COME USO I TUOI DATI

Gestire in modo che sia sia efficace, sia leggibile una Privacy Policy non è un compito semplice, e richiede un sacco di attenzioni e di continue integrazioni. Per darvi un esempio, questo documento è stato modificato l’ultima volta il 1 Agosto 2022 ed ha richiesto al momento della scrittura - il numero è incrementato ad ogni modifica - 39,5 ore di lavoro tra test, reperimento delle informazioni, stesura, verifica ed aggiornamento.

Ho deciso di scrivere la Policy non appoggiandomi a servizi “punta e clicca”, ma andando a parlare in modo esplicito con te che leggi, esponendoti nel modo più chiaro che conosco (e nei limiti del possibile più conciso) non solamente che dati tratto, ma in che modo, per quali motivazioni, su che piattaforme, con quali servizi e per ciascuno di questi punti dandoti visibilità delle motivazioni - continuo a rimanere NERD - e delle eventuali problematiche insite in ciascun passaggio/servizio.

Il documento è strutturato in quattro grandi macro-sezioni:

• PARTE 1 - I Dati » quali sono, perché li tratto, dove, in che modo, con quale base giuridica;

• PARTE 2 - La Struttura » come sono architettate tutte le mie properties, con quali logiche, per fare cosa, ed i dettagli delle singole parti;

• PARTE 3 - I Servizi » per ciascuno servizio utilizzato cerco di spiegare perché l’ho scelto, cosa fa, che dati tratta, su quali basi legali, dove, come fare ad interagire con il singolo dato;

• PARTE 4 - I Diritti » quali sono i tuoi diritti e come esercitarli nel modo migliore.

Come vedrai è un sacco di materiale, spero il più chiaro possibile, ma se ti perdi in qualunque posizione del documento, se pensi che non sia sufficiente, se vuoi altri dettagli o una mano, puoi sempre scrivermi a [email protected]. Come scrivo sotto potrei metterci un po’, ma entro una decina di giorni (e comunque entro il termine dei 30), normalmente se non sono in ferie rispondo…

Spero apprezzerai la chiarezza e l’impegno :) E se sei NERD come me, il contenuto di questa Policy è rilasciato in licenza CC-BY-NC 4.0, e puoi trovare i sorgenti qui.

Aggiornamenti

• Versione Iniziale: 20220801

• Revisione GV e VV: 20220802

• Fix di Typo e dei suggerimenti arrivati: 20220807

TORNA ALL'INDICE

Titolare e Motivazioni

I differenti siti che vedrete elencati alla sezione Siti Web che tratto in PARTE 2 - La Struttura sono tutti legati alla mia persona, non alle mie Aziende, Associazioni o attività professionale. Da imprenditore e docente è possibile che mi si conosca attraverso uno dei corsi, delle aziende, delle associazioni, ma in questi casi stiamo parlando semplicemente dei siti che parlano di Matteo come Persona. Da anni - nel bene e nel male - sono un “internet personality”, anche in virtù della grande attività di divulgazione, e i siti in questo piccolo ecosistema si riferiscono tutti a “Matteo” e non alle mie altre cariche: lo vedete abbastanza chiaramente dal fatto che ogni volta che mi riferisco ad una particolare realtà linko direttamente al sito della stessa, così che possiate avere una precisa distinzione tra “me” e “loro”.

Ciò detto, il Titolare di questi trattamenti è una persona fisica - incidentalmente io che scrivo - e cioè Matteo G.P. Flora, al fine degli scopi di questa Privacy Policy con domicilio elettivo in Via Vitruvio, 1 , 20124 Milano.

L’indirizzo mail a cui potete fare riferimento è [email protected].

Trattamenti e “Considerando 18”

La diatriba su cosa possa o non possa fare un privato nel trattamento dei dati personali è ancora una tematica piuttosto dibattuta dal GDPR. La base delle varie interpretazioni è legata principalmente all’art.2.C del regolamento europeo, che prevede che la regolamentazione non si applichi ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (house hold exclusion provision)“. A complicare le acque è intervenuta per due volte la Corte di Giustizia europea (caso C-101/01 e poi caso C-212/13),”chiarendo” che il trattamento di dati personali sul web non può rientrare nell’eccezione delle attività per uso personale e familiare. L’eccezione, in conclusione, deve interpretarsi nel senso che rientrano in essa solo le attività della vita privata o familiare dei singoli, con esclusione della pubblicazione online che, invece, rende accessibili i dati ad un numero indefinito di persone. Una soluzione che non è una soluzione nel mio caso, dove non è prevista alcuna pubblicazione online di tali dati.

In realtà il considerando 18 prevede che il regolamento europeo “non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”. In tal modo si è ampliata l’eccezione rispetto al passato e uno degli esempi portati dal Garante Europeo è a questo proposito estremamente esplicativo: “Un turista registra video sia con il suo cellulare che con una videocamera per documentare le sue vacanze. Mostra i filmati ad amici e familiari, ma non li rende accessibile a un numero indefinito di persone. Ciò rientra nell'esenzione per uso domestico”.
Detto questo, il tema è ampiamente dibattuto, ma sono abbastanza tranquillo che a nessuno degli utilizzi di dati che faccio si applichi alcuna delle previsioni del GDPR.

Perché allora questo documento?

Principalmente per tre motivi:

• trasparenza » preferisco essere più trasparente che meno nelle cose che mi riguardano;

• eccesso di zelo » preferisco fare le cose un po’ meglio del necessario;

• ottimo inquadramento di base » seguire le pratiche comunque rende più semplice operare in modo sano sui dati stessi.

Quindi nel prosieguo di questo documento troverete tutte le informazioni che di base dovreste trovare in una Privacy Policy scritta bene - in realtà, come vedrete, MOLTE DI PIÙ di quanto normalmente viene fatto - per essere un po’ più tranquilli nell’interagire con tutte le mie properties web.

Tipologie di Dati raccolti

Fra i Dati Personali raccolti da questo Sito Web, in modo autonomo o tramite terze parti, ci sono:

• Dati aggregati di utilizzo;

• Indirizzi e-mail (ed eventualmente nome e cognome, ma sono facoltativi) se dati spontaneamente per Corsi e Newsletter;

• Identificatori univoci di dispositivi (Dati di Navigazione) trattati in modo aggregato per le statistiche da me o trattati da terze parti secondo le loro Privacy Policies;

• Indirizzi IP e Dati di Navigazione custoditi da parti terze senza mio intervento ( e normalmente senza mia possibilità di intervento).

Saltuariamente potrebbe essere attiva anche la raccolta di:

• Identificatori univoci di dispositivi per la pubblicità (c’è un paragrafo apposito, tranquilli);

I dettagli completi sono spiegati più avanti in questa Privacy Policy o, quando non custoditi da me perché non ne ho accesso, mediante specifici testi informativi che cercherò di linkare per ciascun servizio.

I Dati Personali con cui vengo a contatto principalmente quelli legati ai Dati di Utilizzo, normalmente parte del processo di navigazione (che come vedremo ho avuto cura di minimizzare), oltre a quelli invece spontaneamente dati in occasione di particolari registrazioni (come ad esempio alla Newsletter). I Dati collezionati dai vari siti web sono “obbligatori” nel senso che non ho modo di impedire nelle normali funzioni di navigazione che vengano raccolti, ma possono essere salvaguardati come meglio credete, ad esempio mediante l’utilizzo di una VPN o di Tor: ho posto la massima cura nel verificare - al massimo delle mie capacità - che tutto funzioni comunque senza che ciò abbia alcuna conseguenza sulla disponibilità del Servizio o sulla sua operatività.

Ho anche posto particolare attenzione nel NON utilizzare alcun Cookie in nessuno dei vari Siti che gestisco, e di configurare i servizi esterni perché non li richiedano ove possibile se non per mero utilizzo tecnico. C’è una sola eccezione “cosmetica” di un Cookie Tecnico per evitare che appaia costantemente il pop-up di registrazione, ma anche in quel caso qualora blocchiate il cookie la cosa peggiore che può succedere è semplicemente che vi appaia ad ogni pagina la noiosa interfaccia.

Modalità di trattamento

Nei vari siti si cerca di adottare - al limite delle mie capacità - le opportune misure di sicurezza che servono ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali. Cose come aggiornamento del software ed utilizzo pervasivo (quasi maniacale) di meccanismi come l’autenticazione multifattore. Il trattamento dei dati oltre la mera memorizzazione è effettuato con strumenti informatici nel limite delle manovre strettamente necessarie al trattamento che serve (ad esempio: “invia una nuova newsletter su questo tema specifico”). Gestisco le mie properties personalmente, male che vada oltre a me, in alcuni casi, potrebbero avere accesso ai Dati altri soggetti coinvolti nell’organizzazione dei siti web (amministrazione e assistenti o legali). Ovviamente agli stessi dati hanno obbligatoriamente accesso quei soggetti esterni (come fornitori di servizi tecnici terzi, corrieri postali, hosting provider…) che gestiscono il servizio stesso e che non posso in alcun modo escludere. Dove l’accesso è necessario in modo continuativo, queste persone ricevono un corrispondente della nomina a Responsabili del Trattamento da parte mia. Esiste ed è disponibile, dovesse servirvi, un elenco di tali simil-Responsabili e nel caso è disponibile su richiesta.

Basi giuridiche del trattamento

Questa è la parte più complessa, vedo di renderla il più semplice possibile ma temo sopravviveranno alcune frasi in “legalese”… Di base, tratto i vostri Dati Personali in caso sussistano una o più una delle seguenti condizioni:

• Consenso Prestato » partiamo alla più semplice delle ipotesi: tratto i vostri dati quando mi date un consenso per una o più finalità specifiche. Se vi iscrivete alla newsletter per ricevere il corso e la newsletter tratto i vostri dati perché mi avete detto di trattarli. Non iscrivo ad esempio “automaticamente” a nessun servizio o newsletter, quindi tutte le operazioni che vedete sono “opt-in”;

• Trattamento Necessario per Esecuzione di un CONTRATTO » tratti i vostri dati anche quando il trattamento è necessario all’esecuzione di un “contratto” con l’Utente, in senso lato: ad esempio tratto la vostra mail se me la mandate e devo rispondere, oppure tratto il vostro indirizzo IP perché serve al Web Server per spedirvi una risposta etc…;

• Trattamento Necessario per LEGGE o TUTELA » alle volte il trattamento è necessario per adempiere un obbligo legale al quale sono soggetto, il più delle volte, come ad esempio per i Log, mi serve capire da dove partono tentativi di attacco o cosa non ha funzionato quando accade qualche problema che mi segnalate;

• E il “legittimo interesse” » poi c’è quello “strano animale” del Legittimo Interesse, che invece va approfondito. Il GDPR non contiene un elenco tassativo dei casi di “legittimo interesse”, ma il Considerando 47 esemplifica alcune ipotesi per definire i motivi legittimi per il trattamento, cioè “quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento”. Rientrano in questa sfera quindi tutta una serie di trattamenti, viene citato anche il marketing diretto. Sulla base di questo bilanciamento dei diritti con riferimento all’attività principale mi muovo quando ad esempio mando una newsletter che contiene nuovi volumi pubblicati o eventi, sulla scorta della assunzione che se mi seguite, siete interessati a quello che faccio. Può sembrare una cosa banale o scontata, ma non immaginate il numero di questioni con gli avvocati per questo punto…

La Legge vi consente comunque di chiedermi in qualunque momento di chiarire la concreta base giuridica di ciascun trattamento ed in particolare di specificare se il trattamento sia basato sulla legge, previsto da un contratto o necessario per concludere un contratto.

Luogo di Trattamento, politica sul Trasferimento dei Dati e Schrems II

I Dati sono trattati presso le mie sedi operative (leggasi: dove ho un portatile con me, non ci sono copie “fisiche” in qualche stanza…). Che significa Italia/EU. Se sono fuori Europa sono in vacanza, e l’ultima delle mie preoccupazioni è quella di trattare i dati. Tuttavia la rete è un animale complesso, e le traiettorie dei dati non sono sempre così lineari, soprattutto in un ecosistema complesso come quello dei vari siti. Se un servizio è erogato da un terzo significa che i dati possono “uscire” dalla EU, e in questo documento trovate un dettaglio quasi maniacale di questi Trasferimenti. Non solo perché è previsto dal GDPR, ma per implicazioni davvero ramificate legate al trasferimento in questo preciso momento storico.

Infatti la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata lo scorso 16 luglio (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield”, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”. Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. Se volete saperne di più, il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti.

Questo nella pratica ha fatto sì che in varie parti di Europa le singole Authority dei Dati Personali si siano espresse contro il trasferimento dei dati per servizi anche molto popolari, come ConvertKit e Google Analytics. Lo scenario è ancora molto complesso, perché pare che allo stato attuale la situazione sia talmente interconnessa che pare l’unica opzione percorribile sia il redigere dei nuovi Trattati Internazionali, con i tempi connessi (no, non brevissimi).

