Arrow
Iniziamo
Servizi
Siti web Web Apps
Prodotti
ReamS Mondrian
Bandi
NIDI JTF Doppia Transizione
Studio
Agenzia Perché Arrow Come funziona Portfolio Blog
Contatti
Appuntamento Audit gratuito
ITENFR
← Torna al sito

Informativa sul trattamento dei dati personali (artt. 13–14 GDPR)

Studio statistico sulla presenza digitale delle attività commerciali di Taranto
Versione 1.1 — [FILL: data di pubblicazione]
Ai sensi dell'art. 14 GDPR, informativa resa al pubblico prima dell'avvio della raccolta.

Indice

  1. Che cosa fa lo studio
  2. Quali dati vengono trattati e da dove provengono
  3. Finalità e base giuridica
  4. Modalità e misure di protezione
  5. Destinatari e trasferimenti
  6. Tempi di conservazione
  7. Perché non riceverete una comunicazione individuale
  8. I vostri diritti
  9. Aggiornamenti

Arrow Web Agency di Nicolas Moerynck (P.IVA 03484640739), in qualità di titolare del trattamento ("il Titolare"), conduce uno studio statistico (non commissionato né finanziato da terzi; cfr. §3 per l'interesse perseguito) sulla presenza digitale delle attività commerciali rivolte ai visitatori (ristorazione, ricettività, commercio al dettaglio) nel comune di Taranto, in vista dei XX Giochi del Mediterraneo (21 agosto – 3 settembre 2026). Questa informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") a beneficio dei soggetti i cui dati possono essere trattati nell'ambito dello studio.

1. Che cosa fa lo studio

Lo studio fotografa, in un'unica rilevazione ("snapshot"), le caratteristiche tecniche pubbliche dei siti web delle attività (esistenza, raggiungibilità, sicurezza, prestazioni, adattamento mobile, reperibilità, lingue disponibili, stato di manutenzione). I risultati sono esclusivamente statistici e aggregati: nessuna attività e nessuna persona viene nominata, valutata o classificata individualmente in alcun output. Il protocollo di ricerca è predefinito e versionato prima della raccolta.

2. Quali dati vengono trattati e da dove provengono (art. 14, par. 2, lett. f)

I dati non sono raccolti presso gli interessati, ma provengono da fonti pubbliche e aperte:

  • Overture Maps Foundation (tema "places") e OpenStreetMap — elenchi pubblici di attività (denominazione, categoria, coordinate, eventuale sito web);
  • Regione Puglia — open data DMS (elenco strutture ricettive e locazioni turistiche, licenza CC BY 4.0), incluso il codice CIN;
  • i siti web pubblici delle attività stesse, letti in modo passivo: per ciascun sito tre richieste dirette e cortesi (robots.txt, homepage, verifica della sitemap), con identificazione trasparente del bot e rispetto delle regole robots.txt; per i siti idonei, la misura delle prestazioni comporta inoltre due caricamenti della pagina da parte dell'infrastruttura Lighthouse di Google (versione mobile e desktop — cfr. §5).

Categorie di dati: denominazione dell'attività, indirizzo e coordinate, categoria merceologica, indirizzo del sito web, codice CIN, stato di operatività e misurazioni tecniche del sito. Quando l'attività è una ditta individuale o una locazione gestita da una persona fisica, alcuni di questi dati (es. il nome nella denominazione, un dominio contenente un nome personale) sono dati personali.

Non trattiamo e non conserviamo: numeri di telefono, indirizzi e-mail, profili social personali (queste colonne vengono eliminate all'origine, prima di qualunque salvataggio), né alcuna categoria particolare di dati (art. 9 GDPR).

3. Finalità e base giuridica

— Finalità: ricerca statistica e conoscenza del mercato locale (art. 89, par. 1, GDPR e considerando 162): produzione di statistiche aggregate sulla presenza digitale delle attività tarantine.
— Base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR), oggetto di una valutazione documentata (Legitimate Interest Assessment) redatta prima dell'avvio della raccolta.
— Interesse legittimo perseguito (art. 14, par. 2, lett. b): la conoscenza del mercato digitale locale da parte del Titolare — agenzia web attiva sul territorio — e l'eventuale pubblicazione di un rapporto statistico aggregato di valore informativo per il pubblico. Lo studio non è commissionato né finanziato da terzi; la dimensione commerciale dell'interesse del Titolare è qui dichiarata apertamente.
— Vincolo di scopo (impegno vincolante): i dati non vengono utilizzati per contattare, profilare o sollecitare commercialmente le attività, né per assumere decisioni che riguardino singole persone o singole attività. Non esiste alcun processo decisionale automatizzato ai sensi dell'art. 22 GDPR.

