Privacy Policy

La presente informativa è resa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) agli utenti che interagiscono con il sito e i servizi di Webmastery — Ferrer Alberto.

1. Titolare del trattamento

Webmastery — Ferrer Alberto
P.IVA IT05127330230
Via dell'Artigianato 26, Volpino (VR) — Italia
Email: info@webmastery.it

Non è nominato un Data Protection Officer (DPO) in quanto non ricorrono le condizioni di cui all'art. 37 GDPR. Per qualsiasi richiesta in materia di privacy rivolgersi direttamente al titolare all'indirizzo email sopra indicato.

2. Dati raccolti

a) Dati forniti direttamente dall'utente — tramite il form di contatto o di richiesta preventivo: nome, cognome, indirizzo email, numero di telefono, tipo di attività, messaggio libero e preferenze sul trattamento (marketing).

b) Dati del portale clienti (registrazione diretta) — per creare un account sul portale Webmastery: nome completo, indirizzo email, password (conservata in forma di hash bcrypt, mai in chiaro). Dopo la registrazione vengono inoltre conservati: data di creazione account, sito web associato (slug demo) e piano di abbonamento attivo.

c) Dati del portale clienti (accesso con Google — OAuth 2.0) — se scegli di registrarti o accedere tramite il pulsante "Continua con Google" / "Registrati con Google", riceviamo da Google LLC i seguenti dati del tuo account Google: nome, indirizzo email e un identificativo univoco di account (Google ID / sub). Non riceviamo la password Google né altri dati del profilo (foto, numero di telefono). La trasmissione avviene via protocollo OAuth 2.0 su connessione HTTPS cifrata.

d) Dati raccolti automaticamente — alla navigazione del sito vengono registrati: indirizzo IP anonimizzato, tipo di browser, sistema operativo, pagine visitate, data e ora di accesso. Questi dati sono conservati nei log del server e non sono associati a identità personali.

e) Dati di sessione — per l'autenticazione all'area riservata viene creato un cookie di sessione tecnico (connect.sid) con durata massima di 60 minuti. Non vengono usati cookie di tracciamento, analytics o profilazione.

f) Dati di pagamento — i pagamenti sono gestiti esclusivamente da Stripe Payments Europe, Ltd. Webmastery non vede né conserva numeri di carta, IBAN o dati finanziari completi. Riceviamo da Stripe solo la conferma dell'esito del pagamento e un identificativo di transazione.

g) Dati dell'assistente virtuale (chat di supporto) — i messaggi inviati alla chat di supporto del portale clienti vengono trasmessi in forma anonimizzata al servizio di elaborazione linguistica OpenAI, L.L.C. per generare la risposta. Non vengono inviati a OpenAI dati identificativi dell'utente (nome, email, ID). La cronologia della conversazione è mantenuta solo in memoria del browser per la durata della sessione e non viene persistita su database.

h) Dati di terze parti relativi ad attività commerciali (lead) — per la generazione di siti web demo, il sistema utilizza dati di attività commerciali (ragione sociale, indirizzo, telefono, categoria, valutazioni pubbliche) ottenuti da fonti pubblicamente accessibili (es. Google Maps). Tali dati riguardano persone giuridiche o attività commerciali, non consumatori privati, e sono trattati nell'ambito del legittimo interesse commerciale del titolare (art. 6 §1 lett. f GDPR).

Per i cookie si rimanda alla Cookie Policy.

3. Finalità e base giuridica

• Rispondere alle richieste di contatto e preventivo (art. 6 §1 lett. b GDPR — misure precontrattuali).
• Creazione e gestione dell'account sul portale clienti (art. 6 §1 lett. b — esecuzione del contratto o misure precontrattuali). Include sia la registrazione diretta sia l'accesso tramite Google OAuth 2.0.
• Autenticazione tramite Google OAuth 2.0 (art. 6 §1 lett. b — il trattamento è necessario per consentire l'accesso sicuro al servizio richiesto dall'interessato; art. 6 §1 lett. a — consenso espresso dall'utente al momento dell'autorizzazione OAuth nella schermata Google).
• Erogazione del servizio di generazione siti web (art. 6 §1 lett. b — esecuzione del contratto).
• Assistenza tramite chat di supporto (art. 6 §1 lett. b — esecuzione del contratto; i messaggi sono trasmessi a OpenAI in forma non identificativa).
• Gestione dei pagamenti tramite Stripe (art. 6 §1 lett. b — esecuzione del contratto; Stripe agisce come responsabile autonomo per la propria parte).
• Invio di comunicazioni commerciali (art. 6 §1 lett. a — consenso espresso, revocabile in qualsiasi momento).
• Sicurezza informatica, prevenzione frodi e abusi (art. 6 §1 lett. f — legittimo interesse del titolare).
• Adempimenti di legge e obblighi contabili/fiscali (art. 6 §1 lett. c — obbligo legale).

