AccediAvvia il check gratuito
Legale

Informativa sulla privacy

Aggiornamento: 7 giugno 2026

Con la presente informativa sulla privacy ti informiamo sul trattamento dei tuoi dati personali durante l'utilizzo di Empcora. Attribuiamo la massima importanza alla protezione dei tuoi dati e rispettiamo rigorosamente le disposizioni del Regolamento generale sulla protezione dei dati (GDPR/RGPD — Reg. UE 2016/679), nonche' le norme nazionali italiane applicabili in materia di protezione dei dati.

Ambito di applicazione

La presente informativa sulla privacy si applica a tutti i domini della famiglia di marchi Empcora:

  • empcora.de
  • empcora.com
  • empcora.eu
  • empco-pruefung.de
  • empco-konform.de
  • greenwashing-check.de
  • greenwashing-pruefen.de
  • greenclaim-guard.de

Tutti i domini spoke sono gestiti dallo stesso titolare del trattamento (vedi sezione 1) e reindirizzati al dominio principale empcora.de. Le informazioni seguenti ai sensi dell'art. 13 GDPR si applicano ugualmente a ciascuno di questi domini.

1. Titolare del trattamento

Il titolare del trattamento ai sensi dell'art. 4, par. 7, GDPR e':

Marcel Schlüter IT-Services
Empcora
Kollwitzstraße 76
10435 Berlin
Germania
E-mail: [email protected]

1a. Responsabile della protezione dei dati

In quanto impresa individuale, non siamo obbligati alla nomina di un responsabile della protezione dei dati ai sensi delle disposizioni applicabili. Per qualsiasi questione relativa alla protezione dei dati, ti invitiamo a contattare direttamente il titolare del trattamento indicato sopra.

2. Finalita' del trattamento

Trattiamo i tuoi dati personali per le seguenti finalita':

  • Fornitura del servizio SaaS: registrazione, autenticazione, gestione dell'account e dell'organizzazione, esecuzione di scansioni di conformita'
  • Elaborazione dei pagamenti: fatturazione dei piani a pagamento tramite Stripe
  • Analisi basata sull'IA: riformulazione di affermazioni pubblicitarie tramite Claude API (Anthropic)
  • Comunicazione via e-mail: conferme, risultati delle scansioni, reimpostazione della password, fatture, assistenza
  • Gestione delle richieste di contatto: risposta alle tue richieste tramite il modulo di contatto o via e-mail
  • Logging e sicurezza: prevenzione degli abusi, diagnosi degli errori, protezione dagli attacchi
  • Adempimento degli obblighi di legge: conservazione delle fatture per 10 anni ai sensi della normativa fiscale vigente

3. Basi giuridiche

Il trattamento dei tuoi dati personali avviene sulla base delle seguenti basi giuridiche:

  • Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto e misure precontrattuali): fornitura del servizio SaaS, elaborazione dei pagamenti, analisi IA come prestazione contrattuale concordata, invio di e-mail per finalita' contrattuali, gestione di richieste di contatto con riferimento precontrattuale
  • Art. 6, par. 1, lett. c), GDPR (obbligo legale): conservazione di documenti fiscalmente rilevanti ai sensi della normativa tributaria vigente
  • Art. 6, par. 1, lett. f), GDPR (legittimo interesse): logging per la prevenzione degli abusi e la sicurezza informatica, richieste del crawler per la fornitura del servizio di scansione, gestione di richieste di contatto generiche senza riferimento precontrattuale
  • Art. 6, par. 1, lett. a), GDPR (consenso): iscrizioni volontarie alla newsletter (ove offerte), comunicazioni di marketing facoltative
  • Necessita' tecnica assoluta (art. 5, par. 3, Direttiva ePrivacy / D.lgs. 69/2012): memorizzazione e accesso a informazioni sul dispositivo terminale dell'utente nell'ambito dei cookie tecnicamente necessari (autenticazione, protezione dai bot, verifica di sicurezza) — vedi sezione 8

4. Categorie di dati

Trattiamo le seguenti categorie di dati personali:

