Conformità GDPR
Anablabs SAS — DPO: dpo@anablabs.com
URLW è progettato per rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR). Questa pagina descrive i nostri impegni e le nostre pratiche.
1. Il nostro impegno GDPR
In Anablabs, la protezione dei dati personali è una priorità. URLW segue il principio del privacy by design: raccogliamo solo i dati strettamente necessari al servizio e li conserviamo per il tempo minimo richiesto.
- 🇫🇷 Hosting esclusivamente in Francia (OVH Gravelines)
- Nessuna rivendita di dati a terzi
- Nessun cookie pubblicitario o tracker di terze parti
- Dati cifrati in transito (TLS 1.3) e a riposo
2. Sub-responsabili
Conformemente all'articolo 28 del GDPR, ecco i nostri sub-responsabili e i loro ruoli:
| Sub-responsabile | Ruolo | Ubicazione | Garanzia GDPR |
|---|---|---|---|
| OVH SAS | Hosting server (VPS, database) | 🇫🇷 Gravelines, France | Host UE — nessun trasferimento fuori UE |
| Stripe Inc. | Elaborazione pagamenti | 🇺🇸 USA / 🇮🇪 Irlande (EU) | DPA firmato + Clausole Contrattuali Standard UE |
| Amazon Web Services | Invio email transazionali (SES) | 🇮🇪 eu-west-1 (Irlande) | DPA firmato + Addendum UE |
3. Trasferimenti fuori UE
I nostri server principali si trovano in Francia. Nessun trasferimento di dati personali fuori UE per l'hosting.
I flussi email via AWS SES transitano per la regione eu-west-1 (Irlanda, territorio UE). I dati di pagamento elaborati da Stripe possono transitare via USA, regolati da Clausole Contrattuali Standard validate dalla Commissione Europea.
4. Misure di sicurezza
- Cifratura TLS 1.3 su tutte le comunicazioni (HTTPS obbligatorio)
- Password hashate con bcrypt (alto fattore di costo)
- Chiavi API con hashing SHA-256 per un accesso API sicuro
- Accesso limitato ai dati: ogni utente accede solo ai propri link
- Backup giornalieri cifrati dei database
- Firewall applicativo e rate limiting
- Log di sicurezza conservati 30 giorni
- Aggiornamenti regolari delle dipendenze software
5. Registro dei trattamenti
| Trattamento | Base giuridica | Dati coinvolti | Durata |
|---|---|---|---|
| Gestione degli account utente | Contratto | Email, password hashata | Durata dell'account |
| Fornitura del servizio di abbreviazione | Contratto | URL, codici brevi | Durata dell'account |
| Statistiche di clic | Interesse legittimo | Contatori aggregati | Durata dell'account |
| Fatturazione | Obbligo legale | Dati di transazione (via Stripe) | 10 anni |
| Invio di email transazionali | Contratto | Indirizzo email | Durata dell'account |
| Log di sicurezza | Interesse legittimo | IP, user-agent, timestamp | 30 giorni |
6. Procedura in caso di violazione
In caso di violazione dei dati a carattere personale, Anablabs si impegna a:
- Notificare all'autorità competente entro 72 ore dall'acquisizione della violazione
- Informare gli utenti interessati senza ingiustificato ritardo se la violazione è suscettibile di generare un rischio elevato per i loro diritti
- Documentare qualsiasi violazione nel nostro registro interno
- Adottare le misure correttive necessarie
Per segnalare una vulnerabilità di sicurezza: dpo@anablabs.com
7. Diritto all'oblio
Hai il diritto di richiedere la cancellazione completa del tuo account e di tutti i tuoi dati personali. La procedura è la seguente:
- Invia la tua richiesta a dpo@anablabs.com dall'indirizzo email del tuo account
- Confermiamo la ricezione entro 48 ore
- La cancellazione effettiva viene eseguita entro 30 giorni
- I dati di fatturazione vengono conservati 10 anni (obbligo legale)
Dati eliminati a seguito di una richiesta di oblio:
- ✓ Account utente (email, password)
- ✓ Tutti i link abbreviati e le loro statistiche
- ✓ Cronologia di utilizzo
- ✓ Log associati (con riserva del periodo legale)
8. Contatto DPO
Il nostro Responsabile della Protezione dei Dati (DPO) è disponibile per qualsiasi domanda relativa al GDPR o all'esercizio dei tuoi diritti:
Email: dpo@anablabs.com
Tempo di risposta: max. 30 giorni
Autorità di controllo: CNIL (cnil.fr)