WP·Care
Documento legale · Informativa

Privacy Policy · trattamento dei tuoi dati

Versione 1.0 · In vigore dal 5 maggio 2026 · GDPR · UE 2016/679 D.Lgs. 196/2003
Bozza operativa. Questo documento è completo nei contenuti ma va revisionato da consulente legale prima della pubblicazione in produzione, in particolare per i campi tra [parentesi] che richiedono dati reali (denominazione TUTTUU, P.IVA, sede, contatti DPO se previsto).
Indice
  1. Titolare del trattamento
  2. Definizioni
  3. Tipologie di dati trattati
  4. Finalità e basi giuridiche
  5. Modalità di trattamento
  6. Periodo di conservazione
  7. Soggetti destinatari
  8. Trasferimenti extra-UE
  9. Diritti dell'interessato
  10. Cookie e tecnologie
  11. Sicurezza dei dati
  12. Modifiche all'informativa

01 Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite il sito wpsonar.tuttuu.it e il servizio WPSonar è [denominazione legale TUTTUU · es. TUTTUU S.r.l.], con sede legale in [indirizzo completo], P.IVA [xxxxxxxxxxx], C.F. [xxxxxxxxxxx], iscritta al Registro delle Imprese di [provincia] al n. [xxxxxxx].

Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali puoi contattarci all'indirizzo care@tuttuu.it o tramite PEC a [pec@xxxx.pec.it].

Il titolare ha valutato e non ricorre l'obbligo di nomina di un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. Per richieste in materia di privacy resta comunque disponibile il contatto sopra indicato.

02 Definizioni

Ai fini del presente documento, valgono le definizioni dell'art. 4 GDPR. In particolare:

Dato personale Qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Trattamento Qualunque operazione applicata a dati personali (raccolta, registrazione, conservazione, consultazione, comunicazione, cancellazione).
Interessato La persona fisica cui si riferiscono i dati personali (utente del sito, cliente del servizio, contatto del cliente business).
Responsabile del trattamento Soggetto terzo che tratta dati per conto del Titolare (es. provider hosting, gateway pagamenti, fornitori AI).
Servizio WPSonar, il servizio di manutenzione e monitoraggio WordPress fornito da TUTTUU.

03 Tipologie di dati trattati

3.1 Dati di contatto e qualificazione (lead intake)

Quando compili il form di audit gratuito o di contatto raccogliamo: nome, cognome, indirizzo email, numero di telefono, URL del sito web, ragione sociale (se applicabile), contenuto delle risposte alle domande di qualificazione AI.

3.2 Dati contrattuali (clienti attivi)

Per i clienti che attivano un abbonamento trattiamo: dati di fatturazione (denominazione, P.IVA, codice fiscale, sede legale, codice destinatario SDI o PEC), dati di pagamento (gestiti tramite gateway sicuro Stripe · non conserviamo numeri di carta), storico fatture e pagamenti, piano sottoscritto e cronologia dei rinnovi.

3.3 Credenziali tecniche del sito cliente (dati operativi)

Per erogare il servizio richiediamo le credenziali del WordPress e/o dell'hosting del Cliente. Queste vengono raccolte tramite form cifrato in HTTPS, conservate cifrate AES-256-GCM nel nostro database con chiave separata, e auto-revocate dopo 7 giorni dall'ultimo intervento. Comprendono tipicamente: utenza WordPress admin, credenziali cPanel/SFTP, eventuali API key di servizi terzi rilevanti per il servizio (es. Cloudflare).

3.4 Audit log delle azioni

Ogni intervento eseguito sul sito del Cliente — automatico (AI agent) o manuale (operatore) — viene registrato in audit log append-only: timestamp, tipo azione, hash dello stato pre/post, esito, eventuale rollback. Contengono solo metadati tecnici, non dati di terze parti del Cliente.

3.5 Dati di navigazione e log tecnici

Il sito raccoglie automaticamente: indirizzo IP, user-agent del browser, timestamp di accesso, pagine visitate, referer. Questi dati vengono conservati nei log del server per finalità di sicurezza, debugging e statistiche aggregate.

