In vigore dal: 2026-03-06
Veleiras ("noi") è una piattaforma di memoriali digitali. Prendiamo molto seriamente la privacy delle persone che utilizzano il nostro servizio — e delle persone che ricordano.
Il titolare del trattamento dei Suoi dati personali è:
Eliana dos Santos Pereira (ditta individuale)
6020 Innsbruck, AT
Email: privacy@veleiras.com
As a micro-enterprise with fewer than 10 employees, we are not required to appoint a Data Protection Officer under Art. 37 GDPR. For privacy-related enquiries, contact us at: privacy@veleiras.com.
Quando crea un memoriale, raccogliamo:
Non raccogliamo nomi, indirizzi e-mail o altre informazioni identificative dai visitatori che accendono candele o visualizzano un memoriale tramite un link condiviso.
Ai sensi dell'Art. 6(1) del GDPR, ci basiamo sulle seguenti basi giuridiche per ciascuna attività di trattamento:
| Attività di trattamento | Base giuridica |
|---|---|
| Dati dell'account (e-mail, password) | Esecuzione del contratto — Art. 6(1)(b) |
| Contenuto del memoriale (nomi, date, foto, storie) | Esecuzione del contratto — Art. 6(1)(b) |
| Dati di pagamento (registri delle transazioni) | Esecuzione del contratto — Art. 6(1)(b) + Obbligo legale (conservazione fiscale) — Art. 6(1)(c) |
| Registri del consenso ai cookie | Interesse legittimo (documentazione di conformità) — Art. 6(1)(f) |
| Analisi lato server (aggregate) | Interesse legittimo (miglioramento del servizio) — Art. 6(1)(f) |
| Notifiche via e-mail | Esecuzione del contratto — Art. 6(1)(b) |
| Cookie di sessione (PHPSESSID, CSRF) | Strettamente necessari — nessun consenso richiesto (Art. 5(3) Direttiva ePrivacy) |
Crittografia a riposo: Tutti i dati personali sensibili — inclusi nomi, indirizzi e-mail, epitaffi, storie di vita, messaggi del libro degli ospiti e voci di apprezzamento (nomi e storie personali sulle persone a cui tenevi) — vengono crittografati a riposo utilizzando la crittografia autenticata AES-256-GCM (tramite la libreria defuse/php-encryption) prima di essere memorizzati nel nostro database. Ciò significa che anche in caso di violazione del database, i dati sono illeggibili senza le chiavi di crittografia.
Hashing delle password: Le password vengono sottoposte a hash con Argon2id con parametri ad alto consumo di memoria, rendendo gli attacchi a forza bruta computazionalmente impraticabili. Non memorizziamo mai le password in chiaro.
Crittografia in transito: Tutte le comunicazioni tra il Suo browser e i nostri server sono protette dalla crittografia HTTPS/TLS. Imponiamo HTTPS su tutte le pagine e gli endpoint API.
I memoriali sono accessibili tramite link di condivisione crittograficamente sicuri, non tramite un elenco pubblico. Esistono tre livelli di accesso:
Senza un link valido, i visitatori vedono solo una pagina minima con il nome della persona e una candela. Nessuna storia, foto o messaggio è visibile senza invito.
Utilizziamo solo cookie strettamente necessari. Non utilizziamo cookie di tracciamento, analitici o pubblicitari di terze parti.
| Cookie | Finalità | Durata |
|---|---|---|
| PHPSESSID | Gestione della sessione (stato di accesso). Strettamente necessario. | Scade alla chiusura del browser |
| Token CSRF | Protezione contro attacchi CSRF. Strettamente necessario per la sicurezza. | Sessione |
| __cf_bm e simili | Impostati da Cloudflare per la gestione dei bot e la protezione DDoS. Strettamente necessari per la sicurezza. | Fino a 30 minuti |
Poiché tutti i cookie che utilizziamo sono strettamente necessari per il funzionamento e la sicurezza del servizio, sono esenti dai requisiti di consenso ai sensi dell'Art. 5(3) della Direttiva ePrivacy.
Mostriamo un banner di consenso ai cookie a tutti i visitatori. Sebbene i nostri cookie siano strettamente necessari e non richiedano consenso, il banner garantisce trasparenza e consente una scelta informata. La Sua preferenza viene memorizzata nel localStorage del browser e registrata lato server per la nostra documentazione di conformità.
Il registro di consenso lato server memorizza: ID utente (se connesso) o ID visitatore anonimo, azione di consenso (accettare/rifiutare), versione del consenso, un hash unidirezionale del Suo indirizzo IP (non l'indirizzo IP stesso) e timestamp.
I registri di consenso ai cookie vengono conservati per 3 anni in conformità con l'Art. 7(1) del GDPR, che richiede al titolare del trattamento di poter dimostrare che il consenso è stato prestato.
Raccogliamo statistiche di visita aggregate per comprendere come viene utilizzato il servizio e migliorarlo. Questo avviene interamente lato server, senza cookie, senza tracciamento JavaScript e senza identificazione individuale dei visitatori.
