ALBA
IT | EN

Informativa sulla privacy

Privacy Policy

Informativa sul Trattamento dei Dati Personali

(ai sensi degli artt. 13-14 del Regolamento UE 2016/679 — GDPR)

Ultimo aggiornamento: 5 aprile 2026 Versione: 1.0

1. Titolare del Trattamento

Alba Srl Viale Luigi Schiavonetti, 274 — 00173 Roma (RM), Italia P.IVA IT14172031008 — REA RM 1501472 Telefono: +39 06 35298732 Email: info@albasocieta.it

Responsabile della Protezione dei Dati (DPO): [DA COMPILARE — valutare se necessario ai sensi dell'art. 37 GDPR in relazione alla tipologia e scala del trattamento. Se nominato, indicare nome e recapiti. Se non nominato, indicare l'email del referente privacy aziendale.]

2. Ambito di Applicazione e Categorie di Utenti

La presente informativa si applica al sito istituzionale di Alba Srl (di seguito, la "Piattaforma") e descrive due ambiti distinti:

2.1 Area pubblica

Sezione del sito accessibile a chiunque senza autenticazione. Comprende:

  • la home page;
  • le pagine istituzionali "Chi siamo", "Servizi" (Handling & Logistica, Alba Lavoro, Alba Delivery), "Etica" (Certificazioni, Codice Etico, Compliance);
  • la sezione Blog (elenco articoli e pagine di dettaglio);
  • la pagina Contatti, con form di invio messaggio;
  • le pagine legali (Privacy Policy, Cookie Policy, Termini e Condizioni).

In quest'area è presente un form di contatto che raccoglie dati personali dei visitatori che scelgono volontariamente di contattare Alba Srl. È inoltre attivo un sistema di analytics interno che non raccoglie l'indirizzo IP in chiaro (vedi § 3.1).

2.2 Area gestionale riservata

Sezione accessibile all'indirizzo /admin, protetta da autenticazione (email + password) con rate limiting e autenticazione a due fattori (TOTP) opzionale. L'accesso è riservato esclusivamente agli utenti autorizzati dall'azienda (dipendenti e collaboratori con flag is_admin).

Non è prevista alcuna registrazione pubblica autonoma: gli account sono creati e gestiti internamente dall'azienda.

3. Categorie di Dati Personali Trattati

3.1 Dati raccolti da utenti dell'area pubblica (visitatori anonimi)

| Categoria | Dettaglio | Modalità di raccolta | Obbligatorietà | |-----------|-----------|----------------------|----------------| | Dati identificativi e di contatto (form contatti) | Nome, azienda, email, telefono, messaggio di testo libero | Conferimento volontario dell'utente tramite il form presente nelle pagine home e /contatti | Obbligatori: nome, email, messaggio, consenso privacy. Facoltativi: azienda, telefono. | | Consenso al trattamento | Flag di accettazione dell'informativa privacy | Checkbox obbligatoria nel form | Obbligatorio per invio | | Dati di navigazione (analytics pseudonimizzate) | URL visitato, referrer (solo host), user-agent troncato a 120 caratteri, hash non reversibile derivato dall'IP e da un salt giornaliero | Raccolti automaticamente dal middleware TrackPageView ad ogni visita di una pagina pubblica | Raccolti su base di interesse legittimo (vedi § 4) |

Nota importante sul tracciamento visitatori: l'indirizzo IP non viene mai memorizzato in chiaro. Viene sottoposto a hash SHA-256 utilizzando un salt che ruota ogni 24 ore, rendendo matematicamente impossibile risalire all'IP originario anche in caso di accesso al database. Il dato serve esclusivamente a deduplicare le visite ripetute dello stesso visitatore nello stesso giorno sulla stessa pagina, ai fini statistici aggregati. Non viene effettuato alcun profiling individuale.

3.2 Dati raccolti e trattati nell'area gestionale riservata (account aziendali)

| Categoria | Dettaglio | Modalità di raccolta | Obbligatorietà | |-----------|-----------|----------------------|----------------| | Credenziali di accesso | Email (identificativo), password (hash bcrypt rounds 12) | Create dall'amministratore al momento dell'emissione dell'account | Obbligatorie | | Autenticazione a due fattori (opzionale) | Secret TOTP cifrato, codici di recupero cifrati, timestamp di conferma | Generati dal sistema all'attivazione volontaria della 2FA | Facoltativo | | Token "remember me" | Token di sessione persistente | Generato all'opzione "ricordami" durante il login | Facoltativo | | Log di audit (azioni dell'amministratore) | Azione eseguita (es. post.created, post.deleted, password.changed, 2fa.enabled), ID dell'oggetto modificato, valori prima/dopo (subset), indirizzo IP dell'amministratore, user-agent, timestamp | Registrati automaticamente ad ogni azione rilevante sul modello AuditLog | Base legale: interesse legittimo (sicurezza) e obbligo di accountability |

