Ultimo aggiornamento: 28 maggio 2026
Informativa sulla privacy
Informativa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR).
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è Stefano Scalas, in proprio, titolare dell'attività "Sardinia Driver di Stefano Scalas", con sede in Via Sorgono 12, 09042 Monserrato (CA), Italia.
Contatti per esercitare i propri diritti: email [email protected] — telefono +39 329 615 8988.
2. Categorie di dati trattati
Trattiamo le seguenti categorie di dati personali, distinte per finalità:
2.1 Dati tecnici necessari al sito
- Preferenza di consenso ai cookie: salvata in
localStoragedel browser, chiavesd_cookie_consent_v2. Non lascia il dispositivo. - Identificativo di sessione anonimo: chiave
sd_session_idinsessionStorage(16 byte casuali esadecimali); si rigenera automaticamente alla chiusura della scheda del browser. Serve a non contare due volte la stessa visita; non è collegato ad alcun dato identificativo. - Cookie tecnico di sessione admin
sd_admin: presente solo dopo accesso al backoffice riservato al Titolare, attributiHttpOnly,Secure,SameSite=Strict, ambito/api/admin, durata 12 ore. Non interessa la navigazione pubblica.
2.2 Dati di contatto e prenotazione
- Dati di contatto conferiti volontariamente tramite il form contatti o via WhatsApp/email: nome, cognome, indirizzo email, numero di telefono, contenuto della richiesta.
- Dati di prenotazione: data del servizio richiesto, numero di passeggeri, dettagli di pickup e destinazione, numero di volo o nave eventuale.
- Dati associati al lead per sicurezza e auditing: paese di provenienza
(header
CF-IPCountrydi Cloudflare), hash SHA-256 dell'indirizzo IP (campoip_hash, mai in chiaro), hash SHA-256 dell'User-Agent (campoua_hash, mai in chiaro), timestamp dell'invio. Sono salvati nel database serverless Cloudflare D1 insieme al lead.
2.3 Dati analitici di prima parte (solo con consenso)
Se accetti la categoria "Analitici" dal banner di consenso, il sito invia al nostro Worker Cloudflare richieste anonime di tracciamento, che vengono scritte in due tabelle del database serverless Cloudflare D1:
-
pageviews— una riga per ogni pagina visitata, con: timestamp, path della pagina, referrer (URL di provenienza, troncato), classificazione di sorgente (organica/social/referral/diretto), lingua dell'interfaccia, paese (CF-IPCountry), identificativo di sessione anonimo (sd_session_id), hash SHA-256 dello User-Agent. Nessun cookie persistente. -
events— una riga per ogni CTA cliccata o evento di interazione, con: timestamp, tipo (es.cta_click), etichetta del CTA, path della pagina, identificativo di sessione, lingua, metadati JSON di evento.
Senza consenso analytics nessuna delle due tabelle viene scritta: il
Worker non riceve nemmeno la richiesta perché lo script client-side
tracking.ts non invia beacon. Puoi revocare il consenso in
qualsiasi momento dal pannello "Gestisci cookie"; il tracker si disattiva entro la
stessa pagina senza ricarica.
2.4 Cookie e gestione del consenso — sintesi
Su sardiniadriver.com il consenso ai cookie è gestito con un banner di prima visita e con un pannello "Gestisci cookie" sempre disponibile in basso a sinistra. Sono distinte tre categorie:
- Tecnici (necessari): sempre attivi, non richiedono consenso — servono al funzionamento di base del sito (memorizzazione del consenso, navigazione, sicurezza).
- Analitici: opt-in. Misurano in forma anonima e aggregata la
navigazione sul sito tramite le tabelle
pageviewsedeventsdescritte sopra. Attivi solo con consenso. - Marketing: opt-in. Permetterebbero profilazione pubblicitaria e remarketing. Categoria predisposta, attualmente non in uso: nessun pixel, nessun cookie di terze parti viene caricato in questa categoria al momento.
Il consenso è salvato in localStorage (chiave
sd_cookie_consent_v2) ed è revocabile o modificabile in ogni momento
dal pannello "Gestisci cookie" o cancellando i dati del sito dal browser.
L'elenco completo dei cookie e delle tecnologie utilizzate è nella
Cookie Policy.
3. Finalità e base giuridica
- Riscontro alla tua richiesta di preventivo o prenotazione (art. 6.1.b GDPR – misure precontrattuali).
- Esecuzione del servizio di trasporto NCC eventualmente concordato (art. 6.1.b GDPR – contratto).
- Misurazione anonima della navigazione (statistiche di prima parte): consenso dell'interessato (art. 6.1.a GDPR), tramite il banner cookie.
