Informativa sulla Privacy
Ultimo aggiornamento: Febbraio 2026
Versione: 2026.02
Titolare del Trattamento: Raimondo Norberto Giamberduca
Email: privacy@mindthejourney.com
1. Introduzione
Benvenuto su Mind the Journey, una piattaforma di esplorazione interattiva dedicata alla scoperta del mondo attraverso le sue culture, paesaggi e storie.
Questa informativa descrive come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali quando visiti il nostro sito o utilizzi le nostre funzionalità interattive, in conformità al Regolamento Generale sulla Protezione dei Dati (GDPR - Reg. UE 2016/679) e alle normative italiane applicabili.
2. Titolare del Trattamento
Raimondo Norberto Giamberduca
Email: privacy@mindthejourney.com
Sede: Monza via Lecco 24 MB Italia
In caso di domande sulla privacy o per esercitare i tuoi diritti, contattaci all'indirizzo sopra indicato.
3. Dati Raccolti e Finalità
3.1 Dati di Navigazione Automatici
Indirizzi IP
Quando visiti il nostro sito, raccogliamo automaticamente il tuo indirizzo IP per le seguenti finalità:
- Sicurezza e prevenzione abusi: Protezione da attacchi informatici, tentativi di accesso non autorizzati e comportamenti fraudolenti
- Geolocalizzazione approssimativa: Visualizzazione della tua regione di provenienza sul globo 3D interattivo (solo a livello di paese/regione, mai indirizzo preciso)
- Statistiche aggregate: Analisi del traffico per regione geografica per migliorare i contenuti
Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)
Conservazione: 30 giorni in forma anonimizzata (ridotto a subnet /16, es: 192.168.0.0)
Anonimizzazione: L'IP viene immediatamente ridotto eliminando gli ultimi due ottetti (IPv4) o gli ultimi 6 gruppi (IPv6)
Esempio:
- IP originale:
192.168.123.45 - IP anonimizzato salvato:
192.168.0.0
User Agent e Metadati Tecnici
- Browser e sistema operativo: Per ottimizzare l'esperienza su diversi dispositivi
- Risoluzione schermo: Per adattare l'interfaccia del globo 3D
- Timestamp di accesso: Per statistiche orarie di utilizzo
Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)
Conservazione: 90 giorni in forma aggregata
3.2 Cookie e Tecnologie di Tracciamento
Utilizziamo diverse categorie di cookie. Per dettagli completi, consulta la nostra Cookie Policy.
Cookie Tecnici Essenziali (Sempre Attivi)
Necessari per il funzionamento base del sito:
| Nome | Scopo | Durata | Tipo |
|---|---|---|---|
mtj_consent |
Memorizza le tue preferenze sui cookie | 12 mesi | localStorage |
mtj_anon_id |
ID anonimo per statistiche interne | Persistente | localStorage |
mtj_language |
Lingua selezionata (IT/EN) | Persistente | localStorage |
mtj_legal_notice_seen |
Traccia visualizzazione avviso legale | Persistente | localStorage |
Base giuridica: Necessità tecnica (Art. 6(1)(b) GDPR) - non richiedono consenso esplicito
Cookie Analytics (Opzionali - Solo con Consenso)
Attivati solo dopo il tuo consenso esplicito tramite il banner cookie:
Google Analytics 4 (se utilizzato):
- Cookie:
_ga,_gid,_gat_gtag_UA_* - Durata: 2 anni (_ga), 24 ore (_gid)
- Scopo: Statistiche aggregate su pagine visitate, durata sessioni, flussi di navigazione
- Terze parti: Google LLC (USA) - Trasferimento dati extra-UE regolato da Standard Contractual Clauses (SCC)
- Privacy Policy: https://policies.google.com/privacy
- Opt-out: https://tools.google.com/dlpage/gaoptout
Plausible Analytics (alternativa privacy-friendly):
- Cookie: Nessuno
- Metodo: Tracking anonimo senza cookie
- Conformità: 100% GDPR compliant, dati salvati in EU
- Open source: https://plausible.io
Base giuridica: Consenso esplicito (Art. 6(1)(a) GDPR)
Conservazione: 14 mesi (Google Analytics), 12 mesi (Plausible)
Cookie Funzionali (Opzionali - Solo con Consenso)
Migliorano l'esperienza personalizzata:
- Tema preferito: Salva il tema visivo scelto (BorderScapes, Wild Realms, etc.)
