Privacy Policy

1. Titolare del trattamento

Titolare del trattamento è WPsec.it - P.IVA 03738170780 - Italia.

Email: info@wpsec.it - PEC: secmail@pec.it.

Contatto dedicato per richieste privacy: privacy@wpsec.it. A questo indirizzo è possibile esercitare i diritti di cui agli artt. 15-22 GDPR e ottenere chiarimenti sul trattamento dei dati personali.

Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, in quanto non sussistono i presupposti previsti dalla norma. Per ogni richiesta privacy fa fede l'indirizzo privacy@wpsec.it.

2. Tipologie di dati trattati

• Dati di contatto (nome, email, URL del sito, eventuali messaggi) inviati attraverso form, email o chat.
• Dati di navigazione raccolti automaticamente da server, log applicativi e cookie tecnici/analitici.
• Credenziali e dati tecniciforniti dal Cliente per consentire l'esecuzione dei servizi (accessi, configurazioni, export di backup, log).
• Dati di fatturazione per i Clienti contrattualizzati (ragione sociale, P.IVA, indirizzo, dati di pagamento).
• Dati dello scanner (URL del sito sottoposto a scansione, eventuale email per ricevere il report, indirizzo IP, log tecnici) raccolti tramite lo strumento gratuito su scanner.wpsec.it.
• Log di prova del consenso ai cookie (user-agent, pathname, timestamp e indirizzo IP lato server) registrati al momento della scelta sul banner cookie.

3. Finalità e basi giuridiche

• rispondere alle richieste di contatto - art. 6.1.b) GDPR (misure precontrattuali) e art. 6.1.f) (legittimo interesse a gestire le comunicazioni);
• eseguire il contratto e i relativi servizi tecnici - art. 6.1.b);
• adempiere obblighi legali, contabili e fiscali - art. 6.1.c);
• analytics anonimi sull'uso del sito - art. 6.1.a) (consenso);
• gestione della chat e supporto - art. 6.1.b) e art. 6.1.f);
• erogazione dello strumento gratuito di scansione e invio del report all'email indicata - art. 6.1.b) (misura precontrattuale/erogazione del servizio richiesto) e art. 6.1.f)(legittimo interesse alla sicurezza e all'analisi del proprio strumento);
• conservazione del log di prova del consenso ai cookie - art. 6.1.c)in relazione all'obbligo di dimostrare il consenso prestato (art. 7.1 GDPR).

4. Periodo di conservazione

• richieste di contatto: massimo 24 mesi dall'ultima interazione, salvo necessità giuridica;
• dati contrattuali, fiscali e contabili: 10 anni come da normativa;
• credenziali tecniche fornite dal Cliente: rimosse al termine dell'intervento o, per la manutenzione continuativa, alla cessazione del rapporto;
• log di sicurezza e log della chat: in ottica di tutela e troubleshooting, fino a 24 mesi;
• dati dello scanner (URL, email, IP, log tecnici): fino a 12 mesi, dopodiché vengono cancellati o anonimizzati; l'email indicata per ricevere il report è rimossa entro 12 mesi salvo che l'utente non diventi Cliente o richieda di essere ricontattato;
• log di prova del consenso ai cookie: 24 mesi dalla registrazione del consenso, coerentemente con la durata della scelta espressa, quale prova del consenso ai sensi dell'art. 7.1 GDPR.

5. Comunicazione e destinatari

I dati raccolti tramite il sito wpsec.it possono essere trattati da soggetti incaricati e da responsabili esterni nominati ai sensi dell'art. 28 GDPR. Per garantire trasparenza, l'elenco nominale dei principali destinatari è il seguente:

