Informativa sulla privacy

Il titolare del trattamento dei dati personali raccolti tramite il servizio Incipite è:

Incipite calcola l'impronta crittografica SHA-256 del tuo file direttamente nel tuo browser. Il file originale non lascia mai il tuo dispositivo.

Solo l'impronta (64 caratteri esadecimali) viene trasmessa ai nostri server. Incipite non ha accesso ad alcun elemento del contenuto delle tue opere.

I seguenti dati vengono raccolti durante l'utilizzo del servizio:

• ·Dati dell'account: conservati per la durata dell'account + 3 anni dopo la chiusura, o fino alla richiesta di cancellazione.
• ·Impronte certificate: conservate a tempo indeterminato per mantenere la verificabilità pubblica dei certificati emessi.
• ·Dati di pagamento: conservati da Stripe in conformità con i loro obblighi legali.
• ·Log tecnici: 90 giorni a rotazione.

Incipite utilizza i seguenti fornitori, ciascuno vincolato ai propri impegni GDPR:

• ClerkAutenticazione e gestione account — Stati Uniti (SCC + DPF)
• SupabaseDatabase — archiviazione impronte e metadati (UE/Singapore, SCC)
• VercelHosting dell'applicazione — Stati Uniti (SCC + DPF)
• StripeElaborazione pagamenti — Stati Uniti / Irlanda (SCC + DPF)
• ResendInvio email transazionali — Stati Uniti (SCC)
• UpstashCache e rate limiting — UE (GDPR diretto)
• SentryTracciamento errori applicativi — Stati Uniti (SCC + DPF) — email e identificatori sanitizzati prima dell'invio
• UmamiAnalytics anonimi senza cookie — UE (GDPR diretto)
• cron-job.orgTrigger cron esterno (trasporta solo un segreto di autenticazione — nessun dato personale) — UE (Germania)
• OpenTimestampsAncoraggio su blockchain Bitcoin (riceve solo l'impronta SHA-256)

Nessun dato personale (nome, email, data di nascita) viene trasmesso a OpenTimestamps, Umami, cron-job.org o Upstash. Viene inviata solo l'impronta crittografica anonima a OpenTimestamps.

Trasferimenti fuori UE:i trasferimenti verso gli Stati Uniti (Clerk, Vercel, Stripe, Resend, Sentry) sono regolati dalle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea (Decisione 2021/914) e, ove applicabile, dall'auto-certificazione al Data Privacy Framework UE-Stati Uniti (Decisione di adeguatezza 2023/1795 del 10 luglio 2023).

Stato dell'hash SHA-256:in linea con la sentenza CGUE C-582/14 (Breyer, 2016), un'impronta crittografica SHA-256 di un file non identifica per costruzione una persona fisica (resistenza crittografica alla pre-immagine) e non costituisce quindi dato personale considerata isolatamente. È la sua congiunzione con il tuo identificatore di account a costituire il trattamento sopra descritto.

Ai sensi del GDPR, hai i seguenti diritti sui tuoi dati personali:

• ·Accesso — Ottenere una copia dei tuoi dati.
• ·Rettifica — Correggere dati inesatti.
• ·Cancellazione — Eliminare i tuoi dati (con limitazioni legali).
• ·Portabilità — Ricevere i tuoi dati in formato strutturato.
• ·Opposizione — Opporsi a determinati trattamenti.
• ·Limitazione — Limitare il trattamento in caso di contestazione.

Per esercitare i tuoi diritti: legal@incipite.com. Risposta entro 30 giorni. Puoi anche presentare un reclamo all'Autorità di controllo — in Italia: Garante per la protezione dei dati personali (garanteprivacy.it); negli altri stati UE: l'autorità di controllo locale.

Incipite utilizza un numero minimo di cookie strettamente necessari al funzionamento del servizio:

• ·Cookie di sessione Clerk — mantiene l'autenticazione. Durata: sessione.

Nessun cookie pubblicitario. Nessun tracker analitico di terze parti.

Incipite implementa le seguenti misure tecniche e organizzative:

• ·Cifratura TLS in transito su tutte le comunicazioni.
• ·Accesso al database tramite Row-Level Security (RLS).
• ·Chiavi segrete gestite tramite variabili di ambiente cifrate (Vercel).
• ·Rate limiting per utente per prevenire abusi.
• ·Nessuna archiviazione lato server del contenuto dei file.

Qualsiasi modifica sostanziale sarà notificata via email con 15 giorni di preavviso. La versione corrente è sempre accessibile all'indirizzo incipite.com/it/confidentialite.