3.3 Dati operativi gestiti tramite la Piattaforma

La Piattaforma consente agli utenti autorizzati di pubblicare e gestire:

  • Articoli del blog (post, traduzioni, categorie, immagini editoriali, documenti allegati) — contenuti editoriali prodotti dall'azienda;
  • Documenti istituzionali (certificazioni, documenti legali in formato markdown);
  • Richieste di contatto ricevute (vedi § 3.1) — consultate dall'amministratore per rispondere;
  • Impostazioni applicative (API key DeepL cifrata, informazioni sulle pagine legali);

I dati dei visitatori raccolti tramite il form di contatto (§ 3.1) sono accessibili agli amministratori autorizzati all'interno dell'area /admin/requests.

3.4 Dati tecnici di sistema

  • Log applicativi (canale daily, rotazione 14 giorni): possono contenere messaggi di errore, IP e URL coinvolti in eventuali eccezioni, finalizzati al debugging e alla manutenzione;
  • Dati di sessione Laravel (driver: database): contengono il riferimento anonimo alla sessione HTTP e, per gli utenti autenticati, l'ID dell'amministratore;
  • Cache applicativa (driver: database): contiene dati derivati (conteggi, elenchi di categorie) non riconducibili a singoli utenti.

4. Finalità e Basi Giuridiche del Trattamento

| Finalità | Dati coinvolti | Base giuridica (GDPR) | Obbligatorietà conferimento | |----------|----------------|------------------------|------------------------------| | Rispondere alle richieste di contatto inviate tramite il form pubblico | Nome, azienda, email, telefono, messaggio | Art. 6.1.b (misure precontrattuali su richiesta dell'interessato) + art. 6.1.a (consenso esplicito alla presente informativa) | Obbligatorio per rispondere | | Invio notifica all'amministratore delle nuove richieste di contatto | Dati del form più sopra | Art. 6.1.f (interesse legittimo del titolare a gestire le richieste ricevute) | Conseguente al punto precedente | | Analisi statistica aggregata delle visite al sito (pseudonimizzata) | Hash non reversibile del visitatore, URL, referrer (solo host), user-agent troncato | Art. 6.1.f (interesse legittimo alla misurazione dell'efficacia dei contenuti, con misure tecniche che rendono il dato non riconducibile all'interessato) | Non richiede conferimento — dato pseudonimizzato | | Gestione delle credenziali e dell'accesso all'area riservata | Email, password (hash), token 2FA, remember-me | Art. 6.1.b (esecuzione del rapporto di lavoro o del contratto di collaborazione) | Obbligatorio per gli utenti autorizzati | | Audit delle operazioni degli amministratori | Log con IP, user-agent, azione, timestamp | Art. 6.1.f (interesse legittimo alla sicurezza IT e alla tracciabilità) + art. 32 GDPR (misure di sicurezza) | Obbligatorio per sicurezza | | Sicurezza informatica (rate limiting, CSRF, HSTS, CSP) | Dati tecnici di navigazione | Art. 6.1.f (interesse legittimo) + art. 32 GDPR | Automatico | | Traduzione automatica dei contenuti editoriali | Contenuto dei post (non dati personali dei visitatori) | Art. 6.1.f (efficienza operativa interna) | Solo contenuti editoriali aziendali | | Adempimenti fiscali e amministrativi correlati al contatto commerciale | Dati dei contatti ricevuti, ove si avvii un rapporto commerciale | Art. 6.1.c (obbligo legale) | Obbligatorio se si instaura rapporto |

5. Periodo di Conservazione

| Tipologia di dato | Durata di conservazione | Criterio | |-------------------|-------------------------|----------| | Richieste di contatto ricevute (nome, email, telefono, messaggio) | 24 mesi dall'ultima interazione | Tempo ragionevole per gestire e archiviare contatti commerciali, dopodiché vengono cancellate salvo che si sia instaurato un rapporto contrattuale | | Richieste di contatto archiviate (flag is_archived) | 24 mesi dall'archiviazione | Coerente con la policy generale | | Analytics pseudonimizzate (PageView) | 12 mesi | Retention statistica standard | | Account amministratore (User) | Per tutta la durata del rapporto + [DA COMPILARE: tempo di conservazione post-cessazione, tipicamente 10 anni per obblighi fiscali e responsabilità civile] | | Log di audit (AuditLog) | 24 mesi | Periodo ragionevole per accertamenti di sicurezza | | Log applicativi (file di log su disco) | 14 giorni | Rotazione automatica (canale daily Laravel) | | Post del blog, documenti, contenuti editoriali | Indefinita (soft-delete) | Materiale editoriale conservato per la durata dell'attività aziendale, con possibilità di ripristino via soft-delete | | Sessioni di login (tabella sessions) | 120 minuti di inattività | Scadenza configurata in SESSION_LIFETIME |

Al termine del periodo di conservazione, i dati vengono cancellati o anonimizzati.