- Destinazioni salvate: Memorizza le località aggiunte ai preferiti
- Filtri applicati: Ricorda le categorie selezionate sul globo
Base giuridica: Consenso esplicito (Art. 6(1)(a) GDPR)
Conservazione: 24 mesi o fino alla cancellazione manuale
3.3 Servizi di Terze Parti
Hosting e CDN
- Provider: [Replit / Vercel / altro - da specificare]
- Localizzazione server: Unione Europea
- Dati trasferiti: Solo dati tecnici necessari per l'erogazione del servizio
- DPA (Data Processing Agreement): Attivo
Mappe Interattive
- globe.gl (3D Globe): Libreria JavaScript open-source, nessun dato inviato a terzi
- Mapbox GL JS (2D Maps): Possibile utilizzo futuro per mappe dettagliate
- Privacy Policy: https://www.mapbox.com/legal/privacy
- Dati: Coordinate visualizzate, livello zoom (anonimi)
Geolocalizzazione IP
- Provider: ipapi.co / CloudFlare
- Dati trasferiti: Solo IP anonimizzato
- Scopo: Determinare paese/regione per funzionalità globo
- Retention: Nessuna memorizzazione presso il provider
3.4 Funzionalità Future (Non Ancora Attive)
Quando implementeremo le seguenti funzionalità, aggiorneremo questa policy:
Segnalazione Errori
Dati raccolti:
- Email (opzionale, per risposta)
- Descrizione del problema
- URL della pagina
- Screenshot (opzionale)
- Browser e sistema operativo
- Timestamp
Finalità: Miglioramento qualità contenuti e correzione errori
Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)
Conservazione: 90 giorni dopo risoluzione del problema
Cancellazione: Automatica o su richiesta immediata
Account Utente e Preferiti
Dati raccolti:
- Email (obbligatoria)
- Password (hash crittografato, mai in chiaro)
- Nome utente (opzionale)
- Destinazioni salvate
- Itinerari creati
- Preferenze di viaggio
Finalità: Sincronizzazione multi-dispositivo, salvataggio preferenze
Base giuridica: Esecuzione contratto (Art. 6(1)(b) GDPR)
Conservazione: Fino a cancellazione account o 24 mesi di inattività
Sicurezza: Password con bcrypt (cost factor 12), HTTPS obbligatorio, backup crittografati
3.5 Segnalazioni Errori e Contributi Community
Quando utilizzi il sistema di segnalazione errori, raccogliamo:
Dati raccolti:
- Email: Obbligatoria per ospiti, automatica per utenti registrati
- Descrizione errore: Testo libero (max 1000 caratteri)
- Suggerimenti correzione: Opzionale
- URL fonte: Opzionale
- Screenshot: Opzionale (max 5MB, immagini anonimizzate)
- Metadati tecnici: Browser, SO, timestamp, IP anonimizzato
- User ID: Se utente registrato
Finalità del trattamento:
- Miglioramento qualità e accuratezza contenuti
- Correzione errori segnalati
- Prevenzione spam e abusi
- Statistiche aggregate su tipologie errori
- Riconoscimento contributori (se autorizzato)
Base giuridica:
- Art. 6(1)(f) GDPR - Legittimo interesse (miglioramento servizio)
- Art. 6(1)(a) GDPR - Consenso (se richiedi riconoscimento pubblico)
Conservazione dati:
- Segnalazioni valide e accettate: 24 mesi dalla risoluzione
- Segnalazioni respinte: 90 giorni
- Segnalazioni spam: 30 giorni + ban IP 12 mesi
- Changelog pubblico: Permanente (solo nome reporter, se autorizzato)
Trasparenza: Le tue segnalazioni sono visibili:
- ❌ NON pubbliche durante la review
- ✅ Visibili a te nella dashboard (se utente registrato)
- ✅ Visibili a staff interno con accesso autorizzato
- ✅ Pubbliche nel changelog (solo outcome, non contenuto integrale segnalazione)
Diritti specifici:
- Accesso: Visualizza tue segnalazioni in dashboard
- Rettifica: Modifica segnalazione entro 48h dall'invio
- Cancellazione: Richiedi eliminazione dati (segnalazione potrebbe restare ma anonimizzata)
- Opposizione: Rifiuta pubblicazione nome nel changelog
Sicurezza:
- IP anonimizzato (subnet /16) prima di salvare
- Screenshot processati per rimuovere dati sensibili (AI)
- Email crittografate a riposo (AES-256)
- Accesso staff limitato con audit log
Contatto: privacy@mindthejourney.com per domande su trattamento dati segnalazioni.