  • Dati anagrafici: nome, indirizzo e-mail, ragione sociale, eventuale indirizzo postale per i piani a pagamento
  • Dati di accesso e autenticazione: hash bcrypt della password (fattore di costo 12), token JWT di autenticazione, cookie di sessione
  • Dati di utilizzo: domini e URL scansionati, claim individuati, risultati delle scansioni, punteggio di conformita', riformulazioni IA
  • Dati di comunicazione: contenuti del modulo di contatto (nome, e-mail, oggetto, messaggio), corrispondenza di assistenza
  • Dati di pagamento: Stripe Customer ID, Stripe Subscription ID, numero di fattura, importo della fattura, stato del pagamento. I dati della carta di credito o SEPA sono trattati esclusivamente da Stripe e non sono accessibili a noi.
  • Dati di scansione di terzi: contenuto pubblicamente accessibile del sito web da te indicato (meta tag, testi, affermazioni pubblicitarie). Nei siti scansionati possono essere presenti incidentalmente dati personali di terzi (ad es. nomi di dipendenti nelle pagine del team, dati dell'impronta legale). Il codice HTML grezzo delle pagine scansionate viene eliminato immediatamente dopo il completamento dell'analisi e non viene conservato in modo permanente. Vengono conservati in modo persistente esclusivamente le affermazioni pubblicitarie ("claim") identificate, la loro valutazione e un riferimento all'URL sorgente — questi dati vengono conservati per 24 mesi dalla data di esecuzione della scansione a fini di riproducibilita' e scansioni comparative, dopodiché vengono cancellati automaticamente. Non viene effettuato alcun arricchimento con dati aggiuntivi di terzi.
  • Dati di log: indirizzo IP, timestamp, User-Agent, referrer, URL richiamato, codice di stato HTTP

5. Periodi di conservazione

Conserviamo i tuoi dati solo per il tempo necessario ai rispettivi scopi o richiesto dalla legge:

  • Dati account e anagrafici: fino alla cancellazione del tuo account, successivamente anonimizzazione o cancellazione entro 30 giorni
  • Risultati delle scansioni: 24 mesi dalla data di esecuzione della scansione, poi cancellazione automatica
  • Fatture e documenti fiscalmente rilevanti: 10 anni ai sensi della normativa tributaria vigente
  • Log file: 30 giorni per la prevenzione degli abusi, poi cancellazione automatica
  • Richieste di contatto: fino alla conclusione della trattazione della tua richiesta, poi cancellazione salvo obblighi legali di conservazione
  • Cookie di autenticazione: dipende dal ruolo — 24 ore dalla data di accesso per gli utenti ordinari (ruoli user, support), 7 giorni per gli amministratori (ruolo admin). Il relativo refresh token scade in ogni caso dopo 7 giorni. Al momento del logout entrambi i cookie vengono eliminati immediatamente.
  • Cookie di sicurezza Cloudflare: __cf_bm 30 minuti, _cfuvid sessione, cf_clearance fino a 30 giorni (vedi sezione 8b)

6. Responsabili del trattamento e destinatari

Ci avvaliamo di responsabili del trattamento attentamente selezionati, con i quali abbiamo concluso contratti di trattamento dei dati ai sensi dell'art. 28 GDPR. I seguenti fornitori trattano dati personali per nostro conto:

FornitoreSedeFinalita'
Stripe Payments Europe Ltd. (contraente) nonche' Stripe Inc. (societa' madre USA, esclusivamente in casi strettamente definiti come anti-riciclaggio, richieste delle autorita')Dublino, Irlanda (server UE) / San Francisco, USAElaborazione dei pagamenti; contratto di trattamento ai sensi dell'art. 28 GDPR concluso, clausole contrattuali standard UE (SCC) per i trasferimenti a Stripe Inc.; certificazione PCI-DSS
Hetzner Online GmbHGunzenhausen, GermaniaHosting server, hosting database (PostgreSQL e Redis in locale), contratto di trattamento concluso
Anthropic PBCSan Francisco, USARiformulazioni IA tramite Claude API; viene trasmesso solo il testo del claim, nessun dato personale; contratto di trattamento e SCC conclusi, flag "disable training" attivo
Cloudflare Inc.San Francisco, USADNS, CDN, protezione DDoS, WAF; contratto di trattamento e SCC conclusi
Server e-mail proprioData center Hetzner, GermaniaInvio di e-mail transazionali (conferme, risultati delle scansioni, fatture, corrispondenza di assistenza). Gestione su infrastruttura propria — nessun ulteriore responsabile del trattamento, nessuna trasmissione a terzi.

