Data Protection

Protezione dati personali — informativa estesa GDPR

Ultimo aggiornamento: 2026-05-21 · Ivan Dorna (Anthilla Srl)

Questa pagina integra la Privacy Policy principale con dettagli operativi sulla protezione dei dati ex art. 32 GDPR e best practice di settore.

1. Architettura della protezione

Ivan Dorna (Anthilla Srl) adotta un’architettura di protezione dati strutturata su più livelli:

  • Perimetro: firewall kernel-level (nftables) con blocklist threat aggregato, fail2ban multi-jail, geo-blocking selettivo
  • Trasporto: TLS 1.3 con HSTS, certificati ECDSA Let’s Encrypt rotated, HTTP/2 obbligatorio
  • Applicazione: WAF mu-plugin canonical, hardening WordPress, rate limiting endpoint sensibili, blocco enumerazione utenti
  • Storage: filesystem ZFS con compression e snapshot replicati su pool secondario, backup cifrato off-site
  • Identità: MFA per personale autorizzato, audit log accessi, separation of duties

2. Misure tecniche (art. 32 GDPR)

  • Pseudonimizzazione e cifratura dei dati personali ove tecnicamente possibile
  • Capacità di garantire riservatezza, integrità, disponibilità, resilienza dei sistemi (CIA triad + resilience)
  • Capacità di ripristino tempestivo in caso di incidente fisico o tecnico (RTO <4h, RPO <15min)
  • Procedura per testare e valutare regolarmente l’efficacia delle misure (penetration testing periodico)

3. Procedure organizzative

  • Designazione formale dei Responsabili del trattamento (art. 28 GDPR) con contratto DPA
  • Registro delle attività di trattamento (art. 30 GDPR) mantenuto e aggiornato
  • Valutazione d’impatto sulla protezione dati (DPIA) per trattamenti ad alto rischio (art. 35 GDPR)
  • Formazione periodica del personale
  • Procedura di gestione data breach con notifica entro 72h al Garante (art. 33 GDPR)

4. Fornitori e Responsabili del trattamento

Utilizziamo i seguenti fornitori, tutti vincolati da DPA ex art. 28 GDPR:

  • Hosting: infrastruttura proprietaria in datacenter UE (Italia/Germania)
  • CDN/edge: ove utilizzato, configurato senza tracking di terze parti
  • Email transactional: provider EU-compliant

Elenco aggiornato disponibile su richiesta scritta a privacy@anthilla.com.

5. Data Breach — procedura

  1. Detection (sistema di monitoring 24/7 + signal canale ufficiale)
  2. Triage e classificazione gravità (entro 1h)
  3. Contenimento (entro 4h)
  4. Notifica Garante (entro 72h dal momento in cui ne abbiamo conoscenza, se sussiste rischio per i diritti e libertà delle persone fisiche)
  5. Notifica agli interessati se rischio elevato
  6. Post-mortem e remediation

6. Trasferimenti internazionali

Operiamo su infrastruttura UE. Trasferimenti extra-UE avvengono solo verso paesi con decisione di adeguatezza vigente o tramite Clausole Contrattuali Standard (SCC) art. 46 GDPR, con valutazione caso-per-caso post-Schrems II e misure supplementari ove necessario (cifratura end-to-end, pseudonimizzazione).

7. Diritti dell’interessato — procedura operativa

Per esercitare i diritti ex artt. 15-22 GDPR:

  1. Invia richiesta scritta a privacy@anthilla.com indicando il diritto esercitato e copia documento di identità
  2. Riceverai accusa di ricevuta entro 5 giorni lavorativi
  3. Risposta sostanziale entro 30 giorni (estendibile di 60 giorni in casi complessi con motivazione)
  4. Se la richiesta è infondata o eccessiva, possiamo addebitare un contributo ragionevole o rifiutare motivando

8. Reclamo all’Autorità

Hai sempre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all’autorità di controllo competente nel tuo Stato di residenza.

9. DPO — contatti

Data Protection Officer: privacy@anthilla.com