Privacy Policy
Ultimo aggiornamento: 1 gennaio 2026
Versione: 2.1
1. Chi siamo e contatti Titolare del trattamento
Tetralake Productions
Indirizzo: Via del Mella, 74 – 25131 Brescia (Italia)
Telefono: +39 030 358 2526
Email: info@tetralakeproductions.com
Per qualsiasi chiarimento, informazione, esercizio dei diritti elencati nella presente informativa, contattare il titolare alla seguente mail: info@tetralakeproductions.com
2. Tipologie di dati trattati
2.1 Dati forniti volontariamente tramite modulo di contatto (Contact Form 7)
● Nome e cognome
● Indirizzo email
● Contenuto del messaggio
● Eventuali ulteriori dati personali inclusi nel testo del messaggio
Uso: gestire e rispondere alle richieste di informazioni/assistenza/preventivo.
Nota CF7: il plugin non memorizza per impostazione predefinita i messaggi nel database del sito; il contenuto viene recapitato via email ai recapiti del Titolare. Se in futuro si attiverà un componente per l’archiviazione (es. Flamingo) o sistemi antispam di terze parti (es. reCAPTCHA, Akismet), questa informativa verrà aggiornata.
2.2 Dati di navigazione e log tecnici
● Indirizzi IP, orari delle richieste, URL richieste
● User‑agent (browser, sistema operativo), referrer
● Eventuali errori di sistema/sicurezza
Uso: garantire il funzionamento tecnico del sito, la sicurezza e l’individuazione di anomalie/abusi.
Non utilizziamo sistemi di analytics, profilazione o tracciamento cross‑site.
3. Finalità e basi giuridiche
Trattiamo i dati personali esclusivamente per le seguenti finalità, nel rispetto del principio di minimizzazione.
a) Gestione delle richieste inviate tramite il modulo di contatto Base giuridica: legittimo interesse del Titolare a fornire riscontro (art. 6, par. 1, lett. f GDPR) e, quando l’utente richiede un preventivo o informazioni precontrattuali, esecuzione di misure precontrattuali/contratto (art. 6, par. 1, lett. b GDPR). Dettagli: utilizziamo nome, email e contenuto del messaggio esclusivamente per prendere in carico e gestire la richiesta.
b) Sicurezza e funzionamento del sito (log, firewall, anti‑abuso) Base giuridica: legittimo interesse (art. 6, par. 1, lett. f GDPR). Dettagli: trattiamo dati tecnici di navigazione e log per garantire disponibilità, integrità e riservatezza del servizio, prevenire frodi/abusi e individuare anomalie.
c) Adempimenti di legge Base giuridica: obbligo legale (art. 6, par. 1, lett. c GDPR). Dettagli: possiamo trattare/conservare dati ove richiesto da norme vigenti o su legittima richiesta dell’autorità competente.
Cosa NON facciamo
– Non svolgiamo marketing o invio di newsletter.
– Non effettuiamo profilazione né decisioni automatizzate.
– Non utilizziamo strumenti di analisi/monitoraggio (es. Google Analytics, pixel pubblicitari).
– Non utilizziamo servizi di commento e Gravatar.
– I collegamenti ai social ( YouTube, Instagram, TikTok ) sono semplici link esterni: non integriamo widget o embed che traccino la navigazione.
Nota futura: qualora in futuro vengano introdotte nuove finalità o strumenti (es. newsletter, analytics, social embed, antispam di terzi), aggiorneremo questa informativa indicando basi giuridiche, categorie di dati, destinatari, tempi di conservazione e – ove necessario – richiederemo il consenso.
4. Natura del conferimento
Il conferimento dei dati nel form contrassegnati come obbligatori è necessario per poter rispondere alla richiesta. Il mancato conferimento comporta l’impossibilità di ricevere riscontro.
5. Destinatari e categorie di fornitori
I dati possono essere trattati da soggetti debitamente autorizzati dal Titolare (personale interno e collaboratori) e da fornitori nominati Responsabili del trattamento ai sensi dell’art. 28 GDPR.
