←
Torna alla Home
1. Titolare del Trattamento e DPO
2. Dati Raccolti
2.1 Dati forniti direttamente dall'utente
| Dato |
Finalità |
Base Giuridica |
Conservazione |
| Email |
Registrazione, comunicazioni, recupero account |
Consenso (Art. 6.1.a) + Contratto (Art. 6.1.b) |
Fino a cancellazione account |
| Nome, Cognome |
Personalizzazione profilo (opzionale per privacy) |
Consenso (Art. 6.1.a) |
Fino a cancellazione account |
| Nickname |
Identificazione in classifica (con pseudonimizzazione opzionale) |
Esec. contratto (Art. 6.1.b) |
Fino a cancellazione account |
| Password |
Autenticazione sicura |
Esec. contratto (Art. 6.1.b) |
Hash bcrypt cost 12 — mai in chiaro, inutilizzabile |
| Verifica Età (18+, 16+, etc.) |
Conformità legale (Art. 8 GDPR per minori) |
Obbligo legale (Art. 6.1.c) |
Fin quando necessario per verificare accesso, poi eliminato |
| Regione, Provincia (opzionale) |
Statistiche aggregate anonime (senza identificazione) |
Legittimo interesse (Art. 6.1.f) |
Fino a cancellazione account |
| Data Ultimo Accesso |
Sicurezza account (rilevamento accessi anomali) |
Legittimo interesse (Art. 6.1.f) |
Fino a cancellazione account |
2.2 Dati generati automaticamente
- Dati di sessione: Token di sessione criptato, token CSRF
- Dati di gioco: Risposte ai quiz, punteggi, XP, streak, badge
- Dati di accesso: Timestamp ultimo login, frequenza utilizzo
- Dati tecnici: Browser, risoluzione schermo (solo per debug, non salvati)
2.3 Dati NON raccolti
✅ Non raccogliamo mai: indirizzo IP per tracking, dati di geolocalizzazione precisa, dati
biometrici,
dati di navigazione esterna, dati di pagamento (non vendiamo nulla), contenuti di messaggi privati.
3. Come Proteggiamo i Tuoi Dati
3.1 Misure Tecniche (NIS2 Compliance)
- 🔐 Password: Hash bcrypt con cost factor 12 (mai salvate in chiaro)
- 🛡️ Sessioni: Cookie HttpOnly + SameSite=Lax + Secure (HTTPS)
- 🔒 HTTPS: Crittografia TLS 1.2+ su tutte le pagine
- 🧱 CSP: Content Security Policy restrictive
- ⚡ HSTS: HTTP Strict Transport Security (max-age 1 anno)
- 🚫 Anti-Injection: Query parametrizzate PDO (zero SQL injection)
- 🔄 CSRF Protection: Token unico per sessione su tutte le form
- 📝 Security Logging: Eventi di sicurezza loggati in formato JSON (NIS2 Art. 21)
- 🚦 Rate Limiting: Protezione anti-brute-force su login (5 tentativi) e registrazione
- 🔑 Remember-Me: Token SHA256 con rotazione ad ogni auto-login
3.2 Misure Organizzative
- Accesso ai dati limitato al solo personale autorizzato
- Backup criptati regolari
- Procedure di risposta agli incidenti (NIS2 Art. 23 — notifica entro 24 ore)
4. Condivisione dei Dati e Fornitori
🚫 Non vendiamo, scambiamo o cediamo a terzi i tuoi dati personali.
Condividiamo dati solo con i seguenti Responsabili del Trattamento (Art. 28 GDPR):
| Fornitore |
Tipo di Dati |
Ubicazione Server |
DPA |
Hosting Provider
(Aruba S.p.A. / Altervista) |
Tutto (DB, file, backup) |
Italia (EU) |
✅ DPA sottoscritto |
Google Analytics
(se consenso dato) |
Dati aggregati anonimizzati |
USA (Privacy Shield equivalente) |
✅ Google Data Processing Agreement |
| Autorità Giudiziarie |
Dati specifici (se richiesti per legge) |
N/A |
Art. 6.1.c GDPR (obbligo legale) |
5. I Tuoi Diritti (Art. 15-22 GDPR)
| Diritto |
Descrizione |
Come Esercitarlo |
| 📋 Accesso (Art. 15) |
Ottenere copia dei tuoi dati |
Email a privacy@patentiamoci.it |
| ✏️ Rettifica (Art. 16) |
Correggere dati inesatti |
Dashboard → Impostazioni |
| 🗑️ Cancellazione (Art. 17) |
Eliminare il tuo account e tutti i dati |
Email a supporto@patentiamoci.it |
| ⏸️ Limitazione (Art. 18) |
Limitare il trattamento dei tuoi dati |
Email a privacy@patentiamoci.it |
| 📦 Portabilità (Art. 20) |
Ricevere i tuoi dati in formato JSON |
Email a privacy@patentiamoci.it |
| 🚫 Opposizione (Art. 21) |
Opporsi al trattamento per legittimo interesse |
Email a privacy@patentiamoci.it |
| 🔄 Revoca Consenso (Art. 7) |
Revocare il consenso in qualsiasi momento |
Dashboard → Impostazioni → Privacy |
Risponderemo entro 30 giorni dalla richiesta (Art. 12.3 GDPR).
