Politica sulla privacy

Dernière mise à jour : 26 aprile 2026

La presente politica descrive le modalità di trattamento dei dati personali nell’ambito del Servizio Majorie. Si applica a qualsiasi Utente, sia esso visitatore, titolare di un Account FREE, abbonato STUDENT, PRO o Membro di un Cabinet FIRM o ENTERPRISE.

1. Preambolo

Per i residenti in Svizzera, il trattamento è disciplinato dalla Legge federale sulla protezione dei dati (nLPD) del 25 settembre 2020 e dall’Ordinanza sulla protezione dei dati (OPDa) del 31 agosto 2022. Per i residenti dell’Unione europea o dello Spazio economico europeo si applica in parallelo il Regolamento generale sulla protezione dei dati (RGPD).

In caso di divergenza tra i due regimi, si applica per default la disposizione più protettiva per l’Utente.

2. Identità del responsabile del trattamento

Responsabile del trattamento:

  • [NOME COGNOME]
  • [CITTÀ (CT)], Svizzera
  • Indirizzo postale fornito su richiesta
  • Contatto: info@majorie.ch

L’editore è una persona fisica; per lo statuto giuridico completo si veda l’Impressum.

3. Responsabile della protezione dei dati

Essendo Majorie un progetto personale gestito da una persona fisica, l’editore assume direttamente la funzione di Responsabile della protezione dei dati. Qualsiasi richiesta in materia può essere inviata a info@majorie.ch.

4. Categorie di dati raccolti

4.1 Dati di Account

  • indirizzo di posta elettronica
  • nome (facoltativo)
  • password con hash
  • preferenza di lingua
  • data di registrazione, ultima connessione

4.2 Dati di profilo pubblico

  • pseudonimo (facoltativo)
  • biografia pubblica (facoltativa)
  • badge (STUDENT, LAWYER, NOTARY, ACADEMIC, FIRM_MEMBER, MAJORIE_EXPERT)

4.3 Dati di pagamento

  • identificativo cliente Stripe (Stripe Customer ID — identificativo collegato alla persona)
  • ultime quattro cifre e tipo della carta di pagamento
  • nessun numero completo di carta né codice di sicurezza è memorizzato da Majorie

4.4 Dati d’uso

  • richieste di ricerca effettuate
  • documenti consultati, annotazioni create, preferiti
  • eventi d’uso per il controllo delle quote

4.5 Giustificativi di verifica del badge

Per il badge STUDENT, l’Utente carica un giustificativo (tessera studente, attestato di iscrizione; formato PDF/JPEG/PNG/WebP, dimensione massima 5 MB). Tali giustificativi costituiscono dati di identificazione rafforzata, trattati con misure di sicurezza adeguate: archiviazione cifrata, accesso limitato al solo amministratore dell’editore.

4.6 Dati tecnici

  • indirizzo IP (a fini di sicurezza, prevenzione degli abusi e controllo delle quote)
  • user-agent e risoluzione del browser
  • cookie di sessione strettamente necessari (vedi sezione 13)

5. Architettura di protezione — base di dati duale

Majorie separa fisicamente i dati personali identificativi (PII) dai dati di business in due banche dati distinte, ospitate sulla stessa infrastruttura Infomaniak in Svizzera ma isolate a livello applicativo:

  • Vault DB: dati identificativi e sensibili — Account (e-mail, nome, password con hash), Sessioni, Subscription, UserBadge, StudentVerification, identificativo cliente Stripe, dati istituzionali.
  • App DB: dati di business senza identificazione diretta — documenti del corpus, annotazioni, commenti, voti, preferiti, note, Cabinet, ricerche salvate, raccolte, eventi d’uso.

Tra le due banche dati non esistono chiavi esterne incrociate: i collegamenti tra Utente e dati di business passano per un identificativo UUID gestito dallo strato applicativo. Una compromissione isolata della sola App DB non consentirebbe di risalire all’identità di un Utente.