Categorie di destinatari/fornitori:
● Hosting e housing del sito (server, backup, sicurezza di base) – Serverplan, Paese UE: Italia
● Servizio email (ricezione messaggi dal form) – Microsoft, Paese UE/SEE: Italia
Autorità pubbliche e legali: potremmo comunicare dati su richiesta legittima dell’Autorità Giudiziaria o di altra autorità competente.
Non comunichiamo i dati a soggetti per finalità di marketing, advertising, social media o data brokerage.
6. Modalità del trattamento e misure di sicurezza
Il trattamento avviene con strumenti informatici e telematici secondo principi di liceità, correttezza e trasparenza. Adottiamo misure tecniche e organizzative adeguate al rischio, tra cui: cifratura del traffico (HTTPS), sistemi di hardening e aggiornamento del CMS/plugin/tema, controllo degli accessi (autenticazione forte per gli amministratori), firewall/WAF a livello di hosting, backup regolari, registrazione tecnica degli accessi amministrativi, policy di least privilege per gli addetti.
7. Tempi di conservazione
● Messaggi ricevuti via modulo e corrispondenza email: fino a 12 mesi dalla chiusura della richiesta. Estensione solo se necessaria per gestire contenziosi o per adempimenti contrattuali/legali.
● Log tecnici di sicurezza (server/WAF): 7–30 giorni, estendibili fino a 6 mesi in caso di incidenti di sicurezza o indagini su abusi.
● Backup: 30 giorni con rotazione; accesso limitato e finalità di disaster recovery.
Alla scadenza, i dati sono cancellati o anonimizzati; alcuni dati possono essere conservati più a lungo se richiesto dalla legge o per la difesa in giudizio.
8. Luogo del trattamento e trasferimenti extra‑UE
I trattamenti hanno luogo in paesi dell’Unione Europea/SEE. Non effettuiamo trasferimenti verso paesi terzi. Se in futuro si rendessero necessari, verranno adottate le Clausole Contrattuali Standard (SCC) e garanzie supplementari, con informativa aggiornata agli interessati.
9. Cookie e altri strumenti
Il sito utilizza solo cookie tecnici necessari al funzionamento della piattaforma WordPress e dell’area amministrativa. Non utilizziamo cookie/profilazione/analytics.
Esempi di cookie tecnici:
● wordpress_*, wp-settings-* (solo per utenti amministratori autenticati)
● PHPSESSID (gestione sessione lato server, se presente)
Contact Form 7 non imposta cookie per impostazione predefinita.
Conseguenza: il consenso preventivo ai cookie non è richiesto. È comunque presente/consigliata una Cookie Policy informativa che spieghi l’uso dei soli cookie tecnici.
Nota futura: se venissero integrati strumenti di terze parti (es. reCAPTCHA, mappe, video, font da CDN, social embed), potrebbero essere installati cookie/effettuati trasferimenti; in tal caso sarà mostrato un banner di consenso e aggiornata la presente informativa.
10. Diritti dell’interessato
Gli interessati possono esercitare i diritti previsti dagli artt. 15–22 GDPR, tra cui: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento basato su legittimo interesse. È sempre possibile proporre reclamo al Garante per la Protezione dei Dati Personali (https://www.gpdp.it).
Come esercitare i diritti: inviare richiesta a info@tetralakeproductions.com; risponderemo entro 30 giorni, estendibili a 60 nei casi complessi.
11. Minori
Il sito non è destinato a minori di 16 anni; non raccogliamo consapevolmente dati di minori. I genitori/tutori possono contattarci per la cancellazione di dati indebitamente trasmessi.
12. Data breach
In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà delle persone fisiche, sarà effettuata la notifica al Garante entro 72 ore e, se il rischio è elevato, informati gli interessati secondo gli artt. 33–34 GDPR.
13. Modifiche all’informativa
Questa informativa può essere aggiornata per adeguamenti normativi o tecnici. La versione corrente è pubblicata su questa pagina con la relativa data. Per modifiche sostanziali sarà fornita un’apposita informazione (banner/notifica).