I database (PostgreSQL, Redis) sono gestiti esclusivamente sui nostri server presso Hetzner in Germania. Non viene effettuata alcuna trasmissione a terzi non elencati in questa tabella.

6a. Trattamento dei dati come responsabile del trattamento

Nella misura in cui, in qualita' di utente, fai scansionare domini il cui contenuto include dati personali di terzi (ad es. nomi di amministratori delegati nell'impronta legale, nomi di dipendenti nelle pagine del team, dati di contatto), diventiamo responsabili del trattamento ai sensi dell'art. 28 GDPR e tu sei il titolare del trattamento. In questo trattamento ci avvaliamo dei seguenti sub-responsabili del trattamento, la cui sede si trova in parte negli USA (trasferimento verso paese terzo sulla base delle clausole contrattuali standard UE ai sensi dell'art. 46, par. 2, lett. c), GDPR): Anthropic PBC (USA, riformulazione IA), Cloudflare Inc. (USA, CDN/WAF) e Hetzner Online GmbH (Germania, hosting). I tuoi obblighi in qualita' di titolare del trattamento ai sensi dell'art. 28, parr. 2 e ss., e degli artt. 44 ss. GDPR rimangono impregiudicati. Un accordo per il trattamento dei dati (DPA) inclusa la lista dei sub-responsabili viene fornito su richiesta individuale — contattaci a tal fine tramite il nostro modulo di contatto.

7. Trasferimento verso paesi terzi

Una trasmissione dei tuoi dati personali verso paesi terzi al di fuori del SEE avviene solo nella misura in cui cio' e' necessario per la fornitura dei nostri servizi. In concreto, avviene un trasferimento verso paesi terzi negli USA nei seguenti casi:

  • Anthropic PBC (USA): trasmissione di testi di claim alla Claude API per la riformulazione assistita dall'IA. Vengono trasmessi esclusivamente snippet testuali privi di riferimento personale. Il trattamento avviene con il flag "disable training" attivo, in modo che i tuoi dati non vengano utilizzati per l'addestramento dei modelli.
  • Cloudflare Inc. (USA): routing delle richieste web, risoluzione DNS, protezione dagli attacchi.
  • Stripe Payments Europe Ltd. (societa' madre USA): nell'ambito dell'elaborazione dei pagamenti puo' avvenire tecnicamente un trasferimento di dati alla societa' madre statunitense Stripe Inc.

Il trasferimento avviene in ogni caso sulla base delle clausole contrattuali standard della Commissione europea (SCC ai sensi dell'art. 46, par. 2, lett. c), GDPR) e di misure tecniche e organizzative supplementari. Una copia delle rispettive SCC viene fornita su richiesta.

7a. Valutazione d'impatto del trasferimento (TIA)

Alla luce della giurisprudenza europea di riferimento in materia di trasferimenti internazionali di dati (cfr. CGUE, causa C-311/18, Schrems II) abbiamo effettuato una valutazione d'impatto del trasferimento (TIA) per ogni trasferimento verso gli USA e giungiamo alle seguenti conclusioni:

  • Anthropic PBC: vengono trasmessi esclusivamente testi pubblicitari privi di riferimento personale (ad es. "prodotto a impatto climatico neutro") all'API. Anthropic pubblica rapporti di trasparenza sulle richieste delle autorita'. Il flag "disable training" impedisce l'utilizzo dei dati per l'addestramento dei modelli. Il rischio di accesso da parte delle autorita' statunitensi (FISA 702) e' minimizzato dall'assenza di riferimento personale.
  • Cloudflare Inc.: Cloudflare gestisce data center nell'UE e offre la "Data Localization Suite", grazie alla quale gli indirizzi IP e i dati di connessione rimangono principalmente nell'UE. Per il routing backbone puo' avvenire un transito temporaneo negli USA. Le SCC sono state concluse.
  • Stripe Payments Europe Ltd.: il contraente e' la filiale irlandese di Stripe con server nell'UE. Un trasferimento negli USA alla societa' madre Stripe Inc. avviene solo in casi strettamente definiti (anti-riciclaggio, richieste delle autorita'). Stripe e' certificata PCI-DSS; i dati dei titolari di carta non sono conservati da noi.

La documentazione TIA completa viene fornita su richiesta scritta.

8. Cookie

Utilizziamo esclusivamente cookie tecnicamente necessari. Sono indispensabili per il funzionamento dell'accesso, del processo di pagamento e della protezione dagli attacchi automatizzati (art. 5, par. 3, Direttiva ePrivacy / D.lgs. 69/2012):

8a. Cookie propri

  • empcora_token · Dominio: empcora.de · Durata: 24 ore per gli utenti ordinari (ruoli user, support), 7 giorni per gli amministratori · HttpOnly, SameSite=Lax · Finalita': autenticazione degli utenti registrati tramite JSON Web Token (JWT) firmato. Contenuto: esclusivamente lo User ID (nessun dato personale in chiaro, nessuna e-mail, nessun nome). In aggiunta e' presente un cookie empcora_refresh con durata di 7 giorni per il rinnovo silenzioso della sessione senza reinserimento della password.

8b. Cookie di Cloudflare (sicurezza / protezione dai bot)

Cloudflare protegge la nostra infrastruttura dagli attacchi automatizzati (DDoS, bot, scraping). A tal fine, ad ogni accesso vengono impostati sul dominio i seguenti cookie — tutti classificati come "strettamente necessari":

  • __cf_bm · Cloudflare · Durata: 30 minuti · Finalita': gestione dei bot, distinzione tra accessi umani e automatizzati. Assegna un punteggio bot anonimo, nessun riferimento personale.
  • cf_clearance · Cloudflare · Durata: fino a 30 giorni · Finalita': memorizza il risultato di un controllo di sicurezza superato (ad es. captcha in caso di traffico sospetto), in modo che l'utente non debba ripetere la verifica ad ogni accesso. Viene impostato solo in caso di controllo di sicurezza attivo.
  • _cfuvid · Cloudflare · Durata: sessione · Finalita': collegamento alle regole di rate limit, impedisce l'elusione della protezione tramite cambio di cookie. Nessuna finalita' pubblicitaria o di tracciamento.

La base giuridica per questi cookie e' l'art. 5, par. 3, Direttiva ePrivacy (D.lgs. 69/2012) (necessita' assoluta per il servizio richiesto dall'utente) in combinato disposto con l'art. 6, par. 1, lett. f), GDPR (legittimo interesse alla protezione dagli attacchi).

8c. Cookie nel processo di pagamento (Stripe)

Nota sui cookie Stripe: durante il passaggio alla pagina di checkout Stripe (processo di pagamento), Stripe imposta cookie propri su checkout.stripe.com per la prevenzione delle frodi e la gestione delle sessioni. Questi cookie sono tecnicamente necessari per l'elaborazione del pagamento. Informativa sulla privacy di Stripe: stripe.com/it/privacy.

Nelle nostre pagine non vengono impostati cookie di tracciamento, analisi o marketing. Un banner di consenso non e' pertanto necessario (art. 5, par. 3, Direttiva ePrivacy / D.lgs. 69/2012).

8d. Misurazione dell'audience con Umami (self-hosted, senza cookie)

Per l'analisi statistica dell'utilizzo del sito web utilizziamo il software open source Umami, gestito autonomamente su infrastruttura propria in Germania (Hetzner Online GmbH). Non viene effettuata alcuna trasmissione a terzi.

Umami opera senza cookie: non vengono impostati cookie ne' memorizzate o lette informazioni sul dispositivo terminale. Pertanto non e' richiesto alcun consenso ai sensi dell'art. 5, par. 3, Direttiva ePrivacy / D.lgs. 69/2012.

Vengono rilevati esclusivamente dati aggregati, non idonei all'identificazione: pagine visitate (percorso), dominio referrer, provenienza approssimativa a livello di Paese, tipo di browser/dispositivo, data e ora. L'indirizzo IP viene trattato solo in modo transitorio e non viene conservato in modo permanente; un eventuale identificatore del visitatore viene calcolato lato server a partire da IP e caratteristiche del browser, sottoposto ad hashing e rinnovato quotidianamente — nessun tracciamento persistente o multi-dispositivo.

