Fino a eliminazione account o cambio metodo autenticazione
Cancellazione: Aggiornamento o cancellazione nel flusso account/switch metodo
Cookie di sessione
Base: Legittimo interesse / tecnica necessaria
Periodo: Sessione
Cancellazione: Scadenza automatica a fine sessione
Cookie preferenza competizioni (kkl_pin_comp)
Base: Legittimo interesse
Periodo: 12 mesi (solo guest)
Cancellazione: Scadenza automatica o cancellazione browser
Cookie preferenza tema (kkl_theme_pref)
Base: Legittimo interesse
Periodo: 12 mesi
Cancellazione: Scadenza automatica o cancellazione browser
Cookie timezone locale (kkl_tzo)
Base: Legittimo interesse
Periodo: 12 mesi
Cancellazione: Scadenza automatica o cancellazione browser
Storage locale match già visti (kkl_seen_matches_v1)
Base: Legittimo interesse
Periodo: 15 giorni
Cancellazione: Scadenza automatica locale o cancellazione dati browser
Dati invito/referral
Base: Contratto / legittimo interesse anti-abuso
Periodo: Fino a eliminazione account
Cancellazione: Eliminazione nel flusso account deletion
Ticket supporto, messaggi, allegati
Base: Contratto / obbligo legale
Periodo: 24 mesi dalla chiusura
Cancellazione: Rimozione periodica a retention scaduta
Request audit log
Base: Obbligo legale / sicurezza
Periodo: 90 giorni
Note: Include eventi tecnici anti-abuso su login/reset password; token sensibili mascherati nei log.
Cancellazione: Cleanup automatico
Follow e notifiche inbox
Base: Contratto
Periodo: 12 mesi
Cancellazione: Cleanup periodico
Push subscription
Base: Consenso / contratto
Periodo: Fino a disiscrizione; inattive 30 giorni
Cancellazione: Cancellazione su unsubscribe o cleanup inattive
Preset e preferenze utente
Base: Contratto
Periodo: Fino a cancellazione utente o rimozione esplicita
Cancellazione: Eliminazione nel flusso account deletion
Voti community
Base: Legittimo interesse
Periodo: 24 mesi
Cancellazione: Anonimizzazione dopo 24 mesi
Web stats aggregate
Base: Legittimo interesse
Periodo: 24 mesi
Cancellazione: Eliminazione aggregati a retention scaduta
Come esercitare i diritti GDPR:
- Invia una richiesta a [email protected] con oggetto
Privacy request - KickLeak. - Specifica chiaramente il diritto da esercitare (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità).
- Potrebbe essere richiesta una verifica minima di identità prima dell'evasione della richiesta.
Diritti GDPR: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità, reclamo all'autorità competente.
Minori: il servizio è rivolto a utenti maggiorenni o comunque con idonea capacità legale secondo la normativa applicabile.
Decisioni automatizzate/profilazione: non vengono adottate decisioni automatizzate con effetti giuridici sull'interessato.
English version
Data controller: IKARUSDEV DI PALESE ENRICO, VIA F. PETRARCA N.6, 73014 GALLIPOLI (LE), email: [email protected].
DPO: not appointed for the current activity profile.
Privacy request channel: [email protected] (recommended subject: Privacy request - KickLeak).
Data categories: account data, social authentication identifiers (provider, subject ID, provider/relay email), preferences (including UI theme preference, local timezone preference, and matches already viewed in the browser), invite/referral data, technical logs, support data, follow/notification data, aggregated stats, community votes, customer billing data, and subscription/payment history.
Purposes and legal bases: service delivery and invite rewards (contract), subscription/payment management and future e-invoicing preparation (contract / legal obligation), security/abuse prevention (legitimate interest), legal obligations.
Processors/providers: Cloudflare Turnstile, Web Push stack, IONOS SMTP, API-Football/RapidAPI, Google LLC (Sign-In), Apple Inc. (Sign in with Apple), Stripe Payments Europe Ltd., PayPal.
Billing and payment data: the billing profile saved in the user panel is used to start checkout, map the customer with payment providers, keep a server-side subscription/payment history, and prepare data needed for future fiscal issuance. Profile edits apply to future events only and do not rewrite historical records.
Billing/payment retention: billing profile data remains until the user updates it or deletes the account; payment and subscription history is retained for administrative obligations, dispute handling, and operational reconciliation for the time required by applicable law or, where no longer period applies, until account deletion followed by minimization of non-essential metadata.
Transfers outside EEA: these may occur through third-party providers under appropriate contractual and technical safeguards, including Standard Contractual Clauses (SCC) when required.