“Dura Lex, Sed Lex”, per quanto scomodo sia il doversi adattare è una necessità di legge, e quindi come in tutte le leggi ci si adatta e si diviene ottemperanti. Ma a questo punto serve una decisione: quale legge? Già, perché se esiste una autorità di armonizzazione centrale a livello Europeo (la EDPB citata prima), è anche vero che ciascun stato sta procedendo quasi a tentoni sulla scorta dei singoli reclami, e una linea guida precisa ancora non sembra visibile nell’immediato futuro.

Al che, serve una decisione: quale via seguire? E la risposta che mi sono dato è: segui il legislatore e l’autorità Italiana, ma preparati per quella Europea. Cosa significa nella pratica? Significa che via via che il Garante Italiano si pronuncerà sui vari servizi (o intere categorie di servizi), ma mia linea sarà di ottemperare in un tempo prestabilito, ma comunque sia nel frattempo mi sto attrezzando per sostituire/abolire/muovere quei servizi che anche ALTRE autorità Garanti hanno già notificato/sanzionato, predisponendo per ogni servizio esterno alla EU, o gestito da società con Sede Legale al di fuori della EU un “contingency plan” che mostri: quale altro servizio utilizzare, e i tempi di migrazione.

Un caso di esempio è quello che ha investito Google Analytics: a distanza di 14gg dalla adozione del Provvedimento del Garante che ne limita l’utilizzo, tutti i siti si sono spostati a Matomo, così da ottemperare ben prima dei 90gg che sono stati dati al singolo soggetto notificato dal Garante. La stessa cosa accadrà in occasione di qualunque pronuncia della Authority Nazionale.

Ho deciso di notificare e di esplicitare sia i servizi soggetti a piano, sia i piani di contingency direttamente nei dettagli dei Servizi che trovate più avanti.

Periodo di conservazione dei dati

I Dati sono trattati e conservati per il tempo richiesto dalle finalità per le quali sono stati raccolti. Che è una frase che significa poco e niente, quindi vediamo di esplicitarla un po’ meglio con tre differenti scenari:

• I Dati Personali raccolti per scopi precisi » (come ad esempio l’invio della newsletter), sono trattenuti sino a quando sia completata l’esecuzione di tale scopo (leggasi: finché non vi cancellate);

• I Dati Personali raccolti per finalità riconducibili all’interesse legittimo del Titolare » (come ad esempio quelli anonimizzati di navigazione e i log) sono trattenuti sino “al soddisfacimento di tale interesse”, che significa “finché devo fare cose necessarie”. Non preoccupatevi, più avanti specifico molto meglio la cosa e le politiche di conservazione dei singoli servizi;

• In ogni caso in cui il trattamento è basato sul consenso dell’Utente » li conservo sino a quando detto consenso non venga revocato (come ad esempio le mail che mi mandate). Fa salvo a questo quanto per obblighi di legge o per richiesta di una autorità potrei essere OBBLIGATO a conservare i Dati Personali per un periodo più lungo.

Ci sono un atto tutta una serie, come vedrete più avanti nei dettagli delle piattaforme, di sistemi automatici di cancellazione dei dati: periodi entro cui tale dato viene cancellato indipendentemente da un consenso. Per fare qualche esempio, ogni mese cancello gli indirizzi di e-mail e i dettagli anagrafici e di navigazione contenuti nelle newsletter per quegli utenti che non hanno aperto negli ultimi 12 mesi nessuna mail, e - ancora per esempio - i log dei siti web che gestisco sono programmati per essere cancellati automaticamente dopo 30 giorno. Se si arriva al termine del periodo di conservazione i Dati Personali sono cancellati e quindi arrivati a tale termine il diritto di accesso, cancellazione, rettificazione ed il diritto alla portabilità dei Dati non potranno più essere esercitati (perché i dati non esistono fisicamente più).

TORNA ALL'INDICE

Negli anni ho preferito mantenere, a seconda degli utilizzi, diversi “silos” di raccolta di contenuti, basati principalmente sullo scopo. Questo fa sì che ci sia una piccola galassia di siti attivi, ciascuno con una sua funzione specifica:

• MGPF.IT » È un dominio gestito da Amazon e ospitato in EU, che contiene il “vecchio” blog, che utilizzo ancora - meno di quanto vorrei - per pubblicare contenuti che preferisco custodire io invece che pubblicare su varie testate con cui collaboro. È la collezione di 4 lustri di contenuti pubblicati prima che i “social” e i “video” divenissero il canale prediletto. Questo sito utilizza i seguenti servizi (dettaglio nella prossima sezione):

  • Amazon AWS Cloud Platform

  • CloudFlare Site CDN

  • Matomo

  • Google Fonts

  • Convertkit Registration POPUP

  • Gravatar

  • YouTube Embed

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

• MATTEOFLORA.COM » È un dominio gestito da GitHub Pages. È una “bio” estesa, che contiene i puntatori più aggiornati a tutto quello che faccio, dalle aziende ai corsi universitari fino a “Ciao Internet” e alle associazioni. È il sito che si trova su Google cercando il mio nome e cognome.

  • GitHub Pages

  • CloudFlare Site CDN

  • Matomo

  • Google Fonts

  • Convertkit Registration POPUP

  • YouTube Embed

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

• IO.MATTEOFLORA.COM » È un sottodominio gestito da GitHub Pages. È una singola “mini-bio”, con un template mutuato da Linktr.ee, che serve come pagina di accesso usata sui Social quando è possibile mettere un solo indirizzo. È pensata per il mobile e da in un posto veloce tutte le risorse ed i puntatori che secondo me sono utili per conoscermi e seguirmi, in modo più diretto e meno approfondito del sito di Bio principale;

  • GitHub Pages

  • CloudFlare Site CDN

  • Matomo

  • Tailwind CSS

  • Google Fonts

  • Twitter Image CDN

  • CloudFlare Object CDN

  • YouTube Embed

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

• BRAIN.MATTEOFLORA.COM » È un sottodominio gestito da GitHub Pages. la selezione di pagine pubblicate da Obsidian, il mio “Personal Second Brain” in cui metto appunti, principalmente. Sono note che ho scritto ad uso personale e che aggiorno costantemente, non abbastanza “pulite” per essere pubblicate come articoli nel Blog. Oltre a questo sono link prevalentemente non pubblici, a cose che condivido con un ristretto numero di persone;

  • GitHub Pages

  • CloudFlare Site CDN

  • Matomo

  • Google Fonts

  • YouTube Embed

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

• LOGIN.LEREGOLE.IT » Si tratta della piattaforma di erogazione corsi che, prima o poi, consentirà l’accesso ai corsi a pagamento, ma che ora viene utilizzata per collezionare i corsi “free” che erogo. È gestita utilizzando la piattaforma di UTeach.

