Informativa Privacy
La presente informativa (di seguito, “Informativa”) descrive le modalità di trattamento dei dati personali degli utenti che utilizzano il sito mandaunlimone.com(di seguito, la “Piattaforma” o il “Servizio”), ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e della normativa privacy italiana applicabile.
Il Servizio consente di inviare un messaggio email a un destinatario indicato dall'utente, con possibilità facoltativa di ricevere una risposta senza rivelare direttamente la propria identità al destinatario stesso.
Importante — chiarimento sull'anonimato.L'identità del mittente non è comunicata al destinatariodel messaggio. Tuttavia, ai fini del funzionamento, della sicurezza, della prevenzione di abusi, dell'erogazione del servizio e dell'adempimento di obblighi di legge, il Titolare e i suoi fornitori tecnici trattano comunque alcuni dati tecnici (es. indirizzo IP, user-agent, identificativi di pagamento, stati del flusso e log). L'anonimato del Servizio è dunque relativo al destinatario, non al fornitore né alle competenti autorità.
1. Titolare del trattamento
mandaunlimone.com
Titolare: mandaunlimone.com
Email: privacy@mandaunlimone.com
Per segnalazioni di abuso: abuse@mandaunlimone.com
Il Titolare non ha designato un Responsabile della Protezione dei Dati (DPO), non ricorrendo, allo stato, i presupposti di obbligatorietà previsti dall'art. 37 GDPR.
2. Dati trattati
2.1 Dati inseriti dall'utente mittente
Email del destinatario
Necessaria per inviare il messaggio richiesto dall'utente.
Contenuto del messaggio
Testo inserito dall'utente per la consegna del messaggio al destinatario.
Firma o pseudonimo (facoltativo)
Informazione inserita liberamente dall'utente e inclusa nel messaggio inviato.
Email del mittente per risposta (facoltativa)
Se fornita, viene utilizzata per consentire la risposta anonima tramite il Servizio e non viene mostrata al destinatario. Può comunque essere trattata dal Titolare per erogazione, sicurezza e prevenzione abusi.
2.2 Dati tecnici
Indirizzo IP del mittente
Sì, viene memorizzato.L'indirizzo IP da cui è effettuato l'invio è registrato nel database del Titolare per finalità di sicurezza, prevenzione di abusi (rate limiting), gestione di eventuali segnalazioni di illecito e collaborazione con le autorità competenti. L'indirizzo IP non viene in alcun caso comunicato al destinatario del messaggio.
Log tecnici di sistema
Log di errore, log di accesso, timestamp delle richieste e user-agent sono trattati dai fornitori di hosting e infrastruttura (Vercel, Supabase, Cloudflare) secondo i loro standard tecnici, per esigenze di diagnosi, sicurezza, prevenzione abusi e disponibilità del Servizio.
Dati relativi al pagamento
I dati completi della carta di pagamento sono trattati direttamente da Stripe e non vengono memorizzati dal Titolare. Il Titolare conserva identificativi tecnici della transazione, stato del pagamento e dati necessari per rimborsi, riconciliazione e adempimenti amministrativi e contabili.
3. Finalità e base giuridica
| Finalità | Base giuridica |
|---|---|
| Erogazione del Servizio e invio del messaggio | Esecuzione del contratto art. 6.1.b GDPR |
| Gestione della risposta anonima, se richiesta dall'utente | Esecuzione del contratto art. 6.1.b GDPR |
| Prevenzione abusi, sicurezza, rate limiting e tutela del Servizio | Legittimo interesse del Titolare art. 6.1.f GDPR |
| Mantenimento della blocklist (opt-out destinatario) | Legittimo interesse a garantire l'effettività del diritto di opposizione del destinatario art. 6.1.f + art. 21 GDPR |
| Log tecnici lato provider (Vercel, Supabase, Cloudflare) | Legittimo interesse a garantire sicurezza, disponibilità e diagnosi del Servizio art. 6.1.f GDPR |
| Gestione dei pagamenti e adempimenti amministrativi o fiscali | Esecuzione del contratto / obbligo legale art. 6.1.b e 6.1.c GDPR |
4. Informativa al destinatario (art. 14 GDPR)
I dati personali del destinatario (in particolare il suo indirizzo email) non sono forniti direttamente dall'interessato, bensì dal mittente che utilizza il Servizio. Si applica pertanto l'art. 14 GDPR.
In ogni email inviata tramite il Servizio è presente, in fondo al messaggio, un link che rinvia alla presente Informativa Privacy. Il destinatario riceve così, contestualmente alla prima ed unica comunicazione che lo riguarda, le informazioni di cui agli artt. 13 e 14 GDPR.
Categorie di dati del destinatario trattati
- Indirizzo email (fornito dal mittente);
- Eventuale email in blocklist (se il destinatario esercita il diritto di opposizione tramite il link “disiscrizione” presente in ogni email).
