Privacy Policy

Art. 1Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il sito www.rivaltasulmincio.it è:

Il sito è una piattaforma editoriale comunitaria locale che consente ai residenti di pubblicare articoli, commentare e interagire su temi legati al territorio di Rivalta sul Mincio e comuni limitrofi.

Art. 2Tipologie di dati raccolti

2.1  Visitatori non registrati

Il sito non raccoglie direttamente dati personali dai visitatori anonimi. I servizi di terze parti incorporati (jsDelivr, Vercel) possono ricevere l'indirizzo IP e i dati tecnici del browser del visitatore nell'ambito delle normali operazioni di rete. Per i dettagli si rimanda alla sezione 4 e alla Cookie Policy.

2.2  Utenti che si registrano

Durante la registrazione vengono raccolti:

• Indirizzo email (obbligatorio) — autenticazione e comunicazioni di servizio
• Password (obbligatoria) — mai memorizzata in chiaro; conservata con hashing crittografico sicuro tramite Supabase Auth
• Username (obbligatorio) — nome utente pubblico e univoco
• Nome visualizzato (obbligatorio) — nome pubblico scelto dall'utente
• Comune di residenza/riferimento (obbligatorio) — una tra: Rivalta sul Mincio, Rodigo, Fossato, Fuori comune
• Biografia breve (obbligatoria) — testo libero, visibile sul profilo pubblico
• Avatar emoji e colore (obbligatori) — scelti da set predefiniti, visibili sul profilo
• Consenso alle regole della comunità — data, ora e versione delle regole accettate, registrate con timestamp

2.3  Dati generati dall'attività dell'utente registrato

• Articoli: titolo, testo, categoria, illustrazione, stato (bozza/pubblicato), data di pubblicazione
• Commenti: testo, data e ora
• Interazioni: like agli articoli con timestamp
• Segnalazioni: motivo della segnalazione di contenuti abusivi
• Notifiche: traccia delle interazioni ricevute (commenti, like sui propri articoli)
• Preferenze di accessibilità: dimensione testo, contrasto, tema — salvate in forma anonima nel browser e opzionalmente sincronizzate con il server

2.4  Dati tecnici

La piattaforma di backend (Supabase) registra i timestamp di ogni operazione (created_at, updated_at, published_at). Supabase può registrare l'indirizzo IP delle richieste API nell'ambito dei propri log interni.

Art. 3Finalità e base giuridica del trattamento

Art. 4Destinatari e trasferimento dei dati

I dati personali degli utenti sono trattati dai seguenti fornitori (Responsabili del trattamento):

Supabase Inc. — database e autenticazione. I dati sono ospitati su infrastruttura Amazon Web Services (AWS) e possono essere trasferiti al di fuori dell'Unione Europea. Supabase è certificato SOC 2 Type II e adotta Clausole Contrattuali Standard (SCC) per i trasferimenti extra-UE. Informativa: supabase.com/privacy.

jsDelivr (Prospect One) — CDN per la distribuzione della libreria Supabase JS. Riceve l'indirizzo IP del visitatore nella fase di scaricamento del file ma non imposta cookie. Informativa: jsdelivr.com/privacy-policy.

Vercel Inc. — hosting e CDN del sito. Vercel gestisce tutte le richieste HTTP al sito e può ricevere l'indirizzo IP del visitatore nell'ambito dei propri log di infrastruttura. I dati vengono trattati secondo la politica di Vercel per i dati del cliente. Informativa: vercel.com/legal/privacy-policy.

Art. 5Periodo di conservazione

• Dati dell'account: conservati per tutta la durata del rapporto e fino a richiesta di cancellazione dell'utente o decisione del Titolare
• Articoli e commenti: conservati finché l'utente non li elimina manualmente o il Titolare non interviene per motivi di moderazione
• Like e notifiche: per la durata dell'account
• Segnalazioni: per il tempo necessario alla gestione della moderazione
• Dati di rate limiting (localStorage): si azzerano automaticamente allo scadere della finestra temporale (da 10 minuti a 24 ore a seconda del tipo)
• Token di sessione: scadono automaticamente secondo le policy di Supabase Auth; l'utente può revocarli in qualsiasi momento effettuando il logout

Art. 6Diritti dell'interessato

Ai sensi degli artt. 15–22 del Regolamento (UE) 2016/679 (GDPR), l'interessato ha il diritto di:

• Accesso (art. 15): ottenere conferma del trattamento e copia dei propri dati personali
• Rettifica (art. 16): correggere dati inesatti — esercitabile direttamente dalle impostazioni del profilo
• Cancellazione (art. 17): richiedere la cancellazione dell'account e dei dati associati
• Limitazione (art. 18): ottenere la limitazione del trattamento in specifiche circostanze
• Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile da macchina
• Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
• Revoca del consenso: revocare il consenso prestato, senza pregiudicare la liceità del trattamento svolto in precedenza

Per esercitare i propri diritti, l'interessato può contattare il Titolare all'indirizzo: info@prolocorivalta.mn.it

Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta. L'interessato ha inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

Art. 7Sicurezza dei dati

Il Titolare adotta le seguenti misure tecniche e organizzative per proteggere i dati personali:

• Trasmissione cifrata via HTTPS/TLS per tutte le comunicazioni
• Password archiviate con hashing crittografico sicuro gestito da Supabase Auth — mai memorizzate in chiaro
• Controllo degli accessi a livello di riga del database (Row Level Security — RLS): ogni utente può accedere solo ai propri dati
• Meccanismi di rate limiting per prevenire attacchi brute-force e spam
• Filtro automatico dei contenuti per parole vietate, lato browser e lato database (trigger PostgreSQL)
• Header HTTP di sicurezza: X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy, Permissions-Policy (vieta esplicitamente accesso a geolocalizzazione, microfono e fotocamera)
• Pannello di amministrazione protetto da autenticazione separata con ruolo verificato

Art. 8Minori

Il sito non è destinato a minori di 16 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora venisse rilevata la registrazione di un minore, i relativi dati saranno cancellati tempestivamente. I genitori o tutori che ritengano che il proprio figlio abbia fornito dati personali sono invitati a contattare il Titolare.

Art. 9Modifiche alla presente policy

Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche sostanziali saranno comunicate agli utenti registrati tramite avviso sul sito o notifica via email. La versione aggiornata sarà sempre disponibile su questa pagina con indicazione della data di ultimo aggiornamento. L'utilizzo continuato del sito successivamente alla pubblicazione delle modifiche costituisce accettazione delle stesse.

Art. 10Contatti

Per qualsiasi domanda o richiesta relativa al trattamento dei dati personali: