Politica dei cookie

Distinguiamo i cookie in base alla finalità, come richiesto dalla normativa:

• Cookie tecnici / strettamente necessari (Art. 5(3) Direttiva ePrivacy, esenzione dal consenso): Clerk session token (autenticazione utente), next-intl locale (lingua scelta), token CSRF (protezione contro attacchi cross-site), cursor-aff-last-click (logging affiliate per finalità contabili). Senza questi cookie il servizio non funzionerebbe.
• Cookie analytics (richiedono consenso): Google Analytics 4 — cookie _ga, _ga_<ID>, _gid. Durata 24 mesi. IP anonimizzato (IP truncation attiva), nessun cross-site tracking. Provider: Google Ireland Ltd, dati trasferiti negli USA con SCC + EU-US DPF.
• Cookie analytics first-party: Vercel Analytics e Speed Insights. Solo dati aggregati anonimizzati. Nessun cookie persistente con ID utente.
• Cookie di marketing (richiedono consenso): attualmente non utilizzati. La sezione è riservata per future campagne newsletter con tracciamento aperture (Resend) o retargeting pubblicitario. Qualunque attivazione richiederà nuovo consenso esplicito.

Alla prima visita compare un banner cookie con tre opzioni equivalenti per dimensione e visibilità (come richiesto dalla Guida AEPD 2024 e dal Provvedimento Garante 231/2021):

• Accetta tutti — abiliti cookie analytics e marketing.
• Rifiuta tutti — restano attivi solo i cookie tecnici. Stesso peso visivo del pulsante "Accetta".
• Personalizza — apri il pannello dettagliato e scegli per categoria.
• Puoi rivedere le tue scelte in qualsiasi momento dalla sezione "Preferenze cookie" presente nel footer del sito.

Il tuo consenso è memorizzato come segue:

• Utenti anonimi: localStorage cursalys_consent_v1 con timestamp e stato per categoria. Validità 6 mesi (prassi raccomandata Garante e AEPD), dopo scade e il banner ricompare.
• Utenti autenticati: tabella User.consent* del database Cursalys. Il consenso è collegato al tuo account e segue tutti i dispositivi.
• Log dei consensi: conserviamo permanentemente la traccia di ogni interazione con il banner (data, ora, scelta) per provare la lawful basis (Art. 7 par. 1 GDPR).

I cookie di terze parti utilizzati appartengono a sub-processor con DPA + SCC dove necessari:

• Clerk (USA) — autenticazione. Solo cookie tecnici essenziali. SCC + EU-US DPF.
• Stripe (USA, sede UE Irlanda) — Customer Portal e Checkout. Solo cookie tecnici durante il processo di pagamento, nessun tracking pubblicitario.
• Vercel (USA) — hosting e analytics first-party. SCC + EU-US DPF.
• Google Analytics 4 (Google Ireland Ltd) — analytics. SCC + EU-US DPF. Modalità Google Consent Mode v2 attiva: senza consenso non vengono inviati dati.

Se aggiungiamo nuove categorie di cookie o nuovi sub-processor che fanno uso di cookie ti chiediamo nuovo consenso ai sensi dell'Art. 7 GDPR e della Guida AEPD 2024.

Qualsiasi modifica sostanziale viene annunciata via banner che ricompare automaticamente, e il consenso precedente viene invalidato per le nuove categorie. La data dell'ultima revisione è in cima a questa pagina.