  • UTeach

  • Google Fonts

• PRIVACY.MATTEOFLORA.COM » Si tratta del sito che stai navigando e che contiene la Privacy Policy completa.

  • GitHub Pages

  • Google Fonts

Ci sono anche una serie di siti “di supporto”: sono siti che assolvono a funzioni particolari come il tracciamento dei link, l’ospitare le Landing Pages e gestire le statistiche.

• LANDING.MGPF.IT - ONFERENCE.IT - WEBINAR.MATTEOFLORA.COM - LANDING.MATTEOFLORA.COM » Una serie di sottodomini gestiti da ConvertKit in cui sono pubblicate le varie landing page per iscriversi al Corso in Futuro, alla Newsletter o che vengono create per scaricare le slide di qualche conferenza.

  • Convertkit Newsletter

  • Matomo

  • Google Fonts

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

• GATE.MGPF.IT » È un sottodominio gestito da una applicazione Heroku che assolve alla funzione di “tracker”: in altre parole, per sapere se alcuni contenuti che condivido piacciono o meno (e quali), i link - perlomeno alcuni - che propongo sui social sono modificati per passare “prima” qui e ottenere le statistiche.

  • CloudFlare Site CDN

  • Matomo

  • Google Fonts

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

• ANALYTICS.MGPF.IT » È un sottodominio gestito da DigitalOcean e ospitato in EU, che contiene la mia installazione personale di Matomo, il gestore di statistiche alternativo a Google Analytics che ho rimosso ovunque.

  • DigitalOcean EU Cloud Platform

  • CloudFlare Site CDN

  • Matomo

  • Google Fonts

  • (Durante le campagne potrebbe essere anche attivc): Meta Pixel

TORNA ALL'INDICE

I Dati Personali sono raccolti per le diverse finalità ed utilizzando un numero discretamente elevato di servizi. In realtà, come vedrete, non più di tanti altri siti web, con la differenza che ho deciso di elencarli davvero tutti e di spiegare per ciascuno di essi perché vengono utilizzati e come. Sono divisi in differenti categorie:

• Piattaforme di Hosting » sono gli “hosting” propriamente detti, che racchiudono alcuni dei contenuti nelle modalità più tradizionali, dove altre soluzioni come GitHub Pages non sono possibili. Tendo a non usare, non appena possibile, funzionalità di questo tipo, perché necessitano di continui aggiornamenti non solamente ai contenuti, ma anche e soprattutto agli applicativi sottostanti, lasciando una superficie di attacco potenzialmente più elevata e, soprattutto, necessitando di costante controllo per avere notifica (e poi riparare) le vulnerabilità che vengono ritrovate.

• Piattaforme di CDN di Rete e CDN Applicativo » sono i servizi di supporto all’hosting vero e proprio e, oltre che migliorare le performance (cosa sicuramente utile ma non strettamente indispensabile), aggiornano direttamente i contenuti qualora vengano rilevate problematiche di sicurezza e/o di compatibilità, innalzando in modo significativo il livello di sicurezza generale. Alcune di queste, come CloudFlare Site CDN, implementano anche servizi di sicurezza sofisticati, andando a prevenire attacchi sia basati su banda (DDOS), sia soprattutto applicativi con soluzioni di WAF (Web Application Firewall).

• Piattaforme di Newsletter Statistiche Contatto » servono a conoscere meglio quali contenuti sono più o meno apprezzati dagli utenti (e poter scrivere un piano editoriale che sia più gradevole), oltre che gestire le iscrizioni alla newsletter, l’erogazione dei corsi e a contattarvi per la comunicazione di nuove iniziative.

Piattaforme di Hosting

DigitalOcean EU Cloud Platform

DigitalOcean è un provider di servizi di VPS particolarmente “smart” nella gestione delle risorse, e consente particolari integrazioni che sono più complesse da gestire rispetto a hosting più strutturati come Amazon o Google. Il server prescelto per ospitare i contenuti è quello di Francoforte.

• Dati Trattati

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Impostazione di Log applicativi per risoluzione Problemi e per Sicurezza (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati sono accessibili per 30gg nei file di Log e vengono ruotati dopo questa data automaticamente;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Mi avvalgo di un server in EU (Francoforte)

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro Cloud Hosting non italiani, migrazione ad un servizio similare con sede legale in EU, entro 30gg dalla data della pronuncia.

• Privacy

  • Informazioni sulla Privacy Policy;

Amazon AWS Cloud Platform

Amazon è uno dei Leader mondiali di fornitura di servizi web e l’installazione attuale del blog è effettuata nella zona Europa, in particolare sul data-center di Milano. È uno dei provider di servizi Web con il massimo grado di sicurezza implementabile.

• Dati Trattati

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Impostazione di Log applicativi per risoluzione Problemi e per Sicurezza (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati sono accessibili per 30gg nei file di Log e vengono ruotati dopo questa data automaticamente;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Mi avvalgo di un server in EU (Milano)

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro Cloud Hosting non italiani, migrazione ad un servizio similare con sede legale in EU, entro 30gg dalla data della pronuncia.

• Privacy

  • Informazioni sulla Privacy Policy;

GitHub Pages

Github pages è una strana scelta per un servizio di Hosting, ma è legata principalmente alla pubblicazione di contenuti che sono disponibili contemporaneamente sia come codice sorgente, sia come presenza online. In questo caso l’interezza dei contenuti di questo sito sono completamente statici ed aggiornati tramite Git, e poi pubblicati direttamente dalla piattaforma. Questo non tanto per la comodità e velocità della implementazione, quanto per non offrire un ulteriore punto di attacco con un hosting dedicato, e lasciando invece l’interezza della gestione delle problematiche di pubblicazione, aggiornamento, sicurezza e protezione da attacchi a GitHub.

• Dati Trattati

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Più sicura integrazione con i sistemi di pubblicazione e tracking del codice (Legittimo Interesse)

  • Protezione dagli attacchi esterni fornita da una delle infrastrutture più sicure e sorvegliate al mondo (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare, trasferimento a normale hosting entro 30gg e implementazione della pubblicazione automatica partendo dal codice di Git e pubblicando sui singoli siti Web in EU entro 90gg dalla data della pronuncia.

• Privacy

  • Informazioni sulla Privacy Policy;

Piattaforme di CDN di Rete e CDN Applicativo

CloudFlare Site CDN

Utilizzo Cloudflare per distribuire i miei contenuti tramite dei server dislocati sul territorio e di ottimizzare le prestazioni, oltre che per integrare i servizi di sicurezza (Web Application Firewall) e di protezione (in particolar modo il servizio anti-DDOS) visti i ripetuti tentativi di attacco che una posizione in vista come la mia suole generare. È una barriera molto efficace per la gestione delle problematiche di sicurezza. Le modalità di integrazione di Cloudflare prevedono che questo si interponga in tutto il traffico di un sito web, ossia le comunicazioni fra questo Sito Web ed il browser dell’Utente, permettendo anche la raccolta di dati statistici su di esso.

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Protezione dagli attacchi esterni applicativi (Legittimo Interesse)

  • Protezione dagli attacchi esterni di natura di attacco distribuito (Legittimo Interesse)

  • Forzatura della connessione in SSL (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare, disabilitazione del servizio entro 30gg e sostituzione con servizio analogo in EU entro 90gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

Google Fonts

Questa è una CDN Applicativa, un meccanismo per cui alcuni script e contenuti vengono non serviti direttamente, ma affidati ad un sito terzo che provvede poi a ospitarli e a servirli più velocemente e in modo più semplice. Ma le problematiche per cui io utilizzo le CDN applicative sono un po’ differenti e hanno a che fare con la mera sicurezza: succede infatti non di rado che librerie di uso comune anche particolarmente diffuse siano analizzate e che all’interno si ritrovino vulnerabilità anche gravi, che inficiano il funzionamento generale e la sicurezza dei singoli siti web. Siccome l’aggiornamento delle librerie non è un’opzione semplice, specialmente quando si usano applicativi esterni che non gestisco personalmente, la soluzione trovata è di affidare a entità vicinissime agli autori non solo l’ospitare i contenuti, ma anche e soprattutto l’aggiornamento automatico. In questo caso specifico librerie/contenuti sono legati alle singole Font utilizzate sui Siti Web che tratto.

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di script e contenuti, con aggiornamento manuale ogni 60gg, entro 30gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

  • Modalità di accesso e cancellazione secondo Subject Access Request SAR (Art.15)

Tailwind CSS

Questa è una CDN Applicativa, un meccanismo per cui alcuni script e contenuti vengono non serviti direttamente, ma affidati ad un sito terzo che provvede poi a ospitarli e a servirli più velocemente e in modo più semplice. Ma le problematiche per cui io utilizzo le CDN applicative sono un po’ differenti e hanno a che fare con la mera sicurezza: succede infatti non di rado che librerie di uso comune anche particolarmente diffuse siano analizzate e che all’interno si ritrovino vulnerabilità anche gravi, che inficiano il funzionamento generale e la sicurezza dei singoli siti web. Siccome l’aggiornamento delle librerie non è un’opzione semplice, specialmente quando si usano applicativi esterni che non gestisco personalmente, la soluzione trovata è di affidare a entità vicinissime agli autori non solo l’ospitare i contenuti, ma anche e soprattutto l’aggiornamento automatico. In questo caso specifico librerie/contenuti sono legati al motore di Template di Tailwind Siti Web che tratto.

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Aggiornamento automatico degli Script in occasione di problematiche di sicurezza rilevate nelle versioni attuali (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di script e contenuti, con aggiornamento manuale ogni 60gg, entro 30gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

Twitter Image CDN

Questa è una CDN Applicativa, un meccanismo per cui alcuni script e contenuti vengono non serviti direttamente, ma affidati ad un sito terzo che provvede poi a ospitarli e a servirli più velocemente e in modo più semplice. Ma le problematiche per cui io utilizzo le CDN applicative sono un po’ differenti e hanno a che fare con la mera sicurezza: succede infatti non di rado che librerie di uso comune anche particolarmente diffuse siano analizzate e che all’interno si ritrovino vulnerabilità anche gravi, che inficiano il funzionamento generale e la sicurezza dei singoli siti web. Siccome l’aggiornamento delle librerie non è un’opzione semplice, specialmente quando si usano applicativi esterni che non gestisco personalmente, la soluzione trovata è di affidare a entità vicinissime agli autori non solo l’ospitare i contenuti, ma anche e soprattutto l’aggiornamento automatico. In questo caso specifico librerie/contenuti sono legati alle immagini prese da Twitter e utilizzate sui Siti Web che tratto.

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Aggiornamento automatico delle immagini sui vari siti (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di script e contenuti, con aggiornamento manuale ogni 60gg, entro 30gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

CloudFlare Object CDN

Questa è una CDN Applicativa, un meccanismo per cui alcuni script e contenuti vengono non serviti direttamente, ma affidati ad un sito terzo che provvede poi a ospitarli e a servirli più velocemente e in modo più semplice. Ma le problematiche per cui io utilizzo le CDN applicative sono un po’ differenti e hanno a che fare con la mera sicurezza: succede infatti non di rado che librerie di uso comune anche particolarmente diffuse siano analizzate e che all’interno si ritrovino vulnerabilità anche gravi, che inficiano il funzionamento generale e la sicurezza dei singoli siti web. Siccome l’aggiornamento delle librerie non è un’opzione semplice, specialmente quando si usano applicativi esterni che non gestisco personalmente, la soluzione trovata è di affidare a entità vicinissime agli autori non solo l’ospitare i contenuti, ma anche e soprattutto l’aggiornamento automatico. In questo caso specifico librerie/contenuti sono legati alle singole librerie più comuni, specialmente JQuery, utilizzate sui Siti Web che tratto.

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Aggiornamento automatico degli Script in occasione di problematiche di sicurezza rilevate nelle versioni attuali (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di script e contenuti, con aggiornamento manuale ogni 60gg, entro 30gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

YouTube Embed

Da Creator su YouTube buona parte dei contenuti che produco sono video, e sono ospitati sulla piattaforma di YouTube. Questo significa che spesso mi capita di proporli, oltre che come link, anche come “embed” sulle pagine, con tutti i relativi problemi di dati che vengono sottoposti a YouTube. I servizi automatici configurabili, come ad esempio le installazioni di Wordpress e gli altri Siti Web che tratto, prendono le misure possibili per o chiedere preventivamente consenso, oppure utilizzare la versione nocookie di YouTube. Se questo non dovesse più essere consentito, vi ritroverete un mero link invece che il video direttamente utilizzabile…

• Dati Trattati

  • USER-ID personali e non personali

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

  • Dati storici di navigazione

  • Eventuali dati degli account Google

• Finalità del Trattamento

  • Fornitura di un servizio - visione dei video nelle pagine (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare, sostituzione con un mero link, entro 60gg dalla data della pronuncia.

