PRIVACY E COOKIE

Informativa privacy e cookie policy

Questa pagina descrive quali dati tratta ConfigMon, per quali finalità, con quale base giuridica e quali strumenti tecnici sono attivi oggi nel prodotto. Le categorie non necessarie restano disattivate di default finché non viene registrata una scelta valida.

TITOLARE DEL TRATTAMENTO

Francesco De Rose

Titolare del trattamento per i dati gestiti attraverso il sito ConfigMon e i servizi collegati al configuratore.

ConfigMon è gestito come progetto personale e non costituisce attività commerciale soggetta a IVA. Per ogni richiesta privacy o legale è disponibile l'indirizzo [email protected].

AGGIORNAMENTO

Versione 2026-05-08

Modello policy aggiornato il 2026-05-08. Il cookie tecnico di consenso ha durata massima di 180 giorni.

SCELTE COOKIE

Revisione sempre disponibile

Puoi riaprire il centro preferenze in ogni momento dal footer oppure consultare la sezione Rivedi le scelte.

PANORAMICA

Che cosa copre questa informativa

La policy unifica informativa privacy e cookie policy operativa per il sito ConfigMon, incluse autenticazione, navigazione, personalizzazione dell'interfaccia e disclosure sulle partnership affiliate.

Dati e trattamenti principali

  • dati di account e sessione per login e accesso alle aree protette;
  • dati tecnici di navigazione necessari a sicurezza e continuità del servizio;
  • preferenze facoltative lato client, come il tema dell'interfaccia;
  • dati strettamente connessi ai click su partner o disclosure affiliate.

Destinatari e conservazione

  • i dati restano trattati da ConfigMon e dai fornitori tecnici necessari al servizio;
  • i cookie Auth.js e gli strumenti di sessione seguono la loro durata tecnica o di configurazione;
  • le preferenze opzionali restano memorizzate fino a modifica manuale o cancellazione locale.
FINALITA

Finalità, basi giuridiche e stato attuale

Le categorie sono allineate al modello centrale condiviso tra policy, banner e centro preferenze per evitare divergenze di copy o comportamento.

NecessariSempre attivi

Sostengono autenticazione, sicurezza e funzioni core richieste dall'utente.

Restano sempre attivi per permettere login, mantenimento sessione, protezione del flusso di accesso e corretto funzionamento delle route protette.

Base giuridica
Esecuzione del servizio richiesto
Default
Attiva
Revisione
Non disattivabili

Cookie e strumenti strettamente necessari all'erogazione del servizio richiesto e alla sicurezza del sito.

PreferenzeAttive solo dopo consenso

Memorizzano scelte opzionali come il tema grafico del sito.

Permettono di ricordare preferenze non indispensabili al servizio, come la personalizzazione dell'interfaccia, e devono restare disattivate finché l'utente non sceglie diversamente.

Base giuridica
Consenso
Default
Disattivata
Revisione
Attivabili su richiesta

Strumenti che migliorano l'esperienza utente salvando preferenze facoltative senza essere indispensabili alla navigazione.

AnalyticsAttivi solo dopo consenso

Aiutano a capire come viene usato il sito con dati aggregati e pseudonimizzati.

Servono a misurare traffico e utilizzo del sito per migliorare l'esperienza. Restano disattivati finché non viene registrato un consenso valido.

Base giuridica
Consenso
Default
Disattivata
Revisione
Attivabili su richiesta

Strumenti statistici non tecnici da attivare solo dopo consenso valido, libero e granulare.

INVENTARIO

Cookie, storage e strumenti simili usati oggi

La tabella seguente riflette lo stato del codice attuale. Se una categoria non ha strumenti attivi, viene indicata esplicitamente.

Necessari

Cookie e strumenti strettamente necessari all'erogazione del servizio richiesto e alla sicurezza del sito.

Sempre attivi
StrumentoIdentificatoriProviderTipoParteBaseDurataStato
Auth.js session token
Mantiene la sessione autenticata e consente accesso alle aree protette.
next-auth.session-token, __Secure-next-auth.session-token
ConfigMon / Auth.js (NextAuth)
Autenticazione e sessione
CookiePrima parteEsecuzione del servizio richiestoFino a 30 giorni secondo default Auth.js con rinnovo su utilizzo, salvo logout o diversa configurazione.
Sempre attivo quando l'utente accede
Cookie tecnico necessario generato da Auth.js con strategia sessione JWT per login, protezione route e persistenza sessione.
Auth.js CSRF token
Protegge i form e il flusso di autenticazione da richieste cross-site non autorizzate.
next-auth.csrf-token, __Host-next-auth.csrf-token
ConfigMon / Auth.js (NextAuth)
Sicurezza accessi
CookiePrima parteLegittimo interesseSessione o breve durata tecnica necessaria al completamento del flusso di autenticazione.
Sempre attivo durante autenticazione
Cookie tecnico di sicurezza usato dal provider credenziali e dalle route Auth.js.
Auth.js callback URL
Ricorda l'URL di rientro da usare al termine del flusso di login.
next-auth.callback-url, __Secure-next-auth.callback-url
ConfigMon / Auth.js (NextAuth)
Navigazione autenticata
CookiePrima parteEsecuzione del servizio richiestoDurata tecnica limitata alla navigazione o al completamento del flusso di accesso.
Attivo solo se il flusso auth richiede redirect
Compare solo nei percorsi di autenticazione o redirect gestiti da Auth.js.
Identificativo visitatore community (anti-doppio-conteggio)
Cookie tecnico httpOnly utilizzato per evitare il conteggio multiplo delle visualizzazioni delle build pubbliche della community da parte dello stesso visitatore.
configmon_vid
ConfigMon
Community / metriche di visualizzazione
CookiePrima parteLegittimo interesse12 mesi dalla generazione, rinnovati a ogni nuova visita di una build pubblica.
Attivo solo alla prima apertura di una build community
L'identificatore è un UUID casuale non collegato a un account, viene impostato lato server con flag httpOnly e SameSite=Lax e non viene letto da JavaScript di terze parti.
Preferenze

Strumenti che migliorano l'esperienza utente salvando preferenze facoltative senza essere indispensabili alla navigazione.

Attive solo dopo consenso
StrumentoIdentificatoriProviderTipoParteBaseDurataStato
Preferenza tema interfaccia
Memorizza il tema scelto dall'utente tra modalità dark e light.
cm_theme
ConfigMon
UI tema
Local storagePrima parteConsensoFino a modifica manuale dell'utente o cancellazione dello storage locale del browser.
Da bloccare fino a consenso preferenze
La chiave `cm_theme` viene letta e persistita solo dopo consenso valido alla categoria preferenze; in assenza o revoca del consenso resta bloccata e viene rimossa dallo storage locale.
Analytics

Strumenti statistici non tecnici da attivare solo dopo consenso valido, libero e granulare.

Attivi solo dopo consenso
StrumentoIdentificatoriProviderTipoParteBaseDurataStato
Servizio analytics self-hosted
Misurazione aggregata e pseudonimizzata del traffico e degli eventi di navigazione per capire l'utilizzo del sito.
chiavi tecniche di sessione analytics nel local storage
ConfigMon — istanza analytics self-hosted
Analytics
Local storagePrima parteConsensoLe chiavi locali sono persistite finché l'utente mantiene il consenso analytics; alla revoca vengono rimosse dal browser. I dati lato server seguono una retention massima configurata coerente con la finalità statistica.
Caricato solo dopo consenso analytics
Lo script analytics viene iniettato nella pagina solo dopo consenso valido alla categoria analytics; alla revoca le relative chiavi tecniche nel local storage vengono cancellate automaticamente.
TRATTAMENTI SPECIFICI

Dati raccolti, finalità e tempi di conservazione

In aggiunta agli strumenti tecnici descritti sopra, ConfigMon tratta dati personali per la fornitura delle funzionalità del servizio. Per ciascun trattamento sono indicati i dati raccolti, la finalità, la base giuridica, il periodo di conservazione e i destinatari ai sensi degli artt. 13-14 GDPR.

Account utente e autenticazione

Dati trattati
Email, username pubblico, hash della password (Argon2), ruolo, dati di verifica email, token di reset password.
Finalità
Creazione e gestione dell'account, login, recupero password, accesso alle aree protette e alle funzionalità riservate agli utenti registrati.
Base giuridica
Esecuzione del contratto (art. 6.1.b GDPR).
Conservazione
Per tutta la durata dell'account; cancellazione su richiesta dell'utente o dopo 24 mesi di inattività documentata. Le credenziali sono cancellate immediatamente alla chiusura account; alcuni dati possono essere mantenuti in forma anonimizzata per finalità statistiche.
Destinatari
Provider infrastrutturale (hosting), provider email transazionale (Brevo) per le sole comunicazioni di servizio.

Assistente AI e cronologia conversazioni

Dati trattati
Domanda testuale digitata dall'utente, identificativo della build attiva e dei suoi componenti, eventuale identificativo utente associato alla sessione.
Finalità
Generare risposte contestuali alla build dell'utente. Le richieste sono trasmesse a un provider AI esterno (OpenAI o OpenRouter, in base alla configurazione di runtime) per la generazione del testo. Le conversazioni vengono salvate per permettere all'utente di rivederle.
Base giuridica
Esecuzione di un servizio richiesto dall'utente (art. 6.1.b GDPR).
Conservazione
Le chat collegate a un utente autenticato sono conservate fino alla cancellazione manuale della singola conversazione o fino alla chiusura dell'account. I provider AI esterni applicano le proprie policy di retention sulle richieste ricevute.
Destinatari
OpenAI, L.L.C. e/o OpenRouter, Inc. limitatamente al testo della domanda e ai dati tecnici della build trasmessi nel prompt; nessun trasferimento di credenziali, email o dati di account.

Modulo Contattaci

Dati trattati
Nome (facoltativo), indirizzo email, oggetto e contenuto del messaggio, identificativo utente se autenticato, hash dell'IP per anti-abuso.
Finalità
Gestire la richiesta di supporto o la segnalazione inviata dall'utente e rispondere via email.
Base giuridica
Esecuzione di richiesta dell'interessato (art. 6.1.b GDPR) e legittimo interesse al contrasto degli abusi (art. 6.1.f GDPR) per l'hash IP.
Conservazione
Massimo 24 mesi dalla ricezione del messaggio o dalla risoluzione della pratica, salvo necessità documentate di conservazione più lunga (es. contenzioso).
Destinatari
Personale interno autorizzato e provider email transazionale (Brevo) per la sola consegna delle risposte.

Click e impression sui partner commerciali

Dati trattati
Identificativo del componente, identificativo del partner, posizione/placement nel sito, timestamp, identificativo utente solo se autenticato (altrimenti nessun ID utente).
Finalità
Misurare in forma aggregata l'efficacia delle visibilità partner e rendicontare i click sulle offerte affiliate.
Base giuridica
Legittimo interesse del titolare e del partner alla rendicontazione del rapporto commerciale (art. 6.1.f GDPR).
Conservazione
I record individuali sono conservati per un massimo di 18 mesi; oltre tale termine i dati sono mantenuti solo in forma aggregata o anonima.
Destinatari
Partner commerciali destinatari della rendicontazione, esclusivamente in forma aggregata e senza dati identificativi degli utenti finali.

Visualizzazioni delle build pubbliche (community)

Dati trattati
Identificativo opaco del visitatore (cookie httpOnly `configmon_vid`, UUID casuale) e identificativo della build visualizzata.
Finalità
Conteggiare in modo non duplicato le visualizzazioni delle build pubbliche pubblicate nella community.
Base giuridica
Legittimo interesse alla misurazione del servizio (art. 6.1.f GDPR).
Conservazione
Il cookie `configmon_vid` ha durata massima 12 mesi; i record di visualizzazione sono conservati fino a 12 mesi e oltre tale termine vengono aggregati o cancellati.
Destinatari
Nessuna comunicazione a terzi.

