Trattamento dei dati
Questa pagina descrive quali dati personali ConsentForge tratta per tuo conto.
Dati raccolti dai visitatori del tuo sito web
Quando un visitatore interagisce con il banner ConsentForge, vengono raccolti i seguenti dati:
| Dato | Come viene archiviato | Conservazione |
|---|---|---|
| Scelte di consenso (accetta/rifiuta per categoria) | Hashed, nella ricevuta di consenso | 7 anni |
| Timestamp della decisione | UTC, nella ricevuta di consenso | 7 anni |
| Indirizzo IP | Solo hash SHA-256 — l'IP grezzo non viene mai archiviato | 7 anni |
| User agent | Solo hash SHA-256 — l'UA grezza non viene mai archiviata | 7 anni |
| Versione della policy al momento della decisione | Nella ricevuta di consenso | 7 anni |
| Versione del banner al momento della decisione | Nella ricevuta di consenso | 7 anni |
Nessun PII grezzo viene archiviato. Gli indirizzi IP e gli user agent vengono sottoposti a hash unidirezionale prima dell'archiviazione.
Base giuridica per la raccolta dati di ConsentForge
ConsentForge tratta i dati dei visitatori in base agli interessi legittimi (Art. 6(1)(f) GDPR): la registrazione delle decisioni di consenso è necessaria per permetterti di dimostrare la conformità. Questo trattamento è inerente al servizio.
Posizione dei dati
Tutta l'infrastruttura ConsentForge è ospitata nell'Unione Europea (Francoforte, Germania). I dati non lasciano l'UE.
Accordo sul trattamento dei dati
ConsentForge agisce come responsabile del trattamento ai sensi dell'Art. 28 GDPR. Tu (il proprietario del sito web) sei il titolare del trattamento.
Un DPA pre-firmato è disponibile in Dashboard → Account → Legale → Accordo sul trattamento dei dati.
Conservazione delle ricevute di consenso
Le ricevute di consenso vengono conservate per 7 anni per supportare gli obblighi di audit del GDPR. Puoi esportare le ricevute in qualsiasi momento tramite:
- Dashboard → Evidenze → Esporta
- API:
GET /api/v1/receipts
Diritto alla cancellazione (Art. 17 GDPR)
Poiché le ricevute di consenso sono archiviate solo come identificatori hashati (nessun PII grezzo), non è possibile identificare o eliminare i record appartenenti a un individuo specifico — l'hash è irreversibile. Questo design è intenzionale e riduce i tuoi obblighi di cancellazione GDPR per i registri di consenso.
Notifica di violazione dei dati
In caso di violazione dei dati che interessi i dati del tuo tenant, ConsentForge ti notificherà entro 72 ore in conformità con l'Art. 33 GDPR. La notifica verrà inviata all'indirizzo email principale del tuo account.