1. Titolare
2. Oggetto
3. Categorie di dati
4. Finalità e basi giuridiche
5. Cookie e tracciamento
6. Comunicazione dati
7. Chatbot e AI Act
8. Conservazione
9. Decisioni automatizzate
10. Diritti
11. Reclamo
12. Conferimento dati
13. Sicurezza
14. Modifiche

Informativa sulla Privacy

vestibolo.org — Sito web pubblico di Vestibolo APS-ETS

ai sensi dell'Art. 13 del Regolamento (UE) 2016/679 (GDPR)

1. Titolare del trattamento

Vestibolo APS-ETS — Associazione di Promozione Sociale, Ente del Terzo Settore
Sede legale: Via Nicolò Ferracciu 1, 07100 Sassari (SS)
Codice Fiscale: 92184940903
Repertorio RUNTS: n. 159047 (iscrizione 4 febbraio 2026)
Legale rappresentante: Giuseppe Tavera, Presidente

Contatti per la privacy

Email: info@vestibolo.org
PEC: vestibolo@pec.it
Telefono: +39 379 2469742
Sede legale: Via Nicolò Ferracciu 1, 07100 Sassari

Responsabile della Protezione dei Dati (DPO): alla data della presente informativa, Vestibolo APS-ETS non ha nominato un DPO, non essendovi tenuta ai sensi dell'art. 37 GDPR. La nomina volontaria è prevista entro febbraio 2027, nell'ambito dell'avvio del progetto Occhi di Quartiere. L'informativa sarà aggiornata con i contatti del DPO al momento della nomina.

2. Oggetto dell'informativa

La presente informativa descrive come Vestibolo APS-ETS tratta i dati personali dei visitatori del sito web vestibolo.org, in conformità all'art. 13 del Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018.

L'informativa riguarda esclusivamente il sito web pubblico vestibolo.org. Per il trattamento dei dati personali nell'ambito della piattaforma riservata ai soci (vestibolo.net, chat.vestibolo.org, cloud.vestibolo.org, todo.vestibolo.org), si rinvia all'Informativa sul Trattamento dei Dati Personali — Piattaforma Digitale Vestibolo APS-ETS, disponibile su vestibolo.net.

3. Categorie di dati trattati

3.1 Dati di navigazione

Il server web registra automaticamente, per ogni richiesta, i seguenti dati tecnici:

Indirizzo IP del visitatore
Data e ora della richiesta
URL della pagina richiesta
User agent del browser
Codice di risposta del server

Questi dati sono utilizzati esclusivamente per garantire la sicurezza e il funzionamento del sito e non sono mai associati all'identità del visitatore.

3.2 Dati forniti volontariamente tramite i form

Il sito contiene form di contatto e di pre-registrazione attraverso i quali il visitatore può fornire volontariamente i seguenti dati:

Form di contatto: nome, indirizzo email, messaggio
Form di pre-registrazione (richiesta di adesione): nome, cognome, data e luogo di nascita, codice fiscale, indirizzo di residenza, telefono, email

3.3 Dati generati dall'interazione con il chatbot

Il sito presenta un chatbot informativo denominato "Vest" (vedi Sezione 7). Le domande digitate dall'utente nel chatbot sono trasmesse al sistema per generare una risposta. Le conversazioni non sono associate all'identità del visitatore e non sono conservate in modo persistente.

4. Finalità e basi giuridiche del trattamento

Finalità	Base giuridica	Dettaglio
Funzionamento e sicurezza del sito	Art. 6(1)(f) GDPR — legittimo interesse	Garantire il corretto funzionamento del sito, prevenire accessi non autorizzati e attacchi informatici. Il legittimo interesse è bilanciato dalla conservazione limitata dei log (14 giorni) e dall'assenza di qualsiasi profilazione
Risposta alle richieste di contatto	Art. 6(1)(a) GDPR — consenso	Gestire le richieste inviate tramite il form di contatto. Il consenso è prestato con l'atto volontario di compilazione e invio del form
Gestione delle richieste di adesione	Art. 6(1)(b) GDPR — misure precontrattuali	Valutare e gestire le domande di adesione all'associazione, ai sensi dello Statuto e del D.Lgs. 117/2017 (Codice del Terzo Settore)
Chatbot informativo	Art. 6(1)(f) GDPR — legittimo interesse	Fornire informazioni sull'associazione e sulle sue attività tramite il chatbot "Vest". Il legittimo interesse è bilanciato dalla trasparenza (vedi Sezione 7), dall'assenza di dati personali nella knowledge base e dalla non persistenza delle conversazioni

