Privacy Policy

Ultimo aggiornamento: 17/02/2026

La presente informativa descrive le modalità di gestione del sito web agnesefebbraro.it in riferimento al trattamento dei dati personali degli utenti che lo consultano, ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR).

1. Titolare del Trattamento

Il Titolare del trattamento è Agnese Febbraro.
Sede: Largo Igino Garbini 7, 01100 Viterbo (VT)
P.IVA: 02410790568
Tel: 07611430083
Email di contatto: info@agnesefebbraro.it

2. Tipologia di Dati Trattati

Dati di navigazione: I sistemi informatici preposti al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (es. indirizzi IP, orari delle richieste).

Dati di analytics: Con il consenso dell'utente, vengono trattati dati di navigazione in forma aggregata tramite Google Analytics 4. Quando l'utente fornisce il consenso, può essere attiva anche la funzionalità Google Signals, che consente l'associazione dei dati con gli account Google degli utenti che hanno effettuato l'accesso e prestato il consenso nei propri account. Il sito non invia dati forniti dagli utenti (es. email) a Google Analytics; l'eventuale attivazione futura avverrà solo con consenso esplicito e nel rispetto delle norme applicabili.

Dati forniti volontariamente dall'utente: L'invio facoltativo, esplicito e volontario di messaggi agli indirizzi di contatto o la compilazione dei moduli di contatto comporta la successiva acquisizione dell'indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti.
In caso di iscrizione alla Newsletter, viene raccolto e conservato l'indirizzo email dell'utente fino a revoca del consenso (disiscrizione). L'utente può disiscriversi in qualsiasi momento tramite il link presente in ogni comunicazione o contattando il Titolare.

Dati dell'Area Riservata: Per l'accesso e l'utilizzo dell'Area Clienti, trattiamo:

  • Credenziali di autenticazione (email e password crittografata).
  • Documenti fiscali, amministrativi e personali caricati dallo Studio per il Cliente.
  • Documenti caricati autonomamente dal Cliente (es. ricevute, documenti d'identità).
  • Log di sistema (Audit Logs) che tracciano caricamenti, download ed eliminazioni per finalità di sicurezza e accountability. Tali log vengono conservati per 2 anni e poi eliminati automaticamente.
  • Dati identificativi aggiuntivi (nome e cognome, "alias") associati al Cliente esclusivamente per uso interno dello Studio, al fine di facilitare la gestione amministrativa. Tali dati non vengono condivisi con terzi e sono visibili solo al Titolare.

2.1 Gestione delle Password e Sicurezza delle Credenziali

Per garantire la massima sicurezza e riservatezza, il Titolare del trattamento (lo Studio) non ha alcuna conoscenza delle password dei Clienti. Le password sono gestite secondo i seguenti principi:

  • Password iniziale temporanea: Al momento dell'invito all'Area Riservata, viene generata una password temporanea che viene comunicata al Cliente esclusivamente via email crittografata (TLS). Tale password non viene memorizzata in chiaro nei nostri sistemi.
  • Crittografia delle password: Tutte le password sono sottoposte a hashing crittografico unidirezionale (bcrypt/argon2) prima della memorizzazione. Ciò significa che anche in caso di accesso non autorizzato ai database, le password originali non possono essere ricostruite.
  • Nessun accesso da parte dello Studio: Il Titolare e i suoi collaboratori non possono in alcun modo visualizzare, recuperare o conoscere le password dei Clienti. In caso di smarrimento, il Cliente deve utilizzare la procedura di reset password.
  • Cambio obbligatorio: Si consiglia vivamente di modificare la password temporanea al primo accesso tramite l'apposita funzione nell'Area Riservata.
  • Autenticazione a Due Fattori (MFA/2FA): È disponibile la possibilità di attivare l'autenticazione a due fattori (TOTP) per un ulteriore livello di sicurezza. La disattivazione del 2FA richiede una doppia verifica (parola di sicurezza e password) per prevenire rimozioni non autorizzate.

3. Finalità e Base Giuridica

I dati sono trattati per le seguenti finalità:

  • Erogazione dei servizi: Per rispondere alle richieste di informazioni, fornire consulenza e gestire lo scambio documentale sicuro tramite l'Area Riservata (Base giuridica: Esecuzione di un contratto).
  • Newsletter: Per l'invio periodico di aggiornamenti fiscali, scadenze e notizie rilevanti (Base giuridica: Consenso dell'utente, revocabile in qualsiasi momento).
  • Sicurezza Informatica e Antispam: Per garantire l'integrità del sito, prevenire accessi non autorizzati, verificare l'autenticità dei file caricati (tramite analisi "Magic Bytes") e proteggere i moduli di contatto da spam e bot automatizzati (Base giuridica: Legittimo interesse del Titolare e obbligo di legge ex art. 32 GDPR).
  • Adempimenti legali: Per adempiere agli obblighi previsti dalla legge, inclusi quelli fiscali e contabili (Base giuridica: Obbligo legale).
  • Statistica e misurazione avanzata: Per analizzare l'uso del sito e migliorare la misurazione di utenti e conversioni tramite Google Analytics 4 e Google Signals, esclusivamente previo consenso (Base giuridica: Consenso dell'utente per cookie non tecnici).