4. Base Giuridica del Trattamento
I tuoi dati sono trattati sulla base di:
| Finalità | Base Giuridica GDPR |
|---|---|
| Funzionamento tecnico del sito | Art. 6(1)(b) - Esecuzione contratto / Necessità tecnica |
| Sicurezza e prevenzione frodi | Art. 6(1)(f) - Legittimo interesse |
| Analytics e miglioramento servizio | Art. 6(1)(a) - Consenso esplicito |
| Cookie funzionali | Art. 6(1)(a) - Consenso esplicito |
| Risposta a richieste utente | Art. 6(1)(b) - Esecuzione contratto |
| Obblighi legali (es: conservazione fatture) | Art. 6(1)(c) - Obbligo legale |
5. Condivisione e Trasferimento Dati
5.1 Destinatari dei Dati
I tuoi dati possono essere condivisi con:
- Fornitori di servizi tecnici: Hosting, CDN, backup (tutti con DPA attivi)
- Servizi analytics: Google Analytics (se consenso dato) o Plausible
- Autorità competenti: Solo su richiesta legale (es: ordine tribunale)
Non vendiamo né affittiamo mai i tuoi dati a terzi.
5.2 Trasferimenti Extra-UE
Se utilizzi Google Analytics, alcuni dati possono essere trasferiti negli USA a Google LLC.
Garanzie adeguate:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea
- Google è certificato EU-US Data Privacy Framework
- Puoi opporti disabilitando i cookie analytics
Se utilizzi Plausible, tutti i dati restano nell'UE (server in Germania).
6. Conservazione dei Dati
| Tipo di Dato | Periodo di Conservazione | Motivazione |
|---|---|---|
| Consensi cookie | 12 mesi | Scadenza naturale consenso GDPR |
| IP anonimizzati | 30 giorni | Sufficiente per statistiche e sicurezza |
| Log analytics | 14 mesi | Default Google Analytics |
| Audit log consensi | 12 mesi | Obblighi di compliance GDPR |
| Account inattivi | 24 mesi | Cancellazione automatica dopo inattività |
| Segnalazioni errori | 90 giorni post-risoluzione | Tempo adeguato per follow-up |
Allo scadere dei periodi indicati, i dati vengono cancellati automaticamente o anonimizzati irreversibilmente.
7. Diritti degli Utenti (Art. 15-22 GDPR)
Hai diritto a:
7.1 Diritto di Accesso (Art. 15)
Ottenere una copia di tutti i dati personali che deteniamo su di te.
Come esercitarlo:
- Visita la Dashboard Privacy
- Scarica il file JSON con tutti i tuoi dati
- O scrivi a privacy@mindthejourney.com
7.2 Diritto di Rettifica (Art. 16)
Correggere dati inesatti o incompleti.
Esempio: Modificare email associata all'account, aggiornare preferenze errate.
7.3 Diritto alla Cancellazione - "Diritto all'Oblio" (Art. 17)
Richiedere la cancellazione completa dei tuoi dati.
Come esercitarlo:
- Dashboard Privacy → "Elimina Tutti i Dati" (con conferma)
- O scrivi a privacy@mindthejourney.com
Tempistiche: Cancellazione immediata da sistemi attivi, 30 giorni da backup.
Eccezioni: Possiamo rifiutare se necessario per:
- Obblighi legali (es: fatture per 10 anni)
- Difesa in giudizio
- Esercizio libertà di espressione
7.4 Diritto alla Portabilità (Art. 20)
Ricevere i tuoi dati in formato strutturato, leggibile da macchina (JSON).
Come esercitarlo:
- Dashboard Privacy → "Esporta Dati"
- Scarica file JSON con tutti i dati
7.5 Diritto di Opposizione (Art. 21)
Opporti al trattamento basato su legittimo interesse (es: analytics).
Come esercitarlo:
- Disabilita cookie analytics nel banner
- O scrivi a privacy@mindthejourney.com per opposizione completa
7.6 Diritto di Limitazione (Art. 18)
Sospendere temporaneamente il trattamento mentre verifichi/contesti i dati.
7.7 Revoca del Consenso
Ritirare il consenso dato in precedenza (es: cookie analytics) in qualsiasi momento.
Effetto: Il ritiro non invalida i trattamenti già effettuati.