6. Protezione dei Minori (Art. 8 GDPR)
Patentiamoci.it è rivolto a utenti di almeno 16 anni (età minima per la patente di guida
italiana).
- 🔒 Verifica dell'età: Durante la registrazione, chiediamo conferma di avere almeno 16
anni. Non raccogliamo l'anno di nascita, solo il "status di majority".
- 👨👩👧 Consenso genitoriale (minori 16-18): Se hai tra 16 e 18 anni, consigliamo di
informare i tuoi genitori. Per minori under 16, è richiesto il consenso genitoriale esplicito prima
della registrazione.
- 🛡️ Protezione da abusi: Non raccogliamo dati biometrici, localizzazione, nessun
tracciamento esterno. Monitoriamo accessi anomali per proteggere i minori da exploitation.
Se un genitore ritiene che il proprio figlio minore di 16 anni si sia registrato senza autorizzazione, può
contattare privacy@patentiamoci.it per la cancellazione
immediata.
7. Trasferimento Dati Extra-UE
I tuoi dati sono conservati su server ubicati nell'Unione Europea (fisicamente in Italia).
Non trasferiamo dati al di fuori dello Spazio Economico Europeo (SEE), salvo quanto strettamente necessario
per servizi cloud con Data Processing Agreement conforme Art. 46 GDPR (Standard Contractual
Clauses).
8. NIS2 — Sicurezza delle Reti e dei Sistemi Informativi
In conformità alla Direttiva NIS2 (UE 2022/2555) e ai requisiti di Privacy by Design (Art.
25 GDPR):
8.1 Misure Tecniche di Sicurezza (Art. 21)
- 🔐 Password: Hash bcrypt cost factor 12 + salt casuale
- 🛡️ Crittografia in transito: TLS 1.2+ obbligatorio su HTTPS
- 🔒 Crittografia a riposo: Backup criptati con AES-256
- 🚀 Sessioni: Cookie HttpOnly + SameSite=Lax + Secure, 30 giorni con rotazione
automatica
- 🧱 Content Security Policy: Restrictive, no 'unsafe-inline'
- ⚡ HSTS: max-age 1 anno (31.536.000 secondi)
- 🚫 Prevenzione Injection: Query parametrizzate PDO per MySQL
- 🔄 Protezione CSRF: Token X-CSRF-Token per sessione
- 📊 Security Logging: JSON strutturato per tutti gli eventi
- 🚦 Rate Limiting: Max 5 tentativi falliti login → blocco 15 min
- 💾 Backup Automatici: Giornalieri, criptati, replicati
8.2 Disaster Recovery — SLA (Art. 21)
- RTO (Recovery Time Objective): 4 ore
- RPO (Recovery Point Objective): 1 ora
- Uptime Target (SLA): 99.5% annuale (max ~44 ore downtime/anno)
- Frequenza Backup: Giornalieri, conservati 30 giorni
8.3 Audit e Penetration Testing (Art. 21)
- 🔍 Penetration Testing: Annuale con terze parti indipendenti
- 📋 Vulnerability Scanning: Mensile automatizzato + revisione settimanale
- 🔐 Code Review: Security review pre-deploy
- 🛠️ Patch Management: Security patches entro 72 ore
8.4 Procedure di Risposta agli Incidenti (Art. 23)
In caso di violazione di dati:
- ⏰ Entro 24 ore: Notifica a cert-pa.it (CSIRT Italia) e Garante Privacy
- ⏰ Entro 72 ore: Report dettagliato (tipo dati, numero utenti, rischi, misure)
- 📧 Entro 3 giorni: Notifica diretta agli utenti interessati (se rischio alto — Art. 34
GDPR)
- 📝 Documentazione: Root cause analysis, timeline, remediation plan
8.5 Responsabilità e Conformità (Art. 30 GDPR)
Manteniamo un Registro dei Trattamenti (RTA) conforme all'Art. 30 GDPR che documenta:
- Natura, ambito, contesto e finalità di ogni trattamento
- Categorie di dati personali e soggetti
- Provvedimenti di sicurezza per rischi
- Accessi, modifiche e audit trail completi
Il registro è disponibile per verifiche Garante Privacy (Art. 31 GDPR).
9. Modifiche alla Policy
Ci riserviamo di aggiornare questa policy. In caso di modifiche sostanziali, ti avviseremo via email
o tramite notifica nell'app. La versione attuale è sempre disponibile su questa pagina.
10. Contatti