4. Modalità del Trattamento e Misure di Sicurezza

Il trattamento è svolto con strumenti informatici idonei a garantire la sicurezza e la riservatezza dei dati. In particolare, il sito adotta misure tecniche avanzate ("Privacy by Design" e "Privacy by Default"), tra cui:

  • Crittografia: Tutte le comunicazioni avvengono su protocollo sicuro HTTPS (TLS/SSL). I dati a riposo nei database sono crittografati. Le password sono sottoposte a hashing crittografico unidirezionale e non sono recuperabili in alcun modo.
  • Autenticazione Forte: L'accesso ai documenti è protetto da autenticazione e verifica della doppia identità (Email e UserID univoco). È disponibile l'autenticazione a due fattori (TOTP/MFA). Le sessioni hanno una durata massima di 1 ora per limitare i rischi in caso di accesso non presidiato.
  • Segregazione dei Dati: I file sono archiviati in aree separate e protette con regole di accesso rigorose (Row Level Security), garantendo che ogni Cliente possa accedere esclusivamente ai propri documenti.
  • Validazione dei File: I file caricati vengono analizzati tramite verifica dell'estensione, del MIME type dichiarato e dei "Magic Bytes" (firma binaria) per prevenire il caricamento di file malevoli mascherati.
  • Sanitizzazione dei Nomi File: I nomi dei file caricati vengono rinominati e sanitizzati per rimuovere caratteri potenzialmente pericolosi e prevenire attacchi di tipo path traversal.
  • Protezione Antispam (Altcha): Per proteggere i moduli di contatto e di autenticazione dallo spam, utilizziamo Altcha. A differenza dei tradizionali CAPTCHA, Altcha è una soluzione conforme al GDPR che utilizza un meccanismo "Proof-of-Work" (PoW). Non utilizza cookie, non traccia gli utenti e non raccoglie dati personali o impronte digitali (fingerprinting).
  • Audit Log: Ogni operazione sensibile (upload, download, eliminazione documenti, tentativi di accesso non autorizzati, modifiche ai dati del Cliente) viene registrata in un log di sicurezza con timestamp, per garantire tracciabilità e accountability. I log vengono conservati per 2 anni, in linea con gli obblighi di conservazione documentale.

I dati saranno conservati per il tempo necessario a conseguire gli scopi per cui sono stati raccolti. Il Cliente ha la possibilità di eliminare autonomamente i file da lui caricati. L'Amministratore ha piena facoltà di gestione e cancellazione dei documenti caricati sia dal Cliente che dallo Studio stesso. L'eliminazione dei file è definitiva e irreversibile. I documenti fiscali saranno conservati per 10 anni come previsto dalla legge.

5. Destinatari dei Dati e Trasferimento Extra UE

I dati potranno essere comunicati a soggetti terzi che svolgono attività strumentali per conto del Titolare, nominati Responsabili del trattamento:

  • Google Ireland Limited / Google LLC (UE/USA): Servizi di analytics (Google Analytics 4 e Google Signals), con trasferimenti disciplinati da clausole contrattuali standard e/o Data Privacy Framework.
  • Supabase Inc. (USA): Fornitore dei servizi di autenticazione e database. Il trasferimento è garantito da clausole contrattuali standard o adesione al Data Privacy Framework.
  • Sanity Inc. (USA/Norvegia): Piattaforma di gestione contenuti.
  • Hostinger: Gestione del nome a dominio (registrar).
  • OVHcloud: Provider di hosting (VPS/server).

I dati non saranno diffusi a soggetti indeterminati.

6. Diritti degli Interessati

In qualità di interessato, hai il diritto di chiedere al Titolare:

  • L'accesso ai tuoi dati personali;
  • La rettifica o la cancellazione degli stessi;
  • La limitazione del trattamento che ti riguarda;
  • Di opporti al trattamento;
  • La portabilità dei dati;
  • La revoca del consenso in qualsiasi momento (es. per la newsletter).

In particolare, per la Newsletter, l'utente può esercitare il proprio diritto di disiscrizione in modo autonomo attraverso il link "Disiscriviti" presente in calce a ogni comunicazione ricevuta, oppure tramite la pagina dedicata sul sito web.

Le richieste vanno rivolte all'indirizzo email del Titolare. Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali.

7. Utilizzo di Intelligenza Artificiale per i contenuti multimediali

Si informa l'utente che le immagini e i contenuti multimediali presenti sul sito agnesefebbraro.it sono frequentemente generati o elaborati mediante l'ausilio di strumenti di Intelligenza Artificiale (IA). In particolare, le fotografie della Dott.ssa Agnese Febbraro presenti nella homepage, pur essendo basate sulla reale fisionomia del Titolare, sono state generate e ottimizzate tramite la piattaforma Midjourney per finalità di coerenza grafica e stilistica del sito web.

Approfondimenti ufficiali Google: Google Signals e Controlli sulla privacy e gestione dei dati.