Il sito vestibolo.org non imposta alcun cookie HTTP first-party. Il sito è composto da pagine HTML statiche e non utilizza sessioni server-side né token basati su cookie. Non sono presenti cookie di terze parti.

5.2 Archiviazione locale (localStorage)

Il sito utilizza una chiave di archiviazione locale nel browser, soggetta agli stessi obblighi di trasparenza dei cookie ai sensi dell'art. 5(3) della Direttiva 2002/58/CE (ePrivacy):

Chiave	Scopo	Pagine	Durata	Base giuridica
`vestibolo_cookie_consent`	Memorizza la presa visione del banner informativo	Tutte	Persistente	Art. 122(1) D.Lgs. 196/2003 — esenzione dal consenso
`n8n-chat/sessionId`	Identificativo di sessione del chatbot "Vest" per la continuità della conversazione	Pagine con chatbot	Persistente	Art. 122(1) D.Lgs. 196/2003 — esenzione dal consenso

5.3 Tecnologie NON utilizzate

Vestibolo.org non utilizza e non ha mai utilizzato: cookie di profilazione, cookie pubblicitari, cookie di tracciamento comportamentale, strumenti di analytics (Google Analytics, Matomo o equivalenti), pixel di tracciamento (Meta Pixel, LinkedIn Insight Tag o equivalenti), strumenti di retargeting, tecniche di fingerprinting del browser.

Per questo motivo non è presente alcun cookie banner, in conformità alle Linee guida del Garante per la Protezione dei Dati Personali del 10 giugno 2021 (par. 4), che esentano dall'obbligo di consenso e di banner i siti che utilizzano esclusivamente tecnologie strettamente necessarie, a condizione che sia fornita un'informativa adeguata.

Per la documentazione completa su cookie e tecnologie di tracciamento, si rinvia all'Informativa sui Cookie di vestibolo.org.

6. Comunicazione e diffusione dei dati

I dati personali raccolti tramite il sito non sono diffusi né comunicati a terzi, salvo quanto indicato nella Sezione 6.1.

I dati forniti tramite il form di pre-registrazione sono trasferiti nel database interno dell'associazione (db_persone) per la gestione della domanda di adesione, come documentato nel ROPA — Trattamento n. 1 (Gestione Soci e Libro Soci).

6.1 Servizi di terze parti e trasferimenti extra-UE

Il funzionamento del sito comporta il coinvolgimento dei seguenti fornitori terzi:

Servizio	Fornitore	Sede	Dati coinvolti	Garanzie
Hosting sito statico	Hostinger International Ltd	Lituania (UE)	Tutti i dati del sito (pagine HTML statiche)	Nessun trasferimento extra-UE
Servizi API (form, chatbot backend)	Hetzner Online GmbH	Germania (UE)	Dati dei form, query chatbot	Nessun trasferimento extra-UE. DPA conforme art. 28 GDPR
DNS e CDN	Cloudflare Inc.	USA	Indirizzo IP del visitatore (risoluzione DNS)	EU-US Data Privacy Framework + SCCs
Font web	Google LLC (Google Fonts)	USA	Indirizzo IP del visitatore (caricamento CSS da fonts.googleapis.com)	EU-US Data Privacy Framework + SCCs
Video incorporati	Google LLC (YouTube)	USA	Indirizzo IP del visitatore; cookie funzionali possibili alla riproduzione	Modalità privacy avanzata (youtube-nocookie.com). EU-US DPF + SCCs
Mappe interattive (Leaflet + Carto)	unpkg/Cloudflare (libreria), CARTO (tile)	USA/UE	Indirizzo IP del visitatore (pagine contatti, occhi-di-quartiere)	unpkg servito via Cloudflare CDN (DPF). CARTO: infrastruttura CDN distribuita
Pulsante donazione (immagine)	PayPal Inc. (paypalobjects.com)	USA	Indirizzo IP del visitatore (solo caricamento immagine, nessun cookie)	EU-US Data Privacy Framework
Chatbot "Vest"	Google LLC (Gemini API)	USA	Testo della domanda dell'utente + contesto documentale pubblico (nessun dato personale nella knowledge base)	EU-US Data Privacy Framework + DPA standard Google Cloud
Certificati SSL	Let's Encrypt (ISRG)	USA	Nome del dominio (nessun dato personale del visitatore)	Nessun dato personale trattato