Base giuridica: legittimo interesse alla misurazione dell'audience in modo anonimo e rispettoso dei dati (art. 6, par. 1, lett. f), GDPR).

I segnali "Do Not Track" del browser vengono rispettati; in caso di DNT attivo non viene effettuata alcuna misurazione.

9. Log file

Ad ogni accesso al nostro sito web vengono rilevati i seguenti dati nei log file:

  • Indirizzo IP
  • Data e ora della richiesta
  • User-Agent (browser, sistema operativo)
  • URL referrer
  • URL richiamato e codice di stato HTTP

La base giuridica e' l'art. 6, par. 1, lett. f), GDPR; il nostro legittimo interesse risiede nella prevenzione degli abusi, nella diagnosi degli errori e nella sicurezza informatica. I log vengono cancellati automaticamente dopo 30 giorni.

10. Dati del crawler

Quando inserisci un URL per la verifica della conformita', il nostro crawler accede al sito web pubblicamente accessibile e ne analizza il contenuto (meta tag, testi, affermazioni pubblicitarie). In tale contesto rispettiamo i seguenti principi:

  • Eseguiamo la scansione esclusivamente delle aree pubblicamente accessibili del dominio da te indicato
  • Rispettiamo robots.txt e i crawl delay
  • Non eludiamo autenticazioni o paywall
  • In qualita' di utente, ci garantisci di essere autorizzato alla scansione del dominio indicato (proprieta', mandato o simili)
  • Nelle pagine scansionate possono essere presenti incidentalmente dati personali di terzi (dati obbligatori dell'impronta legale, nomi di titolari/amministratori delegati, profili del team/dei dipendenti, dati di contatto). Questi dati vengono trattati esclusivamente ai fini dell'esecuzione della scansione da te richiesta, non vengono arricchiti e — nella misura in cui si tratta di HTML grezzo — vengono eliminati immediatamente dopo il completamento dell'analisi. I claim identificati vengono conservati per 24 mesi (sezione 5). La responsabilita' in materia di protezione dei dati nei confronti dei terzi interessati spetta a te in qualita' di utente (titolare del trattamento) ai sensi dell'art. 4, par. 7, GDPR; noi agiamo in tale veste come responsabili del trattamento (vedi sezione 6a).

11. Modulo di contatto

Se utilizzi il nostro modulo di contatto, trattiamo i dati da te inseriti (nome, e-mail, oggetto, messaggio, eventualmente telefono) per rispondere alla tua richiesta. La base giuridica e' l'art. 6, par. 1, lett. b), GDPR (misure precontrattuali) ovvero l'art. 6, par. 1, lett. f), GDPR (legittimo interesse alla gestione della tua richiesta).

Per la protezione dallo spam utilizziamo un campo honeypot e un rate limiting basato su IP (max. 3 richieste per ora per IP). Le tue richieste vengono conservate fino alla conclusione della trattazione e successivamente cancellate, salvo obblighi legali di conservazione.

12. Newsletter

Inviamo circa 1 newsletter al mese con aggiornamenti EmpCo, sentenze di giurisprudenza e indicazioni di conformita'. L'invio avviene esclusivamente previo consenso espresso tramite procedura di double opt-in (conferma dell'iscrizione tramite link in un'e-mail di conferma separata).

  • Base giuridica: art. 6, par. 1, lett. a), GDPR (consenso) in combinato disposto con la normativa italiana sulle comunicazioni commerciali elettroniche.
  • Dati trattati: indirizzo e-mail, stato di conferma (in attesa / attivo / disiscritto), token DOI (valido 24 ore), token di disiscrizione permanente, fonte di iscrizione, hash IP (SHA-256 troncato, per la protezione dallo spam, non riconducibile all'IP), User-Agent (max. 200 caratteri), timestamp.
  • Finalita': invio della newsletter; prova del consenso (art. 7, par. 1, GDPR); protezione dallo spam e dagli abusi.
  • Periodo di conservazione: abbonamenti attivi a tempo indeterminato (fino alla disiscrizione). Dopo la disiscrizione, lo stato "disiscritto" con timestamp viene conservato per almeno 12 mesi come prova dell'esercizio del diritto di revoca; successivamente viene effettuata l'anonimizzazione o la cancellazione. Le richieste DOI non confermate vengono eliminate automaticamente dopo la scadenza del token (24 ore).
  • Revoca (art. 7, par. 3, GDPR): puoi revocare il tuo consenso in qualsiasi momento e senza fornire motivazioni — tramite il link di disiscrizione personale contenuto in ogni e-mail della newsletter, oppure via e-mail all'indirizzo [email protected]. La revoca ha effetto immediato; le e-mail gia' inviate non ne sono interessate.
  • Fornitore di invio: l'invio avviene tramite il nostro server e-mail proprio (Mailcow, ospitato in Germania). Nessuna trasmissione a terzi o verso paesi terzi.