6. Destinatari e Categorie di Destinatari

I dati personali sono accessibili esclusivamente a:

  • Personale interno autorizzato di Alba Srl, incaricato del trattamento per le finalità di cui al § 4 e adeguatamente formato sulle misure di sicurezza;
  • Responsabili esterni del trattamento (art. 28 GDPR):
    • il fornitore di hosting/infrastruttura che ospita i server applicativi e il database — [DA COMPILARE: denominazione e sede del provider hosting, es. Aruba S.p.A., Hetzner, AWS, OVH];
    • il fornitore del servizio SMTP per l'invio delle email transazionali — [DA COMPILARE: denominazione e sede del provider email — cfr. variabile MAIL_HOST in ambiente di produzione];
    • DeepL SE (Colonia, Germania), quale servizio di traduzione automatica utilizzato esclusivamente sui contenuti editoriali aziendali (non sui dati dei visitatori o delle richieste di contatto);
  • Autorità pubbliche (autorità giudiziarie, di pubblica sicurezza, Garante Privacy), unicamente su richiesta e in conformità agli obblighi di legge.

Alba Srl non comunica né trasferisce i dati personali a soggetti terzi per finalità di marketing o profilazione.

7. Trasferimenti Verso Paesi Terzi

I dati personali trattati per conto di Alba Srl risiedono:

  • Database e file applicativi: ospitati in Italia / Unione Europea (Spazio Economico Europeo) — [DA COMPILARE: confermare esatta localizzazione fisica del data center del provider hosting];
  • DeepL API: i contenuti editoriali inviati per la traduzione sono trattati da DeepL SE in Germania (UE), senza trasferimenti extra-SEE, secondo quanto dichiarato dal fornitore nella propria privacy policy;
  • Google Fonts: il caricamento dei font Montserrat e Inter dai server di Google comporta una trasmissione tecnica dell'indirizzo IP del visitatore ai server di Google. Google LLC ha sede negli Stati Uniti; il trattamento avviene sulla base delle garanzie adeguate previste dal Data Privacy Framework UE-USA (decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e dalle Clausole Contrattuali Standard approvate dalla Commissione Europea. I visitatori che desiderano evitare tale trasmissione possono installare estensioni browser che bloccano il caricamento di font esterni;
  • cdn.jsdelivr.net e cdn.tailwindcss.com: CDN utilizzate per servire librerie JavaScript (Chart.js) e framework CSS (solo in alcune pagine amministrative); il trattamento avviene sulla base delle medesime garanzie;
  • YouTube e Vimeo (frame-src consentiti nella Content Security Policy): attivi soltanto se un amministratore incorpora un video tramite l'editor EditorJS in un articolo del blog. In tal caso, la visualizzazione del video comporta l'applicazione delle privacy policy di YouTube LLC (Google) e Vimeo Inc. Il visitatore è libero di non visualizzare il video.

8. Misure di Sicurezza (art. 32 GDPR)

Alba Srl adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. In particolare:

Misure tecniche:

  • Trasmissione cifrata tramite HTTPS obbligatorio con HSTS (max-age 1 anno, includeSubDomains);
  • Password custoditi tramite hash bcrypt con cost factor 12;
  • Autenticazione a due fattori (TOTP) disponibile per gli amministratori;
  • Rate limiting sui tentativi di login (5 tentativi ogni 5 minuti per combinazione email+IP) e sul form di contatto (5 invii al minuto per IP);
  • Secret 2FA e API key DeepL cifrati a riposo nel database (AES-256-CBC);
  • Content Security Policy restrittiva con whitelist di origini fidate;
  • Protezione CSRF su tutte le operazioni di scrittura (token XSRF);
  • Mitigazione SSRF sull'endpoint di anteprima URL (blocco schemi non HTTP/HTTPS, blocco IP privati/loopback/link-local, blocco metadata cloud 169.254.169.254);
  • Sanitizzazione HTML dei contenuti editoriali (HTMLPurifier);
  • Session fingerprinting non effettuato; user-agent troncato a 120 caratteri per l'analytics;
  • IP analytics pseudonimizzato tramite hash SHA-256 con salt giornaliero non reversibile;
  • Header di sicurezza HTTP: X-Frame-Options: SAMEORIGIN, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy restrittiva;
  • Invalidazione di tutte le sessioni dell'utente al cambio password (logoutOtherDevices);
  • Audit log delle azioni amministrative con tracciabilità di chi ha fatto cosa e quando;
  • Soft-delete dei post e documenti per ripristino in caso di cancellazione accidentale.

