Privacy Policy

Ultimo aggiornamento: 2 maggio 2026

Monoid è costruito su un unico principio: raccogliere solo ciò che è necessario, minimizzare immediatamente gli identificatori ed evitare i profili dei visitatori. Questa policy spiega quali dati elaboriamo, perché e come.

1. Chi siamo

Monoid è gestito da Izac Cavalheiro (monoid@monoid.website), con sede in Brasile. Per domande su questa policy, contattaci a quell'indirizzo.

Monoid attualmente non mantiene uno stabilimento nell'UE, nel Regno Unito o nel SEE, e non ha nominato un rappresentante ai sensi dell'art. 27 GDPR o del UK GDPR. Questa esenzione si applica perché il trattamento dei dati degli interessati nell'UE/Regno Unito/SEE non è su larga scala, non coinvolge categorie particolari di dati e non è probabile che comporti rischi elevati per le persone. Monitoriamo il volume di interessati nell'UE/SEE trattati mensilmente. Se il trattamento supera costantemente i 5.000 interessati distinti nell'UE/SEE per mese di calendario, nomineremo un rappresentante UE ai sensi dell'art. 27 GDPR (e, separatamente, un rappresentante UK ai sensi dell'art. 27 UK GDPR e un rappresentante svizzero ai sensi dell'art. 14 nFADP) prima che tale soglia sia sostenuta.

2. Dati dei visitatori che raccogliamo per tuo conto

Quando i visitatori caricano una pagina su un sito strumentato con Monoid, lo script JavaScript invia una richiesta di pagina vista contenente:

  • L'ID del sito configurato nel tag script
  • Il percorso della pagina, ad esempio /pricing
  • L'hostname del referrer, quando disponibile
  • La larghezza dello schermo riportata dal browser
  • Un codice paese derivato dai metadati grossolani dell'edge
  • Un tipo di dispositivo ampio derivato da un pattern matching dello User-Agent e dalla larghezza grossolana dello schermo
  • Un hash giornaliero unidirezionale usato solo per contare i visitatori unici
  • I nomi degli eventi personalizzati e i valori numerici opzionali, quando il tuo sito chiama window.monoid('event', ...) o abilita il tracciamento automatico delle interazioni
  • La durata della pagina in millisecondi ai cambi di rotta o all'uscita dalla pagina, usata per calcolare il tempo medio sul sito

Cosa non memorizziamo: Indirizzi IP, stringhe User-Agent complete, cookie, impronte digitali del dispositivo, localizzazione precisa o identificatori persistenti dei visitatori tra un giorno e l'altro.

L'hash univoco del visitatore è calcolato come SHA-256(IP + User-Agent + SALT + YYYY-MM-DD). La componente data fa sì che l'hash cambi ogni mezzanotte UTC. Il SALT segreto rende impraticabile l'inversione dalle righe analitiche memorizzate. L'hash viene usato come segnale giornaliero di conteggio, non come profilo persistente del visitatore.

3. Dati dell'account che raccogliamo

Quando crei o utilizzi un account Monoid, raccogliamo:

  • Il tuo indirizzo email (per il login e le email transazionali)
  • Una password memorizzata come hash unidirezionale con salt se ti registri con email/password
  • Gli identificatori del provider OAuth se usi il social login (Google, GitHub, Microsoft o Facebook, quando abilitati) — non riceviamo mai le tue password OAuth
  • I tuoi nomi di dominio registrati
  • Le preferenze della dashboard, come intervalli di date, tipi di grafici e pannelli visibili
  • I token di reset password in forma hashata mentre un link di reset è valido
  • I messaggi di contatto e supporto che ci invii
  • Le informazioni di fatturazione elaborate interamente da Stripe — non vediamo né memorizziamo mai i numeri delle carte

4. Cookie e storage

Lo script di tracciamento non usa cookie, localStorage o sessionStorage.

La dashboard Monoid usa un cookie di sessione httpOnly (user_token) per mantenere il tuo login per un massimo di 30 giorni. Questi cookie sono strettamente necessari per l'applicazione e non ti tracciano su altri siti web.