6. Finalità e basi giuridiche

I trattamenti si fondano sulle seguenti basi giuridiche:

  • Esecuzione del contratto (art. 6 par. 1 lett. b RGPD; art. 31 cpv. 2 lett. a nLPD): creazione di Account, gestione dell’abbonamento, fornitura del Servizio, supporto utente.
  • Obbligo legale (art. 6 par. 1 lett. c RGPD): conservazione delle fatture per 10 anni (art. 958f CO), risposta alle richieste di un’autorità.
  • Interesse legittimo (art. 6 par. 1 lett. f RGPD; art. 31 cpv. 2 lett. d nLPD): sicurezza della piattaforma, prevenzione degli abusi, controllo delle quote, registrazione tecnica per la risoluzione di incidenti.
  • Consenso (art. 6 par. 1 lett. a RGPD; art. 31 cpv. 1 nLPD): per le comunicazioni opzionali (avvisi via posta elettronica, condivisione volontaria di informazioni di profilo pubblico).

7. Destinatari e responsabili del trattamento

I dati sono comunicati esclusivamente ai responsabili del trattamento necessari all’esecuzione del Servizio:

  • Stripe Payments Europe Ltd. (Irlanda) — gestione dei pagamenti; condizioni su stripe.com/ch/legal/privacy.
  • Infomaniak Network SA (Svizzera) — hosting applicativo, banca dati PostgreSQL, archiviazione a oggetti (S3), invio di posta elettronica transazionale; condizioni su infomaniak.com.

Gli strumenti tecnici interni (motore di ricerca Meilisearch, observability GlitchTip, statistiche Plausible) sono auto-ospitati sull’infrastruttura Infomaniak. Non costituiscono responsabili del trattamento aggiuntivi e non danno luogo ad alcuna trasmissione di dati a terzi.

Nessun’altra categoria di terzi (operatori pubblicitari, broker di dati, piattaforme di analytics esterne) riceve dati.

8. Trasferimenti al di fuori della Svizzera

L’unico trasferimento di dati al di fuori del territorio svizzero riguarda il responsabile del trattamento Stripe Payments Europe Ltd., con sede in Irlanda, Stato membro dell’Unione europea.

Tale trasferimento è autorizzato senza garanzia aggiuntiva ai sensi dell’art. 16 nLPD: l’Unione europea figura nell’allegato 1 dell’OPDa (art. 8 cpv. 1 lett. a OPDa) tra gli Stati la cui legislazione assicura una protezione adeguata, riconosciuta come tale dal Consiglio federale. Non è richiesta alcuna clausola contrattuale tipo né garanzia supplementare.

Non è effettuato alcun trasferimento al di fuori dell’Unione europea o dello Spazio economico europeo.

9. Tempi di conservazione

I tempi di conservazione applicati per categoria sono i seguenti:

  • Account attivo: per la durata di vita dell’Account.
  • Account eliminato: 90 giorni in backup tecnico (recupero accidentale), poi cancellazione definitiva; i dati soggetti a obbligo legale di conservazione costituiscono un’eccezione.
  • Fatture: 10 anni dalla fine dell’esercizio contabile interessato (art. 958f CO).
  • Sessioni con hash: 30 giorni, cancellazione automatica alla scadenza.
  • Giustificativi StudentVerification: 30 giorni dopo lo stato finale (APPROVED o REJECTED), cancellazione automatica. Il principio di minimizzazione impone di non conservare il giustificativo oltre l’utilità immediata.
  • Registri tecnici (log applicativi e log d’accesso): 30 giorni.
  • Annotazioni PUBLIC: per il tempo in cui la piattaforma le diffonde, fatta salva la moderazione e il diritto dell’autore di chiederne la cancellazione.

10. Sicurezza

Sono adottate misure tecniche e organizzative adeguate per preservare la riservatezza, l’integrità e la disponibilità dei dati:

  • Cifratura in transito: TLS per tutte le comunicazioni con la piattaforma e tra servizi.
  • Hash delle password: bcrypt con un costo di 12 iterazioni.
  • Sessioni: token di sessione memorizzati in hash; il token in chiaro non è mai memorizzato lato server.
  • Architettura duale: isolamento Vault DB / App DB (vedi sezione 5).
  • Accesso limitato: solo l’amministratore dell’editore dispone di un accesso alle banche dati di produzione, con autenticazione forte.
  • Backup: backup regolari cifrati, ospitati sull’infrastruttura Infomaniak in Svizzera.

