Informativa privacy

Servizio di attestazione delle opere digitali — ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR)

Ultimo aggiornamento: 12 luglio 2026. La presente informativa riguarda specificamente il servizio di attestazione disponibile su attestazione.spaziogenesi.org. Per il sito istituzionale vedi l'informativa generale.

1. Titolare del trattamento

Spazio Genesi ETS
Sede legale: Via Francesco Caracciolo 14, 00167 Roma (RM)
Sede operativa: Galleria Commerciale Via Roma 215, primo piano — L'Aquila (AQ) 67100
Codice fiscale: 96602450585
Email: [email protected] · PEC: [email protected]

2. Principio di fondo: l'opera non lascia il tuo dispositivo

L'impronta digitale (SHA-256) del file viene calcolata direttamente nel tuo browser: il file dell'opera non viene inviato né conservato dai nostri server, che ricevono soltanto l'impronta (una sequenza di 64 caratteri da cui il file non è ricostruibile) e rilasciano il certificato. Anche se il file contenesse dati personali (o categorie particolari), questi non raggiungono il servizio. Nota storica: fino a giugno 2026 il calcolo avveniva sui nostri server, con elaborazione in sola memoria e scarto immediato del file; oggi nemmeno quello.

3. Quali dati trattiamo, perché e con quale base giuridica

3.1 Impronta, marca temporale e firma

Il tuo browser calcola l'impronta SHA-256 del file e la invia al servizio, che genera data/ora, stringa di attestazione e firma di sicurezza (HMAC). Sono dati tecnici del certificato.

Base giuridica: erogazione del servizio richiesto dall'utente (art. 6.1.b) e legittimo interesse all'integrità del servizio (art. 6.1.f).

3.2 Dati dichiarati dall'autore (facoltativi)

Puoi indicare titolo, autore, anno, note. Sono facoltativi: se li inserisci compaiono sul certificato e vengono archiviati nel certificato PDF. Il campo "autore" può contenere un nome reale e quindi un dato personale. Tali dati sono vincolati alla firma (non alterabili dopo l'emissione, per integrità).

Base giuridica: erogazione del servizio richiesto (art. 6.1.b). Sei tu a decidere se inserirli.

3.3 Indirizzo IP (anti-abuso e anti-bot)

L'indirizzo IP viene trattato per il rate-limiting (prevenzione di abusi) e per la verifica anti-bot Cloudflare Turnstile all'emissione dell'attestazione. Non viene usato per profilarti.

Base giuridica: legittimo interesse alla sicurezza del servizio (art. 6.1.f).

3.4 Statistiche di visita (Matomo)

Usiamo Matomo, strumento di analisi auto-ospitato su nostra infrastruttura, configurato con indirizzo IP anonimizzato e in modalità senza cookie. Raccoglie solo statistiche aggregate, non condivise con terzi a fini commerciali. Per questo non è richiesto il consenso e il servizio non mostra un banner cookie.

Base giuridica: legittimo interesse al miglioramento del servizio (art. 6.1.f). Conservazione: 13 mesi.

3.5 Accesso per sviluppatori: richiesta di chiave API

Questa sottosezione riguarda esclusivamente chi richiede una chiave API self-service dalla pagina imgauth.spaziogenesi.org/developer/keys — non chi usa il servizio di attestazione dal sito: per quell'uso, come già descritto sopra, non trattiamo alcun dato personale identificativo.

Per emettere la chiave chiediamo di confermare la tua email tramite Google, Microsoft o LinkedIn (login "one-shot": leggiamo solo l'indirizzo email verificato dal provider, poi scartiamo il token — nessuna sessione, nessun cookie, nessun accesso continuativo al tuo account). Trattiamo email, provider scelto e data di richiesta, per emettere la chiave, moderarne l'uso (comprese eventuali comunicazioni in caso di revoca o abuso sospetto) e mantenere una traccia anti-abuso.

Base giuridica: misure precontrattuali/contrattuali richieste dall'interessato (art. 6.1.b) e legittimo interesse alla prevenzione degli abusi (art. 6.1.f). Conservazione: per tutta la durata della chiave attiva, poi 180 giorni dalla revoca (traccia anti-abuso), trascorsi i quali l'email viene anonimizzata automaticamente. Cancellazione anticipata su richiesta: vedi §7.

3.6 Canale Telegram (bot)

Questa sottosezione riguarda esclusivamente chi usa il bot Telegram @SGAttestBot — un canale di comodità, distinto dal sito: qui il file che invii transita per i server di Telegram e per il nostro Worker, che ne calcola l'impronta in streaming e scarta subito i byte — non lo salviamo mai. Il bot dichiara questo prima di scaricare qualunque file; se per te conta la privacy assoluta, il sito resta il canale dove il file non lascia mai il tuo dispositivo.

Trattiamo il tuo id utente Telegram, se hai accettato l'avvertenza sul transito del file, e contatori d'uso giornalieri (quante attestazioni/verifiche hai richiesto), per applicare le quote e prevenire abusi. Non trattiamo username, nome o altri dati del tuo profilo Telegram.

Base giuridica: erogazione del servizio richiesto dall'utente (art. 6.1.b) e legittimo interesse alla prevenzione degli abusi (art. 6.1.f). Conservazione: i contatori d'uso sono cancellati automaticamente dopo 90 giorni. Cancellazione anticipata su richiesta: vedi §7.

3.7 Convenzioni con enti formativi (accademie, scuole)

Questa sottosezione riguarda esclusivamente chi attesta un'opera nell'ambito di una convenzione tra Spazio Genesi e un ente formativo (identificata dal dominio della tua email istituzionale, es. @studenti.tuaaccademia.it) — sia richiedendo una chiave API (§3.5), sia tramite l'accesso "Attesta con la tua email" direttamente dal sito. In entrambi i casi confermiamo la tua email con lo stesso login "one-shot" Google, Microsoft o LinkedIn descritto al §3.5: nessuna password, nessun account presso di noi. Nel caso dell'accesso dal sito, l'esito è un voucher firmato che vive solo nel tuo browser (in sessionStorage, scompare quando chiudi la scheda o premi "Esci", validità massima 8 ore) — non creiamo cookie né sessioni sul nostro server.

Per le sole attestazioni emesse in convenzione trattiamo email istituzionale, provider di accesso e l'associazione tra la tua email e le impronte delle opere che attesti. Questo log esiste unicamente per: erogare la garanzia di custodia del certificato prevista dalla convenzione, contabilizzare il monte mensile condiviso con l'ente, e produrre un rendiconto aggregato per l'ente (totali e numero di membri, mai l'elenco nominativo delle opere) a fini di fatturazione e rinnovo — salvo diverso accordo scritto con l'ente. Non trattiamo alcun dato aggiuntivo per chi usa il servizio senza una convenzione attiva sul proprio dominio email.

Base giuridica: erogazione del servizio richiesto dallo studente/membro nell'ambito della convenzione (art. 6.1.b) e legittimo interesse alla prevenzione degli abusi (art. 6.1.f). Conservazione: per la durata della garanzia di custodia prevista dalla convenzione (5-10 anni secondo l'accordo con l'ente) — coerente con la funzione stessa del log, che è provare la copertura nel tempo. Cancellazione anticipata su richiesta: vedi §7.

4. Conservazione e residenza dei dati

5. Destinatari (responsabili del trattamento e soggetti coinvolti)

I dati non sono ceduti né venduti. Per erogare il servizio ci avvaliamo di:

SoggettoRuoloDati coinvolti
Cloudflare, Inc.Motore (Workers), archivio (R2 — UE), anti-bot (Turnstile)Impronta, certificato, IP
Microsoft AzureFirmatario crittografico del PDF; host dell'analitica MatomoCertificato PDF (in firma)
GitHub, Inc. (Microsoft)Hosting dell'interfaccia (GitHub Pages)Dati tecnici di navigazione
DigiCert, Inc.Autorità di marca temporale (RFC 3161)Solo l'hash/firma da marcare — nessun dato personale
OpenTimestamps (calendar pubblici)Ancoraggio in blockchain BitcoinSolo un hash sha256(impronta‖nonce) — nessun dato personale

Inoltre, autorità pubbliche nei soli casi previsti dalla legge.

Nota sul login per gli sviluppatori (§3.5) e sulle convenzioni (§3.7): Google, Microsoft e LinkedIn non agiscono come nostri responsabili del trattamento, ma come titolari autonomi nel loro ruolo di provider di identità scelto da chi richiede la chiave o accede dal sito — trattano l'autenticazione secondo le proprie informative privacy. Noi riceviamo solo l'email verificata, non il token di accesso.

Nota sul bot Telegram (§3.6): Telegram FZ-LLC non agisce come nostro responsabile del trattamento, ma come titolare autonomo nel suo ruolo di fornitore del trasporto — il file e i messaggi transitano sulla sua infrastruttura secondo la sua propria informativa privacy, prima di raggiungere il nostro Worker.

6. Trasferimenti fuori dall'UE

Cloudflare, Microsoft, GitHub, LinkedIn e DigiCert hanno sede negli Stati Uniti. Gli eventuali trasferimenti avvengono nel rispetto delle garanzie GDPR (clausole contrattuali standard / decisioni di adeguatezza). L'archivio dei certificati è mantenuto in giurisdizione UE; l'elaborazione all'edge è transitoria e non comporta conservazione fuori dall'UE.

7. Immutabilità, blockchain e diritto alla cancellazione

Punto importante e specifico di questo servizio:

8. I tuoi diritti (artt. 15–22 GDPR)

Hai diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento basato sul legittimo interesse, e — ove applicabile — revoca del consenso. Per esercitarli scrivi a [email protected] (indicando, se possibile, l'impronta SHA-256 del certificato interessato). Puoi proporre reclamo al Garante per la protezione dei dati personali.

9. Responsabilità dell'utente

Selezionando un file per l'attestazione dichiari di averne titolo e di avere il diritto di trattarne il contenuto. Se inserisci dati personali di terzi nei campi dichiarati, sei responsabile della loro liceità. Il servizio non verifica la titolarità dell'opera: fornisce un'attestazione crittografica di esistenza, non una prova legale di proprietà.

10. Minori

Il servizio non è diretto a minori di 14 anni e non raccoglie consapevolmente i loro dati.

11. Modifiche

La presente informativa può essere aggiornata; la data di "Ultimo aggiornamento" indica la versione vigente.