5. Come utilizziamo i tuoi dati

  • Dati dei visitatori — per fornire analitiche aggregate nella tua dashboard.
  • Email dell'account — per inviare email di benvenuto, attivazione del sito, reset password e di servizio.
  • Preferenze della dashboard — per ricordare il layout della dashboard e le impostazioni dei grafici selezionati.
  • Messaggi di contatto e supporto — per rispondere alle tue richieste.
  • Dati di fatturazione — per elaborare i pagamenti tramite Stripe e adempiere agli obblighi di conservazione dei record finanziari.

Non utilizziamo i tuoi dati per pubblicità, profilazione dei visitatori o per qualsiasi scopo oltre alla gestione del Servizio.

6. Condivisione dei dati

Condividiamo i dati con:

  • Infrastruttura edge managed — raccolta dei dati e hosting dell'applicazione.
  • Stripe — per l'elaborazione dei pagamenti.
  • Resend — per la consegna delle email transazionali e dei messaggi di contatto/supporto.
  • Provider OAuth — solo quando scegli il social login, per completare l'autenticazione.

Non vendiamo dati. Non condividiamo dati con advertiser, data broker o terze parti al di fuori dei fornitori di servizi necessari per gestire Monoid.

6a. Trasferimenti internazionali di dati

Cloudflare, Stripe e Resend sono società con sede negli Stati Uniti. I trasferimenti di dati personali a questi fornitori sono coperti dalle Clausole Contrattuali Standard (SCC) dell'UE e dall'EU–US Data Privacy Framework, dal Swiss–US Data Privacy Framework (per i residenti svizzeri) e dall'UK International Data Transfer Agreement o dall'UK Addendum alle SCC UE (per i residenti del Regno Unito). Puoi esaminare i meccanismi di trasferimento di ciascun fornitore: Cloudflare (cloudflare.com/trust-hub/gdpr/), Stripe (stripe.com/legal/dpa), Resend (resend.com/legal/dpa).

6b. Base giuridica per il trattamento

Trattiamo i dati personali sulle seguenti basi giuridiche (art. 6 GDPR UE/UK; art. 6 nFADP svizzero):

  • Analitica dei visitatori (hashata, senza cookie, a rotazione giornaliera) — Legittimo interesse (art. 6(1)(f)): fornire analitiche di audience che preservano la privacy ai proprietari di siti web è il nostro servizio principale, e il design minimizza l'impatto sui singoli interessati.
  • Registrazione dell'account ed erogazione del servizio — Esecuzione di un contratto (art. 6(1)(b)).
  • Email transazionali — Esecuzione di un contratto (art. 6(1)(b)).
  • Record di fatturazione — Obbligo legale (art. 6(1)(c)): le normative finanziarie richiedono la conservazione dei record di pagamento.
  • Logging di sicurezza e dati di rate-limit — Legittimo interesse (art. 6(1)(f)): proteggere la piattaforma da abusi e accessi non autorizzati.

7. Conservazione dei dati

  • Dati di pagine viste ed eventi personalizzati — il reporting nella dashboard supporta fino a 2 anni (730 giorni) di cronologia; le righe più vecchie di 730 giorni vengono rimosse dal processo di pulizia. La finestra di 2 anni è anche la finestra di conservazione completa — nessun dato più vecchio viene conservato, e l'esportazione dei tuoi dati riflette questo dataset completo.
  • Dati dell'account, siti, preferenze della dashboard, link OAuth, registrazioni in sospeso, pagine viste associate ed eventi personalizzati — rimossi dal database attivo quando elimini il tuo account.
  • Token di reset password — validi per 1 ora ed eliminati o invalidati quando vengono sostituiti o utilizzati.
  • Stato di login OAuth — valido per 10 minuti ed eliminato dopo che il callback è stato elaborato.
  • Record di fatturazione — conservati come richiesto dalle normative finanziarie applicabili (tipicamente 7 anni).

