Informativa sulla Privacy.
Trasparenza totale. Zero profilazione. I tuoi dati sono solo tuoi.
ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR)
1. Titolare del Trattamento
Controllo & Responsabilità
Carmelo Gambacorta — persona fisica
Via Cerreto, 49 — 83031 Ariano Irpino (AV), Italia
2. La nostra Filosofia
Privacy-First Architecture
Il servizio email Gambacorta.eu è stato costruito dal primo giorno attorno al concetto di Privacy by Design e Minimalismo dei Dati. Noi non guadagniamo vendendo pubblicità: vendiamo esclusivamente l'infrastruttura premium.
A differenza dei grandi provider gratuiti, non scansioniamo, non leggiamo e non profiliamo mai il contenuto delle tue email. Quello che transita o viene archiviato sul tuo indirizzo @gambacorta.eu è strettamente privato.
3. Quali dati raccogliamo
Data Minimization Policy
L'uso del nostro servizio richiede un quantitativo di dati anagrafici pari a zero. Non ti chiederemo mai nome, cognome, indirizzo o numero di telefono.
3.1 Indirizzo email scelto
Base giuridica: esecuzione del contratto — art. 6.1.b GDPR
Memorizziamo la stringa dell'email che hai scelto (es. mario@gambacorta.eu) affinché possa esistere sul server. È il prodotto stesso che acquisti.
3.2 Email di recupero (facoltativa)
Base giuridica: esecuzione del contratto — art. 6.1.b GDPR
Memorizziamo un indirizzo email esterno fornito in fase di acquisto come unica ancora di salvezza. Questa email non verrà mai usata per marketing. Il conferimento è facoltativo: in sua assenza non sarà possibile garantire il recupero dell'account.
Ogni notifica automatica sulla scadenza contiene le istruzioni per non riceverle più.
3.3 Hash della password
Base giuridica: art. 6.1.b GDPR
La tua password viene crittografata (hashed) con algoritmi a senso unico. Nemmeno noi possiamo conoscere la tua vera password.
3.4 Dati di pagamento
Base giuridica: contratto + obbligo fiscale — art. 6.1.b e 6.1.c GDPR
I pagamenti sono gestiti interamente da Stripe Payments Europe, Ltd. Non elaboriamo mai il numero completo della carta o dati finanziari sensibili.
Dati Ricevuti da Stripe:
4. Tempi di Conservazione
Data Retention Limits
Email di recupero
Per tutta la durata del tuo account attivo, più 12 mesi dalla scadenza definitiva.
Contenuto della casella
Eliminato irreversibilmente alla cancellazione dell'account.
Dati di pagamento mascherati
10 anni dalla data del pagamento (normativa fiscale italiana).
5. I tuoi Diritti (GDPR)
User Data Control
Ai sensi del GDPR detieni il pieno controllo sui tuoi dati. Per esercitare qualsiasi diritto.
Accesso (art. 15)
Ricevi copia di tutti i dati che conserviamo su di te.
Rettifica (art. 16)
Fai correggere l'email di recupero se è cambiata o errata.
Cancellazione (art. 17)
Diritto all'oblio: account eliminato irreversibilmente dopo 10gg di grazia.
Portabilità (art. 20)
Esporta le tue email via IMAP in qualsiasi momento.
Limitazione (art. 18)
Blocca temporaneamente il trattamento mentre è in corso una contestazione o verifica dei dati.
Opposizione (art. 21)
Opponiti al trattamento basato su interessi legittimi in qualsiasi momento, senza obbligo di motivazione.
Reclamo Garante: www.garanteprivacy.it
6. Hosting & Trasferimenti Internazionali
Artt. 44–49 GDPR
Server Principale
Ionos SE — Germania (UE)
I dati risiedono interamente all'interno dell'Unione Europea. Nessun trasferimento extra-UE per i dati email.
Processore Pagamenti
Stripe Payments Europe, Ltd — Irlanda (UE)
Stripe Inc. (USA) opera come sub-processor. Il trasferimento è coperto dalle Standard Contractual Clauses (SCC) ex art. 46 GDPR e dal framework EU-US Data Privacy Framework.
7. Violazione dei Dati (Data Breach)
Artt. 33–34 GDPR
In caso di violazione della sicurezza che comporti rischio per i tuoi dati personali, ci impegniamo a:
Notifica al Garante
Segnalazione al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta della violazione (art. 33 GDPR), salvo che sia improbabile che la violazione presenti un rischio per i tuoi diritti.
Notifica agli Interessati
Se la violazione comporta un rischio elevato per i tuoi diritti e libertà fondamentali, riceverai comunicazione diretta all'indirizzo email di recupero senza ingiustificato ritardo (art. 34 GDPR).
Incident Response
Attivazione immediata delle procedure di contenimento, analisi forense e ripristino della sicurezza, con documentazione completa dell'accaduto conservata per 5 anni.
8. DPIA & Punto di Contatto Privacy
Artt. 35–37 GDPR
Valutazione d'Impatto (DPIA — art. 35)
È stata condotta un'analisi del rischio sul trattamento dei dati. Il servizio tratta una quantità minima di dati (indirizzo email, email di recupero, hash password) e non rientra nelle categorie ad alto rischio ex art. 35 § 3 GDPR (nessun dato biometrico, sanitario o di localizzazione su larga scala). La valutazione ha confermato un rischio residuo per i diritti degli interessati classificato come standard.
Responsabile della Protezione Dati (DPO — art. 37)
Ai sensi dell'art. 37 § 1 GDPR, la nomina di un DPO formale non è obbligatoria: il Titolare è una persona fisica che gestisce un'attività non su larga scala, senza trattamento sistematico di categorie particolari di dati. Per qualsiasi questione relativa alla privacy, il punto di contatto designato è:
Titolare: Carmelo Gambacorta • Gambacorta.eu Ecosystem
Last Revision: Giugno 2026 — v2.0