4. Modalità e misure di protezione

— I dati identificativi vengono pseudonimizzati all'ingresso negli archivi di lavoro (codifica HMAC con chiave segreta); nomi e denominazioni non entrano negli archivi di lavoro, con le sole eccezioni delimitate descritte al §6 (l'archivio sorgente sigillato e il foglio di verifica campionaria).
— Le misurazioni dei siti sono esclusivamente passive: nessuna scansione di vulnerabilità, nessun test intrusivo, nessun carico anomalo sui server.
— Gli archivi ristretti sono cifrati e ad accesso registrato.
— Le pubblicazioni contengono solo aggregati con una soglia minima di 3 unità per cella e accorpamento delle categorie sotto soglia; le eventuali mappe sono aggregate per zona, mai puntuali.

5. Destinatari e trasferimenti

Per la misura delle prestazioni, gli indirizzi dei siti web (URL) vengono inviati all'API PageSpeed Insights di Google (Google LLC, USA), che opera come autonomo titolare; il trasferimento è coperto dalla decisione di adeguatezza UE-USA (Data Privacy Framework). Nessun altro soggetto esterno riceve dati personali. I dati non vengono venduti, ceduti o condivisi.

6. Tempi di conservazione

— Archivio sorgente sigillato (per la sola riproducibilità dello studio): copia cifrata e ad accesso registrato dei dataset pubblici di origine, comprese denominazioni, indirizzi e codici CIN. Conservato entro un limite definito: una revisione di chiusura non oltre 36 mesi dallo snapshot (o alla pubblicazione del rapporto, se precedente), con cancellazione predefinita o ri-giustificazione scritta per un solo ulteriore periodo definito. Nessun archivio è conservato a tempo indeterminato.
— Foglio di verifica campionaria (~150 attività: denominazione e indirizzo, per la sola validazione della qualità dei dati): cancellato alla registrazione della validazione.
— Archivio identificativi di lavoro (URL e identificativi di fonte, incluso il codice CIN): massimo 90 giorni dalla data dello snapshot.
— Dataset statistico pseudonimizzato: massimo 36 mesi dallo snapshot, salvo ri-giustificazione scritta; oltre tale termine le coordinate vengono eliminate (solo livello di zona).
— Contenuti grezzi scaricati (HTML, report tecnici integrali): mai conservati — vengono elaborati e scartati immediatamente.

7. Perché non riceverete una comunicazione individuale (art. 14, par. 5, lett. b)

Lo studio riguarda l'insieme delle attività rivolte ai visitatori del comune (nell'ordine di 500–2000 posizioni): informare individualmente ogni attività comporterebbe uno sforzo sproporzionato rispetto a un trattamento di natura statistica assistito dalle garanzie dell'art. 89. Questa informativa pubblica, con un contatto effettivo per l'esercizio dei diritti, costituisce la misura appropriata prevista dalla norma.

8. I vostri diritti

Potete esercitare in ogni momento i diritti di cui agli artt. 15, 16, 17, 18 e 21 GDPR (accesso, rettifica, cancellazione, limitazione, opposizione) scrivendo a privacy@arroweb.it o via PEC all'indirizzo [FILL: PEC del Titolare], oppure tramite il modulo di contatto su arroweb.it. (Il diritto alla portabilità, art. 20, non si applica ai trattamenti fondati sul legittimo interesse.) Indicate denominazione e indirizzo dell'attività, così da consentirne l'individuazione.

— Opposizione (art. 21): su richiesta, l'attività viene inserita in un elenco di esclusione che vale anche per le rielaborazioni successive, e i relativi dati vengono eliminati dagli archivi di lavoro. Per questo studio il Titolare non intende far valere motivi legittimi cogenti prevalenti: l'opposizione viene di regola accolta. L'eventuale copia presente nell'archivio sorgente sigillato viene cancellata oppure conservata unicamente a fini di riproducibilità dello studio ai sensi dell'art. 17, par. 3, lett. d), e art. 89 GDPR — il Titolare registra quale delle due opzioni si applica.
— Nota di trasparenza: l'individuazione di una singola attività nel dataset pseudonimizzato resta possibile finché esiste la chiave segreta HMAC, che viene distrutta alla revisione di chiusura (non alla cancellazione dell'archivio identificativi a 90 giorni). Solo dopo la distruzione della chiave il Titolare potrebbe non essere più in grado di ricollegare i dati a una specifica attività (art. 11, par. 2, GDPR); in tal caso l'esercizio di alcuni diritti può non essere possibile, salvo che ci forniate elementi utili all'individuazione finché gli archivi lo consentono.
— Avete inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Aggiornamenti

Eventuali modifiche sostanziali dello studio comportano l'aggiornamento di questa informativa (con nuova versione e data) prima della loro attuazione.

← Torna al sito

Ricevi la newsletter di Arrow

Privacy Policy · Termini e Condizioni

Arrow Web — 2026 · Nicolas Moerynck · P.IVA 03484640739

Taranto (TA) · info@arroweb.it

Arrow
Iniziamo
Servizi
Siti web Web Apps
Prodotti
ReamS Mondrian
Bandi
NIDI JTF Doppia Transizione
Studio
Agenzia Perché Arrow Come funziona Portfolio Blog
Contatti
Appuntamento Audit gratuito
ITENFR