Registro dei Trattamenti

GDPR Art. 30

Registro delle attivita' di trattamento ai sensi dell'Art. 30 del Regolamento (UE) 2016/679 (GDPR).

Titolare del trattamento

IDCERT S.r.l. Societa Benefit

Ai sensi dell'Art. 37 GDPR, la nomina di un DPO non e' al momento obbligatoria. In caso di variazioni, questa sezione verra' aggiornata.

T-01

Funzionamento tecnico del portale

Finalita' (Art. 30.1.b)

Erogazione del servizio web, routing, rendering pagine

Base giuridica

Art. 6.1.f

Interessati (Art. 30.1.c)

Visitatori del sito

Categorie dati (Art. 30.1.c)

Dati di navigazione (IP anonimizzato, user agent, URL)

Destinatari (Art. 30.1.d)

Vercel Inc. (hosting), Supabase Inc. (database)

Trasferimenti extra-UE (Art. 30.1.e)

USA (Vercel) con SCC; UE (Supabase eu-central-1)

Conservazione (Art. 30.1.f)

Durata della sessione

Misure Art. 32 (Art. 30.1.g)

HTTPS/TLS, CSP, HSTS, X-Frame-Options DENY, IP anonimizzato

T-02

Gestione dei consensi cookie

Finalita' (Art. 30.1.b)

Raccolta e registrazione dei consensi per accountability GDPR

Base giuridica

Art. 6.1.c

Interessati (Art. 30.1.c)

Visitatori del sito

Categorie dati (Art. 30.1.c)

ID sessione anonimo, hash IP (SHA-256 + salt rotante), preferenze cookie, versione policy, user agent

Destinatari (Art. 30.1.d)

Supabase Inc. (database, regione UE)

Trasferimenti extra-UE (Art. 30.1.e)

UE (Supabase eu-central-1)

Conservazione (Art. 30.1.f)

5 anni (obblighi accountability GDPR Art. 5.2)

Misure Art. 32 (Art. 30.1.g)

RLS Supabase, IP anonimizzato SHA-256, CSRF protection, rate limiting

T-03

Gestione delle richieste di contatto

Finalita' (Art. 30.1.b)

Rispondere alle richieste degli utenti inviate tramite il form di contatto

Base giuridica

Art. 6.1.b

Interessati (Art. 30.1.c)

Utenti che compilano il form di contatto

Categorie dati (Art. 30.1.c)

Nome, email, oggetto, messaggio, hash IP, lingua

Destinatari (Art. 30.1.d)

Supabase Inc. (database, regione UE)

Trasferimenti extra-UE (Art. 30.1.e)

UE (Supabase eu-central-1)

Conservazione (Art. 30.1.f)

12 mesi dalla richiesta

Misure Art. 32 (Art. 30.1.g)

RLS Supabase, honeypot anti-bot, CSRF, rate limiting (3 req/10 min), IP anonimizzato

T-04

Google Analytics (condizionato al consenso)

Finalita' (Art. 30.1.b)

Analisi statistica anonima del traffico per migliorare il servizio

Base giuridica

Art. 6.1.a

Interessati (Art. 30.1.c)

Visitatori che acconsentono ai cookie analytics

Categorie dati (Art. 30.1.c)

Dati di navigazione aggregati, IP anonimizzato da Google, cookie _ga

Destinatari (Art. 30.1.d)

Google LLC

Trasferimenti extra-UE (Art. 30.1.e)

USA (Google) con EU-US Data Privacy Framework

Conservazione (Art. 30.1.f)

26 mesi (impostazione GA4)

Misure Art. 32 (Art. 30.1.g)

Attivato SOLO dopo consenso esplicito, anonymize_ip: true, cookie SameSite=Lax;Secure

T-05

Preferenze interfaccia utente

Finalita' (Art. 30.1.b)

Memorizzazione preferenze lingua e tema (chiaro/scuro)

Base giuridica

Art. 6.1.f

Interessati (Art. 30.1.c)

Tutti i visitatori

Categorie dati (Art. 30.1.c)

Codice lingua (NEXT_LOCALE), tema (localStorage 'theme')

Destinatari (Art. 30.1.d)

Nessuno (dati solo locali)

Trasferimenti extra-UE (Art. 30.1.e)

Nessuno

Conservazione (Art. 30.1.f)

NEXT_LOCALE: 12 mesi; theme: fino a cancellazione manuale

Misure Art. 32 (Art. 30.1.g)