Nota su Google Fonts: il caricamento dei font avviene tramite richiesta CSS al CDN di Google (fonts.googleapis.com), il che comporta la trasmissione dell'indirizzo IP del visitatore a Google. Vestibolo sta valutando il self-hosting dei font per eliminare questo trasferimento.

Per tutti i servizi con sede negli Stati Uniti, il trasferimento è coperto dall'EU-US Data Privacy Framework, ai sensi della decisione di adeguatezza della Commissione Europea del 10 luglio 2023 (art. 45 GDPR), integrato ove applicabile dalle Clausole Contrattuali Standard (SCCs) ex art. 46 GDPR.

Il sito non utilizza cookie di profilazione, pixel di tracciamento, strumenti di analytics, strumenti di retargeting o strumenti di advertising.

7. Chatbot con intelligenza artificiale — Trasparenza ai sensi dell'AI Act

7.1 Informazione ai sensi dell'Art. 50 del Regolamento (UE) 2024/1689 (AI Act)

Il sito vestibolo.org include un chatbot denominato "Vest", accessibile tramite il widget in basso a destra della pagina. Si informa che:

Il chatbot è un sistema di intelligenza artificiale, non una persona. Le risposte sono generate automaticamente da un modello linguistico (Google Gemini) sulla base di una knowledge base di documenti pubblici dell'associazione.
Le risposte sono generate da IA e potrebbero contenere imprecisioni. Vest non fornisce consulenza legale né rappresenta ufficialmente l'associazione. Per comunicazioni ufficiali, utilizzare il form di contatto o scrivere a info@vestibolo.org.
Nessun dato personale è contenuto nella knowledge base del chatbot. La knowledge base è composta esclusivamente da documenti pubblici indicizzati del sito vestibolo.org (167 documenti vettorializzati), conservati in un database locale (Qdrant) non esposto a Internet.
Le query dell'utente sono trasmesse a Google Gemini (USA) per la generazione della risposta (vedi Sezione 6.1 per le garanzie sul trasferimento). Le conversazioni non sono conservate in modo persistente dal Titolare e non sono associate all'identità del visitatore.
Il Titolare mantiene un controllo umano completo sul chatbot. Un meccanismo di disattivazione immediata ("kill switch") è operativo e documentato. L'IA propone, l'essere umano decide: principio codificato nello Statuto dell'associazione (Art. 1.7).

7.2 Classificazione ai sensi dell'AI Act

Il chatbot "Vest" è classificato come sistema a rischio limitato ai sensi dell'art. 6 e dell'art. 50 del Regolamento (UE) 2024/1689, con conseguenti obblighi di trasparenza assolti tramite la presente sezione e tramite il disclaimer visibile nell'interfaccia del chatbot.

8. Periodo di conservazione dei dati

Categoria di dati	Conservazione	Motivazione
Log server web (IP, URL, user agent)	14 giorni	Sicurezza, rotazione automatica (logrotate)
Dati form di contatto (nome, email, messaggio)	Fino all'evasione della richiesta + 90 giorni	Gestione della comunicazione e documentazione
Dati form di pre-registrazione	Trasferiti a db_persone. Se la domanda è respinta: cancellazione entro 30 giorni dalla comunicazione del rigetto	Gestione domanda di adesione (ROPA Tratt. 1)
Conversazioni chatbot	Non conservate in modo persistente	Le query transitano verso Google Gemini per la generazione della risposta e non vengono salvate dal Titolare
localStorage chatbot (`n8n-chat/sessionId`)	Persistente (fino a cancellazione manuale da parte dell'utente)	Continuità della sessione chatbot "Vest"

9. Processi decisionali automatizzati

Vestibolo APS-ETS non effettua alcun processo decisionale automatizzato ai sensi dell'art. 22 GDPR che produca effetti giuridici o incida in modo analogo significativamente sugli interessati.

