Informativa Privacy
Versione 1.0 — In vigore dal 29 maggio 2026
Ai sensi e per gli effetti del Regolamento UE 2016/679 ("GDPR") e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 ("Codice Privacy").
1. Titolare del trattamento
Titolare del trattamento: <<RAGIONE_SOCIALE>> Sede legale: <<SEDE_LEGALE>> P.IVA: <<P_IVA>> C.F.: <<CF>> REA: <<REA>> Email: [email protected]
Referente Privacy: [email protected]
DPO (Data Protection Officer): non nominato (trattamenti non rientranti nelle ipotesi di cui all'art. 37 GDPR). In caso di evoluzione del servizio sarà valutata la nomina di DPO; comunicazione tempestiva agli utenti.
2. Tipologie di dati raccolti
2.1 Dati forniti volontariamente dall'Utente
| Categoria | Esempi | Quando |
|---|---|---|
| Identificativi | username, email, display name | Registrazione |
| Profilo pubblico | bio, foto profilo, URL sito, social link | Onboarding e impostazioni |
| Credenziali | password (hashata con bcrypt) | Registrazione |
| OAuth | provider (GitHub/Google), provider_user_id, access token cifrato | Login OAuth |
| Contenuti | articoli, scraps, snippet, commenti, immagini caricate | Pubblicazione |
| Dati di pagamento | identificativi Stripe Connect, P.IVA, dati fiscali | Onboarding tip e Publications |
| Comunicazioni | email inviate a supporto, segnalazioni | Interazioni con il Gestore |
2.2 Dati raccolti automaticamente
| Categoria | Esempi | Quando |
|---|---|---|
| Tecnici di navigazione | indirizzo IP, user agent, lingua browser, timezone | Ogni visita |
| Log applicativi | richieste HTTP, errori, audit log | Continuo (12 mesi) |
| Analytics aggregata | pageview, referrer, durata sessione (Plausible, no cookie persistenti) | Ogni visita |
| Cookie | dettaglio in Cookie Policy /legal/cookie |
Vedi Cookie Policy |
| Anti-spam | hash contenuti, segnali Akismet | Pubblicazione contenuti |
2.3 Dati ricevuti da terzi
| Fonte | Dati | Base |
|---|---|---|
| GitHub OAuth | username, email, nome, avatar URL | Consenso utente OAuth |
| Google OAuth | email, nome, avatar URL | Consenso utente OAuth |
| Stripe | esito KYC, capability payouts, eventi pagamento | Necessario per il contratto |
| Brevo | bounce, click, open campagne | Esecuzione contratto + interesse legittimo |
2.4 Categorie particolari di dati
deev.it non richiede e non tratta volontariamente categorie particolari di dati (art. 9 GDPR: razza, religione, opinioni politiche, salute, vita sessuale, dati biometrici). Qualora l'Utente pubblichi tali dati nei propri Contenuti, ciò avviene su sua iniziativa e responsabilità; il Gestore agisce come hosting provider neutro.
2.5 Dati di minori
L'iscrizione è riservata a soggetti che hanno compiuto il 16° anno di età. In caso di sospetta iscrizione di minore di 16 anni, l'account viene immediatamente sospeso e i dati cancellati su segnalazione del genitore/tutore a [email protected].
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (art. 6 GDPR) | Conservazione |
|---|---|---|
| Creazione e gestione account | Esecuzione del contratto (art. 6.1.b) | Per durata account + 30gg post-cancellazione |
| Erogazione del Servizio (pubblicazione contenuti, feed, ricerca, social) | Esecuzione del contratto (art. 6.1.b) | Per durata account |
| Email transazionali (verifica email, notifiche) | Esecuzione del contratto (art. 6.1.b) | 12 mesi |
| Newsletter weekly | Consenso (art. 6.1.a) — opt-in esplicito | Fino a revoca consenso |
| Email digest giornaliero | Consenso (art. 6.1.a) — opt-in di default ma sempre revocabile | Fino a revoca |
| Pagamenti tip e Publications | Esecuzione del contratto + obbligo di legge fiscale (art. 6.1.b e 6.1.c) | 10 anni (art. 2220 c.c.) |
| Antispam e moderazione | Interesse legittimo del Gestore (art. 6.1.f) — sicurezza piattaforma | 12 mesi |
| Analytics aggregata non identificativa | Interesse legittimo (art. 6.1.f) | 24 mesi |
| Sicurezza, logging, audit | Interesse legittimo + obbligo di legge | 12 mesi (log) / 10 anni (audit fiscale) |
| Difesa in giudizio | Interesse legittimo (art. 6.1.f) | Fino a scadenza termini prescrizione |
| Adempimento obblighi di legge | Obbligo legale (art. 6.1.c) | Come previsto dalla legge |
4. Conferimento dei dati
Il conferimento dei dati indicati al punto 2.1 (categoria identificativi, credenziali, contenuti) è necessario per la creazione dell'account e l'utilizzo del Servizio. Il rifiuto comporta l'impossibilità di registrarsi.