13. Elaborazione dei pagamenti tramite Stripe

Per la gestione dei piani a pagamento utilizziamo il fornitore di servizi di pagamento Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublino, Irlanda. Stripe e' un fornitore di servizi di pagamento certificato PCI-DSS.

Durante il pagamento, i dati di pagamento (numero di carta di credito, IBAN ecc.) vengono trasmessi direttamente a Stripe e trattati esclusivamente da quest'ultimo. Non abbiamo accesso ai tuoi dati della carta o all'IBAN. Conserviamo esclusivamente il Customer ID assegnato da Stripe, il Subscription ID, il numero di fattura e lo stato del pagamento.

La base giuridica e' l'art. 6, par. 1, lett. b), GDPR (esecuzione del contratto). L'informativa sulla privacy di Stripe e' disponibile all'indirizzo: https://stripe.com/it/privacy

14. Analisi IA tramite Anthropic Claude API

Per la riformulazione assistita dall'IA di affermazioni pubblicitarie problematiche utilizziamo la Claude API di Anthropic PBC, San Francisco, USA. Vengono trasmessi esclusivamente:

  • il testo pubblicitario da riformulare (ad es. "a impatto climatico neutro", "sostenibile")
  • il contesto dell'affermazione pubblicitaria (ad es. settore, tipo di pagina)

Vengono trasmessi esclusivamente l'affermazione pubblicitaria e un breve contesto tecnico (settore, tipo di pagina). Non trasmettiamo attivamente dati anagrafici o di contatto (nessuna e-mail, nessun ID account, nessun indirizzo IP, nessun nome). Nella misura in cui un testo pubblicitario dovesse contenere nomi propri di una persona fisica (ad es. nome del titolare o dell'amministratore delegato in uno slogan), non puo' essere completamente escluso un riferimento personale indiretto ai sensi dell'art. 4, par. 1, GDPR — la trasmissione avviene in tal caso sulla base del contratto di trattamento ai sensi dell'art. 28 GDPR e delle clausole contrattuali standard UE (art. 46, par. 2, lett. c), GDPR). Il flag "disable training" e' attivo, cosicche' i tuoi testi non vengono utilizzati per l'addestramento dei modelli Claude. Nella misura in cui tu, in qualita' di utente, fai scansionare testi pubblicitari di terzi, Empcora agisce in tal senso come responsabile del trattamento (vedi sezione 6a) e Anthropic come sub-responsabile del trattamento.

Informativa sulla privacy Anthropic: https://www.anthropic.com/legal/privacy

Nessuna decisione automatizzata relativa a casi individuali (art. 22 GDPR): Ne' la valutazione algoritmica della conformita' (stato semaforo ROSSO/GIALLO/VERDE, punteggio da A a F, badge di conformita') ne' la riformulazione assistita dall'IA costituiscono una decisione automatizzata relativa a un caso individuale ai sensi dell'art. 22, par. 1, GDPR.

Motivazione: (i) le valutazioni non producono effetti giuridici nei confronti dell'utente o di terzi — sono indicazioni tecniche basate su fonti giuridiche pubbliche. (ii) Da un punteggio o da una riformulazione non derivano sanzioni automatiche, blocchi o altre pregiudizievoli analogamente significative; in particolare, il badge di conformita' non produce effetti esterni con efficacia giuridica vincolante. (iii) La decisione definitiva sull'utilizzo di un'affermazione pubblicitaria o di una proposta di riformulazione spetta esclusivamente all'utente; una verifica umana — idealmente da parte di un avvocato abilitato — rimane necessaria.