8. Come Esercitare i Tuoi Diritti
Metodo 1: Dashboard Privacy (Immediato)
- Visita /privacy-dashboard
- Visualizza consensi attuali
- Esporta dati (download JSON)
- Modifica preferenze cookie
- Cancella account (con conferma)
Metodo 2: Email (Risposta entro 30 giorni)
Scrivi a privacy@mindthejourney.com indicando:
- Diritto che vuoi esercitare
- Dati necessari per identificarti (email, ID anonimo se disponibile)
- Motivazione (opzionale ma utile)
Tempo di risposta: 30 giorni (estensibili a 90 se richiesta complessa)
Costo: Gratuito (salvo richieste manifestamente infondate o eccessive)
Metodo 3: Reclamo al Garante
Se ritieni che i tuoi diritti siano stati violati:
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Tel: +39 06 696771
Email: garante@gpdp.it
Web: https://www.garanteprivacy.it
9. Sicurezza dei Dati
Implementiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:
Misure Tecniche
- Crittografia HTTPS/TLS 1.3: Tutti i dati trasmessi sono cifrati
- Anonimizzazione IP: Immediata riduzione a subnet /16
- Password crittografate: bcrypt con cost factor 12 (quando avremo account)
- Firewall e protezione DDoS: Livello applicativo e rete
- Audit log immutabili: File JSONL append-only per tracciabilità
- Backup crittografati: AES-256, conservati in location geografica separata
Misure Organizzative
- Accesso limitato: Solo personale autorizzato con need-to-know
- Formazione staff: Training annuale su GDPR e sicurezza
- Data Breach Response Plan: Procedura notifica entro 72 ore al Garante
- Revisioni periodiche: Audit sicurezza trimestrale
- Contratti DPA: Con tutti i fornitori che trattano dati
Data Breach Notification
In caso di violazione di dati personali:
- Notifica al Garante: Entro 72 ore dalla scoperta
- Notifica a te: Senza ritardo se c'è rischio elevato per i tuoi diritti
- Contenuto: Natura della violazione, dati coinvolti, misure adottate, contatto DPO
10. Privacy dei Minori
Mind the Journey è rivolto a un pubblico generico, inclusi minori accompagnati.
Raccolta dati minori (<14 anni in Italia):
- NO account senza consenso genitoriale verificabile
- Cookie tecnici: Consentiti (necessari per funzionamento)
- Cookie analytics: Richiediamo conferma età o consenso genitoriale
Se veniamo a conoscenza di aver raccolto dati di minori senza consenso, procediamo alla cancellazione immediata.
Genitori: Per richiedere cancellazione dati di vostro figlio, contattate privacy@mindthejourney.com con prova parentela.
11. Link a Siti Esterni
Mind the Journey contiene link a siti di terze parti (hotel, tour operator, guide turistiche, musei, istituzioni culturali).
Non siamo responsabili per:
- Privacy policy di questi siti esterni
- Trattamento dati effettuato da terzi
- Contenuti, prezzi o disponibilità su siti esterni
- Transazioni o prenotazioni effettuate tramite link
Raccomandazione: Leggi sempre la privacy policy del sito esterno prima di fornire dati personali o effettuare transazioni.
12. Modifiche alla Privacy Policy
Potremmo aggiornare questa policy per:
- Conformità a nuove normative
- Introduzione nuove funzionalità
- Miglioramenti richiesti dal Garante
- Feedback degli utenti
Notifica modifiche:
- Modifiche sostanziali: Banner notifica + email (se hai account)
- Modifiche minori: Solo aggiornamento data in cima al documento
Versione attuale: 2026.02 (Febbraio 2026)
Storico versioni: Disponibile su richiesta a privacy@mindthejourney.com
Ti invitiamo a rivedere periodicamente questa policy visitando la pagina /privacy.
13. Contatti e Domande
Per qualsiasi domanda sulla privacy, esercizio diritti o segnalazione problemi:
Email: privacy@mindthejourney.com
Tempo risposta: 5 giorni lavorativi (richieste semplici), 30 giorni (richieste GDPR)
Dashboard Self-Service: /privacy-dashboard
Referente Privacy / DPO: [Da nominare se >250 dipendenti o trattamenti sensibili]
14. Glossario
- GDPR: General Data Protection Regulation (Reg. UE 2016/679)
- DPA: Data Processing Agreement (Accordo trattamento dati)
- IP: Internet Protocol address (Indirizzo di rete)
- Cookie: Piccolo file di testo memorizzato dal browser
- localStorage: Memoria locale del browser (tipo di cookie persistente)
- Anonimizzazione: Rimozione irreversibile elementi identificativi
- Pseudonimizzazione: Sostituzione identificativi con ID casuali (reversibile)
- SCC: Standard Contractual Clauses (Clausole Contrattuali Standard UE)
Grazie per aver scelto Mind the Journey. La tua privacy è la nostra priorità.
Ultimo aggiornamento: Febbraio 2026 | Versione 2026.02