Informativa sulla Privacy

Il titolare del trattamento dei dati personali e HashSigil, piattaforma operata da IRST (Internet Research & Security Technologies), con sede operativa in Italia. Per qualsiasi richiesta relativa al trattamento dei dati personali, e possibile scrivere a: privacy@hashsigil.eu.

HashSigil e progettato con un'architettura zero-knowledge by design conforme all'Art. 25 GDPR (Privacy by Design e by Default):

• Nessun file trasmesso al server. L'hashing, la firma digitale e la generazione del sigillo avvengono interamente nel browser dell'utente.
• Solo hash crittografici. Il server riceve e conserva esclusivamente hash SHA-256, SHA-512 e SHA-3-256. Un hash e una funzione unidirezionale: e matematicamente impossibile risalire al contenuto originale.
• Gli hash non sono dati personali. Secondo le linee guida EDPB, un hash crittografico di un documento non costituisce dato personale.
• Minimizzazione dei dati (Art. 5 GDPR). Vengono raccolti solo i metadati strettamente necessari (nome file, dimensione, tipo MIME) e gli hash crittografici.

Dati scritti su blockchain (immutabili):

• Hash SHA-256 del documento (non reversibile)
• UUID del sigillo (identificativo anonimo)
• Hash di attestazione (derivato dall'hash + UUID + timestamp)
• URL di verifica pubblica

Avviso importante: I dati scritti su blockchain (BSC e Bitcoin) sono permanenti e immutabili. Non possono essere modificati o cancellati. Tuttavia, contengono esclusivamente hash crittografici e identificativi anonimi, non dati personali.

Dati conservati off-chain (database):

• Email e credenziali di accesso (hash della password)
• Indirizzo wallet (per integrazioni ATVault)
• Nome file e dimensione del documento
• Metadati del sigillo (timestamp, stato attestazione)
• Campo memo (testo libero fornito dall'utente)

I dati off-chain possono essere cancellati su richiesta dell'interessato (Art. 17 GDPR — Diritto alla cancellazione).

• Art. 6(1)(b) GDPR — Esecuzione del contratto: il trattamento e necessario per fornire il servizio di attestazione crittografica richiesto dall'utente.
• Art. 6(1)(a) GDPR — Consenso: per comunicazioni marketing e cookie non essenziali (revocabile in qualsiasi momento).
• Art. 6(1)(f) GDPR — Interesse legittimo: per sicurezza, prevenzione frodi e miglioramento del servizio.

Ai sensi del GDPR (Artt. 15-22), l'utente ha diritto di:

• Accesso — ottenere copia dei propri dati personali.
• Rettifica — correggere dati inesatti.
• Cancellazione — richiedere la cancellazione dei dati off-chain. I dati on-chain (hash crittografici) non sono cancellabili ma non contengono dati personali.
• Limitazione — limitare il trattamento in casi specifici.
• Portabilita — ottenere i dati in formato strutturato e leggibile.
• Opposizione — opporsi al trattamento per interesse legittimo.
• Reclamo — presentare reclamo al Garante per la Protezione dei Dati Personali.

Per esercitare i diritti: privacy@hashsigil.eu. Tempo di risposta: 30 giorni.

I trasferimenti verso gli USA sono coperti da Standard Contractual Clauses (SCCs) ai sensi dell'Art. 46(2)(c) GDPR e dal EU-US Data Privacy Framework ove applicabile.

HashSigil utilizza esclusivamente cookie tecnici essenziali:

• Sessione di autenticazione — necessario per mantenere l'accesso.
• Preferenza lingua — per ricordare la lingua scelta.
• CSRF token — per la sicurezza delle richieste.

Non utilizziamo cookie di profilazione, analytics di terze parti, pixel di tracciamento o tecnologie simili. Non e necessario il consenso per i cookie tecnici essenziali (Art. 5(3) Direttiva ePrivacy).

Per esercitare i diritti previsti dal GDPR o per qualsiasi domanda relativa alla privacy, scrivere a: privacy@hashsigil.eu.

Autorita di controllo competente: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it.