Retention schedule:
| Category | Legal basis | Retention period | Deletion criterion |
|---|---|---|---|
| Account | Contract | Until deletion request is completed | Hard delete at the end of technical deletion window |
| Social authentication identifiers (provider, subject ID, email/relay) | Contract / legitimate interest (security) | Until account deletion or authentication method switch | Updated or removed during account/switch workflow |
| Session cookie | Legitimate interest / strictly necessary | Session scope | Automatic expiry at session end |
Competition preference cookie (kkl_pin_comp) |
Legitimate interest | 12 months (guest only) | Automatic expiry or browser deletion |
Theme preference cookie (kkl_theme_pref) |
Legitimate interest | 12 months | Automatic expiry or browser deletion |
Local timezone cookie (kkl_tzo) |
Legitimate interest | 12 months | Automatic expiry or browser deletion |
Local storage for already viewed matches (kkl_seen_matches_v1) |
Legitimate interest | 15 days | Local automatic expiry or browser-data deletion |
| Invite/referral data | Contract / legitimate interest (anti-abuse) | Until account deletion | Deleted during account deletion workflow |
| Support tickets, messages, attachments | Contract / legal obligation | 24 months after closure | Periodic removal after retention expires |
| Request audit log (incl. login/password-reset security) | Legal obligation / security | 90 days | Automatic cleanup |
| Follow and inbox notifications | Contract | 12 months | Periodic cleanup |
| Push subscriptions | Consent / contract | Until unsubscribe; inactive cleanup at 30 days | Deleted on unsubscribe or inactivity cleanup |
| User presets and preferences | Contract | Until user deletion or explicit removal | Deleted during account deletion workflow |
| Community votes | Legitimate interest | 24 months | Anonymization after 24 months |
| Aggregated web statistics | Legitimate interest | 24 months | Periodic aggregate cleanup after retention expires |
Account
Legal basis: Contract
Retention: Until deletion request is completed
Deletion: Hard delete at the end of technical deletion window
Social authentication identifiers
Legal basis: Contract / legitimate interest (security)
Retention: Until account deletion or authentication method switch
Deletion: Updated or removed during account/switch workflow
Session cookie
Legal basis: Legitimate interest / strictly necessary
Retention: Session scope
Deletion: Automatic expiry at session end
Competition preference cookie (kkl_pin_comp)
Legal basis: Legitimate interest
Retention: 12 months (guest only)
Deletion: Automatic expiry or browser deletion
Theme preference cookie (kkl_theme_pref)
Legal basis: Legitimate interest
Retention: 12 months
Deletion: Automatic expiry or browser deletion
Local timezone cookie (kkl_tzo)
Legal basis: Legitimate interest
Retention: 12 months
Deletion: Automatic expiry or browser deletion
Local storage for already viewed matches (kkl_seen_matches_v1)
Legal basis: Legitimate interest
Retention: 15 days
Deletion: Local automatic expiry or browser-data deletion
Invite/referral data
Legal basis: Contract / legitimate interest (anti-abuse)
Retention: Until account deletion
Deletion: Deleted during account deletion workflow
Support tickets, messages, attachments
Legal basis: Contract / legal obligation
Retention: 24 months after closure
Deletion: Periodic removal after retention expires
Request audit log
Legal basis: Legal obligation / security
Retention: 90 days
Notes: Includes technical anti-abuse events for login/password reset; sensitive tokens are masked in logs.
Deletion: Automatic cleanup
Follow and inbox notifications
Legal basis: Contract
Retention: 12 months
Deletion: Periodic cleanup
Push subscriptions
Legal basis: Consent / contract
Retention: Until unsubscribe; inactive cleanup at 30 days
Deletion: Deleted on unsubscribe or inactivity cleanup
User presets and preferences
Legal basis: Contract
Retention: Until user deletion or explicit removal
Deletion: Deleted during account deletion workflow
Community votes
Legal basis: Legitimate interest
Retention: 24 months
Deletion: Anonymization after 24 months
Aggregated web statistics
Legal basis: Legitimate interest
Retention: 24 months
Deletion: Periodic aggregate cleanup after retention expires
How to exercise GDPR rights:
- Send a request to [email protected] with subject
Privacy request - KickLeak. - Clearly specify the right you want to exercise (access, rectification, erasure, restriction, objection, portability).
- A minimum identity verification may be required before processing the request.
Data subject rights: access, rectification, erasure, restriction, objection, portability, complaint to the competent authority.
Minors: the service is intended for adults or users with adequate legal capacity under applicable law.
Automated decisions/profiling: no automated decisions producing legal effects are made on data subjects.
Change log
- 26 April 2026 (v1.7): documented local browser storage for already viewed match markers with 15-day retention.
- 21 April 2026 (v1.6): added invite/referral data categories and retention notes for referral premium rewards.
- 18 April 2026 (v1.5): added Google/Apple social authentication providers, documented social identifier categories, and aligned retention notes for single-method authentication switches.
- 16 April 2026 (v1.4): aligned retention inventory with local timezone cookie (
kkl_tzo) and updated data categories to include local timezone preference. - 16 April 2026 (v1.3): added UI theme preference cookie retention notes and aligned data categories with functional theme preference handling.
- 15 April 2026 (v1.2): clarified request-audit coverage for login/password reset security events and token masking policy.
- 15 April 2026 (v1.1): improved structure, added retention tables, clarified privacy request workflow, added SCC reference for transfers outside EEA.
- 15 April 2026 (v1.0): initial publication.