// LEGAL · PRIVACY · 24 MAGGIO 2026
Ultimo aggiornamento: 24 maggio 2026
La presente informativa descrive il trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (“GDPR”) e del D.Lgs. 196/2003 e ss.mm.ii., per gli utenti che:
- consultano il sito mazzocchimatteo.com;
- inviano una richiesta tramite il modulo di contatto su /contatti/;
- attivano uno dei lead magnet pubblicati su /strumenti/ (L’Architetto Digitale, Cronometro WA, Ghost Quote, Audit Invisibile, mini-tool numerici);
- scaricano il libro su /libro/ o si iscrivono alla newsletter “Spaccando il Backend” su /newsletter/;
- effettuano acquisti dei servizi a pagamento (Audit Operativo, Sistema Completo) o accedono all’area riservata /officina/.
1. Titolare del trattamento
Titolare del trattamento: Matteo Mazzocchi — P.IVA 04740780400 — sede operativa Rimini.
Email di contatto per esercizio dei diritti: [email protected].
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO) non sussistendo i presupposti di cui all’art. 37 GDPR; ogni richiesta relativa al trattamento dei dati va inviata all’indirizzo email sopra indicato.
2. Categorie di dati trattati
2.1 Modulo di contatto (/contatti/)
- Nome e cognome
- Ragione sociale e ruolo aziendale
- Email aziendale
- Numero di telefono / WhatsApp (opzionale)
- Fascia di fatturato annuo (opzionale, qualificante)
- Descrizione libera della richiesta
- Metadati tecnici di invio (indirizzo IP, user-agent, timestamp, parametri UTM di provenienza)
2.2 Lead magnet (/strumenti/*)
A seconda dello strumento attivato:
- Email dell’utente (per consegna report e nurturing post-magnet)
- Dominio del sito web o canali commerciali del proprio business (limitatamente a “Audit Invisibile”, “Cronometro WA”, “Ghost Quote”)
- Risultati tecnici della scansione automatica o degli stimoli inviati
- Verbatim degli scambi email generati dalla persona sintetica (“Ghost Quote”, durata massima 14 giorni)
- Metadati tecnici (IP, user-agent, timestamp)
Per i tool che inviano stimoli a canali commerciali dell’utente (“Cronometro WA” 24h, “Ghost Quote” 14gg), l’utente dichiara al momento dell’attivazione di essere proprietario o legale rappresentante del business testato.
2.3 Libro e newsletter (/libro/, /newsletter/)
- Email per consegna PDF e iscrizione alla newsletter “Spaccando il Backend”
- Doppio opt-in attivato per la newsletter (conferma via email obbligatoria)
- Eventi di apertura/click email (per misurare interesse e segmentare i contenuti)
2.4 Acquisti e area riservata (/servizi/*, /officina/)
- Dati anagrafici e di fatturazione (ragione sociale, P.IVA, indirizzo)
- Dati di pagamento gestiti integralmente dai provider Stripe (carta) e GoCardless (SEPA): il Titolare non memorizza dati di carta
- Storico operativo del cliente sull’area /officina/ (sessioni, attività, deliverable)
2.5 Dati di navigazione
Durante la navigazione del sito vengono raccolti dati tecnici e statistici aggregati. Plausible Analytics self-hosted è attivo di default in modalità cookieless e non identifica l’utente. Strumenti che richiedono consenso sono descritti nella Cookie Policy.
3. Finalità e basi giuridiche
| Finalità | Base giuridica | Categorie di dati |
|---|---|---|
| Riscontro alle richieste inviate tramite /contatti/ | Esecuzione di misure precontrattuali (art. 6.1.b GDPR) | § 2.1 |
| Erogazione dei lead magnet e consegna dei report | Esecuzione di un servizio richiesto dall’interessato (art. 6.1.b GDPR) | § 2.2 |
| Consegna del libro e gestione della newsletter | Consenso opt-in (art. 6.1.a GDPR), revocabile in ogni momento | § 2.3 |
| Esecuzione del contratto di servizio e accesso a /officina/ | Esecuzione del contratto (art. 6.1.b GDPR) | § 2.4 |
| Lead scoring interno (“termoregolazione dei lead”) per organizzazione contatto commerciale | Interesse legittimo del Titolare (art. 6.1.f GDPR) | Eventi di navigazione + interazioni con magnet/email |
| Statistiche di utilizzo del sito | Consenso (art. 6.1.a GDPR) tramite banner cookie, ove richiesto | § 2.5 |
| Adempimenti contabili e fiscali | Obbligo di legge (art. 6.1.c GDPR) | § 2.4 |
| Difesa in giudizio | Interesse legittimo (art. 6.1.f GDPR) | Tutti, ove necessari |
4. Processo decisionale automatizzato e profilazione
Il Titolare utilizza un sistema interno di lead scoring (“termoregolazione dei lead”) basato sui comportamenti dell’interessato (apertura email, interazioni con i lead magnet, visite al sito, completamento di tool diagnostici) per assegnare una priorità di contatto commerciale. Il sistema calcola automaticamente uno score numerico (lead_score), una temperatura (lead_temp — cold/warm/hot/burning/on-fire) e una prossima azione suggerita (next_action).