Fonte dei dati
I dati del destinatario provengono esclusivamente dal mittente, il quale dichiara, accettando i Termini di Servizio, di possedere lecitamente tali dati e di assumersi ogni responsabilità in merito.
Base giuridica del trattamento dell'email del destinatario
Il trattamento dell'indirizzo email del destinatario si fonda su:
- il legittimo interesse del mittente a inviare una comunicazione individuale, occasionale e non commerciale a un destinatario di propria conoscenza (art. 6.1.f GDPR);
- l'esecuzione del contrattostipulato tra mittente e Titolare per l'erogazione del Servizio richiesto (art. 6.1.b GDPR).
Il bilanciamento degli interessi tiene conto del fatto che (i) il Servizio è a pagamento e quindi non scalabile in modalità spam, (ii) ogni email contiene un meccanismo di opposizione one-click conforme RFC 8058, (iii) il messaggio è breve e personale, (iv) il destinatario può comunque esercitare in ogni momento i diritti di cui agli artt. 15-22 GDPR.
5. Natura del conferimento
Il conferimento dell'email del destinatario e del contenuto del messaggio è necessario per utilizzare il Servizio. Il mancato conferimento di tali dati rende impossibile l'invio del messaggio.
L'email del mittente per la risposta anonima è invece facoltativa. Se non viene fornita, la funzione di risposta non sarà disponibile.
6. Destinatari dei dati
I dati possono essere trattati, per conto del Titolare, da fornitori di servizi tecnici strettamente necessari al funzionamento della Piattaforma.
| Fornitore | Finalità |
|---|---|
| Stripe Payments Europe, Ltd. / Stripe, Inc. | Gestione dei pagamenti e dei relativi identificativi tecnici di transazione |
| Supabase, Inc. | Database, storage e infrastruttura applicativa |
| Vercel, Inc. | Hosting dell'applicazione e distribuzione dei contenuti |
| Cloudflare, Inc. | DNS, sicurezza, protezione della rete e performance del sito |
7. Trasferimento extra-UE
Alcuni fornitori tecnici utilizzati dal Servizio, tra cui Supabase, Vercel, Cloudflare e Stripe, potrebbero trattare dati personali anche al di fuori dello Spazio Economico Europeo, inclusi gli Stati Uniti.
In tali casi il trasferimento avviene sulla base di strumenti giuridici previsti dal GDPR, come decisioni di adeguatezza, Clausole Contrattuali Standard (SCC) o altre garanzie appropriate, ove applicabili.
8. Periodo di conservazione
I dati personali sono conservati esclusivamente per il tempo necessario al perseguimento delle finalità per cui sono stati raccolti, secondo i seguenti termini:
Il periodo di 6 mesi per i dati di invio è ritenuto necessario e proporzionato in considerazione di: (i) gestione di reclami, contestazioni e segnalazioni di abuso del destinatario o di terzi; (ii) tutela del Titolare in sede di possibili azioni legali; (iii) eventuali richieste delle competenti autorità giudiziarie; (iv) principio di minimizzazione (art. 5.1.c GDPR) e di limitazione della conservazione (art. 5.1.e GDPR).
I dati possono permanere per un periodo aggiuntivo limitato in copie di backup automatiche dell'infrastruttura (Supabase, AWS RDS), tipicamente non superiore a 7-30 giorni, durante il quale non sono accessibili in produzione. Tali backup sono conservati con cifratura at-rest e accesso ristretto al solo provider.
| Categoria di dati | Conservazione |
|---|---|
| Email destinatario, contenuto del messaggio, eventuale firma | Eliminati automaticamente dal database dopo 6 mesi dall'invio (job giornaliero), salvo richiesta anticipata di cancellazione |
| Email del mittente per risposta anonima | Eliminata automaticamente dopo 6 mesi o su richiesta |
| Indirizzo IP del mittente | Eliminato automaticamente dopo 6 mesi (sicurezza, anti-abuso) |
| Log tecnici di sistema (lato fornitori) | Secondo le politiche dei singoli fornitori (di norma 30-90 giorni) |
| Identificativi transazione Stripe e dati contabili | Conservati per gli obblighi fiscali e di riconciliazione; i dati non necessari vengono eliminati o anonimizzati secondo i tempi interni |
| Email in blocklist (opt-out destinatario) | Conservate a tempo indeterminato per garantire l'effettività del diritto di opposizione, salvo richiesta esplicita di rimozione |
| Email iscritte a blocklist (opt-out destinatario) | A tempo indeterminato per garantire l'effettività dell'opposizione, salvo richiesta di rimozione |
| Dati oggetto di contenzioso o richiesta delle autorità | Per il tempo necessario alla difesa o all'adempimento dell'obbligo |
9. Sicurezza e prevenzione di abusi
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire la riservatezza, l'integrità e la disponibilità dei dati personali, tra cui:
- Trasmissione dei dati esclusivamente tramite protocollo HTTPS/TLS;
- Cifratura at-rest dei dati fornita dall'infrastruttura cloud (Supabase su AWS RDS, abilitata di default);
- Accesso ai dati limitato al Titolare tramite autenticazione e service-role key;
- Verifica della firma HMAC sulle richieste critiche (webhook Stripe, link di disiscrizione);
- Validazione dell'input e protezione contro principali vulnerabilità OWASP.