• Privacy

  • Informazioni sulla Privacy Policy

  • Modalità di accesso e cancellazione secondo Subject Access Request SAR (Art.15)

Gravatar

Gravatar è una brutta bestia, che mostra nelle installazioni di Wordpress una icona in corrispondenza dell’utente che sta scrivendo o commentando. Ho cercato di non usarlo mai, ma la completa eliminazione da Wordpress non è in questo momento ottenibile da nessuno se non da Wordpress stesso…

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Aggiornamento automatico delle immagini sui vari siti (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di script e contenuti, con aggiornamento manuale ogni 60gg, entro 30gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

FontAwesome

Questa è una CDN Applicativa, un meccanismo per cui alcuni script e contenuti vengono non serviti direttamente, ma affidati ad un sito terzo che provvede poi a ospitarli e a servirli più velocemente e in modo più semplice. Ma le problematiche per cui io utilizzo le CDN applicative sono un po’ differenti e hanno a che fare con la mera sicurezza: succede infatti non di rado che librerie di uso comune anche particolarmente diffuse siano analizzate e che all’interno si ritrovino vulnerabilità anche gravi, che inficiano il funzionamento generale e la sicurezza dei singoli siti web. Siccome l’aggiornamento delle librerie non è un’opzione semplice, specialmente quando si usano applicativi esterni che non gestisco personalmente, la soluzione trovata è di affidare a entità vicinissime agli autori non solo l’ospitare i contenuti, ma anche e soprattutto l’aggiornamento automatico. In questo caso specifico librerie/contenuti sono legati alle singole Font di “grafichine” e “simbolini” di FontAwesome utilizzate sui Siti Web che tratto.

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Aggiornamento automatico delle immagini sui vari siti (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di script e contenuti, con aggiornamento manuale ogni 60gg, entro 30gg dalla data della pronuncia.

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

• Privacy

  • Informazioni sulla Privacy Policy

Piattaforme di Newsletter, Statistiche, Contatto

Bit.ly

Bit.ly è un gestore di “shortening”: consente di trasformare un lungo link in un link più corto e facilmente condivisibile, oltre a dare informazioni statistiche sulla diffusione e l’accesso ad ogni link. Viene utilizzato per comprendere in modo aggregato ed anonimo quali contenuti sono di maggiore rilevanza nella mia Community, e sulla base delle analisi concentrarmi sugli argomenti di maggiore interesse, tralasciando quelli ovviamente non interessanti. Non esiste modo alternativo all’uso di un tracker per capire effettivamente quante persone visitano in link che propongo, soprattutto se il primo destinatario decide di riproporre il contenuto su una piattaforma differente (ad esempio inoltrando un mio tweet via mail o via whatsapp ad amici).

• Dati Trattati

  • Dati di Navigazione

• Finalità del Trattamento

  • Analisi statistica sui Link (Legittimo Interesse)

• Trasferimento Dati

  • È una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare installazione locale di uno script similare, con migrazione degli ultimi contenuti, entro 30gg dalla data della pronuncia.

• Conservazione e cancellazione

  • I dati mi sono accessibili in modo disaggregato per 30 gg;

  • Dopo questi 30gg i dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Privacy

  • Informazioni sulla Privacy Policy

  • Modalità di accesso e cancellazione secondo Subject Access Request SAR (Art.15)

Matomo

Matomo è il sistema di statistiche che ho deciso di utilizzare al posto di Google Analytics, ed è configurato per non utilizzare cookie e anonimizzare parte dell’Indirizzo IP.

• Dati Trattati

  • USER-ID non personale

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Miglioramento delle Performance (Legittimo Interesse)

  • Analisi statistica dell’accesso (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati sono accessibili fino a cancellazione;

  • Il sito ottempera i sistemi più comuni di opt-out;

  • È possibile chiedere la cancellazione fornendo User-ID;

  • È possibile chiedere la cancellazione fornendo indirizzo IP (non ho modo di isolare il SINGOLO utente, ma me ne frego e cancello su richiesta tutti gli indirizzi nell’intervallo della anonimizzazione);

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Mi avvalgo di un server in EU (Francoforte)

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro Cloud Hosting non italiani, migrazione ad un servizio similare con sede legale in EU, entro 30gg dalla data della pronuncia.

• Privacy

  • Modalità di accesso e cancellazione: richiesta ex Art.15 a [email protected]

Convertkit Registration POPUP

Per consentire una iscrizione più veloce alla mailing list, i Siti Web che tratto implementano uno script fornito direttamente da Convertkit Newsletter che fa apparire a metà della navigazione sulla pagina un box che chiede di iscriversi. È una modalità estremamente comoda per l’utente finale di sapere che esistono i corsi gratuiti o che può rimanere connesso a me e alle cose che faccio direttamente visitando una pagina.

ATTENZIONE: Prima della data del 23.12.2022, le medesime funzioni svolgeva Mailchimp (qui le Privacy Policies), di seguito migrato a ConvertKit. I dati presenti su Mailchimp saranno archiviati come inattivi sino al 24.06.2023 per consentire la eventuale disiscrizione utilizzando la funzione presente nelle "vecchie" mail.

• Dati Trattati

  • USER-ID non personale

  • Indirizzo E-Mail

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

  • Nome e Cognome

• Finalità del Trattamento

  • Comunicazioni in Newsletter (Esecuzione Contratto)

  • Aggiornamenti sulle iniziative (Legittimo Consenso)

  • Miglioramento delle Performance (Legittimo Interesse)

  • Analisi statistica dell’accesso (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati sono accessibili fino a cancellazione;

  • Il sito ottempera i sistemi più comuni di opt-out;

  • È possibile chiedere la cancellazione fornendo e-mail;

  • I dati di navigazione non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro Cloud Hosting non italiani, migrazione ad un servizio similare con sede legale in EU, entro 180gg dalla data della pronuncia. Se vi chiedete perché così tanto è colpa del “corso” epistolare che deve “finire”il suo corso prima di migrare. Quindi verranno migrate entro 30gg le NUOVE iscrizioni e si lascerà “scadere” il corso per i vecchi registrati.