Log delle azioni amministrative

Dati trattati
Identificativo dell'amministratore, tipo di azione, oggetto su cui è stata svolta, snapshot dei dati prima e dopo la modifica, timestamp.
Finalità
Garantire tracciabilità e accountability delle operazioni svolte dal personale con privilegi amministrativi sul sito.
Base giuridica
Adempimento di obblighi legali in materia di sicurezza e accountability (art. 6.1.c e art. 32 GDPR) e legittimo interesse del titolare (art. 6.1.f GDPR).
Conservazione
Massimo 24 mesi dalla registrazione dell'evento.
Destinatari
Solo personale interno autorizzato.

Contenuti pubblicati in community

Dati trattati
Build pubblicate, voti, salvataggi, username pubblico associato.
Finalità
Permettere la condivisione delle build, il voto della community e la creazione di un profilo pubblico.
Base giuridica
Esecuzione del servizio richiesto dall'utente (art. 6.1.b GDPR); la pubblicazione è sempre opt-in.
Conservazione
Fino alla rimozione del contenuto da parte dell'utente, alla chiusura dell'account o alla rimozione per violazione dei termini d'uso.
Destinatari
Pubblico generico per i contenuti contrassegnati come pubblici dall'utente.
DESTINATARI E FORNITORI

Soggetti che possono trattare dati per conto di ConfigMon

I seguenti fornitori operano in qualità di responsabili del trattamento ex art. 28 GDPR o, dove indicato, come autonomi titolari del trattamento limitatamente ai dati strettamente necessari alla loro funzione. L'elenco è non esaustivo e può essere aggiornato in caso di modifiche tecniche.

Provider AI

OpenAI, L.L.C. e/o OpenRouter, Inc.— generazione delle risposte dell'assistente AI in base alla configurazione attiva. I trasferimenti verso paesi extra-UE avvengono sulla base delle Standard Contractual Clauses adottate dalla Commissione Europea, ove applicabili.

Email transazionale

Brevo (Sendinblue SAS) — recapito di email tecniche per verifica account, reset password, notifiche di servizio e risposte alle richieste di contatto. Nessun uso marketing senza consenso esplicito.

Analytics (solo dopo consenso)

Servizio analytics self-hosted — misurazione aggregata del traffico, attivata solo dopo consenso valido alla categoria analytics. In assenza di consenso lo script non viene caricato e le eventuali chiavi tecniche residue nel browser vengono cancellate.

Anti-abuso accessi

Cloudflare Turnstile — protezione anti-bot applicata a flussi sensibili (login, registrazione, form contatti). Tratta solo segnali tecnici minimi necessari alla verifica.

Hosting e database

Provider infrastrutturali utilizzati per ospitare l'applicazione e la base dati, vincolati da accordi di trattamento che impongono misure di sicurezza adeguate.

DIRITTI

Diritti dell'interessato

Nei limiti applicabili puoi chiedere accesso, rettifica, cancellazione, limitazione, opposizione e portabilità dei dati, oltre a revocare eventuali consensi per finalità non necessarie.

  • accesso ai dati e alle logiche essenziali del trattamento;
  • rettifica o aggiornamento di dati inesatti;
  • cancellazione quando non sussistono più presupposti di trattamento;
  • limitazione o opposizione nei casi previsti dalla normativa;
  • reclamo all'autorità di controllo competente.
CONTATTI

Come contattare ConfigMon

Per richieste privacy o chiarimenti sulla presente policy puoi scrivere a [email protected].

Per informazioni sulle partnership commerciali resta disponibile anche [email protected].

Se la struttura del trattamento cambia in modo materiale, questa pagina viene aggiornata e il meccanismo di consenso può essere riproposto secondo la nuova versione della policy.

Tema