Memorizziamo solo:
CF-IPCountry)Nessun indirizzo IP, impronta del browser o altra informazione personalmente identificabile viene memorizzata come parte delle analisi. I singoli visitatori non possono essere identificati o tracciati. I dati analitici vengono conservati per 2 anni.
Tutti i pagamenti sono elaborati da Stripe. Non vediamo, memorizziamo né elaboriamo mai i dati della Sua carta di credito. Stripe gestisce tutti i dati di pagamento in conformità con PCI DSS Livello 1.
Conserviamo un registro della Sua transazione (ID pagamento Stripe, importo, data, stato) per l'esecuzione del contratto e per adempiere al nostro obbligo legale di conservare i registri finanziari ai sensi del diritto tributario austriaco (BAO §132). I registri di pagamento vengono conservati per 7 anni dalla transazione.
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati dell'account (e-mail, hash della password) | Fino alla cancellazione dell'account + 30 giorni |
| Dati del memoriale (Piano Per Sempre) | Finché Veleiras è in funzione (vedi condizioni del Piano Per Sempre) |
| Dati del memoriale (livello gratuito) | Indefinito; può essere archiviato dopo 5 anni di inattività (preavviso di 90 giorni via e-mail al proprietario) |
| Registri di pagamento | 7 anni (diritto tributario austriaco, BAO §132) |
| Registri del consenso ai cookie | 3 anni (Art. 7(1) GDPR) |
| Analisi lato server | 2 anni |
| Dati di sessione (PHPSESSID) | Fino alla chiusura del browser |
| Richieste di cancellazione (GDPR) | Dati cancellati entro 30 giorni; l'hash dell'e-mail viene conservato per evitare problemi di ri-registrazione |
Se cancella il Suo memoriale o richiede la cancellazione, tutti i dati associati (foto, messaggi, storie, candele) vengono rimossi permanentemente dai nostri server entro 30 giorni.
Utilizziamo i seguenti fornitori di servizi terzi (sub-responsabili) per gestire Veleiras. Con ciascuno è in vigore un Accordo per il Trattamento dei Dati (DPA):
| Sub-responsabile | Finalità | Ubicazione e garanzie |
|---|---|---|
| Stripe, Inc. | Elaborazione dei pagamenti | Stati Uniti — Clausole Contrattuali Standard UE (SCC) + DPA |
| Cloudflare, Inc. | CDN, protezione DDoS, sicurezza, archiviazione media (R2), database edge (D1) | Azienda statunitense — ubicazioni dati UE, Quadro sulla Privacy dei Dati UE-USA + DPA |
| Hostinger International Ltd. | Hosting web e database | Server nell'Unione Europea — DPA |
I Suoi dati sono memorizzati su server nell'Unione Europea. Il nostro database principale è ospitato da Hostinger (UE), e Cloudflare D1 (database) e R2 (archiviazione media) sono configurati per ubicazioni dati UE. La CDN di Cloudflare può instradare le richieste attraverso server edge globali per prestazioni e sicurezza, ma i dati memorizzati rimangono nell'UE. Stripe (elaborazione pagamenti) ha sede negli Stati Uniti ed è certificato nell'ambito del Quadro sulla Privacy dei Dati UE-USA. Tutti i trasferimenti al di fuori dell'UE sono protetti da Accordi per il Trattamento dei Dati come richiesto dal Capitolo V del GDPR.
Se si trova nello Spazio Economico Europeo, ha il diritto di:
Per esercitare uno qualsiasi di questi diritti, ci contatti all'indirizzo privacy@veleiras.com. Risponderemo entro 30 giorni come richiesto dall'Art. 12(3) del GDPR.
Non effettuiamo alcuna profilazione o processo decisionale automatizzato come definito dall'Art. 22 del GDPR. Nessuna decisione che La riguarda viene presa con mezzi automatizzati. Non costruiamo profili comportamentali degli utenti o dei visitatori.
Veleiras non è rivolto a minori di 16 anni. Non raccogliamo consapevolmente dati personali di minori. I memoriali possono essere creati per minori dai loro genitori o tutori legali.
Potremmo aggiornare questa informativa di tanto in tanto. Le modifiche significative saranno comunicate via e-mail ai proprietari dei memoriali. La data di entrata in vigore in cima a questa pagina rifletterà sempre la versione più recente.
Per qualsiasi domanda o richiesta relativa alla privacy:
privacy@veleiras.com
Ci impegniamo a risolvere tutte le questioni relative alla privacy direttamente. Se non è soddisfatto della nostra risposta, ha il diritto di presentare un reclamo all'autorità di controllo:
Autorità austriaca per la protezione dei dati
(Österreichische Datenschutzbehörde)
Barichgasse 40-42, 1030 Vienna, Austria
Email: dsb@dsb.gv.at
Website: www.dsb.gv.at