4. Tempi di conservazione

• Dati del form di contatto: 24 mesi dalla ricezione, salvo necessità di difesa in giudizio.
• Dati account portale clienti (email, nome, Google ID): per tutta la durata dell'account; entro 30 giorni dalla richiesta di cancellazione (salvo obblighi legali residui).
• Dati contrattuali e fiscali: 10 anni dalla chiusura del rapporto commerciale (obbligo ex art. 2220 c.c. e D.P.R. 600/1973).
• Log di accesso al server: max 12 mesi, poi eliminazione automatica.
• Messaggi della chat di supporto: non persistiti su database; eliminati al termine della sessione browser.
• Cookie di sessione (connect.sid): 60 minuti o alla chiusura del browser.
• Preferenze cookie (webmastery_cookie_prefs): 12 mesi.
• Dati trattati su consenso (marketing): fino a revoca del consenso.

5. Destinatari e responsabili del trattamento

I dati possono essere comunicati o trattati, nei limiti strettamente necessari, dai seguenti soggetti nominati responsabili ex art. 28 GDPR o titolari autonomi:

• Supabase Inc. (USA) — database e storage cloud. I dati degli account e dei siti web sono archiviati su server Supabase con encryption at-rest. Trasferimento extra-UE coperto da Standard Contractual Clauses (SCC) ex art. 46 GDPR. Privacy Policy Supabase.
• Fornitore di hosting/VPS — per l'erogazione del server applicativo.
• Stripe Payments Europe, Ltd. (Irlanda / USA) — gestione pagamenti online. Privacy Policy Stripe.
• OpenAI, L.L.C. (USA) — elaborazione dei messaggi della chat di supporto per la generazione di risposte assistite da intelligenza artificiale. I messaggi sono trasmessi senza dati identificativi dell'utente. OpenAI è vincolata da accordi di trattamento dati (DPA) conformi al GDPR; il trasferimento extra-UE avviene tramite SCC. OpenAI non utilizza i dati trasmessi tramite API per addestrare i propri modelli. Privacy Policy OpenAI.
• Google LLC — come provider di autenticazione OAuth 2.0: alla scelta dell'accesso con Google, Google agisce come titolare autonomo del trattamento dei dati del tuo account Google; Webmastery riceve solo i dati elencati al punto 2c. Come provider di font CDN (Google Fonts): l'IP dell'utente viene trasmesso a Google per il caricamento dei font; non vengono trasmessi altri dati personali. Privacy Policy Google.
• Provider SMTP/email — per l'invio delle comunicazioni transazionali.

I dati non vengono venduti né ceduti a terzi per finalità proprie di questi ultimi.

6. Trasferimenti internazionali

Supabase Inc. (USA): il trasferimento avviene tramite Standard Contractual Clauses (SCC) approvate dalla Commissione Europea ex art. 46 §2 lett. c GDPR.

Stripe Inc. (USA): trasferimento tramite SCC e/o EU-U.S. Data Privacy Framework (decisione di adeguatezza del 10 luglio 2023). Stripe GDPR.

OpenAI, L.L.C. (USA): trasferimento tramite Standard Contractual Clauses approvate dalla Commissione Europea ex art. 46 §2 lett. c GDPR. OpenAI ha stipulato un Data Processing Agreement (DPA) conforme al GDPR e non utilizza i dati trasmessi tramite API per addestrare i propri modelli. OpenAI Privacy Policy.