Misure anti-abuso
Per prevenire utilizzi illeciti e tutelare destinatari, mittenti e terzi, il Titolare adotta in particolare:
- Rate limiting: massimo 10 messaggi ogni 24 ore e 10 risposte ogni ora per indirizzo IP;
- Blocklist destinatari: opt-out permanente del destinatario (link di disiscrizione in ogni email) con rimborso automatico di eventuali successivi tentativi di invio;
- Limite alla lunghezza del messaggio (1200 caratteri) per ridurre il rischio di abuso;
- Friction economica: il prezzo di 0,99€ a messaggio rappresenta una barriera contro automazione e invii massivi a scopo molesto.
Cooperazione con le autorità
In caso di richiesta legittima da parte di autorità giudiziarie, di polizia postale o di altre autorità competenti, il Titolare collabora fornendo i dati di cui dispone (incluso, ove necessario, l'indirizzo IP del mittente, lo user-agent, gli identificativi della transazione di pagamento e lo storico dei blocchi/rimborsi), conformemente all'art. 17 del D.Lgs. 70/2003 e alla normativa applicabile.
Le segnalazioni di abuso da parte di destinatari o terzi possono essere inviate a abuse@mandaunlimone.com e sono valutate caso per caso.
10. Notifica di violazione dei dati (data breach)
Nel caso in cui si verifichi una violazione dei dati personali tale da comportare un rischio per i diritti e le libertà delle persone fisiche, il Titolare provvederà a notificarla all'Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza del fatto (art. 33 GDPR), nonché agli interessati qualora la violazione sia suscettibile di presentare un rischio elevato (art. 34 GDPR).
11. Minori
Il Servizio non è destinato a soggetti di età inferiore a 14 anni, in conformità all'art. 2-quinquies del Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018). I Termini di Servizio richiedono inoltre la maggiore età (18 anni) per l'utilizzo della Piattaforma.
Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora venga a conoscenza di averli raccolti senza adeguato consenso, provvederà alla loro tempestiva cancellazione.
12. Diritti degli interessati (mittente e destinatario)
Tanto il mittente quanto il destinatario sono titolari, nei limiti previsti dagli artt. 15-22 GDPR, dei seguenti diritti:
- Accesso (art. 15) — ottenere conferma dell'esistenza di un trattamento e copia dei propri dati.
- Rettifica (art. 16) — ottenere la correzione di dati inesatti.
- Cancellazione o “diritto all'oblio” (art. 17).
- Limitazione (art. 18) del trattamento.
- Portabilità (art. 20) — ricevere i propri dati in formato strutturato.
- Opposizione (art. 21) — opporsi al trattamento basato su legittimo interesse. Il destinatario può esercitare tale diritto in modo immediato cliccando il link di disiscrizione presente in ogni email ricevuta, ai sensi del meccanismo One-Click di RFC 8058.
- Reclamo (art. 77) — proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (garanteprivacy.it).
Le richieste possono essere inviate a privacy@mandaunlimone.com. Il Titolare risponde entro 30 giorni, prorogabili di ulteriori 60 in caso di complessità (art. 12.3 GDPR).
13. Decisioni automatizzate
Il Titolare non adotta processi decisionali interamente automatizzati o attività di profilazione che producano effetti giuridici o analogamente significativi sugli interessati.
14. Cookie
La Piattaforma utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del sito e all'erogazione del Servizio. In particolare:
| Nome | Finalità | Durata |
|---|---|---|
cookie-consent | Memorizza la preferenza dell'Utente sul banner cookie | 1 anno |
I cookie tecnici sono esenti dal consensoai sensi dell'art. 122 Codice Privacy e dell'art. 5, par. 3, della Direttiva 2002/58/CE (ePrivacy).
La Piattaforma non utilizza cookie di profilazione, analytics di terze parti, pixel pubblicitari, session replay o tecnologie di tracciamento. Non sono attivi Google Analytics, Meta Pixel, Vercel Analytics a pagamento, Hotjar o strumenti analoghi.
Alcuni fornitori terzi possono impostare ulteriori cookie tecnici strettamente necessari al funzionamento e alla sicurezza:
- Stripe: cookie tecnici di sessione e anti-frode durante la fase di checkout sulla propria piattaforma esterna (stripe.com/cookie-settings).
- Cloudflare: cookie tecnici per la sicurezza, la protezione anti-bot e la performance (es.
__cf_bm,cf_clearance). Per dettagli: cloudflare.com/cookie-policy.
Tutti i cookie tecnici sopra indicati sono esenti dal consenso ai sensi dell'art. 122 Codice Privacy.
15. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente Informativa in qualunque momento. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento.