Cookie Policy

1. Cookie tecnici di sessione

L'app usa autenticazione Supabase SSR con gestione cookie in middleware/server per mantenere la sessione e proteggere route riservate. Questi cookie sono necessari al funzionamento del servizio autenticato. Quando l'utente sceglie di accedere con Google, al flusso possono affiancarsi anche cookie o storage tecnici del provider Google strettamente necessari a mostrare il pulsante, gestire il prompt di accesso, prevenire abusi e completare l'autenticazione federata.

2. Cookie e storage funzionali

Oltre ai cookie di sessione, il progetto usa un cookie funzionale per timezone (`mangiario_timezone`) e `localStorage` per preferenze operative del browser, tra cui notifiche dispositivo (`mangiario-device-notifications-enabled`), timezone preferita (`mangiario.preferred_timezone`) e stato locale di alcuni flussi ranking. Questi dati servono a personalizzare il comportamento dell'interfaccia e non abilitano marketing o profilazione pubblicitaria.

3. Login Google e componenti esterni di autenticazione

La webapp carica componenti Google Identity Services per offrire login e registrazione con account Google. Questi componenti possono leggere o impostare identificatori tecnici, cookie o elementi di storage gestiti da Google secondo le policy del provider. Mangiario non usa questi componenti per finalita pubblicitarie proprie, ma solo per consentire l'autenticazione tramite provider esterno scelta dall'utente.

4. Mappa interattiva e contenuti esterni

La mappa interattiva recupera tile tramite endpoint applicativo (`/api/map-tiles/...`) che a sua volta contatta OpenStreetMap lato server. Il backend puo inoltre usare Google Maps per risolvere le coordinate dei locali a partire da indirizzo e nome. Alcune aree del prodotto possono inoltre aprire link o preview Google Maps. Questi componenti non risultano usati come strumenti marketing, ma l'interazione con servizi esterni puo comportare richieste tecniche verso i rispettivi provider.

5. Cookie e storage analytics PostHog

La webapp integra PostHog per analytics di prodotto. Il provider viene inizializzato con opt-in esplicito, quindi il tracciamento opzionale resta disattivato finche l'utente non accetta dal banner o dalle preferenze cookie.

Se l'utente accetta, PostHog puo usare chiavi browser come ph_{token}_posthog (cookie/storage del progetto, usato per sessione tecnica e stato analytics) e __ph_opt_in_out_{token}(memoria della scelta di consenso). Il nome effettivo include il token del progetto. Lo scopo e ricordare preferenze, distinguere una sessione analytics e inviare eventi come pageview, click e navigazione. La durata dipende dalle impostazioni dell'SDK e del browser: la scelta di consenso resta finche non viene revocata o lo storage non viene cancellato; gli altri identificatori analytics possono persistere oltre la sessione browser secondo la configurazione di PostHog.

6. Gestione preferenze

La webapp espone un banner dedicato alle analytics opzionali PostHog. Rifiutare non blocca il funzionamento del servizio autenticato; restano attivi solo i cookie tecnici necessari. Dopo una scelta iniziale puoi riaprire in ogni momento il centro preferenze dal pulsante "Preferenze cookie" presente nell'app.

Se desideri limitare cookie o storage locale dal browser, ricorda che bloccare cookie tecnici di sessione o il cookie timezone puo compromettere login, route protette o corretta resa di data/ora. Anche il blocco dei componenti tecnici Google puo impedire il login federato, pur lasciando disponibile l'accesso con email e password se configurato per l'utente. Eventuali ulteriori strumenti non necessari dovranno restare disattivati di default fino a consenso esplicito, granulare e revocabile.