Logica di profilazione e diritto di opposizione. Tale elaborazione è una decisione assistita, non interamente automatizzata ai sensi dell’art. 22(1) GDPR: lo score automatico funge esclusivamente da indicatore di priorità per l’operatore umano, e ogni azione a impatto significativo sull’interessato (invio di una proposta commerciale, prenotazione di una call, esclusione dalle comunicazioni) viene rivista manualmente dal Titolare prima dell’esecuzione. L’output algoritmico, da solo, non produce effetti giuridici o significativi sulla persona.
Hai comunque diritto, ai sensi dell’art. 22(3) GDPR e art. 21 GDPR, di:
- richiedere intervento umano sulla decisione, esprimere la tua posizione e contestare l’esito del lead scoring;
- opporti in qualsiasi momento al trattamento di profilazione basato su interesse legittimo (art. 6.1.f GDPR);
- richiedere l’esclusione totale dal lead scoring (flag
lead_scoring_opt_outlato sistema), scrivendo a [email protected] o, se hai un account /officina/, dalla sezione self-service “Diritti GDPR”.
La valutazione di legittimo interesse (LIA — Legitimate Interest Assessment) ai sensi dell’art. 6.1.f GDPR per l’attività di lead scoring è documentata internamente ed è messa a disposizione su richiesta delle autorità competenti o dell’interessato.
5. Destinatari dei dati
I dati possono essere trattati da soggetti terzi che agiscono come Responsabili del trattamento ai sensi dell’art. 28 GDPR. Elenco aggiornato al 24 maggio 2026. Base giuridica del trattamento per ciascun fornitore in calce alla tabella.
| Fornitore | Ruolo | Sede | Trasferimenti extra-UE | Base giuridica |
|---|---|---|---|---|
| Hetzner Online GmbH | VPS hosting sito, database applicativo, automazioni | UE (Germania/Finlandia) | No | Art. 6.1.b (esecuzione contratto) |
| Cloudflare Inc. | DNS, CDN, WAF, edge tracking, tunnel, security | USA — copertura EU-U.S. DPF | Sì — copertura DPF | Art. 6.1.f (legittimo interesse — sicurezza infra) |
| Supabase Inc. (self-hosted) | Database Postgres applicativo (server proprietari Hetzner) | UE | No | Art. 6.1.b (esecuzione contratto) |
| Brevo (Sendinblue SAS) | Invio email transazionali e SMTP relay newsletter | UE (Francia) | No | Art. 6.1.b (transazionali) / 6.1.a (newsletter) |
| Stripe Payments Europe Ltd. | Pagamenti con carta (Tier 2) | UE (Irlanda) | Possibile — copertura DPF | Art. 6.1.b (esecuzione contratto) |
| GoCardless Ltd. | Addebiti SEPA (Tier 3, retainer) | UE/UK — SCC | Possibile — SCC | Art. 6.1.b (esecuzione contratto) |
| Cal.com Inc. (self-hosted) | Calendario per prenotazione call diagnostica | UE (server Hetzner) | No | Art. 6.1.b (misura precontrattuale) |
| Plausible Analytics (self-hosted) | Statistiche di traffico cookieless aggregate | UE (server Hetzner) | No | Art. 6.1.f (legittimo interesse — analytics aggregate) |
| Meta Platforms Ireland Ltd. | WhatsApp Business API (Cronometro WA) + Meta Pixel/CAPI (advertising) | UE (Irlanda) — DPF | Possibile — DPF | Art. 6.1.b (Cronometro WA, servizio richiesto) / 6.1.a (Pixel/CAPI advertising, consenso cookie) |
| Google Ireland Ltd. | Server-side conversion tracking (Measurement Protocol via Cloudflare Worker proxy) + Google Ads conversion | UE (Irlanda) — DPF | Possibile — DPF | Art. 6.1.a (consenso cookie statistico/marketing) |
| TikTok Technology Ltd. | TikTok Events API server-to-server (advertising/attribution) | UE (Irlanda) — SCC + supplementary measures | Possibile — SCC | Art. 6.1.a (consenso cookie marketing) |
| Microsoft Ireland Operations Ltd. | Microsoft UET Bing Ads conversion tracking | UE (Irlanda) — DPF | Possibile — DPF | Art. 6.1.a (consenso cookie marketing) |
| Amazon Web Services EMEA SARL | Storage S3 archivi export GDPR art. 15 (link signed URL TTL 7gg) | UE (Francoforte/Irlanda) — SCC | No (region EU only) | Art. 6.1.c (obbligo di legge — art. 15 GDPR) |
| Telegram FZ LLC | Bot notifiche admin interno (NO contenuti utente, solo alert operativi) | UAE (Dubai) — SCC | Sì — SCC | Art. 6.1.f (legittimo interesse — sicurezza operativa) |
| Hostinger International Ltd. | Registrar dominio + servizi accessori DNS | UE (Cipro) | No | Art. 6.1.b (esecuzione contratto) |
Fornitori previsti (NON ancora integrati) — questa sezione viene aggiornata al momento dell’integrazione:
| Fornitore | Ruolo previsto | Status |
|---|---|---|
| Anthropic PBC | Modelli Claude per generazione contenuti AI lead magnet | Roadmap Wave 2 — non integrato a oggi |
| Listmonk (self-hosted) | Gestione newsletter “Spaccando il Backend” autonoma | Roadmap post-MVP — newsletter attualmente inviata via Brevo |
I dati non vengono ceduti a terze parti per finalità di marketing autonomo. Possono essere comunicati ad autorità competenti in caso di obbligo di legge o legittima richiesta. Tutti i Responsabili del trattamento sopra elencati sono vincolati da apposito DPA (Data Processing Agreement) ex art. 28(3) GDPR; copia disponibile su richiesta scritta all’indirizzo email del Titolare.
