Ultimo aggiornamento: Aprile 2026
1. Dati raccolti
Sloppy raccoglie i seguenti dati personali:
- Nome e indirizzo email (forniti in fase di registrazione)
- Ruolo sulla piattaforma (Maker o Expert)
- Dati del profilo Expert (headline, bio, azienda, link professionali, certificazioni) — forniti volontariamente dall'utente
- Contenuti generati dall'utente: progetti, review, commenti, proposte, messaggi
- Dati tecnici: indirizzo IP, tipo di browser, timestamp delle richieste (per sicurezza e rate limiting)
- Cookie di preferenza lingua (locale)
2. Finalità del trattamento
I dati raccolti sono utilizzati per:
- Gestione dell'account e autenticazione (JWT, password hashate con bcrypt)
- Erogazione del servizio: pubblicazione progetti, gestione proposte, review e messaggi
- Comunicazioni transazionali: verifica email, reset password, email di benvenuto
- Notifiche interne alla piattaforma (nuove proposte, review, messaggi)
- Sicurezza: rate limiting degli endpoint di autenticazione, prevenzione abusi
- Miglioramento del servizio tramite suggerimenti degli utenti
3. Base giuridica
Il trattamento dei dati si basa su:
- Esecuzione del contratto: i dati sono necessari per fornire il servizio richiesto dall'utente
- Consenso: accettazione dei Termini e Condizioni in fase di registrazione
- Interesse legittimo: sicurezza della piattaforma, prevenzione frodi e abusi
4. Sicurezza dei dati
Sloppy adotta le seguenti misure di sicurezza:
- Messaggi privati cifrati con AES-256-GCM (end-to-end at rest), con IV univoco per ogni messaggio
- Password hashate con bcrypt (cost factor 12)
- Token di verifica e reset generati con crypto.randomBytes (256 bit di entropia), monouso e con scadenza
- Rate limiting su login (5 tentativi / 15 min) e registrazione (3 tentativi / ora) via Upstash Redis
- Security headers: HSTS, CSP restrittiva, X-Frame-Options, X-Content-Type-Options
- Source map disabilitate in produzione
- Database PostgreSQL non esposto su rete pubblica (bind 127.0.0.1)
- HTML escaping su tutti i dati iniettati nei template email (prevenzione XSS)
5. Condivisione dei dati
I dati personali non vengono venduti a terzi. Possono essere condivisi con:
- Stripe: per la gestione dei pagamenti (quando attivati). Stripe agisce come responsabile del trattamento indipendente secondo la propria privacy policy
- Upstash: per il servizio di rate limiting (dati tecnici, non personali)
- OVH: provider SMTP per l'invio di email transazionali
6. Conservazione dei dati
I dati personali sono conservati per la durata dell'account. L'utente può richiedere la cancellazione del proprio account e dei dati associati contattando info@sloppy.pro. I messaggi cifrati vengono eliminati insieme all'account. I dati anonimi e aggregati possono essere conservati per statistiche interne.
7. Cookie
Sloppy utilizza esclusivamente:
- Cookie di sessione: per l'autenticazione (Auth.js, JWT)
- Cookie di preferenza lingua: per memorizzare la scelta IT/EN (durata: 1 anno)
Non vengono utilizzati cookie di profilazione, tracciamento o di terze parti a scopo pubblicitario.
8. Diritti dell'utente
In conformità con il GDPR (Regolamento UE 2016/679), l'utente ha diritto a:
- Accesso ai propri dati personali
- Rettifica dei dati inesatti
- Cancellazione dei dati (diritto all'oblio)
- Limitazione del trattamento
- Portabilità dei dati
- Opposizione al trattamento
Per esercitare questi diritti, contattare info@sloppy.pro.
9. Modifiche alla privacy policy
Sloppy si riserva il diritto di aggiornare questa privacy policy. Le modifiche saranno pubblicate su questa pagina con la data di aggiornamento. L'uso continuativo della piattaforma dopo la pubblicazione delle modifiche costituisce accettazione della nuova policy.