14. Contatti privacy
Tetralake Productions
Indirizzo: Via del Mella, 74 – 25131 Brescia (Italia)
Telefono: +39 030 358 2526
Email: info@tetralakeproductions.com
15. Informativa breve da mostrare sotto il form
Informativa privacy (sintesi) – I dati inviati saranno utilizzati esclusivamente per rispondere alla tua richiesta (art. 6.1.f e, se del caso, 6.1.b GDPR). Il Titolare è Tetralake Productions. Nessun marketing, nessuna cessione a terzi, nessun trasferimento extra‑UE. Maggiori dettagli nella Privacy Policy.
16. Allegato A – Elenco fornitori/Responsabili del trattamento
Compilare e mantenere aggiornato:
● Hosting: Serverplan Srl, sede legale: Via G. Leopardi, 22 – 03043 Cassino (FR), datacenter: Italia DPA: https://www.serverplan.com
● Email: tetralakeproductions@icloud.com
17. Processo decisionale automatizzato e profilazione
Ai sensi dell’art. 13, par. 2, lett. f) GDPR si comunica che non vengono effettuate decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che riguardano l’utente o che incidono in modo analogo significativamente sulla sua persona.
18. Legittimo interesse – test di bilanciamento
Per le finalità basate sull’art. 6.1.f (gestione richieste, sicurezza del sito) il Titolare ha svolto un test di bilanciamento valutando la proporzionalità del trattamento rispetto ai diritti e alle libertà degli interessati. L’esito risulta favorevole e la relativa documentazione è disponibile su richiesta.
19. Comunicazioni e sicurezza delle email
Le comunicazioni inviate tramite il modulo vengono recapitate via email ai contatti del Titolare attraverso connessioni cifrate (TLS) quando supportate dai provider coinvolti. Si raccomanda agli utenti di non inviare dati particolari (art. 9 GDPR) o informazioni eccedenti rispetto alla richiesta.
Misure consigliate lato dominio/posta (best practice): configurazione di SPF, DKIM e DMARC per ridurre spoofing/phishing; limitazione degli accessi alla webmail; cifratura a riposo sull’eventuale archivio.
20. Riferimenti e trasparenza
Questa informativa è rilasciata ai sensi degli artt. 12–13 GDPR e normativa italiana di armonizzazione. Versioni storiche sono conservate dal Titolare per accountability e fornite su richiesta.
21. Allegato B – Cookie Policy (solo cookie tecnici)
Il sito utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento della piattaforma (es. wordpress_*, wp-settings-* per utenti autenticati, eventuale PHPSESSID). Tali cookie non richiedono consenso.
Gestione da parte dell’utente: è possibile disabilitare o cancellare i cookie tramite le impostazioni del browser; ciò potrebbe compromettere alcune funzionalità (area amministrativa, sessione).
Assenza di terze parti: non sono presenti servizi di terze parti che rilasciano cookie di profilazione o analitici. Qualora in futuro venissero integrati servizi che comportino il rilascio di cookie non tecnici (es. reCAPTCHA, mappe, video, social), verrà mostrato un banner di consenso e aggiornata la presente informativa.
22. Allegato C – Modello di Registro dei Trattamenti (art. 30 GDPR) – uso interno
● Titolare: Tetralake Productions – Via del Mella, 74 – 25131 Brescia – info@tetralakeproductions.com
● Finalità: gestione richieste tramite sito web (form contatto); sicurezza e funzionamento del sito.
● Categorie interessati: visitatori del sito e mittenti di richieste.
● Categorie dati: identificativi (nome, email), contenuto del messaggio; dati tecnici di log.
● Destinatari: fornitore hosting, servizio email, consulenti IT (art. 28); autorità competenti su richiesta.
● Trasferimenti extra‑UE: no (alla data della presente).
● Tempi conservazione: v. §7 (messaggi/email fino a 12 mesi; log 7–30 giorni; backup 30 giorni).
● Misure di sicurezza: TLS, hardening CMS, backup, controllo accessi, policy least‑privilege, WAF, aggiornamenti.
● DPO: non nominato.
Uso: compilare, firmare e conservare. Aggiornare in caso di nuovi trattamenti/fornitori.
23. Allegato D – Procedura gestione richieste degli interessati (SOP)
● Ricezione della richiesta all’indirizzo privacy (timestamp e protocollazione).