Il chatbot "Vest" è uno strumento informativo e non prende decisioni relative al visitatore. Le risposte generate dall'intelligenza artificiale non hanno alcun effetto giuridico e non influenzano l'accesso a servizi o il rapporto con l'associazione.

10. Diritti dell'interessato

Ai sensi degli Artt. 15-22 del GDPR, ogni visitatore ha il diritto di:

Accesso (Art. 15) — ottenere conferma dell'esistenza di un trattamento dei propri dati e accedere alle relative informazioni.
Rettifica (Art. 16) — ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
Cancellazione (Art. 17) — ottenere la cancellazione dei propri dati, nei limiti previsti dal GDPR.
Limitazione (Art. 18) — ottenere la limitazione del trattamento nei casi previsti.
Portabilità (Art. 20) — ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico (JSON o CSV).
Opposizione (Art. 21) — opporsi al trattamento fondato sul legittimo interesse, per motivi connessi alla propria situazione particolare.
Revoca del consenso (Art. 7) — revocare in qualsiasi momento il consenso prestato per il form di contatto, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Come esercitare i diritti

Inviare una richiesta scritta a:

Email: info@vestibolo.org
PEC: vestibolo@pec.it
Posta: Vestibolo APS-ETS, Via Nicolò Ferracciu 1, 07100 Sassari

Il Titolare risponde entro 30 giorni dal ricevimento della richiesta. In caso di richieste complesse o numerose, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione motivata all'interessato (art. 12(3) GDPR).

11. Diritto di reclamo all'Autorità di controllo

L'interessato che ritenga che il trattamento dei propri dati violi il GDPR ha diritto di proporre reclamo al:

Garante per la Protezione dei Dati Personali
Piazza Venezia 11 — 00187 Roma
Sito web: www.garanteprivacy.it
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Telefono: +39 06 696771

12. Conferimento dei dati e conseguenze del rifiuto

Il conferimento dei dati tramite i form del sito è volontario. L'utente è libero di navigare il sito senza fornire alcun dato personale.

Le conseguenze del mancato conferimento sono le seguenti:

Form di contatto: l'impossibilità di inviare la richiesta e di ricevere risposta.
Form di pre-registrazione: l'impossibilità di presentare domanda di adesione all'associazione. I dati richiesti nel form (dati anagrafici, codice fiscale, residenza) sono necessari per gli adempimenti previsti dal D.Lgs. 117/2017 (Codice del Terzo Settore).

La navigazione del sito, la consultazione dei contenuti e l'utilizzo del chatbot non richiedono il conferimento di dati personali identificativi.

13. Misure di sicurezza

I dati personali sono protetti da misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

HTTPS su tutto il sito con certificato Let's Encrypt e HSTS attivo (max-age 2 anni, preload)
Security headers completi (X-Frame-Options, Content-Security-Policy, X-Content-Type-Options)
Firewall UFW con policy deny-by-default
Protezione anti-intrusione (fail2ban)
Rate limiting sugli endpoint dei form
Log con rotazione automatica (14 giorni)
Backup cifrati con GPG AES-256
DNSSEC attivo sui domini
Server ospitato presso Hetzner Online GmbH (Germania, UE), con DPA conforme all'art. 28 GDPR

14. Modifiche all'informativa

Il Titolare si riserva di aggiornare la presente informativa in caso di modifiche al sito, ai servizi offerti o alla normativa applicabile. La data dell'ultimo aggiornamento è sempre indicata in calce al documento. In caso di modifiche sostanziali, sarà pubblicato un avviso visibile sulla homepage del sito.