Dati tecnici non personali, nessun trasferimento

T-06

Autenticazione utenti

Finalita' (Art. 30.1.b)

Registrazione, accesso e gestione sessione utente tramite Supabase Auth

Base giuridica

Art. 6.1.b

Interessati (Art. 30.1.c)

Utenti registrati

Categorie dati (Art. 30.1.c)

Email, password (hash), nome, avatar URL, ruolo, locale preferito, data creazione

Destinatari (Art. 30.1.d)

Supabase (sub-responsabile, infrastruttura EU/EEA)

Trasferimenti extra-UE (Art. 30.1.e)

Supabase: server EU (aws-eu-central-1). Clausole contrattuali standard (SCCs) attive.

Conservazione (Art. 30.1.f)

Fino a cancellazione account (ON DELETE CASCADE su tutti i dati utente)

Misure Art. 32 (Art. 30.1.g)

Password hashed (bcrypt), cookie HttpOnly/Secure/SameSite=Lax, PKCE flow, RLS su tutte le tabelle, session refresh via proxy

T-07

Gestione dati utente (bookmark, cronologia ricerche, preferenze)

Finalita' (Art. 30.1.b)

Salvataggio preferiti, cronologia ricerche e preferenze personalizzate per utenti autenticati

Base giuridica

Art. 6.1.b

Interessati (Art. 30.1.c)

Utenti registrati

Categorie dati (Art. 30.1.c)

URI risorse salvate, tipo (occupazione/skill/qualifica), titolo, timestamp ricerche, preferenze tema/lingua

Destinatari (Art. 30.1.d)

Supabase (sub-responsabile, infrastruttura EU/EEA)

Trasferimenti extra-UE (Art. 30.1.e)

Supabase: server EU (aws-eu-central-1)

Conservazione (Art. 30.1.f)

Fino a cancellazione account (ON DELETE CASCADE). Bookmark e cronologia eliminabili singolarmente dall'utente.

Misure Art. 32 (Art. 30.1.g)

RLS: ogni utente accede solo ai propri dati. Admin: sola lettura. Prevenzione escalation ruoli via RLS.

T-08

Monitoraggio errori e stabilità (Sentry)

Finalita' (Art. 30.1.b)

Rilevamento e diagnostica errori applicativi per garantire la stabilità del servizio. Session Replay (registrazione sessioni) attivato solo previo consenso analytics.

Base giuridica

Art. 6.1.f / Art. 6.1.a

Interessati (Art. 30.1.c)

Visitatori del sito e utenti registrati

Categorie dati (Art. 30.1.c)

Stack trace errori, URL, user agent, browser. Con consenso analytics: IP, cookie, header HTTP, registrazione interazioni (Session Replay)

Destinatari (Art. 30.1.d)

Functional Software Inc. (Sentry), San Francisco, CA, USA

Trasferimenti extra-UE (Art. 30.1.e)

USA (Sentry) con Clausole Contrattuali Standard (SCCs)

Conservazione (Art. 30.1.f)

90 giorni (impostazione predefinita Sentry)

Misure Art. 32 (Art. 30.1.g)

Modalità base senza PII (legittimo interesse). PII e Session Replay attivati SOLO dopo consenso analytics esplicito. Tunnel route /monitoring per bypass ad-blocker. Source maps nascosti al client.

T-09

Protezione anti-bot (Cloudflare Turnstile)

Finalita' (Art. 30.1.b)

Verifica automatica anti-bot sui form di contatto, registrazione e login per prevenire abusi e spam

Base giuridica

Art. 6.1.f

Interessati (Art. 30.1.c)

Utenti che interagiscono con form protetti (contatto, registrazione, login, cambio email)

Categorie dati (Art. 30.1.c)

Indirizzo IP, fingerprint browser, dati di interazione con il widget, token di verifica

Destinatari (Art. 30.1.d)

Cloudflare Inc., San Francisco, CA, USA

Trasferimenti extra-UE (Art. 30.1.e)

USA (Cloudflare) con Clausole Contrattuali Standard (SCCs)

Conservazione (Art. 30.1.f)

Durata della verifica (i dati non vengono conservati dopo la validazione del token)

Misure Art. 32 (Art. 30.1.g)

Nessun cookie di tracciamento. Widget non invasivo (modalità 'managed'). Nessun consenso richiesto — legittimo interesse per sicurezza del servizio.