• Privacy

  • Informazioni sulla Privacy Policy e l'intera gestione del GDPR

  • Modalità di accesso e cancellazione: richiesta ex Art.15 a [email protected]

UTeach

• Dati Trattati

  • USER-ID non personale

  • Indirizzo E-Mail (che viene passato anche a Convertkit Newsletter)

  • Nome e Cognome (che viene passato anche a Convertkit Newsletter)

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Comunicazioni in Newsletter (Esecuzione Contratto)

  • Erogazione del Corso (Esecuzione Contratto)

  • Aggiornamenti sulle lezioni (Esecuzione Contratto)

  • Analisi statistica dell’accesso (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati sono accessibili fino a cancellazione;

  • Il sito ottempera i sistemi più comuni di opt-out;

  • È possibile chiedere la cancellazione fornendo e-mail;

  • I dati di navigazione non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro Cloud Hosting non italiani, migrazione ad un servizio similare con sede legale in EU, entro 180gg dalla data della pronuncia. Se vi chiedete perché così tanto è colpa del “corso” epistolare che deve “finire”il suo corso prima di migrare. Quindi verranno migrate entro 30gg le NUOVE iscrizioni e si lascerà “scadere” il corso per i vecchi registrati.

• Privacy

  • Informazioni sulla Privacy Policy

  • Modalità di accesso e cancellazione: richiesta ex Art.15 a [email protected]

Convertkit Newsletter

Con la registrazione alla mailing list o alla newsletter, l’indirizzo email dell’Utente viene automaticamente inserito in una lista di contatti a cui potranno essere trasmessi messaggi email contenenti informazioni, anche di aggiornamenti, relative a quello che faccio. L’indirizzo email dell’Utente potrebbe anche essere aggiunto a questa lista come risultato della registrazione a un o dopo aver effettuato un download di contenuti, oppure ancora se ci si iscrive ad uno dei corsi gratuiti, erogati in modalità “epistolare” (o come dicono quelli bravi in “content drip”) una lezione alla volta in mail per un periodo di tempo.

ATTENZIONE: Prima della data del 23.12.2022, le medesime funzioni svolgeva Mailchimp (qui le Privacy Policies), di seguito migrato a ConvertKit. I dati presenti su Mailchimp saranno archiviati come inattivi sino al 24.06.2023 per consentire la eventuale disiscrizione utilizzando la funzione presente nelle "vecchie" mail.

• Dati Trattati

  • USER-ID non personale e tracciatore personale

  • Indirizzo E-Mail

  • Dati di navigazione sulle landing pages e sul sito(Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Comunicazioni in Newsletter (Esecuzione Contratto)

  • Aggiornamenti sulle iniziative (Legittimo Consenso)

  • Miglioramento delle Performance (Legittimo Interesse)

  • Analisi statistica dell’accesso (Legittimo Interesse)

• Conservazione e cancellazione

  • I dati sono accessibili fino a cancellazione;

  • Il sito ottempera i sistemi più comuni di opt-out;

  • È possibile chiedere la cancellazione fornendo e-mail;

  • I dati di navigazione non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro Cloud Hosting non italiani, migrazione ad un servizio similare con sede legale in EU, entro 180gg dalla data della pronuncia. Se vi chiedete perché così tanto è colpa del “corso” epistolare che deve “finire”il suo corso prima di migrare. Quindi verranno migrate entro 30gg le NUOVE iscrizioni e si lascerà “scadere” il corso per i vecchi registrati.

• Privacy

  • Informazioni sulla Privacy Policy e l'intera gestione del GDPR

  • Modalità di accesso e cancellazione: richiesta ex Art.15 a [email protected]

Meta Pixel (e derivati)

Nel caso di particolari contenuti che pubblico qualche volta durante l’anno (e che sono gratuiti, come i Corsi), oppure nel casi di eventi come Webinar & Co, alle volte utilizzo i servizi di Meta per aumentare la visibilità dell’evento. In questo caso normalmente utilizzo tre differenti tecnologie (quasi sempre insieme, alle volte solo una o due alla volta) che mi consentono di aumentare la visibilità dell’iniziativa presso le persone che già mi seguono e quelle eventualmente interessate secondo Meta. Il tutto si concretizza o nella maggiore visibilità di un post che già faccio sulle piattaforme di Meta (Facebook o Instagram), oppure con l’utilizzo di link e banner e altre forme grafiche. I servizi sono principalmente tre, sempre erogati da Meta: - Meta Pixel » si tratta di uno script per il tracciamento degli accessi ai vari Siti Web che tratto, che elaborano un identificativo univoco per l’utente e consentono di ricontattarlo all’interno dell’ecosistema di Meta; - Meta Audience Network » è il mero servizio pubblicitario fornito da Meta, dove selezionando alcuni interessi il contenuto viene mostrato agli utenti della piattaforma che secondo le informazioni di Meta possono essere interessate; - Pubblico personalizzato di Meta » è un servizio di remarketing e di targeting che collega l’attività dei Siti Web che tratto con la rete pubblicitaria di Meta, consentendo azioni come “fai vedere questo contenuto alle persone che hanno visitato questo sito negli ultimi 30gg”; - Pubblico simile di Meta » è un servizio di pubblicitario e di targeting che utilizza i Dati raccolti attraverso il servizio “Pubblico personalizzato” al fine di mostrare annunci pubblicitari a Utenti con comportamenti simili a quegli utenti sulla base del loro precedente utilizzo dei Siti Web che tratto, delle Pagine Facebook che gestisco o della loro interazione con contenuti rilevanti attraverso le applicazioni e i servizi di Meta;

Vi è poco che gestisco personalmente di questi dati, al massimo limitandomi all’accensione o spegnimento del Meta Pixel sui Siti Web che tratto, poiché la suite di prodotti di Audience Network è un servizio pubblicitario fornito direttamente da Meta a quegli utenti che hanno concesso all’azienda la possibilità di essere contattati. Ogni utente dei servizi di Meta può controllare la condivisione delle proprie preferenze pubblicitarie all’interno delle impostazioni Ad di Facebook o scegliere direttamente di fare preventivamente Opt Out.