3.6 Dati di comunicazione

Conserviamo le email scambiate con il Cliente nelle nostre caselle care@tuttuu.it e relative, eventuali conversazioni del chatbot AI di qualificazione lead, ticket di supporto.

04 Finalità e basi giuridiche

Trattiamo i tuoi dati per le finalità seguenti, ciascuna con la propria base giuridica ai sensi dell'art. 6 GDPR:

Finalità Base giuridica
Erogazione del servizio (esecuzione audit, manutenzione, backup, monitoraggio del sito Cliente) Art. 6.1.b — esecuzione di un contratto
Risposta a richieste di contatto, audit gratuito, preventivi Art. 6.1.b — misure precontrattuali su richiesta dell'interessato
Adempimenti fiscali e contabili (fatturazione elettronica, conservazione fatture) Art. 6.1.c — obbligo legale
Sicurezza del sito e prevenzione abusi (log tecnici, blocco IP malevoli) Art. 6.1.f — legittimo interesse
Comunicazioni di servizio (notifiche di alert, report mensile, scadenze rinnovo) Art. 6.1.b — esecuzione del contratto
Comunicazioni commerciali (newsletter, novità prodotto, casi studio) Art. 6.1.a — consenso revocabile
Statistiche aggregate sul traffico del sito Art. 6.1.f — legittimo interesse

05 Modalità di trattamento

Il trattamento dei dati avviene prevalentemente in modalità automatizzata, attraverso strumenti software, ed è caratterizzato da:

  • Pseudonimizzazione dove possibile (es. hash IP nei log analitici)
  • Cifratura at-rest per credenziali Cliente (AES-256-GCM)
  • Cifratura in-transit per ogni comunicazione (TLS 1.3)
  • Audit log append-only di ogni accesso ai dati sensibili
  • Principio di minimizzazione: raccogliamo solo i dati necessari alla finalità dichiarata
  • Decisioni automatizzate AI: il sistema applica fix tecnici (cache clear, plugin disable noto-buggato, restore da backup verificato) in modo autonomo entro una safelist di azioni preautorizzate dal Cliente in fase contrattuale; ogni azione è loggata e reversibile

06 Periodo di conservazione

Categoria di dati Durata di conservazione
Dati lead non convertiti in cliente 24 mesi dall'ultima interazione, poi cancellazione automatica
Dati cliente attivo Per tutta la durata del rapporto contrattuale
Credenziali tecniche del sito Cliente Auto-revoca dopo 7 giorni dall'ultimo intervento; il Cliente può richiederne la rimozione anticipata in qualsiasi momento
Fatture e documenti contabili 10 anni dall'emissione (obbligo civilistico/fiscale)
Audit log delle azioni AI 5 anni (rilevanza forense in caso di contestazione)
Log tecnici del server 30 giorni
Backup del sito Cliente (B2 cifrati) 30/90/365 giorni a seconda del piano sottoscritto
Email di assistenza 3 anni dall'ultima comunicazione

07 Soggetti destinatari dei dati

I tuoi dati possono essere comunicati a soggetti terzi che operano come Responsabili del trattamento ex art. 28 GDPR, sulla base di accordi di trattamento dati (DPA). I principali sono:

Fornitore Finalità
Hosting cPanel [provider] Hosting del sito wpsonar.tuttuu.it e dei dati applicativi
Stripe Payments Europe Ltd. Elaborazione pagamenti carta · DPA Stripe
Backblaze B2 (Backblaze Inc., USA) Storage cifrato dei backup del sito Cliente
Anthropic PBC (USA) API Claude per qualifier AI lead, triage ticket, diagnose · solo dati strettamente necessari
OpenAI / OpenRouter / Groq Provider AI alternativi nel routing 5-tier · dati transient
Provider SMTP [Brevo / SendGrid / similar] Invio email transazionali (alert, report, conferme)
Consulente fiscale / commercialista Adempimenti fiscali · solo dati di fatturazione

I dati non vengono in alcun caso ceduti, venduti o licenziati a terze parti per finalità di marketing, profilazione commerciale o altre finalità non necessarie all'erogazione del servizio.