Ultimo aggiornamento: Aprile 2026

Registro dei Trattamenti

GDPR Art. 30

Registro delle attivita' di trattamento ai sensi dell'Art. 30 del Regolamento (UE) 2016/679 (GDPR).

Titolare del trattamento

IDCERT S.r.l. Societa Benefit

privacy@idcert.io

Ai sensi dell'Art. 37 GDPR, la nomina di un DPO non e' al momento obbligatoria. In caso di variazioni, questa sezione verra' aggiornata.

T-01

Funzionamento tecnico del portale

Finalita' (Art. 30.1.b)

Erogazione del servizio web, routing, rendering pagine

Base giuridica

Art. 6.1.f

Interessati (Art. 30.1.c)

Visitatori del sito

Categorie dati (Art. 30.1.c)

Dati di navigazione (IP anonimizzato, user agent, URL)

Destinatari (Art. 30.1.d)

Vercel Inc. (hosting), Supabase Inc. (database)

Trasferimenti extra-UE (Art. 30.1.e)

USA (Vercel) con SCC; UE (Supabase eu-central-1)

Conservazione (Art. 30.1.f)

Durata della sessione

Misure Art. 32 (Art. 30.1.g)

HTTPS/TLS, CSP, HSTS, X-Frame-Options DENY, IP anonimizzato

T-02

Gestione dei consensi cookie

Finalita' (Art. 30.1.b)

Raccolta e registrazione dei consensi per accountability GDPR

Base giuridica

Art. 6.1.c

Interessati (Art. 30.1.c)

Visitatori del sito

Categorie dati (Art. 30.1.c)

ID sessione anonimo, hash IP (SHA-256 + salt rotante), preferenze cookie, versione policy, user agent

Destinatari (Art. 30.1.d)

Supabase Inc. (database, regione UE)

Trasferimenti extra-UE (Art. 30.1.e)

UE (Supabase eu-central-1)

Conservazione (Art. 30.1.f)

5 anni (obblighi accountability GDPR Art. 5.2)

Misure Art. 32 (Art. 30.1.g)

RLS Supabase, IP anonimizzato SHA-256, CSRF protection, rate limiting

T-03

Gestione delle richieste di contatto

Finalita' (Art. 30.1.b)

Rispondere alle richieste degli utenti inviate tramite il form di contatto

Base giuridica

Art. 6.1.b

Interessati (Art. 30.1.c)

Utenti che compilano il form di contatto

Categorie dati (Art. 30.1.c)

Nome, email, oggetto, messaggio, hash IP, lingua

Destinatari (Art. 30.1.d)

Supabase Inc. (database, regione UE)

Trasferimenti extra-UE (Art. 30.1.e)

UE (Supabase eu-central-1)

Conservazione (Art. 30.1.f)

12 mesi dalla richiesta

Misure Art. 32 (Art. 30.1.g)

RLS Supabase, honeypot anti-bot, CSRF, rate limiting (3 req/10 min), IP anonimizzato

T-04

Google Analytics (condizionato al consenso)

Finalita' (Art. 30.1.b)

Analisi statistica anonima del traffico per migliorare il servizio

Base giuridica

Art. 6.1.a

Interessati (Art. 30.1.c)

Visitatori che acconsentono ai cookie analytics

Categorie dati (Art. 30.1.c)

Dati di navigazione aggregati, IP anonimizzato da Google, cookie _ga

Destinatari (Art. 30.1.d)

Google LLC

Trasferimenti extra-UE (Art. 30.1.e)

USA (Google) con EU-US Data Privacy Framework

Conservazione (Art. 30.1.f)

26 mesi (impostazione GA4)

Misure Art. 32 (Art. 30.1.g)

Attivato SOLO dopo consenso esplicito, anonymize_ip: true, cookie SameSite=Lax;Secure

T-05

Preferenze interfaccia utente

Finalita' (Art. 30.1.b)

Memorizzazione preferenze lingua e tema (chiaro/scuro)

Base giuridica

Art. 6.1.f

Interessati (Art. 30.1.c)

Tutti i visitatori

Categorie dati (Art. 30.1.c)

Codice lingua (NEXT_LOCALE), tema (localStorage 'theme')

Destinatari (Art. 30.1.d)

Nessuno (dati solo locali)

Trasferimenti extra-UE (Art. 30.1.e)

Nessuno

Conservazione (Art. 30.1.f)

NEXT_LOCALE: 12 mesi; theme: fino a cancellazione manuale

Misure Art. 32 (Art. 30.1.g)