Il conferimento di dati per OAuth è alternativo al login email/password.
Il conferimento di dati di pagamento è necessario solo per Utenti che vogliono ricevere tip o sottoscrivere/gestire Publications.
Il conferimento del consenso per newsletter, digest e marketing è facoltativo e revocabile in qualsiasi momento.
5. Modalità del trattamento
5.1 I dati sono trattati con strumenti elettronici e in conformità ai principi di liceità, correttezza, trasparenza, minimizzazione e limitazione delle finalità (art. 5 GDPR).
5.2 Misure di sicurezza adottate includono (non esaustivo):
- crittografia in transito (TLS 1.2+) per tutte le comunicazioni;
- crittografia at-rest dei token OAuth e dati sensibili;
- hash password con bcrypt (cost factor adeguato);
- backup giornalieri cifrati con retention 14 giorni;
- controllo accessi basato su ruoli (RBAC); admin con audit log;
- monitoraggio anomalie e alerting;
- firewall + WAF Cloudflare;
- rate limiting per prevenire abuse e brute force;
- patch management e aggiornamenti regolari;
- pseudonimizzazione e anonimizzazione ove possibile;
- DPIA (valutazione d'impatto) eseguita per trattamenti ad alto rischio se identificati.
5.3 I dati personali non sono soggetti a processi decisionali automatizzati che producano effetti giuridici significativi sull'Utente. Le decisioni di moderazione automatica (es. Akismet, rate limit) sono rivedibili manualmente su richiesta scrivendo a [email protected].
6. Destinatari dei dati — sub-processor
I dati possono essere comunicati a sub-processor accuratamente selezionati per finalità tecniche di erogazione del servizio:
| Sub-processor | Funzione | Sede | Garanzie trasferimento |
|---|---|---|---|
| Sendinblue SAS (Brevo) | Email transazionali + newsletter | Francia (UE) | UE — nessun trasferimento extra-UE necessario |
| Stripe Payments Europe Ltd | Pagamenti tip + Publications | Irlanda (UE) | UE; con eventuale trasferimento a Stripe Inc (USA) sotto SCC + Data Processing Addendum approvato |
| Cloudflare Inc | CDN, WAF, DDoS protection | USA con PoP UE | SCC + DPA Cloudflare; certificazione DPF |
| GitHub Inc | OAuth + sync repository (solo opt-in) | USA | SCC + DPA GitHub; certificazione DPF |
| Google LLC | OAuth (solo opt-in) | USA | SCC + certificazione DPF |
| Plausible Analytics | Web analytics aggregata | UE (self-hosted o EU SaaS) | UE |
| Automattic Inc (Akismet) | Anti-spam | USA | SCC + DPA Automattic |
| Aruba / Fatture in Cloud (TeamSystem) | SDI fattura elettronica | IT | IT |
| Provider hosting <<HOSTING_PROVIDER>> | Server fisico | IT | IT |
Lista aggiornata pubblicata in /legal/sub-processors. deev.it valuta sub-processor sulla base di adeguatezza garanzie GDPR (art. 28).
I dati non sono diffusi pubblicamente salvo i Contenuti pubblicati con status "published" o "unlisted" su esplicita volontà dell'Utente.
7. Trasferimento dati extra-UE
Alcuni sub-processor (Cloudflare, GitHub, Google, Akismet) hanno sede negli Stati Uniti. Per tali trasferimenti il Titolare adotta:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE 2021/914;
- valutazione caso per caso del livello di protezione del paese terzo;
- ove disponibile, adesione del sub-processor al Data Privacy Framework UE-USA (Decisione di adeguatezza 10/07/2023).
L'Utente può richiedere copia delle garanzie scrivendo a [email protected].
8. Periodo di conservazione
Vedi tabella punto 3. In generale, ogni categoria di dati è conservata per il tempo strettamente necessario alle finalità per cui è stata raccolta. Termini specifici:
- Account attivo: per durata.
- Account cancellato dall'Utente: anonimizzazione entro 30 giorni; cancellazione completa entro 90 giorni salvo obblighi di legge.
- Backup tecnici: rotazione max 14 giorni; cancellati con backup successivi.
- Dati fiscali (fatture, ricevute, registri): 10 anni (art. 2220 c.c.).
- Log di sicurezza: 12 mesi.
- Contenziosi: per durata del contenzioso + termini prescrizione.
9. Diritti dell'Utente (artt. 15-22 GDPR)
L'Utente può esercitare in qualsiasi momento i seguenti diritti scrivendo a [email protected]:
| Diritto | Descrizione |
|---|---|
| Accesso (art. 15) | Ottenere conferma del trattamento e copia dei dati |
| Rettifica (art. 16) | Correggere dati inesatti o integrare dati incompleti |
| Cancellazione (art. 17, "diritto all'oblio") | Cancellazione dei dati nei casi previsti |
| Limitazione (art. 18) | Limitare temporaneamente il trattamento in casi specifici |
| Portabilità (art. 20) | Ricevere i dati in formato strutturato (JSON), trasferirli ad altro titolare. Disponibile export self-service dalla dashboard |
| Opposizione (art. 21) | Opporsi al trattamento basato su interesse legittimo |
| Revoca consenso (art. 7.3) | Revocare consenso in qualsiasi momento per trattamenti su base consensuale (newsletter, digest), senza pregiudizio per liceità trattamento precedente |
| Non sottoposizione a decisioni automatizzate (art. 22) | Richiedere intervento umano per moderazione automatica |
Il Titolare risponde alle richieste entro 30 giorni, prorogabili di ulteriori 2 mesi per richieste complesse (art. 12.3 GDPR), con comunicazione motivata all'Utente.
Reclamo all'Autorità di controllo: in caso di violazione dei propri diritti, l'Utente può presentare reclamo al Garante per la protezione dei dati personali (https://www.garanteprivacy.it) o all'Autorità di controllo dello Stato membro UE di residenza/lavoro.
10. Cookie
L'uso dei cookie è disciplinato dalla Cookie Policy disponibile in /legal/cookie.
11. Modifiche all'Informativa
11.1 deev.it può aggiornare la presente Informativa per riflettere evoluzioni normative, di servizio o di sub-processor.
11.2 Le modifiche sostanziali saranno comunicate via email all'Utente con preavviso ragionevole.
11.3 La data di ultimo aggiornamento è sempre indicata in alto. Versioni precedenti sono archiviate in /legal/archive.
12. Trasparenza algoritmica
deev.it utilizza algoritmi per:
- Feed trending: ordinamento basato su engagement (likes, commenti, visualizzazioni) e recency, senza profilazione individuale dell'Utente Lettore.
- Anti-spam (Akismet): classificazione automatica di contenuti come spam. L'Utente può richiedere revisione manuale a [email protected].
- Rate limit dinamico (reputation/karma): limiti automatici basati su comportamento aggregato dell'Autore. Trasparente nei tier
newcomer/contributor/regular/trusted/veterandocumentati in/legal/code-of-conduct.
Nessuna decisione automatizzata significativa (ban account, eliminazione contenuti) viene eseguita senza supervisione umana ex post.
13. Contatti
Per qualsiasi domanda sulla presente Informativa o esercizio diritti:
Email privacy: [email protected] Indirizzo postale: <<RAGIONE_SOCIALE>>, <<SEDE_LEGALE>> Garante Privacy: https://www.garanteprivacy.it — Piazza Venezia 11, 00187 Roma
Termini di servizio: /legal/termini
Cookie policy: /legal/cookie
Sub-processor list aggiornata: /legal/sub-processors