• Dati Trattati

  • USER-ID non personale e identificatori per dispositivi mobili (tra cui Android Advertising ID o Advertising Identifier per OS) ovvero tecnologie simili

  • Indirizzo E-Mail

  • Dati di navigazione (Indirizzo IP oscurato dell’ultimo ottetto)

• Finalità del Trattamento

  • Aggiornamenti sulle iniziative (Legittimo Consenso)

  • Analisi statistica dell’accesso (Legittimo Interesse)

• Conservazione e cancellazione

  • Il sito ottempera i sistemi più comuni di opt-out;

  • È possibile chiedere la cancellazione direttamente a Meta;

  • I dati di navigazione non sono mai accessibili a me;

  • I dati potrebbero rimanere nella disponibilità del gestore, ma non ho modo di rimuoverli e la richiesta deve essere fatta direttamente al servizio;

• Trasferimento Dati

  • La Società di Hosting è una società soggetta al Diritto Statunitense

  • Si avvale di server in EU ed anche al di fuori del territorio EU

  • Contingency Plan: in caso di pronuncia interdittiva o similare contro i sistemi di Advertising non ci sono particolari piani, semplicemente l’interruzione dell’utilizzo.

• Privacy

  • Informazioni sulla Privacy Policy

  • Modalità di opt-out.

TORNA ALL'INDICE

La bellezza del GDPR è data non tanto dalle complicazioni che da al gestore dei siti (sigh!), quanto dai diritti che concede ai singoli utenti. In particolare, l’Utente ha il diritto di:

• revocare il consenso in ogni momento » puoi revocare il consenso al trattamento dei Dati Personali precedentemente espresso;

• opporti al trattamento dei Dati » puoi opporti, nei limiti previsti dalla dalla norma, al trattamento dei Dati quando ritieni che esso avviene su una base giuridica diversa dal consenso;

• accedere ai tuoi Dati » hai il diritto ad ottenere informazioni sui Dati trattati, su determinati aspetti del trattamento ed a ricevere una copia dei Dati trattati (per lo meno quelli che ho facoltà di esportare);

• verificare e chiedere la rettifica » puoi verificare la correttezza dei tuoi Dati e richiederne l’aggiornamento o la correzione.

• ottenere la limitazione del trattamento » quando ricorrono determinate condizioni, puoi richiedere la limitazione del trattamento dei tuoi Dati. In tal caso non tratterò i Dati per alcun altro scopo se non la loro conservazione;

• ottenere la cancellazione o rimozione dei tuoi Dati Personali » quando ricorrono determinate condizioni, puoi richiedere la cancellazione dei tuoi Dati;

• ricevere i tuoi Dati o farli trasferire ad altro titolare » hai il diritto di ricevere i tuoi Dati in formato strutturato, di uso comune e leggibile da dispositivo automatico e, ove tecnicamente fattibile, di ottenerne il trasferimento senza ostacoli ad un altro titolare. Questa disposizione è applicabile solo quando i Dati sono trattati con strumenti automatizzati ed il trattamento è basato sul consenso dell’Utente, su un contratto di cui sei parte o su misure contrattuali ad esso connesse.

• proporre reclamo » hai sempre e comunque la possibilità di proporre un reclamo all’autorità di controllo della protezione dei dati personali competente o agire in sede giudiziale.

Dettagli sul diritto di opposizione

Quando i Dati Personali sono trattati nell’interesse pubblico, nell’esercizio di pubblici poteri di cui è investito il Titolare oppure per perseguire un interesse legittimo del Titolare, hai il diritto ad opporti al trattamento per motivi connessi alla tua situazione particolare. Se i tuoi Dati sono trattati con finalità di marketing diretto, puoi opporti al trattamento senza fornire alcuna motivazione.

Il caso della Difesa in giudizio

I tuoi Dati Personali Utente possono essere utilizzati da me in giudizio o nelle fasi preparatorie alla sua eventuale instaurazione per la difesa da abusi nell’utilizzo dei Siti Web che tratto o dei PARTE 3 - I Servizi connessi.

Dichiari di essere consapevole potrei essere obbligato a rivelare i Dati per ordine delle autorità pubbliche.

Come esercitare i tuoi diritti

Per esercitare i diritti sopra descritti, è necessario presentare una richiesta verificabile contattandomi. Per poter rispondere alla tua richiesta, è necessario per me essere in grado di identificarti. Per questo puoi esercitare i diritti di cui sopra solo presentando una richiesta verificabile che deve:

• fornire informazioni sufficienti che mi consentano di verificare in maniera ragionevole che tu sia la persona cui le informazioni personali che abbiamo raccolto si riferiscono o un suo rappresentante autorizzato;

• descrivere la tua richiesta con un grado di dettaglio che sia sufficiente a farmi comprendere, valutare e rispondere correttamente a quanto mi chiedi.

Non sarò in grado di rispondere a nessuna richiesta se non sarò in grado di verificare la tua identità e, quindi, di confermare che le informazioni in nostro possesso si riferiscano effettivamente a te. Ovviamente se sei un adulto, puoi fare una richiesta verificabile per conto di chi ricade sotto la tua potestà genitoriale. Entro 10 giorni ti confermerò che ho ricevuto la tua richiesta e ti fornirò informazioni su come la elaborò, rispondendo nel merito entro 30 giorni dalla ricezione della stessa. Qualora avessi bisogno di più tempo, ti spiegherò il motivo e ti comunicherò di quanto tempo ulteriore ho bisogno, entro un massimo comunque di 90 giorni per soddisfare la tua richiesta.

Non applico nessuna commissione per trattare o rispondere alla tua richiesta verificabile a meno che essa non sia manifestamente infondata o eccessiva. In tali casi, potrei applicare una commissione ragionevole (limitata al costo orario delle azioni che devo compiere), o negare la richiesta. In entrambi i casi, ti comunicherò la decisione per iscritto spiegandotene le ragioni.

Puoi richiedere fornendomi un indirizzo e-mail:

• La cancellazione/modifica/esportazione da un corso di UTeach;

• La cancellazione/modifica/esportazione dalle newsletter di Convertkit Newsletter;

Aggiungendo il tuo identificativo univoco e gli indirizzi IP precisi e il lasso di tempo dell’accesso preciso puoi richiedermi:

• La cancellazione/modifica/esportazione degli Analytics da #Matomo

Per ogni altro servizio i dati sono:

• O automaticamente cancellati entro 30gg dai Log;

• O non direttamente accessibili da me e richiedibili direttamente ai Servizi;

Per ogni comunicazione, e per qualunque altro dubbio, puoi contattarmi all’indirizzo [email protected].

E se sei arrivato fin qui, grazie mille e… #EstoteParati.

TORNA ALL'INDICE