Dati tecnici non personali, nessun trasferimento

T-06

Autenticazione utenti

Finalita' (Art. 30.1.b)

Registrazione, accesso e gestione sessione utente tramite Supabase Auth

Base giuridica

Art. 6.1.b

Interessati (Art. 30.1.c)

Utenti registrati

Categorie dati (Art. 30.1.c)

Email, password (hash), nome, avatar URL, ruolo, locale preferito, data creazione

Destinatari (Art. 30.1.d)

Supabase (sub-responsabile, infrastruttura EU/EEA)

Trasferimenti extra-UE (Art. 30.1.e)

Supabase: server EU (aws-eu-central-1). Clausole contrattuali standard (SCCs) attive.

Conservazione (Art. 30.1.f)

Fino a cancellazione account (ON DELETE CASCADE su tutti i dati utente)

Misure Art. 32 (Art. 30.1.g)

Password hashed (bcrypt), cookie HttpOnly/Secure/SameSite=Lax, PKCE flow, RLS su tutte le tabelle, session refresh via proxy

T-07

Gestione dati utente (bookmark, cronologia ricerche, preferenze)

Finalita' (Art. 30.1.b)

Salvataggio preferiti, cronologia ricerche e preferenze personalizzate per utenti autenticati

Base giuridica

Art. 6.1.b

Interessati (Art. 30.1.c)

Utenti registrati

Categorie dati (Art. 30.1.c)

URI risorse salvate, tipo (occupazione/skill/qualifica), titolo, timestamp ricerche, preferenze tema/lingua

Destinatari (Art. 30.1.d)

Supabase (sub-responsabile, infrastruttura EU/EEA)

Trasferimenti extra-UE (Art. 30.1.e)

Supabase: server EU (aws-eu-central-1)

Conservazione (Art. 30.1.f)

Fino a cancellazione account (ON DELETE CASCADE). Bookmark e cronologia eliminabili singolarmente dall'utente.

Misure Art. 32 (Art. 30.1.g)

RLS: ogni utente accede solo ai propri dati. Admin: sola lettura. Prevenzione escalation ruoli via RLS.

T-08

Monitoraggio errori e stabilità (Sentry)

Finalita' (Art. 30.1.b)

Rilevamento e diagnostica errori applicativi per garantire la stabilità del servizio. Session Replay (registrazione sessioni) attivato solo previo consenso analytics.

Base giuridica

Art. 6.1.f / Art. 6.1.a

Interessati (Art. 30.1.c)

Visitatori del sito e utenti registrati

Categorie dati (Art. 30.1.c)

Stack trace errori, URL, user agent, browser. Con consenso analytics: IP, cookie, header HTTP, registrazione interazioni (Session Replay)

Destinatari (Art. 30.1.d)

Functional Software Inc. (Sentry), San Francisco, CA, USA

Trasferimenti extra-UE (Art. 30.1.e)

USA (Sentry) con Clausole Contrattuali Standard (SCCs)

Conservazione (Art. 30.1.f)

90 giorni (impostazione predefinita Sentry)

Misure Art. 32 (Art. 30.1.g)

Modalità base senza PII (legittimo interesse). PII e Session Replay attivati SOLO dopo consenso analytics esplicito. Tunnel route /monitoring per bypass ad-blocker. Source maps nascosti al client.

T-09

Protezione anti-bot (Cloudflare Turnstile)

Finalita' (Art. 30.1.b)

Verifica automatica anti-bot sui form di contatto, registrazione e login per prevenire abusi e spam

Base giuridica

Art. 6.1.f

Interessati (Art. 30.1.c)

Utenti che interagiscono con form protetti (contatto, registrazione, login, cambio email)

Categorie dati (Art. 30.1.c)

Indirizzo IP, fingerprint browser, dati di interazione con il widget, token di verifica

Destinatari (Art. 30.1.d)

Cloudflare Inc., San Francisco, CA, USA

Trasferimenti extra-UE (Art. 30.1.e)

USA (Cloudflare) con Clausole Contrattuali Standard (SCCs)

Conservazione (Art. 30.1.f)

Durata della verifica (i dati non vengono conservati dopo la validazione del token)

Misure Art. 32 (Art. 30.1.g)

Nessun cookie di tracciamento. Widget non invasivo (modalità 'managed'). Nessun consenso richiesto — legittimo interesse per sicurezza del servizio.

Ultimo aggiornamento: Aprile 2026