Registro dei Trattamenti (Art. 30 GDPR)

Registro delle attivita di trattamento ai sensi dell'Articolo 30 del Regolamento (UE) 2016/679

Titolare del Trattamento

IDCERT S.r.l. Societa Benefit

Contatto: privacy@idcert.io

DPO non nominato (condizioni Art. 37 non sussistenti). Contatto: privacy@idcert.io

T-01 - Funzionamento tecnico del portale

Finalita (Art. 30.1.b): Garantire accessibilita, performance e sicurezza del portale
Base Giuridica: Art. 6.1.f - Legittimo interesse
Interessati (Art. 30.1.c): Tutti i visitatori
Categorie di Dati (Art. 30.1.c): IP anonimizzato, user agent, pagine visitate
Destinatari (Art. 30.1.d): Vercel (hosting), Supabase (database)
Trasferimenti extra-UE (Art. 30.1.e): Vercel USA (SCCs Art. 46.2.c)
Conservazione (Art. 30.1.f): Log server: 30 giorni
Misure di Sicurezza (Art. 32): HTTPS, header CSP, HSTS, RLS

T-02 - Gestione dei consensi cookie

Finalita (Art. 30.1.b): Accountability GDPR: registrazione delle scelte di consenso
Base Giuridica: Art. 6.1.c - Obbligo legale
Interessati (Art. 30.1.c): Tutti i visitatori
Categorie di Dati (Art. 30.1.c): UUID sessione anonimo, preferenze consenso, hash IP, user agent troncato, versione policy
Destinatari (Art. 30.1.d): Supabase (UE)
Trasferimenti extra-UE (Art. 30.1.e): Nessuno (solo UE)
Conservazione (Art. 30.1.f): 24 mesi
Misure di Sicurezza (Art. 32): Anonimizzazione IP SHA-256, RLS, protezione CSRF

T-03 - Gestione richieste di contatto

Finalita (Art. 30.1.b): Rispondere alle richieste degli utenti
Base Giuridica: Art. 6.1.a - Consenso
Interessati (Art. 30.1.c): Utenti che compilano il modulo contatti
Categorie di Dati (Art. 30.1.c): Nome, email, oggetto, messaggio, hash IP, user agent
Destinatari (Art. 30.1.d): Supabase (UE), staff IDCERT
Trasferimenti extra-UE (Art. 30.1.e): Nessuno (solo UE)
Conservazione (Art. 30.1.f): 12 mesi dalla risoluzione
Misure di Sicurezza (Art. 32): Honeypot, rate limiting, anonimizzazione IP, CSRF

T-04 - Autovalutazione competenze

Finalita (Art. 30.1.b): Consentire l'autovalutazione anonima delle competenze finanziarie
Base Giuridica: Art. 6.1.f - Legittimo interesse
Interessati (Art. 30.1.c): Utenti che accedono allo strumento di autovalutazione
Categorie di Dati (Art. 30.1.c): UUID sessione anonimo, risposte autovalutazione
Destinatari (Art. 30.1.d): Supabase (UE)
Trasferimenti extra-UE (Art. 30.1.e): Nessuno (solo UE)
Conservazione (Art. 30.1.f): 24 ore (basato sulla sessione)
Misure di Sicurezza (Art. 32): UUID anonimo, nessuna identificazione personale

T-05 - Google Analytics

Finalita (Art. 30.1.b): Analisi statistica dell'utilizzo del portale
Base Giuridica: Art. 6.1.a - Consenso
Interessati (Art. 30.1.c): Visitatori che acconsentono agli analytics
Categorie di Dati (Art. 30.1.c): IP anonimizzato, pagine visitate, durata sessione, info dispositivo
Destinatari (Art. 30.1.d): Google LLC (USA)
Trasferimenti extra-UE (Art. 30.1.e): USA (decisione di adeguatezza EU-US DPF)
Conservazione (Art. 30.1.f): 26 mesi
Misure di Sicurezza (Art. 32): Anonimizzazione IP, caricamento condizionato al consenso, cookie SameSite

T-06 - Preferenze interfaccia utente

Finalita (Art. 30.1.b): Ricordare le preferenze di lingua e tema
Base Giuridica: Art. 6.1.f - Legittimo interesse
Interessati (Art. 30.1.c): Tutti i visitatori
Categorie di Dati (Art. 30.1.c): Codice lingua, preferenza tema
Destinatari (Art. 30.1.d): Nessuno (solo lato client)
Trasferimenti extra-UE (Art. 30.1.e): Nessuno
Conservazione (Art. 30.1.f): 12 mesi (cookie) / indefinito (localStorage)
Misure di Sicurezza (Art. 32): Storage lato client, nessun dato sensibile

T-01 - Funzionamento tecnico del portale

Finalita (Art. 30.1.b)

Garantire accessibilita, performance e sicurezza del portale

Base Giuridica

Art. 6.1.f - Legittimo interesse

Interessati (Art. 30.1.c)

Tutti i visitatori

Categorie di Dati (Art. 30.1.c)

IP anonimizzato, user agent, pagine visitate

Destinatari (Art. 30.1.d)

Vercel (hosting), Supabase (database)

Trasferimenti extra-UE (Art. 30.1.e)

Vercel USA (SCCs Art. 46.2.c)

Conservazione (Art. 30.1.f)

Log server: 30 giorni

Misure di Sicurezza (Art. 32)

HTTPS, header CSP, HSTS, RLS

T-02 - Gestione dei consensi cookie

Finalita (Art. 30.1.b)

Accountability GDPR: registrazione delle scelte di consenso

Base Giuridica

Art. 6.1.c - Obbligo legale

Interessati (Art. 30.1.c)

Tutti i visitatori

Categorie di Dati (Art. 30.1.c)

UUID sessione anonimo, preferenze consenso, hash IP, user agent troncato, versione policy

Destinatari (Art. 30.1.d)

Supabase (UE)

Trasferimenti extra-UE (Art. 30.1.e)

Nessuno (solo UE)

Conservazione (Art. 30.1.f)

24 mesi

Misure di Sicurezza (Art. 32)

Anonimizzazione IP SHA-256, RLS, protezione CSRF

T-03 - Gestione richieste di contatto

Finalita (Art. 30.1.b)

Rispondere alle richieste degli utenti

Base Giuridica

Art. 6.1.a - Consenso

Interessati (Art. 30.1.c)

Utenti che compilano il modulo contatti

Categorie di Dati (Art. 30.1.c)

Nome, email, oggetto, messaggio, hash IP, user agent

Destinatari (Art. 30.1.d)

Supabase (UE), staff IDCERT

Trasferimenti extra-UE (Art. 30.1.e)

Nessuno (solo UE)

Conservazione (Art. 30.1.f)

12 mesi dalla risoluzione

Misure di Sicurezza (Art. 32)

Honeypot, rate limiting, anonimizzazione IP, CSRF

T-04 - Autovalutazione competenze

Finalita (Art. 30.1.b)

Consentire l'autovalutazione anonima delle competenze finanziarie

Base Giuridica

Art. 6.1.f - Legittimo interesse

Interessati (Art. 30.1.c)

Utenti che accedono allo strumento di autovalutazione

Categorie di Dati (Art. 30.1.c)

UUID sessione anonimo, risposte autovalutazione

Destinatari (Art. 30.1.d)

Supabase (UE)

Trasferimenti extra-UE (Art. 30.1.e)

Nessuno (solo UE)

Conservazione (Art. 30.1.f)

24 ore (basato sulla sessione)

Misure di Sicurezza (Art. 32)

UUID anonimo, nessuna identificazione personale

T-05 - Google Analytics

Finalita (Art. 30.1.b)

Analisi statistica dell'utilizzo del portale

Base Giuridica

Art. 6.1.a - Consenso

Interessati (Art. 30.1.c)

Visitatori che acconsentono agli analytics

Categorie di Dati (Art. 30.1.c)

IP anonimizzato, pagine visitate, durata sessione, info dispositivo

Destinatari (Art. 30.1.d)

Google LLC (USA)

Trasferimenti extra-UE (Art. 30.1.e)

USA (decisione di adeguatezza EU-US DPF)

Conservazione (Art. 30.1.f)

26 mesi

Misure di Sicurezza (Art. 32)

Anonimizzazione IP, caricamento condizionato al consenso, cookie SameSite

T-06 - Preferenze interfaccia utente

Finalita (Art. 30.1.b)

Ricordare le preferenze di lingua e tema

Base Giuridica

Art. 6.1.f - Legittimo interesse

Interessati (Art. 30.1.c)

Tutti i visitatori

Categorie di Dati (Art. 30.1.c)

Codice lingua, preferenza tema

Destinatari (Art. 30.1.d)

Nessuno (solo lato client)

Trasferimenti extra-UE (Art. 30.1.e)

Nessuno

Conservazione (Art. 30.1.f)

12 mesi (cookie) / indefinito (localStorage)

Misure di Sicurezza (Art. 32)

Storage lato client, nessun dato sensibile