Misure organizzative:

  • Accesso all'area amministrativa limitato al personale interno tramite flag di autorizzazione (is_admin);
  • Gestione controllata delle credenziali (assenza di registrazione pubblica autonoma);
  • Segregazione dei dati per finalità (analytics pseudonimizzato ≠ richieste contatto ≠ credenziali);
  • Backup dei dati: [DA COMPILARE: frequenza, modalità e ubicazione dei backup; conservazione disgiunta rispetto al sistema produttivo].

9. Diritti degli Interessati

L'interessato può esercitare in qualsiasi momento i seguenti diritti, ai sensi degli artt. 15-22 GDPR:

| Diritto | Articolo | Descrizione | |---------|----------|-------------| | Accesso | Art. 15 | Ottenere conferma del trattamento e copia dei dati personali | | Rettifica | Art. 16 | Correggere dati inesatti o integrare dati incompleti | | Cancellazione ("diritto all'oblio") | Art. 17 | Ottenere la cancellazione dei dati quando ricorrono i presupposti di legge | | Limitazione del trattamento | Art. 18 | Chiedere di sospendere il trattamento nei casi previsti | | Portabilità | Art. 20 | Ricevere i propri dati in formato strutturato e leggibile automaticamente, o chiederne la trasmissione diretta ad altro titolare | | Opposizione | Art. 21 | Opporsi ai trattamenti basati sull'interesse legittimo (es. analytics interno) | | Non essere sottoposto a decisioni automatizzate | Art. 22 | Alba Srl non effettua processi decisionali automatizzati né profilazione sugli utenti | | Revoca del consenso | Art. 7.3 | Revocare in qualsiasi momento il consenso prestato (ad es. tramite il form contatti). La revoca non pregiudica la liceità del trattamento svolto prima della revoca |

Modalità di esercizio: l'interessato può esercitare i propri diritti inviando una richiesta via email all'indirizzo info@albasocieta.it (o all'email del DPO una volta nominato), allegando copia di un documento d'identità per consentire la verifica dell'identità.

Tempo di risposta: Alba Srl risponde senza ingiustificato ritardo e comunque entro 30 giorni dal ricevimento della richiesta, salvo proroghe di legge debitamente motivate.

10. Reclamo all'Autorità di Controllo

L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (art. 77 GDPR):

Piazza Venezia, 11 — 00187 Roma Tel. +39 06 696771 PEC: protocollo@pec.gpdp.it Sito: www.garanteprivacy.it

Resta impregiudicato il diritto di ricorrere all'autorità giudiziaria.

11. Modifiche alla Presente Informativa

Alba Srl si riserva la facoltà di modificare o aggiornare la presente informativa per adeguarla a modifiche normative, a evoluzioni tecniche della Piattaforma o a mutamenti organizzativi interni. In caso di modifiche sostanziali, la nuova versione sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento e del numero di versione. È onere dell'interessato consultare periodicamente il presente documento.

Per i dati già forniti, eventuali modifiche sostanziali delle finalità o delle basi giuridiche saranno comunicate all'interessato tramite i recapiti disponibili.

⚠️ DA COMPLETARE PRIMA DELLA PUBBLICAZIONE

  • [ ] Valutare la nomina del DPO (obbligatoria ai sensi dell'art. 37 GDPR se i trattamenti rientrano nelle ipotesi tassative; altrimenti facoltativa ma consigliata)
  • [ ] Indicare nome e contatti del DPO (se nominato) o del referente privacy aziendale (in ogni caso)
  • [ ] Confermare denominazione e sede del fornitore di hosting + regione del data center
  • [ ] Confermare denominazione e sede del fornitore SMTP (variabile MAIL_HOST di produzione) + eventuale nomina come responsabile del trattamento ex art. 28
  • [ ] Sottoscrivere Data Processing Agreement (DPA) con tutti i responsabili esterni (hosting, SMTP, DeepL)
  • [ ] Documentare frequenza, modalità e ubicazione dei backup
  • [ ] Definire retention esplicita post-cessazione per i dati dell'account amministratore
  • [ ] Implementare la cancellazione automatica delle richieste di contatto dopo 24 mesi (non attualmente presente nel codice — vedi NOTE_LEGALI.md)
  • [ ] Implementare la cancellazione automatica delle PageView dopo 12 mesi
  • [ ] Sottoporre l'informativa a revisione di un legale specializzato in diritto digitale prima della pubblicazione definitiva