Google LLC (USA): partecipa all'EU-U.S. Data Privacy Framework per i servizi OAuth e Google Fonts. Google Privacy Policy.

7. Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio (art. 32 GDPR):

• Trasmissione cifrata TLS 1.2+/HTTPS per tutti i dati in transito.
• Password utente archiviate in forma di hash bcrypt (mai in chiaro).
• Cookie di sessione con flag HttpOnly, Secure e SameSite=Lax.
• Protezione CSRF su tutti gli endpoint di mutazione stato.
• Rate limiting sugli endpoint di autenticazione e OAuth per prevenire brute-force.
• Content Security Policy (CSP) con nonce per prevenire XSS.
• Autenticazione OAuth 2.0 con verifica dello state anti-CSRF e flusso Authorization Code.
• Accesso privilegiato al database limitato al solo server applicativo tramite credenziali di servizio separate.
• Backup automatici cifrati del database (Supabase Storage).

Nessun sistema è tuttavia immune da violazioni: in caso di data breach che presenti un rischio per i diritti e le libertà delle persone fisiche, notificheremo il Garante Privacy entro 72 ore (art. 33 GDPR) e, ove necessario, gli interessati (art. 34 GDPR).

8. Diritti dell'interessato (artt. 15–22 GDPR)

Hai il diritto di:

• Accesso (art. 15) — ottenere copia dei tuoi dati personali e informazioni sul trattamento.
• Rettifica (art. 16) — correggere dati inesatti o incompleti.
• Cancellazione ("diritto all'oblio") (art. 17) — ottenere la cancellazione dei dati, salvo obblighi di legge (es. conservazione fiscale 10 anni).
• Limitazione (art. 18) — limitare il trattamento in determinate circostanze.
• Portabilità (art. 20) — ricevere i dati forniti in formato strutturato e leggibile da macchina (JSON/CSV), applicabile ai dati trattati su base contrattuale o consenso.
• Opposizione (art. 21) — opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto.
• Revoca del consenso (art. 7 §3) — in qualsiasi momento (anche per il consenso OAuth Google, revocando l'accesso da Account Google → App di terze parti), senza pregiudicare la liceità del trattamento precedente alla revoca.
• Non essere sottoposto a decisioni automatizzate (art. 22) — il servizio non adotta decisioni significative basate esclusivamente su trattamento automatizzato.

Per esercitare i tuoi diritti scrivi a info@webmastery.it con oggetto "Richiesta Privacy GDPR". Risponderemo entro 30 giorni (prorogabili di ulteriori 60 giorni in casi complessi, con comunicazione motivata ex art. 12 §3 GDPR). La richiesta è gratuita salvo richieste manifestamente infondate o eccessive (art. 12 §5 GDPR).

Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali — Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it — oppure di adire le vie giudiziarie ordinarie.

9. Nessuna vendita di dati

Webmastery non vende, affitta né cede a terzi i dati personali degli utenti per finalità commerciali proprie di tali terzi. I dati sono trattati esclusivamente per le finalità indicate nella presente informativa.

10. Minori

Il servizio è rivolto esclusivamente a persone fisiche che abbiano compiuto 18 anni o, per la sola consultazione del sito pubblico, almeno 16 anni (soglia italiana ex art. 2-quinquies del Codice Privacy, D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018). Non raccogliamo consapevolmente dati di minori di 16 anni. Se veniamo a conoscenza di tale trattamento, provvediamo alla cancellazione immediata dei dati.

11. Base normativa italiana

Il trattamento dei dati è disciplinato dal Regolamento UE 2016/679 (GDPR) e dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), come modificato e integrato dal D.Lgs. 101/2018 di adeguamento al GDPR. Si applicano altresì i provvedimenti del Garante Privacy italiano, incluso il Provvedimento sui cookie del 10 giugno 2021.

12. Modifiche alla policy

Questa informativa può essere aggiornata per riflettere modifiche normative, tecniche o del servizio. Le variazioni sostanziali saranno comunicate via email agli utenti registrati con almeno 30 giorni di preavviso. La data di "Ultimo aggiornamento" in cima alla pagina indica sempre la versione in vigore. L'uso continuato del servizio dopo la data di entrata in vigore delle modifiche costituisce accettazione della nuova informativa.