● Verifica identità (senza eccessi: richiesta informazioni supplementari congrue).
● Analisi della richiesta (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
● Raccolta dati dai sistemi/fornitori coinvolti.
● Riscontro entro 30 giorni (eventuale estensione a 60 con motivazione).
● Esecuzione del diritto e notifica ai destinatari ex art. 19, ove applicabile.
● Archiviazione della pratica per accountability (12 mesi).
Modelli di risposta e checklist disponibili su richiesta.
24. Allegato E – Procedura essenziale di gestione data breach (SOP)
● Individuazione e contenimento: isolare l’incidente, preservare i log, impedire accessi ulteriori.
● Valutazione del rischio: tipologia dati, volume, facilità di identificazione, impatti potenziali.
● Notifica al Garante: entro 72 ore se il rischio è almeno moderato; documentare motivi di eventuale ritardo.
● Comunicazione agli interessati: se il rischio è elevato (linguaggio semplice, azioni consigliate).
● Rimedi e prevenzione: patch, reset credenziali, revisione controlli; post‑mortem interno e aggiornamento misure.
● Registro breach: mantenere un registro degli incidenti e delle decisioni.
25. Link esterni e contenuti incorporati
Il sito può contenere collegamenti a siti di terzi (es. social, mappe, video). Cliccando su tali link l’utente accede a risorse non controllate dal Titolare; si invita a consultare le relative informative privacy dei terzi. Al momento non utilizziamo contenuti incorporati (es. player video, mappe, widget social, webfont da CDN) che comportino trasferimenti o cookie non tecnici. Se in futuro venissero attivati, saranno aggiornati banner cookie e presente informativa.
26. Segnali “Do Not Track”
Alcuni browser offrono un segnale Do Not Track (DNT). Il sito, non effettuando profilazione né analytics, non modifica il trattamento in base a tali segnali. Eventuali servizi terzi integrati in futuro potrebbero non supportarli; in tal caso l’informativa sarà aggiornata.
27. Rimandi interni
● Privacy Policy (questa pagina): /privacy-policy
● Cookie Policy (solo cookie tecnici): /cookie-policy
28. Webfont e risorse da CDN (Google Fonts, Font Awesome, librerie JS)
Stato attuale: il sito non utilizza tracciamenti. Per coerenza privacy e performance si raccomanda l’uso di font e librerie auto‑ospitate (self‑hosted) e di evitare chiamate a CDN di terze parti quando non strettamente necessario.
Google Fonts
● Opzione consigliata: scaricare i file (.woff2) e servirli dal dominio del Titolare; indicare i font nel CSS del tema.
● Opzione alternativa (CDN – fonts.googleapis.com/fonts.gstatic.com): il caricamento remoto comporta la comunicazione dell’indirizzo IP e di altri metadati a Google; in tal caso aggiornare la presente informativa e valutare il blocco preventivo fino a consenso, ove ritenuto necessario.
Altre risorse comuni (es. Font Awesome, Bootstrap/Swiper/Alpine, CDN cdnjs, jsdelivr, unpkg): preferire il self‑hosting; se si usano CDN indicare i domini coinvolti nell’Allegato F e le basi giuridiche.
29. Contenuti/servizi esterni potenzialmente integrabili (non attivi alla data)
Per trasparenza elenchiamo i servizi non attivi ma eventualmente integrabili in futuro:
● YouTube/Vimeo (video embed): usare modalità privacy‑enhanced (youtube-nocookie.com) o parametri di limitazione tracciamento; prevedere blocco preventivo e richiesta consenso prima del caricamento.
● Google Maps: preferire immagini statiche o link a Google Maps esterno; in caso di embed, blocco preventivo e informativa aggiornata.
● Social widget/share ( TikTok, LinkedIn, Instagram): preferire soluzioni two‑click (caricamento solo dopo azione esplicita).
● Calendly/Live chat: integrare solo con valutazione d’impatto minima, DPA e banner se rilasciano cookie non tecnici. Quando uno di questi servizi sarà abilitato, aggiorneremo Cookie Policy, banner e questa pagina (sezioni 9, 21–23) specificando fornitore, dati e basi giuridiche.