A tale riguardo rinviamo altresi' alla nota sulla consulenza legale nelle Condizioni generali di contratto (art. 1, par. 5) nonche' alla precisazione sul carattere dei risultati dello strumento nelle CGC (art. 10) (valutazione della conformita': carattere, limiti ed esclusione di responsabilita').

Diritto al coinvolgimento di una persona: qualora tu dovessi comunque percepire una valutazione come pregiudizio analogamente significativo, puoi rivolgerti in qualsiasi momento a [email protected]. Esamineremo il tuo caso manualmente e ti comunicheremo il risultato per iscritto (art. 22, par. 3, GDPR).

14a. PDF del report di audit

Al termine di una scansione a pagamento generiamo un report di audit in formato PDF, disponibile per il download tramite la dashboard dell'account e inviato su richiesta via e-mail all'indirizzo registrato nel tuo account. Il report contiene l'URL scansionato, le affermazioni pubblicitarie identificate con relativa valutazione, proposte di riformulazione IA nonche', nel footer, un timestamp di creazione e lo scan ID per l'attribuzione. Non viene effettuata alcuna trasmissione a terzi; il file PDF viene conservato insieme al record della scansione per 24 mesi e successivamente cancellato automaticamente (vedi sezione 5). La base giuridica e' l'art. 6, par. 1, lett. b), GDPR (esecuzione del contratto).

14b. Widget Greenwashing Check (embed)

Mettiamo a disposizione un mini-widget incorporabile ("Greenwashing-Check-Widget") che puo' essere integrato da siti di terzi tramite <iframe> tramite l'URL https://empcora.de/embed/widget. Quando utilizzi questo widget si applicano le seguenti note sulla privacy:

  • Titolare del trattamento: Marcel Schlüter IT-Services (Empcora), Kollwitzstraße 76, 10435 Berlin (vedi sezione 1).
  • Dati raccolti: l'URL da te inserito nel widget nonche' il tuo indirizzo IP, trasmesso tecnicamente al momento dell'accesso al widget e all'attivazione di una scansione. La comunicazione avviene tramite la nostra API tRPC su empcora.de.
  • Finalita': esecuzione della scansione greenwashing per l'URL da te inserito nonche' applicazione di un rate limit basato su IP per la protezione dagli abusi automatizzati (protezione da denial-of-service).
  • Base giuridica: art. 6, par. 1, lett. b), GDPR (esecuzione del contratto / fornitura della prestazione di scansione richiesta dall'utente) nonche' art. 6, par. 1, lett. f), GDPR (legittimo interesse alla protezione della nostra infrastruttura dagli attacchi DoS/abusi).
  • Periodo di conservazione: l'indirizzo IP viene conservato per un massimo di 24 ore in una cache volatile ai fini del rate limit e successivamente eliminato automaticamente. I dati della scansione (URL inserito, claim identificati, valutazione) vengono conservati secondo le regole della sezione 5 della presente informativa sulla privacy ("Risultati delle scansioni", 24 mesi).
  • Trasferimento verso paesi terzi: nessun trasferimento verso paesi terzi nell'ambito dell'utilizzo del widget stesso. Il trattamento avviene sui nostri server presso Hetzner in Germania; Cloudflare viene eventualmente utilizzato come descritto nella sezione 16. Nella misura in cui per la riformulazione IA dei claim viene utilizzata la Claude API di Anthropic, si applicano in aggiunta le note delle sezioni 7 e 14.
  • Destinatari: non viene effettuata alcuna trasmissione a terzi al di la' dei responsabili del trattamento indicati nella sezione 6.
  • Diritto di opposizione e di accesso: puoi opporti al trattamento dei tuoi dati in qualsiasi momento e esercitare i tuoi diritti di interessato (accesso, cancellazione, limitazione ecc., vedi sezione 17) — a tal fine rivolgiti a [email protected].

Nota sui widget incorporati in siti di terzi: se il widget e' incorporato nel sito web di un terzo, si applica inoltre l'informativa sulla privacy del rispettivo gestore del sito di terzi. Il gestore del sito di terzi e' titolare autonomo del trattamento dei dati sul proprio sito (art. 4, par. 7, GDPR) ed e' tenuto a informare adeguatamente i propri utenti.