8. I tuoi diritti

A seconda della tua giurisdizione, potresti avere il diritto di:

  • Accedere ai dati personali che deteniamo su di te
  • Correggere i dati inesatti — aggiorna il tuo indirizzo email direttamente dalla pagina delle impostazioni dell'account
  • Eliminare il tuo account e tutti i dati associati
  • Esportare i tuoi dati analitici in un formato strutturato
  • Opporti al trattamento basato sui legittimi interessi (art. 21 GDPR / UK GDPR)
  • Presentare un reclamo all'autorità nazionale di controllo per la protezione dei dati

Per l'analitica dei visitatori, ci basiamo sul Legittimo Interesse (art. 6(1)(f)). La nostra Valutazione del Legittimo Interesse (LIA) applica il test in tre parti dell'EDPB: (1) Test dello scopo — fornire analitiche di audience che preservano la privacy è un legittimo interesse sia di Monoid sia dei suoi clienti; (2) Test di necessità — ogni campo memorizzato (percorso della pagina, hostname del referrer, codice paese, categoria del dispositivo, famiglia del browser, hash giornaliero del visitatore, data) è singolarmente necessario e nulla di più preciso viene conservato; gli indirizzi IP e le stringhe User-Agent complete vengono utilizzati solo in memoria e mai scritti su storage; (3) Test di bilanciamento — l'hash SHA-256 a rotazione giornaliera è praticamente irreversibile senza l'accesso simultaneo all'IP del visitatore, allo User-Agent e alla nostra chiave segreta; nessuna profilazione tra un giorno e l'altro è possibile; i segnali DNT sono rispettati; nessun cookie o identificatore persistente viene impostato sul dispositivo del visitatore. In bilanciamento, il trattamento impone un rischio minimo per le persone consentendo al contempo una funzione di servizio fondamentale. Puoi richiedere una copia del documento LIA completo scrivendo a monoid@monoid.website.

I residenti UE/SEE possono contattare la propria DPA nazionale (elenco su edpb.europa.eu). I residenti UK possono contattare l'ICO (ico.org.uk). I residenti svizzeri possono contattare il FDPIC (fdpic.ch). Per i titolari di account Monoid, puoi eliminare il tuo account e tutti i dati direttamente dalla pagina delle impostazioni dell'account.

Per richieste di accesso ai dati, correzione, portabilità o opposizione, scrivi a monoid@monoid.website. Rispondiamo entro 30 giorni. I residenti svizzeri possono anche esercitare i diritti ai sensi dell'art. 25 nFADP (informazione, accesso, correzione, cancellazione) attraverso lo stesso contatto.

8b. Trattamento automatizzato e applicazione del piano

Monoid applica un'imposizione automatizzata dei limiti del piano: se un sito supera la sua allocazione mensile di pagine viste, le righe di pagine viste aggiuntive non vengono registrate fino al successivo periodo di fatturazione. Questa decisione viene presa automaticamente sulla base del conteggio aggregato delle pagine viste per il tuo account, non sulla profilazione di singoli visitatori del sito web. Non costituisce una decisione automatizzata con effetti giuridici significativi o similari sugli interessati ai sensi dell'art. 22 GDPR o dell'art. 22 UK GDPR. Se utilizzi i dati analitici di Monoid per prendere decisioni automatizzate sui tuoi utenti, devi divulgarlo separatamente nella tua informativa sulla privacy.

9. Sicurezza

Tutti i dati vengono trasmessi tramite HTTPS. Le password non vengono mai memorizzate in chiaro; sono memorizzate utilizzando hashing delle password unidirezionale con salt. I cookie di sessione sono httpOnly e le richieste API autenticate sono limitate dai controlli di origine. Registriamo eventi rilevanti per la sicurezza come tentativi di login falliti, reset password e conferme di eliminazione dell'account.

10. Privacy dei minori

Il Servizio non è indirizzato e non è destinato a essere utilizzato da persone di età inferiore ai 16 anni. Monoid è una piattaforma di analitica per i proprietari di siti web e gli sviluppatori. Creando un account, confermi di avere almeno 16 anni. Non raccogliamo consapevolmente dati da minori. Se ritieni che un minore abbia creato un account, contattaci e lo elimineremo tempestivamente.

11. Modifiche a questa policy

Le modifiche sostanziali saranno comunicate via email almeno 14 giorni prima dell'entrata in vigore. La data di "ultimo aggiornamento" sopra rifletterà sempre la versione corrente.

12. Contatti

Domande sulla privacy, richieste sui dati o preoccupazioni: monoid@monoid.website