08 Trasferimenti extra-UE

Alcuni dei nostri fornitori (Anthropic, OpenAI, Backblaze) hanno sede negli Stati Uniti d'America. I trasferimenti di dati personali verso questi soggetti avvengono sulla base di:

  • Standard Contractual Clauses (SCC) della Commissione Europea (Decisione 2021/914)
  • EU-US Data Privacy Framework dove il fornitore vi aderisce
  • Misure tecniche supplementari dove previste (cifratura end-to-end, pseudonimizzazione)

Per i dettagli specifici di ciascun trasferimento puoi richiedere copia delle clausole contrattuali a care@tuttuu.it.

09 Diritti dell'interessato

Ai sensi degli articoli 15-22 GDPR hai il diritto di:

  • Accedere ai tuoi dati personali e ricevere copia degli stessi (art. 15)
  • Rettificare dati inesatti o incompleti (art. 16)
  • Cancellare i dati ("diritto all'oblio") nei casi previsti dall'art. 17
  • Limitare il trattamento nei casi dell'art. 18
  • Ricevere i tuoi dati in formato strutturato e leggibile (portabilità · art. 20)
  • Opporti al trattamento basato su legittimo interesse o per finalità di marketing (art. 21)
  • Revocare il consenso in qualsiasi momento per i trattamenti che si basano su esso (art. 7.3)
  • Non essere sottoposto a decisioni automatizzate che producano effetti giuridici significativi (art. 22) — per le decisioni AI sul sito Cliente è sempre prevista una safelist preautorizzata e la possibilità di intervento umano

Per esercitare i tuoi diritti scrivi a care@tuttuu.it specificando la tua richiesta. Risponderemo entro 30 giorni, salvo proroga di 60 giorni motivata in caso di richieste complesse.

Se ritieni che il trattamento dei tuoi dati avvenga in violazione del GDPR, hai diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o ad altra autorità di controllo competente.

10 Cookie e tecnologie analoghe

Il sito wpsonar.tuttuu.it utilizza i seguenti cookie:

  • Cookie tecnici/di sessione · necessari al funzionamento (autenticazione, CSRF token, preferenze UI). Non richiedono consenso.
  • Cookie analitici di prima parte, anonimizzati (no tracking cross-site, no Google Analytics). Non richiedono consenso ai sensi del provvedimento del Garante 8 maggio 2014.
  • Cookie di terze parti · attualmente non utilizzati. Eventuali futuri inserimenti saranno gestiti tramite cookie banner conforme alle Linee Guida Cookie del Garante (giugno 2021).

Puoi disabilitare i cookie dalle impostazioni del tuo browser. La disabilitazione dei cookie tecnici può compromettere alcune funzionalità del sito.

11 Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio (art. 32 GDPR), in particolare:

  • Cifratura HTTPS/TLS 1.3 obbligatoria su tutto il dominio
  • Cifratura AES-256-GCM at-rest per credenziali tecniche del Cliente
  • Chiave di cifratura conservata fuori dal database, in env var server-side
  • Backup giornaliero del database CRM su storage off-site cifrato
  • Audit log append-only su ogni accesso a dati sensibili
  • Auto-revoca delle credenziali Cliente dopo 7 giorni di inattività
  • Aggiornamenti di sicurezza tempestivi sui sistemi server
  • Politiche di password forte e 2FA per gli operatori interni
  • Procedura di notifica al Garante entro 72h in caso di data breach (art. 33)

12 Modifiche all'informativa

Ci riserviamo il diritto di modificare la presente informativa per adeguarla a evoluzioni normative, organizzative o tecniche. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con preavviso minimo di 30 giorni. La data di ultima revisione è indicata in alto a questa pagina.

Per qualsiasi domanda relativa a questo documento, alla tutela dei tuoi dati o all'esercizio dei tuoi diritti GDPR, scrivici a care@tuttuu.it.