• Cloudflare, Inc. (USA) - CDN, sicurezza perimetrale DDoS, DNS e log di traffico tecnico per il dominio wpsec.it.
• Google LLC / Google Ireland Ltd. - Google Analytics 4, attivato solo dopo consenso esplicito tramite banner, per misurare in forma aggregata visite, eventi e conversioni del sito.
• Piattaforma di assistenza gestita dal Titolare - gestione delle conversazioni di chat, continuità del contatto e pre-qualifica delle richieste.
• Sistema di generazione linguistica per Bob AI- elaborazione dei messaggi della chat per generare risposte automatiche dell'assistente. WPsec.it applica regole interne di minimizzazione: la chat non deve essere usata per inviare password, chiavi API, token, dati di pagamento o altri dati sensibili.
• Provider di hosting e PEC per la conservazione del sito e delle comunicazioni email/PEC istituzionali.
• Paymenter (portale clienti su clients.wpsec.it) - gestione degli ordini, dell'area riservata e del ciclo di fatturazione/pagamento. Tratta i dati in qualità di Responsabile ai sensi dell'art. 28 GDPR. Base giuridica: art. 6.1.b) (esecuzione del contratto).
• PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A.) - gateway di pagamento. PayPal tratta i dati di pagamento in qualità di titolare autonomo del trattamento per le finalità di esecuzione e sicurezza dei pagamenti; si rinvia alla informativa privacy di PayPal. Base giuridica: art. 6.1.b).
• Fiscozen S.p.A. - intermediario per la fatturazione elettronica e gli adempimenti fiscali del regime forfettario, in qualità di Responsabile del trattamento. Base giuridica: art. 6.1.c) (obbligo legale, contabile e fiscale).
• professionisti contabili e fiscali in regime di riservatezza;
• autorità competenti, ove previsto dalla legge.

Notifiche operative interne (Telegram). Per la gestione operativa interna del team il flusso di lavoro può generare notifiche verso Telegram. Tali notifiche contengono esclusivamente un codice di riferimento non personale e non includono dati personali, credenziali o contenuti riconducibili a un interessato identificato o identificabile. Telegram non è pertanto destinatario di dati personali e non agisce come Responsabile del trattamento per i dati degli interessati.

Importante - servizi su ambienti del Cliente: nei servizi tecnici resi al Cliente (bonifica malware, hardening, manutenzione) il Cliente conserva il proprio hosting, CDN, registrar e ogni servizio terzo. WPsec.it non introduce sub-fornitori sui sistemi del Cliente: si limita ad accedere agli ambienti già esistenti per eseguire le attività concordate. Per gli aspetti specifici si rinvia al DPA.

I dati non vengono ceduti a terzi per finalità di marketing né utilizzati per profilazione pubblicitaria.

6. Trasferimenti extra-UE

Alcuni fornitori tecnici (in particolare CDN, analytics e sistemi AI) possono trattare dati al di fuori dello Spazio Economico Europeo, prevalentemente negli Stati Uniti. Il trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 e, ove applicabile, della certificazione EU-U.S. Data Privacy Framework. Sono adottate misure tecniche e organizzative aggiuntive (cifratura in transito TLS, anonimizzazione IP, pseudonimizzazione) ai sensi del Capo V del GDPR.

Anche PayPal, in qualità di titolare autonomo, può trattare dati di pagamento al di fuori dello Spazio Economico Europeo secondo gli strumenti di trasferimento descritti nella propria informativa. Paymenter e Fiscozen trattano i dati su infrastrutture collocate nello Spazio Economico Europeo; ove un singolo fornitore impieghi sub-fornitori extra-UE, il trasferimento è coperto dalle medesime garanzie del Capo V del GDPR.

7. Trattamenti dello strumento di scansione (scanner.wpsec.it)

Lo strumento gratuito di scansione disponibile su scanner.wpsec.itconsente all'utente di analizzare un sito WordPress. Per erogare il servizio vengono trattati: l'URL del sito inserito, l'eventuale indirizzo email indicato per ricevere il report della scansione, l'indirizzo IP del richiedente e i log tecnici della richiesta.

Finalità:eseguire la scansione richiesta, inviare il relativo report all'email indicata, garantire la sicurezza e la prevenzione degli abusi dello strumento, analizzarne in forma aggregata l'utilizzo. Basi giuridiche: esecuzione del servizio richiesto e misura precontrattuale (art. 6.1.b)) e legittimo interesse alla sicurezza e al miglioramento dello strumento (art. 6.1.f)). Conservazione:i dati della scansione e i relativi log sono conservati fino a 12 mesi, dopodiché cancellati o anonimizzati; l'email non viene utilizzata per finalità di marketing in assenza di consenso autonomo.

