Cogoleto
IT EN
Privacy

Privacy policy

Come trattiamo i dati personali su cogole.to.

Ultimo aggiornamento: 3 giugno 2026 · Versione: 2026-06-03-v3

Questa informativa descrive come cogole.to tratta i dati personali degli utenti, ai sensi del Regolamento (UE) 2016/679 (GDPR) e del Decreto Legislativo 196/2003 e successive modifiche.

1. Titolare del trattamento

Il sito cogole.to è una guida turistica indipendente del borgo di Cogoleto, gestita a titolo personale da un privato cittadino residente a Cogoleto (GE), Italia, a titolo non professionale e senza scopo di lucro. I contatti per richieste in materia di privacy sono raggiungibili tramite il modulo della pagina Contatti o all'indirizzo [email protected].

Trattandosi di un trattamento su piccola scala, non sistematico e privo di categorie particolari di dati (art. 9 GDPR) o di dati relativi a condanne penali e reati (art. 10 GDPR), non ricorrono i presupposti dell'art. 37 GDPR per la nomina di un Responsabile della Protezione dei Dati (RPD/DPO). Il titolare resta comunque il punto di contatto diretto per ogni questione in materia di protezione dei dati all'indirizzo [email protected].

Poiché il trattamento non è puramente occasionale (cartoline, recensioni, sondaggi, moderazione e accesso con account), il titolare mantiene il registro delle attività di trattamento ai sensi dell'art. 30 GDPR, esibito su richiesta dell'Autorità di controllo (Garante per la protezione dei dati personali).

2. Dati raccolti e finalità

Trattiamo solo i dati strettamente necessari al funzionamento del sito e alle interazioni richieste dagli utenti:

2.1 Visitatori anonimi (nessun account)

  • Log del server web: indirizzo IP, user-agent, pagine visitate, lingua, riferente. Finalità: sicurezza, diagnostica, prevenzione abusi. Base giuridica: legittimo interesse del titolare (art. 6.1.f GDPR). Conservazione: 30 giorni.
  • Cookie tecnici (banner cookie, lingua, sessione): nessun consenso richiesto.
  • Statistiche aggregate (Google Analytics 4): solo con consenso espresso tramite il banner. Conservazione: 24 mesi (default GA4).

2.2 Utenti registrati

  • Identità: email, nome visualizzato, eventuale foto profilo del provider OAuth (Google, Facebook, Instagram, Apple) oppure email magic-link.
  • Provider: identificatore del provider di accesso e — solo nel caso di Instagram — handle pubblico (es. @nomeutente).
  • Contenuti generati: cartoline (foto + didascalia), recensioni, voti ai sondaggi, checkpoint dello scavenger hunt, badge ottenuti.
  • Sessioni: id di sessione lato server, hash dell'IP e dello user-agent (per rilevazione abusi).
  • Registro dei consensi: ogni grant/withdraw cookie viene registrato con timestamp, versione della policy, IP+UA in forma di hash.
  • Log di audit: ogni azione rilevante (login, richiesta export, cancellazione account, ecc.).

Base giuridica per gli utenti registrati:

  • Esecuzione di un servizio richiesto (art. 6.1.b GDPR) per cartoline, recensioni, sondaggi, scavenger hunt.
  • Consenso (art. 6.1.a GDPR) per le statistiche e i cookie non tecnici.
  • Legittimo interesse (art. 6.1.f GDPR) per i log tecnici, antiabuso e moderazione.
  • Obbligo legale (art. 6.1.c GDPR) per i registri di audit e moderazione conservati per gli obblighi di legge.

2.3 Foto delle cartoline

Le foto caricate come "cartoline da Cogoleto" sono moderazione preventiva: nulla è pubblicato senza approvazione. I metadati EXIF (incluse le coordinate GPS) vengono rimossi all'upload per evitare di pubblicare la tua posizione.

2.4 Tempi di conservazione

  • Log del server: 30 giorni.
  • Statistiche (GA4): 24 mesi.
  • Identità dell'account e contenuti generati: conservati finché l'account è attivo; rimossi entro 30 giorni dalla cancellazione (vedi §5).
  • Registro dei consensi: conservato come prova del consenso per la durata dell'account più il periodo di prescrizione applicabile.
  • Log di audit e moderazione: conservati fino a 12 mesi per finalità di adempimento legale.

3. Cookie

Suddividiamo i cookie in cinque categorie:

  • Necessari (sempre attivi): cogoleto_consent (memorizza la tua scelta sul banner), __Host-cogoleto (sessione se hai effettuato l'accesso), cogoleto-lang (lingua preferita), cogoleto-theme (tema chiaro/scuro).
  • Statistiche (opt-in): _ga, _ga_* di Google Analytics 4 — durata 24 mesi.
  • Preferenze (opt-in): cookie locali per ricordare layout, badge ottenuti, ecc.
  • Accesso rapido con Google (One Tap) (opt-in, disattivato di default): carica lo script di Google Identity Services per mostrare automaticamente il riquadro "Accedi con Google" durante la navigazione. Anche senza un clic, il caricamento dello script invia a Google il tuo indirizzo IP, l'URL della pagina, lo user-agent e — se sei già autenticato a Google — l'identità del tuo account. Vedi §3-bis della cookie policy per i dettagli.
  • Marketing: non utilizziamo cookie pubblicitari. La categoria è dichiarata per trasparenza e potrebbe attivarsi in futuro solo con esplicito consenso.

Ogni invio dal sito (contatti, accesso, voti ai sondaggi) è protetto da Google reCAPTCHA v3 come misura anti-abuso / di sicurezza necessaria; installa il cookie tecnico _GRECAPTCHA sul dominio google.com e calcola un punteggio anti-spam. Base giuridica: legittimo interesse alla sicurezza (art. 6.1.f GDPR). Vedi la cookie policy per i dettagli.

Maggiori dettagli nella cookie policy. Puoi modificare le tue scelte in qualsiasi momento cliccando "Gestisci cookie" nel piè di pagina.

4. Destinatari e trasferimenti

I dati sono trattati dal titolare e dai seguenti soggetti terzi, esclusivamente per le finalità descritte:

  • Cloudflare, Inc. (USA / Irlanda) — CDN, DNS, protezione DDoS. Si appoggia alle Clausole Contrattuali Standard UE 2021/914.
  • Google Ireland Ltd. e Google LLC (USA) — solo se autorizzato: Google Analytics 4, Sign-in with Google, Google One Tap (accesso rapido), Google reCAPTCHA v3. Trasferimenti USA: EU-US Data Privacy Framework (Google è auto-certificato) con Clausole Contrattuali Standard UE 2021/914 come garanzia di riserva.
  • Meta Platforms Ireland Ltd. — solo se utilizzi Sign-in with Facebook o Sign-in with Instagram.
  • Apple Distribution International Ltd. (Irlanda) — solo se utilizzi Sign-in with Apple.
  • Servizi tecnici di hosting in Italia (server fisici nel territorio italiano).

Trasferimenti fuori dall'Unione Europea: avvengono solo verso paesi terzi con decisioni di adeguatezza o tramite le Clausole Contrattuali Standard UE (decisione 2021/914). Non sono effettuati trasferimenti basati su altre garanzie.

5. I tuoi diritti (GDPR Articoli 15–22)

In qualsiasi momento puoi esercitare i seguenti diritti:

Diritto Come esercitarlo
Accesso (art. 15) Richiedi un export ZIP completo dei tuoi dati dalla pagina Il mio profilo → I miei dati. Lo ricevi via email entro 7 giorni.
Rettifica (art. 16) Modifica nome, email e foto direttamente da Il mio profilo, o scrivici.
Cancellazione (art. 17 — diritto all'oblio) Click "Cancella il mio account" dalla pagina profilo. Il tuo account viene immediatamente sospeso, ed eliminato definitivamente dopo 30 giorni (finestra di ripensamento). Puoi richiedere l'eliminazione immediata via email.
Limitazione (art. 18) "Sospendi il mio account" dalla pagina profilo. Manteniamo i tuoi dati ma non li elaboriamo finché non riattivi.
Portabilità (art. 20) Lo stesso export dell'art. 15 è in formato JSON aperto, machine-readable, riutilizzabile altrove.
Opposizione (art. 21) Click "Opponiti a statistiche e marketing" dalla pagina profilo, o revoca i consensi cookie dal banner.
Reclamo Hai diritto di proporre reclamo al Garante per la protezione dei dati personali.

Le richieste presentate dal pannello utente vengono eseguite automaticamente in pochi secondi (con email di conferma). Le richieste via email a [email protected] sono evase entro 30 giorni ai sensi dell'art. 12.3 GDPR.

6. Decisioni automatizzate

Non utilizziamo alcuna decisione automatizzata o profilazione produttiva di effetti giuridici sull'interessato (art. 22 GDPR).

7. Sicurezza

Misure tecniche e organizzative adottate:

  • TLS 1.2/1.3 obbligatorio su tutti i sottodomini, con HSTS preload.
  • Cookie di sessione HttpOnly, Secure, SameSite=Lax, con prefisso __Host-.
  • Hash SHA-256 per IP e user-agent nei log applicativi (non conserviamo i valori in chiaro).
  • Password e segreti non esistono per gli utenti finali: l'autenticazione è OAuth/magic-link, senza password da memorizzare.
  • Backup giornalieri cifrati, conservati su due siti separati.
  • Audit log di tutti gli eventi di sicurezza, monitorato.

8. Età minima

Il servizio non è rivolto a minori di 14 anni (soglia di consenso digitale in Italia, art. 2-quinquies Codice Privacy). Se sei un genitore e ritieni che tuo figlio abbia creato un account, scrivici per la cancellazione immediata.

9. Modifiche

Questa informativa è versionata. Quando cambia in modo sostanziale ti chiediamo nuovamente il consenso dal banner. Le versioni precedenti restano disponibili su richiesta a [email protected].