Privacy Policy
Ultimo aggiornamento: [DA COMPILARE] · Versione 1.0
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") agli utenti che visitano il sito italiapvr.it (di seguito, il "Sito") e/o compilano il modulo di contatto per ricevere informazioni sull'affiliazione come Punto Vendita Ricariche.
Per il dettaglio sugli strumenti di tracciamento (cookie, sessionStorage, localStorage) si rimanda alla Cookie Policy.
1. Titolare del trattamento
Titolare del trattamento ai sensi dell'art. 4 c. 7 GDPR è:
- Ragione sociale: [DA COMPILARE]
- Forma giuridica: [DA COMPILARE]
- P.IVA / C.F.: [DA COMPILARE]
- Sede legale: [DA COMPILARE]
- Email per richieste privacy: [DA COMPILARE]
- PEC: [DA COMPILARE]
1.1 Responsabile della protezione dei dati (DPO)
[DA COMPILARE — selezionare ALTERNATIVA A se nominato un DPO ai sensi dell'art. 37 GDPR, indicando il recapito email; oppure ALTERNATIVA B se non nominato non rientrando nei casi di obbligo previsti dall'art. 37 GDPR, con rinvio al recapito del Titolare].
2. Tipologie di dati trattati
A seconda dell'attività compiuta dall'utente, il Sito tratta le seguenti categorie di dati personali.
2.1 Dati conferiti volontariamente tramite il modulo di contatto
Quando l'utente compila il modulo di contatto disponibile nella home page o nella pagina /contatti, vengono trattati:
- nome e cognome;
- indirizzo email;
- numero di telefono (modulo home page);
- tipo di attività commerciale (es. bar, tabaccheria, edicola — modulo home page);
- città;
- eventuale messaggio libero (modulo
/contatti); - conferma del consenso al trattamento (flag
consenso_privacy).
In aggiunta, solo se l'utente ha prestato il consenso al cookie banner per la categoria "Marketing & Attribution", al momento dell'invio del modulo vengono allegati anche:
- parametri di campagna pubblicitaria (
utm_source,utm_medium,utm_campaign,utm_term,utm_content); - sito di provenienza (referrer), se diverso da italiapvr.it;
- pagina di atterraggio (la prima pagina del Sito visitata in quella sessione);
- timestamp della prima visita nella sessione.
Tali informazioni servono al Titolare per capire quali canali di marketing generano contatti qualificati. Non viene costruito alcun profilo individuale permanente: i dati sono allegati al singolo lead e conservati con esso.
2.2 Dati di navigazione (statistiche aggregate di prima parte)
Il Sito raccoglie, in modo aggregato e senza memorizzare l'indirizzo IP:
- pagina visitata;
- sito di provenienza (solo se diverso da italiapvr.it);
- tipo di dispositivo (desktop / mobile / tablet);
- tipo di browser;
- paese, rilevato dal CDN tramite header
x-vercel-ip-countryocf-ipcountry.
Il Sito non utilizza Google Analytics, né Meta Pixel, né LinkedIn Insight Tag, né altre piattaforme analytics di terze parti.
Le statistiche sono cookie-less: il browser genera un identificatore casuale di sessione (ipvr_sid) salvato in sessionStorage e cancellato alla chiusura della scheda. Non è collegato ad altri identificatori. Il Sito rispetta il segnale Do Not Track del browser: quando attivo, nessuna statistica viene generata.
2.3 Dati di sicurezza (rate-limiting e log applicativi)
Per prevenire abusi del modulo di contatto e tentativi di accesso non autorizzati al pannello amministrativo, il Sito memorizza temporaneamente l'indirizzo IP del visitatore come chiave del meccanismo di rate-limiting (max 3 invii del modulo all'ora, max 5 tentativi di login ogni 15 minuti). Il dato è conservato per la sola durata della finestra di rate-limit (massimo 1 ora) e poi cancellato automaticamente.
I log applicativi della piattaforma di hosting possono contenere temporaneamente l'IP dell'utente e l'user agent per finalità di diagnosi tecnica e sicurezza informatica.
2.4 Dati di autenticazione (back-office)
L'accesso al pannello amministrativo (/admin/*) richiede l'autenticazione con una password riservata al personale interno del Titolare. Non è prevista alcuna registrazione o autenticazione per gli utenti finali del Sito.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Conferimento |
|---|---|---|
| Riscontrare la richiesta di informazioni sull'affiliazione come Punto Vendita Ricariche | Art. 6 c. 1 lett. b GDPR — misure precontrattuali | Necessario. Il rifiuto rende impossibile il contatto. |
| Misurare l'efficacia delle campagne pubblicitarie (attribution marketing) | Art. 6 c. 1 lett. a GDPR — consenso (cookie banner) | Facoltativo. Il rifiuto non riduce il servizio. |
| Statistiche aggregate di navigazione | Art. 6 c. 1 lett. f GDPR — interesse legittimo | Implicito. Opt-out via segnale DNT. |
| Sicurezza del Sito (rate-limiting, log) | Art. 6 c. 1 lett. f GDPR + art. 32 GDPR | Necessario per la sicurezza del servizio. |
| Autenticazione del personale al back-office | Art. 6 c. 1 lett. f GDPR + art. 32 GDPR | Riservato al personale autorizzato. |
Il Sito non tratta categorie particolari di dati personali ai sensi dell'art. 9 GDPR. Si invita l'utente a non includere tali informazioni nel campo "messaggio" del modulo di contatto.
Il Sito non è rivolto a minori di 18 anni. L'attività promossa (Punto Vendita Ricariche autorizzato ADM) è destinata esclusivamente a titolari di attività commerciali maggiorenni.
4. Destinatari dei dati (responsabili del trattamento)
I dati personali sono trattati dal Titolare e dai suoi incaricati interni autorizzati. Per finalità tecniche, il Titolare si avvale dei seguenti responsabili esterni del trattamento (art. 28 GDPR):
| Fornitore | Servizio | Sede | Garanzie |
|---|---|---|---|
| Supabase Inc. | Database PostgreSQL e Storage immagini | Unione Europea | Sub-responsabile UE, nessun trasferimento extra-SEE per i dati DB |
| Vercel Inc. | Hosting, funzioni server-side, CDN | USA | EU-US Data Privacy Framework + Standard Contractual Clauses |
| [Solo se attivato] Resend Inc. | Invio notifiche email al team del Titolare | USA | EU-US Data Privacy Framework + SCC |
I dati non vengono ceduti a terzi a fini commerciali, non vengono venduti, non vengono condivisi con operatori di marketing esterni. Possono essere comunicati ad autorità pubbliche su richiesta motivata e in adempimento di obblighi di legge.
5. Trasferimenti extra-SEE
I dati trattati tramite il modulo di contatto risiedono fisicamente in server collocati nell'Unione Europea (Supabase, regione EU).
Trasferimenti verso paesi al di fuori dello SEE possono avvenire in via incidentale per:
- Esecuzione delle funzioni server-side e routing CDN tramite Vercel Inc. (USA): coperto da EU-US Data Privacy Framework e da Standard Contractual Clauses ex art. 46 GDPR.
- [Solo se attivato] Invio delle notifiche email tramite Resend Inc. (USA): coperto da EU-US Data Privacy Framework.
- Visualizzazione di mappe tramite OpenStreetMap Foundation (Regno Unito): paese coperto da decisione di adeguatezza UE.
Copia delle garanzie applicate è disponibile su richiesta scritta al Titolare.
6. Periodo di conservazione
| Dato | Conservazione |
|---|---|
| Dati del modulo di contatto (lead) | 24 mesi dall'ultimo contatto, salvo evoluzione in rapporto contrattuale |
| Note interne sul lead (CRM) | Stessa durata del lead a cui si riferiscono |
| Statistiche aggregate di navigazione | 14 mesi |
| Dati di rate-limiting (IP transitorio) | Durata della finestra di rate-limit (max 1 ora) |
| Log applicativi piattaforma di hosting | Default Vercel |
| Registro dei consensi al cookie banner | 24 mesi dalla revoca o dall'ultimo aggiornamento |
| Credenziali back-office | Durata del rapporto con l'operatore autorizzato |
7. Diritti dell'interessato (artt. 15-22 GDPR)
L'utente ha il diritto, in qualsiasi momento, di:
- accedere ai propri dati personali (art. 15) e ottenerne copia;
- ottenere la rettifica dei dati inesatti o incompleti (art. 16);
- ottenere la cancellazione dei dati ("diritto all'oblio", art. 17);
- ottenere la limitazione del trattamento (art. 18);
- opporsi al trattamento basato su interesse legittimo (art. 21);
- ricevere i propri dati in formato strutturato (portabilità, art. 20);
- revocare il consenso prestato in qualunque momento (art. 7 c. 3);
- non essere sottoposto a decisioni automatizzate (art. 22).
Per esercitare tali diritti è sufficiente inviare una richiesta all'indirizzo email [DA COMPILARE]. La risposta verrà fornita entro un mese (art. 12 c. 3 GDPR), salvo proroga motivata.
7.1 Decisioni automatizzate
Il Sito non effettua processi decisionali interamente automatizzati ai sensi dell'art. 22 GDPR. I lead acquisiti tramite modulo vengono assegnati a uno score interno (calcolo numerico basato su completezza dei dati conferiti e tipologia di attività dichiarata) al solo fine di priorità di richiamo da parte degli operatori. Tale punteggio non produce effetti giuridici sull'interessato: la valutazione finale resta sempre umana.
8. Diritto di reclamo al Garante
Ai sensi dell'art. 77 GDPR, l'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del Regolamento può proporre reclamo al Garante per la protezione dei dati personali:
- Sito web: www.garanteprivacy.it
- Indirizzo: Piazza Venezia 11, 00187 Roma
- Centralino: (+39) 06.696771
- Modulo online: garanteprivacy.it/modulistica-e-servizi-online
9. Natura del conferimento
Il conferimento dei dati contrassegnati come obbligatori nel modulo di contatto (nome, email, telefono, città, accettazione della privacy policy) è necessario per dare seguito alla richiesta dell'utente; il rifiuto rende impossibile per il Titolare ricontattare l'utente.
Il conferimento dei dati di marketing attribution è facoltativo e subordinato al consenso prestato sul cookie banner.
Il conferimento di dati di navigazione aggregati è implicito nella navigazione del Sito e può essere disattivato dall'utente tramite il segnale Do Not Track del proprio browser.
10. Sicurezza del trattamento
Il Titolare adotta misure tecniche e organizzative adeguate (art. 32 GDPR), tra cui:
- connessioni cifrate HTTPS con HSTS preload;
- Content Security Policy stringente;
- protezione contro XSS tramite sanitizzazione degli input;
- rate-limiting persistente su modulo di contatto e accesso al back-office;
- autenticazione del back-office tramite cookie
HttpOnly; SameSite=Strictcon scadenza 24 ore; - separazione dei privilegi tra client pubblico (Row Level Security) e funzioni server-side;
- accesso al database riservato al Titolare e ai responsabili nominati;
- backup automatici a cura del fornitore database (Supabase).
11. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente Privacy Policy in qualunque momento, dandone evidenza in questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali (nuovi trattamenti, nuove finalità, nuovi fornitori) l'utente sarà informato in modo adeguato.
Data ultimo aggiornamento: [DA COMPILARE] · Versione documento: 1.0