8. Log di prova del consenso ai cookie (consent-log)

Quando l'utente effettua una scelta sul banner cookie, il sistema registra un log tecnico di prova del consenso (trasmesso al servizio su scanner.wpsec.it) contenente: user-agent, pathname della pagina, timestamp e indirizzo IP rilevato lato server al momento della scelta. Tale log non è utilizzato per profilazione né incrociato con altri dati a fini di marketing.

Finalità:conservare la prova del consenso (o del diniego) prestato dall'utente in materia di cookie. Base giuridica:adempimento dell'obbligo di dimostrare il consenso ai sensi dell'art. 7.1 GDPR (art. 6.1.c)). Conservazione: 24 mesi dalla registrazione, in linea con la durata della scelta espressa, dopodiché il log viene cancellato. Per i dettagli sui cookie si rinvia alla Cookie Policy.

9. Misure di sicurezza e data breach

Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR: cifratura TLS in transito, controllo accessi amministrativi tramite autenticazione forte, segregazione degli ambienti, log di audit, backup cifrati e procedure di gestione delle credenziali. In caso di violazione di dati personali (data breach) che comporti un rischio per i diritti e le libertà degli interessati, il Titolare provvede a notificare la violazione al Garante entro 72 ore ai sensi dell'art. 33 GDPR e a comunicarla agli interessati, quando previsto dall'art. 34 GDPR.

10. Diritti dell'interessato

L'interessato può esercitare in qualsiasi momento i seguenti diritti previsti dal GDPR:

• art. 15 - accesso ai propri dati personali;
• art. 16 - rettifica dei dati inesatti;
• art. 17- cancellazione (“diritto all'oblio”);
• art. 18 - limitazione del trattamento;
• art. 20 - portabilità dei dati in formato strutturato;
• art. 21 - opposizione al trattamento basato su legittimo interesse;
• art. 22 - non essere sottoposti a decisioni esclusivamente automatizzate;
• art. 7.3 - revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.

Le richieste possono essere inviate al contatto privacy dedicato privacy@wpsec.it o, in alternativa, a info@wpsec.it. Il Titolare risponde entro 30 giorni dal ricevimento della richiesta (art. 12.3 GDPR), prorogabili di altri 60 giorni in caso di complessità.

È inoltre possibile proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) o al Garante dello Stato membro UE di residenza abituale.

11. Conferimento facoltativo e conseguenze del rifiuto

Il conferimento dei dati richiesti dai form di contatto è facoltativo. Il rifiuto comporta unicamente l'impossibilità di rispondere alla richiesta inviata. Per i Clienti contrattualizzati, il conferimento di dati di fatturazione, identificazione e accessi tecnici è necessario per l'esecuzione del contratto e per gli obblighi di legge: il rifiuto rende impossibile l'erogazione dei servizi.

12. Decisioni automatizzate e profilazione

Il Titolare non effettua decisioni automatizzate o profilazione ai sensi dell'art. 22 GDPR. L'assistente automatico “Bob” risponde a quesiti tecnici di assistenza ma non determina alcuna decisione che produca effetti giuridici o significativi sull'interessato.

Per informazioni sintetiche sul funzionamento dell'assistente, sui suoi limiti e sull'intervento umano si rinvia alla pagina Trasparenza AI.

13. Cookie

Per i dettagli sui cookie utilizzati, sulle finalità, sulla durata e sui provider terzi, si rinvia alla Cookie Policy.

14. Pagine correlate

• Cookie Policy - cookie tecnici, analitici, chat e consenso.
• Termini e condizioni - condizioni generali, manleva, responsabilità e garanzie.
• Data Processing Agreement - trattamento dati per conto dei Clienti nei servizi tecnici.
• Garanzia commerciale - condizioni della garanzia volontaria quando prevista.
• Trasparenza AI- funzionamento, limiti e supervisione dell'assistente AI.

15. Modifiche

La presente informativa può essere aggiornata per riflettere modifiche normative o organizzative. La versione vigente è sempre disponibile su questa pagina, con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali alle finalità del trattamento, gli interessati saranno avvisati in modo adeguato.