15. Hosting presso Hetzner

I nostri server, il database (PostgreSQL) e la cache (Redis) sono ospitati presso Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Germania. I server si trovano esclusivamente in data center tedeschi. Con Hetzner e' stato concluso un contratto di trattamento dei dati ai sensi dell'art. 28 GDPR.

16. Cloudflare (DNS, CDN, protezione DDoS)

Utilizziamo Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA per la risoluzione DNS, la distribuzione dei contenuti, la protezione DDoS e il Web Application Firewall. Cloudflare tratta, ad ogni accesso al nostro sito web, l'indirizzo IP e i dati di connessione per garantire la raggiungibilita' e respingere gli attacchi.

La base giuridica e' l'art. 6, par. 1, lett. f), GDPR; il nostro legittimo interesse risiede nella protezione dagli abusi e nella garanzia della disponibilita'. Con Cloudflare sono stati conclusi un contratto di trattamento e le clausole contrattuali standard UE. Informativa sulla privacy Cloudflare: https://www.cloudflare.com/it-it/privacypolicy/

17. I tuoi diritti come interessato

Hai nei nostri confronti i seguenti diritti in relazione ai tuoi dati personali:

  • Diritto di accesso (art. 15 GDPR)
  • Diritto di rettifica (art. 16 GDPR)
  • Diritto alla cancellazione ("diritto all'oblio", art. 17 GDPR)
  • Diritto di limitazione del trattamento (art. 18 GDPR)
  • Diritto alla portabilita' dei dati (art. 20 GDPR)
  • Diritto di opposizione al trattamento (art. 21 GDPR)
  • Diritto di revocare un consenso prestato (art. 7, par. 3, GDPR) — la revoca ha effetto solo per il futuro
  • Diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato (art. 22 GDPR)
  • Diritto di proporre reclamo presso un'autorita' di controllo (art. 77 GDPR) — vedi sezione 18 per l'autorita' competente

Per esercitare i tuoi diritti, ti invitiamo a contattarci all'indirizzo [email protected].

17a. Esportazione dei dati (art. 20 GDPR)

Hai il diritto di ricevere i tuoi dati da noi in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Forniamo l'esportazione a scelta in formato JSON o CSV e la trasmettiamo su richiesta entro sette giorni lavorativi gratuitamente via e-mail o tramite la dashboard dell'account. L'esportazione comprende dati anagrafici dell'account, domini, risultati delle scansioni, claim, prove caricate e report PDF. La richiesta puo' essere inviata in forma libera a [email protected].

18. Diritto di reclamo presso un'autorita' di controllo

Ai sensi dell'art. 77 GDPR hai il diritto di proporre reclamo presso un'autorita' di controllo per la protezione dei dati se ritieni che il trattamento dei tuoi dati violi il GDPR. In Italia, l'autorita' competente e':

Garante per la protezione dei dati personali
Piazza Venezia 11
00187 Roma
Telefono: +39 06 696771
E-mail: [email protected]
Web: www.garanteprivacy.it

Nota: l'autorita' di controllo competente e' quella del luogo di stabilimento del titolare del trattamento (Berlino, Germania: Berliner Beauftragte fur Datenschutz und Informationsfreiheit). Fermo restando quanto sopra, puoi altresi' rivolgerti all'autorita' di controllo dello Stato membro in cui risiedi abitualmente o lavori (art. 77, par. 1, GDPR) — in Italia, il Garante per la protezione dei dati personali.

Un elenco di tutte le autorita' di controllo europee e' disponibile sul sito del Garante europeo della protezione dei dati: Autorita' di controllo dei Paesi membri

19. Crittografia SSL/TLS

Questo sito web utilizza la crittografia SSL/TLS per proteggere i tuoi dati e garantire la trasmissione di contenuti riservati (ad es. richieste, dati di accesso, informazioni di pagamento). Una connessione crittografata e' riconoscibile dal prefisso "https://" nella barra degli indirizzi del tuo browser.

20. Aggiornamento e modifica della presente informativa sulla privacy

La presente informativa sulla privacy e' attualmente valida e aggiornata al 15 maggio 2026. Ci riserviamo il diritto di aggiornare l'informativa sulla privacy per tenerla in linea con i requisiti legali vigenti o con le modifiche ai nostri servizi. La versione attuale e' sempre disponibile all'indirizzo /it/datenschutz.