Informativa sulla privacy

Si tratta di una traduzione di cortesia. La versione tedesca è quella giuridicamente vincolante.

1. Titolare del trattamento

cilku.io DOOEL
Bratstvo Edinstvo Br. 70, 1250 Debar, Macedonia del Nord
E-mail:

2. Principio fondamentale di redact.al

redact.al è stato sviluppato secondo il principio della Privacy by Design. L'anonimizzazione dei vostri testi avviene esclusivamente in locale all'interno del vostro browser. Né i testi inseriti né le entità rilevate o la tabella di corrispondenza (Vault) vengono trasmessi ai nostri server.

Il modello NER (Named Entity Recognition) viene scaricato nel vostro browser al primo caricamento dell'applicazione e funziona successivamente del tutto offline. Potete verificarlo in qualsiasi momento tramite la console di rete del vostro browser.

3. Quali dati trattiamo

3.1 Dati di account

In sede di registrazione e di utilizzo conserviamo:

• nome e indirizzo e-mail
• password sottoposta ad hashing (mai in chiaro)
• data della registrazione e attività di accesso / sicurezza sul vostro account (cfr. §3.6)
• licenza assegnata e ruolo (utente, team manager, amministratore)

Base giuridica: art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

3.2 Gestione delle licenze

Conserviamo informazioni sulla validità della licenza (dominio, tipo, data di scadenza, numero di postazioni) per regolare l'accesso all'applicazione. Una verifica giornaliera della licenza è effettuata lato server.

Base giuridica: art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

3.3 File di log del server

Quando si accede ai nostri server vengono trattati dati tecnici di accesso in un file di log:

• indirizzo IP
• data e ora dell'accesso
• URL richiesta e codice di stato HTTP
• tipo di browser e sistema operativo (User-Agent)

Tali dati sono necessari per garantire il funzionamento tecnico e per individuare tentativi di attacco. I file di log del server vengono cancellati automaticamente e in modo irreversibile entro al massimo 24 ore. Non viene effettuata alcuna conservazione prolungata o analisi dei file di log completi. Non vi è alcuna associazione tra indirizzi IP e account utente.

Base giuridica: art. 6, par. 1, lett. f GDPR (legittimo interesse alla sicurezza tecnica e all'integrità del servizio).

3.4 Blocchi IP a tutela contro accessi abusivi

A tutela dei nostri server da tentativi di attacco automatizzati (ad esempio l'accesso non autorizzato a percorsi quali /.env, /admin o ad altri tipici obiettivi di attacco) utilizziamo lo strumento fail2ban. fail2ban analizza i file di log del server entro la finestra delle 24 ore. Qualora venga rilevato un comportamento abusivo, l'indirizzo IP coinvolto viene inserito nella lista di blocco del firewall.

Nella lista di blocco del firewall vengono memorizzati esclusivamente l'indirizzo IP e la data di sblocco. Non vengono associati agli indirizzi IP bloccati alcun dato di log, percorso di richiesta, User-Agent o account utente. Allo scadere della durata del blocco la voce viene rimossa automaticamente.

Durata del blocco: fino a 365 giorni, in funzione della gravità e della frequenza della violazione rilevata.

Base giuridica: art. 6, par. 1, lett. f GDPR (legittimo interesse alla protezione del servizio da accessi abusivi).

3.5 Modulo di contatto

Quando ci inviate un messaggio tramite il modulo di contatto, conserviamo il vostro nome, il vostro indirizzo e-mail e il contenuto del messaggio per l'evasione della richiesta. Tali dati vengono cancellati al termine della trattazione, salvo sussistano obblighi di conservazione previsti dalla legge.

Base giuridica: art. 6, par. 1, lett. b GDPR (misure precontrattuali) ovvero art. 6, par. 1, lett. f GDPR (legittimo interesse alla risposta alle richieste).

3.6 Registro di audit di accesso e sicurezza

Per garantire la tracciabilità delle azioni rilevanti per la sicurezza del vostro account, registriamo i seguenti eventi con marca temporale:

• accessi riusciti e falliti
• modifiche, reimpostazioni e impostazione iniziale della password
• attivazione, disattivazione e rigenerazione dei codici di recupero dell'autenticazione a due fattori
• registrazione e rimozione di passkey (WebAuthn)
• esercizio dei diritti dell'interessato (ad es. esportazione dati ai sensi dell'art. 15 GDPR)
• interventi amministrativi sul vostro account da parte del nostro team (ad es. disattivazione dell'account, modifica della licenza)

I contenuti dei vostri trattamenti — testi inseriti, entità rilevate, corrispondenze degli pseudonimi — non vengono mai registrati, poiché non raggiungono i nostri server (cfr. §2 e §4). L'esportazione dei dati ai sensi dell'art. 15 GDPR disponibile nell'area «Impostazioni» contiene esclusivamente le voci di audit che vi riguardano personalmente; le azioni operative compiute da un amministratore su altri account non fanno parte della vostra esportazione.

Base giuridica: art. 6, par. 1, lett. f GDPR in combinato disposto con §32 BDSG (legittimo interesse alla sicurezza informatica, all'individuazione di abusi e agli obblighi di rendicontazione verso le autorità di controllo).

4. Cosa NON trattiamo espressamente

• i testi o i documenti da voi inseriti
• le entità rilevate (nomi, indirizzi, IBAN, ecc.)
• la tabella di corrispondenza (Vault) tra dati originali e pseudonimi
• i contenuti delle sessioni o i risultati dell'anonimizzazione

Tali dati restano esclusivamente all'interno dell'IndexedDB del vostro browser e non vengono in alcun momento trasmessi ai nostri server. Tecnicamente è impossibile per noi accedere a questi dati.

5. Cookie

redact.al utilizza cookie funzionali: un cookie di autenticazione per il mantenimento della sessione dopo l'accesso (base giuridica: §25, comma 2, n. 2 TDDDG, legge tedesca sulla privacy nelle telecomunicazioni e nei servizi digitali, senza necessità di consenso) e, qualora raggiungiate il nostro sito tramite il link di raccomandazione di un partner commerciale (formato /r/<id>), un cookie di raccomandazione redactal_referrer valido per 90 giorni. Questo cookie viene impostato esclusivamente all'apertura di un simile link di raccomandazione, mai in caso di accesso diretto. Memorizza unicamente l'identificativo anonimo del partner commerciale che effettua la raccomandazione e serve ad attribuire la raccomandazione al contatto commerciale responsabile ai fini del calcolo delle provvigioni in caso di successiva conclusione del contratto. Non viene utilizzato a fini di tracciamento, analisi, marketing o di terze parti. La base giuridica è l'art. 6, par. 1, lett. f GDPR (legittimo interesse al calcolo delle provvigioni con i nostri partner commerciali). Potete eliminare il cookie di raccomandazione in qualsiasi momento tramite le impostazioni dei cookie del vostro browser; l'eliminazione pone fine all'attribuzione. Non vengono utilizzati cookie di tracciamento, analisi, marketing o di terze parti.

6. Localizzazione dei server, amministrazione e trattamento per conto

I server di redact.al sono gestiti presso Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germania. I dati personali risiedono esclusivamente su server situati nell'Unione europea. Tutte le componenti dell'infrastruttura, compresi backup, monitoraggio e altri servizi operativi, sono ospitate esclusivamente presso Hetzner Online GmbH in Germania. Non vengono utilizzati Content Delivery Network né servizi esterni di analisi, tracciamento, marketing o monitoraggio.

L'amministrazione dei server è effettuata dal titolare esclusivamente da una postazione di lavoro situata in Germania. Ogni accesso amministrativo ai server avviene da tale postazione di lavoro tedesca. Ciò garantisce che in nessun momento i dati personali vengano trattati su dispositivi o reti al di fuori dell'Unione europea.

Per l'invio di e-mail transazionali (conferma di registrazione, reimpostazione della password, notifiche di licenza e di contratto) utilizziamo IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Germania.

Con entrambi i responsabili del trattamento è in essere un contratto di trattamento per conto ai sensi dell'art. 28 GDPR. Non avviene alcuna trasmissione di dati personali ad altri destinatari.

7. Periodo di conservazione

Conserviamo i dati personali soltanto per il tempo necessario alle rispettive finalità.

• Dati di account (e-mail, hash della password, appartenenza al team, riferimento alla licenza): fino al termine del rapporto contrattuale, maggiorato di un periodo di tolleranza di 14 giorni. Successivamente l'intero set di dati dell'account viene cancellato in modo irreversibile.
• Log di accesso al server: al massimo 24 ore, dopodiché cancellazione automatica e irreversibile.
• Lista di blocco del firewall (a seguito di abuso rilevato automaticamente): fino a 365 giorni, esclusivamente indirizzo IP e data di sblocco.
• Registro di audit di attività di accesso e sicurezza (§3.6): 365 giorni; al termine le voci vengono cancellate automaticamente e in modo irreversibile da un processo giornaliero in background.
• E-mail transazionali presso il provider di posta IONOS: secondo le politiche di conservazione del responsabile del trattamento; redact.al stesso non conserva alcuna e-mail inviata.

8. Necessità del conferimento

Il conferimento del vostro indirizzo e-mail è contrattualmente necessario per la conclusione del contratto e l'utilizzo di redact.al. Senza un indirizzo e-mail valido non possiamo creare un account né concedere l'accesso al servizio. Non sussiste alcun obbligo di legge al conferimento. Conseguenza del mancato conferimento: non si perfeziona alcun contratto con cilku.io DOOEL per l'utilizzo di redact.al.

9. Processo decisionale automatizzato

In redact.al non ha luogo alcun processo decisionale automatizzato, compresa la profilazione, ai sensi dell'art. 22 GDPR. Non vengono effettuate valutazioni automatizzate, classificazioni di rischio o decisioni con effetti giuridici nei vostri confronti.

10. Consenso e diritto di revoca

Trattiamo i vostri dati personali esclusivamente sulla base dell'art. 6, par. 1, lett. b GDPR (esecuzione del contratto) e dell'art. 6, par. 1, lett. f GDPR (legittimo interesse alla sicurezza tecnica dei nostri server). Non avviene alcun trattamento sulla base del consenso ai sensi dell'art. 6, par. 1, lett. a GDPR. Un diritto di revoca del consenso è pertanto privo di oggetto.

11. Sicurezza dei dati

La connessione a redact.al è interamente cifrata tramite TLS (HTTPS). Le password vengono memorizzate esclusivamente come hash Bcrypt. L'accesso all'applicazione richiede una licenza valida e un account utente attivo.

12. I vostri diritti

Avete in qualsiasi momento diritto a:

• accesso ai dati che vi riguardano (art. 15 GDPR)
• rettifica di dati inesatti (art. 16 GDPR)
• cancellazione dei vostri dati (art. 17 GDPR)
• limitazione del trattamento (art. 18 GDPR)
• portabilità dei dati (art. 20 GDPR)
• opposizione al trattamento (art. 21 GDPR)

Per esercitare i vostri diritti utilizzate il nostro modulo di contatto o scrivete all'indirizzo indicato alla sezione 1

13. Diritto di reclamo

Avete il diritto di presentare reclamo a un'autorità di controllo per la protezione dei dati. L'autorità di controllo competente per noi è l'Agenzia per la protezione dei dati personali della Repubblica della Macedonia del Nord (azlp.mk). Gli utenti residenti nell'UE possono rivolgersi anche all'autorità di controllo del rispettivo Stato membro.

14. Modifiche

Ci riserviamo il diritto di adeguare la presente informativa sulla privacy per adattarla a mutati requisiti normativi o a modifiche funzionali. La versione attuale è sempre disponibile su questa pagina.