6. Periodo di conservazione
- Dati del modulo /contatti/: 24 mesi dalla ricezione, salvo instaurarsi di un rapporto contrattuale (in tal caso 10 anni dalla cessazione, per obblighi civilistici e fiscali).
- Dati dei lead magnet (event_log eventi di interazione e scoring): 12 mesi dalla data di completamento del test, dopodiché aggregati o cancellati. Il verbatim email del “Ghost Quote” può essere richiesto in cancellazione anticipata su istanza dell’interessato.
- Iscrizione alla newsletter: fino a revoca del consenso. Ogni email contiene un link di disiscrizione (1-click, no friction).
- Dati di fatturazione e contrattuali: 10 anni dalla cessazione del rapporto, ai sensi dell’art. 2220 c.c.
- Statistiche aggregate Plausible: 24 mesi.
- Log server: 30 giorni, dopodiché archiviati cifrati su backup mensile per audit compliance.
- Cookie: vedi Cookie Policy.
7. Sicurezza del trattamento
Il Titolare adotta misure tecniche e organizzative adeguate al rischio: cifratura in transito (HTTPS/TLS 1.2+ con HSTS preload), accessi al database limitati a indirizzi IP autorizzati e VPN, autenticazione passwordless via magic link a tempo limitato per /officina/, secrets gestiti con SOPS+age (mai in plaintext nei repository), backup giornalieri cifrati dei database, principio del minimo privilegio sui ruoli di accesso, log di audit delle azioni amministrative con retention 30 giorni, firma HMAC obbligatoria sugli eventi API critici, validazione signature su tutti i webhook in ingresso.
8. Diritti dell’interessato
Ai sensi degli artt. 15-22 GDPR, l’interessato può esercitare in ogni momento i seguenti diritti:
- Accesso ai propri dati (art. 15);
- Rettifica dei dati inesatti (art. 16);
- Cancellazione (“diritto all’oblio”, art. 17);
- Limitazione del trattamento (art. 18);
- Portabilità dei dati in formato strutturato e leggibile da dispositivo automatico (art. 20);
- Opposizione ai trattamenti basati su interesse legittimo, incluso il lead scoring (art. 21);
- Revoca del consenso in qualsiasi momento, senza pregiudizio per i trattamenti già effettuati (art. 7.3).
Le richieste vanno inviate a [email protected] e ricevono riscontro entro 30 giorni.
Per richieste relative a un account /officina/ già registrato, l’identità viene verificata tramite link OTP inviato all’email associata all’account. Per richieste relative a contatti non registrati, il Titolare può richiedere conferma via canale alternativo (es. risposta a email di challenge inviata all’indirizzo della richiesta) prima di evadere la richiesta, al fine di proteggere l’interessato da accessi non autorizzati ai propri dati (art. 12.6 GDPR).
Gli utenti registrati su /officina/ possono esercitare i 7 diritti direttamente dalla sezione /officina/profile/ in modalità self-service.
È inoltre possibile proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
9. Conferimento dei dati
Il conferimento dei dati tramite i moduli del sito e l’attivazione dei lead magnet è facoltativo. Il rifiuto rende impossibile dare seguito alla richiesta o erogare il servizio richiesto. Il conferimento delle informazioni necessarie agli adempimenti di legge, qualora si instauri un rapporto contrattuale, è obbligatorio.
10. Aggiornamenti
La presente informativa viene aggiornata ogni volta che si modificano stack tecnico, fornitori o finalità del trattamento. La data dell’ultimo aggiornamento è indicata in cima al documento. Le modifiche sostanziali verranno comunicate agli iscritti alla newsletter “Spaccando il Backend” tramite email dedicata.
// MAZZOCCHI.SYS · v2.0