30. Commenti e Gravatar
Commenti del sito: attualmente disattivati.
Se abilitati in futuro, WordPress può interrogare Gravatar (Automattic) per mostrare l’avatar dell’autore del commento tramite hash dell’email: ciò comporta comunicazione di metadati a terzi. In tal caso verrà aggiornata l’informativa (finalità, base giuridica, destinatari) e, se presente antispam di terzi (es. Akismet), sarà indicato nel §5 e §9.
31. Protezioni antispam del modulo (reCAPTCHA/Akismet)
Stato attuale: non sono attivati servizi antispam di terzi su Contact Form 7.
Se venisse attivato Google reCAPTCHA (v2/v3), Google potrebbe ricevere indirizzo IP e dati di interazione: base giuridica legittimo interesse alla sicurezza (art. 6.1.f) e trasferimenti extra‑UE secondo le SCC; aggiornare banner/informativa.
Se venisse usato Akismet (Automattic) per filtrare lo spam, saranno trattati i contenuti inviati e metadati tecnici secondo la privacy policy del fornitore.
32. Newsletter/CRM (non attivi)
Non gestiamo mailing list o newsletter. In caso di futura attivazione:
● Base giuridica: consenso (art. 6.1.a) con double opt‑in;
● Fornitore (es. EU region di un ESP): nomina a Responsabile ex art. 28, verifica luogo dei server, SCC se extra‑UE;
● Conservazione: fino a revoca consenso/disiscrizione;
● Disiscrizione: link one‑click in ogni messaggio.
33. Allegato F – Checklist risorse esterne e stato
● Google Fonts (CDN) Fornitore: Google – Domini: fonts.googleapis.com, fonts.gstatic.com
Finalità: webfont
Stato: OFF
Base giuridica: legittimo interesse (art. 6.1.f) e/o consenso a seconda del banner adottato
Cookie: in genere no
Trasferimenti: possibili extra‑UE
● Google Fonts (self‑host) Fornitore: — (file ospitati sul dominio del Titolare)
Finalità: webfont
Stato: ON
Base giuridica: legittimo interesse (art. 6.1.f)
Cookie: no
Trasferimenti: no
● Font Awesome (CDN) Fornitore: Fonticons – Dominio: use.fontawesome.com
Finalità: icone
Stato: OFF
Base giuridica: legittimo interesse (art. 6.1.f) e/o consenso
Cookie: possibile
Trasferimenti: possibili extra‑UE
● YouTube (embed) Fornitore: Google – Dominio: youtube-nocookie.com preferito
Finalità: video
Stato: OFF
Base giuridica: consenso
Cookie: sì (non tecnici)
Trasferimenti: possibili extra‑UE
● Google Maps (embed) Fornitore: Google – Dominio: maps.google.com
Finalità: mappa
Stato: OFF
Base giuridica: consenso
Cookie: sì (non tecnici)
Trasferimenti: possibili extra‑UE
● reCAPTCHA Fornitore: Google – Dominio: www.google.com/recaptcha
Finalità: antispam
Stato: OFF
Base giuridica: legittimo interesse (art. 6.1.f)
Cookie: possibile
Trasferimenti: possibili extra‑UE
● Akismet
Fornitore: Automattic
Finalità: antispam commenti/moduli
Stato: OFF
Base giuridica: legittimo interesse (art. 6.1.f)
Cookie: —
Trasferimenti: possibili extra‑UE
34. Allegato G – Linee guida per blocco preventivo (embed)
● Mostrare segnaposto con descrizione del servizio di terzi e link alla relativa privacy policy
● Prevedere pulsante “Abilita contenuto” con raccolta del consenso (granularità per categoria).
● Caricare l’iframe/script solo dopo consenso.
● Fornire link “Gestisci preferenze” per revoca/variazione del consenso.
Questo documento è redatto secondo il GDPR e la normativa italiana vigente. È un modello operativo pensato per siti WordPress senza tracciamento e con solo modulo di contatto. Per esigenze particolari (e.g. integrazioni di terze parti, e‑commerce, newsletter) è necessario un aggiornamento mirato.