In caso di violazione della sicurezza dei dati che comporti un rischio elevato per i diritti e le libertà delle persone interessate, l’editore procede alle notifiche previste dall’art. 24 nLPD (IFPDT) e, se del caso, dall’art. 33 RGPD, entro i termini di legge.

11. I tuoi diritti

Conformemente agli art. 25-29 nLPD e agli art. 15-22 RGPD, l’Utente dispone dei seguenti diritti riguardo ai propri dati:

  • Diritto di accesso: ottenere la conferma che dati che lo riguardano sono trattati e averne copia.
  • Diritto di rettifica: far correggere dati inesatti o incompleti.
  • Diritto di cancellazione: far cancellare i dati nei casi previsti dalla legge.
  • Diritto di limitazione: limitare temporaneamente un trattamento contestato.
  • Diritto di opposizione: opporsi a un trattamento fondato sull’interesse legittimo.
  • Diritto alla portabilità: ricevere i dati in un formato strutturato e leggibile da macchina.
  • Diritto di revoca del consenso: revocare un consenso precedentemente prestato, senza effetto retroattivo.

Per esercitare un diritto, scrivere a info@majorie.ch indicando il diritto invocato e l’identificativo dell’Account interessato. Una risposta è fornita entro 30 giorni. Un giustificativo d’identità ragionevole può essere richiesto in caso di dubbio sull’origine della richiesta.

Diritto di reclamo: ogni Utente può presentare un reclamo all’autorità di protezione dei dati competente:

  • Per i residenti in Svizzera: Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Feldeggweg 1, 3003 Berna, edoeb.admin.ch.
  • Per i residenti dell’Unione europea: autorità di controllo nazionale (per esempio il Garante in Italia, la CNIL in Francia, il BfDI in Germania).

12. Profilazione e decisioni automatizzate

Non viene effettuata alcuna profilazione ad alto rischio ai sensi dell’art. 5 lett. f nLPD. Nessuna decisione automatizzata che produca effetti giuridici o incida significativamente sull’Utente è posta in essere, ai sensi dell’art. 21 nLPD o dell’art. 22 RGPD.

Le moderazioni automatizzate (rilevamento di spam o di violazioni delle CGC) sono soggette a un esame umano prima di qualsiasi misura ad effetto duraturo sull’Account (sospensione, soppressione di un’annotazione).

13. Cookie

Majorie utilizza esclusivamente cookie strettamente necessari al funzionamento del Servizio. Non viene depositato alcun cookie di misurazione di terzi, alcun cookie pubblicitario né alcun cookie di profilazione. Non è pertanto richiesto alcun banner di consenso.

NomeFinalitàDurataDominio
majorie_sessionMantenimento della sessione di autenticazione30 giornimajorie.ch
csrf_tokenProtezione dalle richieste cross-site (CSRF)Sessionemajorie.ch
langMemorizzazione della lingua di visualizzazione1 annomajorie.ch

Lo strumento interno di misurazione di audience (Plausible auto-ospitato su Infomaniak) non deposita alcun cookie e non raccoglie identificativi individuali.

14. Minori

Majorie è destinata a un uso professionale e accademico. L’editore non sollecita né tratta consapevolmente dati relativi a minori di età inferiore a 16 anni.

Se l’editore venisse a conoscenza che un Account appartiene a un minore di età inferiore a 16 anni, procede alla sua cancellazione senza indugio. Chiunque ne abbia conoscenza può segnalarlo a info@majorie.ch.

15. Modifiche della politica

La presente politica può essere aggiornata per riflettere un’evoluzione del Servizio, dei responsabili del trattamento o del quadro normativo. In caso di modifica sostanziale, è dato un preavviso di 30 giorni mediante posta elettronica all’indirizzo collegato all’Account e tramite banner nell’applicazione.

Lo storico delle versioni è conservato. Una versione archiviata può essere ottenuta su richiesta a info@majorie.ch.

16. Data di entrata in vigore

La presente politica entra in vigore il 26 aprile 2026.

Una versione archiviata è disponibile su richiesta a info@majorie.ch.