- Sicurezza del servizio e antispam: legittimo interesse del Titolare (art. 6.1.f GDPR) — comprende l'hash dell'IP del lead e l'eventuale campo trappola anti-bot (honeypot).
- Adempimenti di legge: fatturazione, contabilità, obblighi tributari (art. 6.1.c GDPR).
- Difesa in giudizio di un eventuale diritto del Titolare (art. 6.1.f GDPR – legittimo interesse).
4. Modalità del trattamento
I dati sono trattati con strumenti informatici e cartacei, con misure tecniche e organizzative adeguate a garantirne la sicurezza: HTTPS sul sito, autenticazione amministrativa con password salvata come hash PBKDF2-SHA256 (100.000 iterazioni, salt casuale), sessione admin firmata HMAC-SHA256, cookie HttpOnly+Secure+SameSite=Strict, hash SHA-256 degli identificativi tecnici (IP, User-Agent), backup criptati. Non avviene alcun processo decisionale automatizzato né profilazione.
5. Destinatari e responsabili del trattamento
I dati possono essere comunicati ai seguenti responsabili del trattamento (art. 28 GDPR):
- Cloudflare, Inc. (USA, con infrastruttura edge in UE) — hosting del frontend (Cloudflare Pages), backend (Cloudflare Workers) e database serverless (Cloudflare D1). Le richieste degli utenti UE sono servite preferenzialmente dai data center europei. Trasferimenti extra-UE coperti da Clausole Contrattuali Standard.
- Resend, Inc. (USA) — invio email transazionali (notifica al Titolare e conferma al lead). Trattamento limitato all'email del lead, oggetto, corpo dell'email. Trasferimento extra-UE coperto da Clausole Contrattuali Standard.
- OpenStreetMap Foundation (UK) — tile della mappa nella sezione contatti (iframe). Non riceve dati di contatto.
- Google LLC (USA) — fornitura dei font web (Google Fonts). Riceve l'indirizzo IP del browser nel momento della richiesta del font.
- Meta Platforms (USA) — solo come destinazione del link WhatsApp
(
wa.me); riceve dati esclusivamente nel momento in cui clicchi. - consulenti contabili e fiscali, per le sole finalità di legge;
- autorità pubbliche, ove richiesto da norme di legge.
Nessun dato è venduto o ceduto a terzi per finalità di marketing.
6. Trasferimento dati extra-UE
Alcuni dei responsabili sopra (Cloudflare, Resend, Google) sono basati negli Stati Uniti. Il trasferimento avviene esclusivamente in presenza di Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914/UE) e, ove applicabile, in regime di Data Privacy Framework. I dati che potrebbero essere trasferiti includono: indirizzo email del lead (Resend), hash di IP e User-Agent (Cloudflare D1), IP del visitatore durante la richiesta di un font (Google Fonts).
7. Periodo di conservazione
- Richieste di preventivo (tabella
leads): fino a 24 mesi dal contatto, salvo successiva prenotazione. - Dati di prenotazione effettuata: 10 anni per obblighi fiscali.
- Dati analitici (tabelle
pageviewseevents): fino a 180 giorni (6 mesi) dall'evento. Cancellazione automatica giornaliera tramite job pianificato lato Worker (cron 03:00 UTC). - Hash IP e hash User-Agent dei lead: insieme al lead (24 mesi).
- Log tecnici del sito a livello Cloudflare: fino a 12 mesi.
8. I tuoi diritti e come esercitarli
In ogni momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR:
- accesso ai tuoi dati (DSAR — Data Subject Access Request);
- rettifica e cancellazione (diritto all'oblio);
- limitazione e opposizione al trattamento;
- portabilità dei dati;
- revoca del consenso, ove previsto — per i cookie analytics dal pannello "Gestisci cookie".
Come fare richiesta: scrivi a [email protected] indicando nell'oggetto "GDPR — richiesta esercizio diritti" e allegando copia di un documento d'identità (necessaria a verificare la tua identità prima di rispondere). Risposta entro 30 giorni dalla ricezione della richiesta verificata, come previsto dall'art. 12.3 GDPR.
Hai inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
9. Misure antispam (campo "Azienda")
Il form contatti include un campo nascosto chiamato "Azienda" (honeypot) che non deve essere compilato da utenti reali. Se viene compilato, la richiesta è considerata spam automatizzato e silenziosamente scartata senza essere salvata né inoltrata via email. Base giuridica: legittimo interesse del Titolare alla protezione dell'infrastruttura (art. 6.1.f GDPR).
10. Conferimento dei dati
Il conferimento dei dati richiesti dal form contatti è facoltativo, ma il mancato conferimento impedisce di evadere la tua richiesta.
11. Modifiche
La presente informativa può essere modificata per adeguamento normativo o operativo. La versione più recente è sempre disponibile a questa pagina.