Accordo sul trattamento dei dati (DPA)
Il DPA disciplina il ruolo di Snorklee come responsabile del trattamento quando il servizio misura l'audience di un sito cliente. Il cliente resta titolare del trattamento: decide di usare Snorklee, sceglie i siti misurati, configura gli eventi inviati e informa i visitatori.
Questa pagina spiega il DPA in linguaggio semplice. La versione operativa, generata e firmabile dalla scheda Conformità della dashboard, prevale in caso di divergenza.
Oggetto del trattamento
Snorklee tratta dati minimizzati per fornire al cliente statistiche di audience, report tecnici, export, funzionalità di analisi su aggregati e documenti di conformità.
Il trattamento è limitato alla fornitura, sicurezza, manutenzione e supporto del servizio.
Le finalità escluse sono chiare:
- nessuna pubblicità comportamentale;
- nessuna vendita o condivisione pubblicitaria dei dati di audience;
- nessun avvicinamento cross-site;
- nessun session replay;
- nessuna heatmap individuale;
- nessun import di CRM visitatore;
- nessun arricchimento pubblicitario;
- nessuna timeline visitatore individuale.
Dati interessati
Le categorie principali sono pagine consultate, eventi autorizzati, domini referenti, fonte di traffico, paese o regione secondo configurazione, famiglie di browser, tipo di dispositivo, sistema operativo, lingua, errori tecnici, segnali di scroll o clic aggregati e contatori statistici.
I parametri di campagna non sono usati per creare tracciamento cross-site o profili pubblicitari.
Indirizzo IP e User-Agent possono essere usati transitoriamente all'ingestione per geolocalizzare, classificare browser o dispositivo, rilevare abusi o riconoscere alcuni crawler, ma non sono memorizzati grezzi negli eventi analytics.
Il cliente non deve inviare negli eventi o proprietà Snorklee dati sensibili, nomi, e-mail, numeri di telefono, indirizzi postali, identificativi clienti, click ID pubblicitari, segreti, token o qualsiasi dato direttamente identificativo. Gli eventi personalizzati devono restare tecnici o business.
Sicurezza e responsabili
Snorklee implementa misure tecniche e organizzative destinate a proteggere i dati: TLS, controllo accessi, separazione applicativa dei ruoli (ingest / lettura), limitazione dei log, conservazione breve degli eventi grezzi, cancellazione del sito su richiesta e documentazione dei responsabili.
I principali responsabili sono elencati nella privacy policy, nel DPA e nei documenti generati dalla scheda Conformità. Coprono in particolare hosting, geolocalizzazione, e-mail transazionali, pagamento, IA opzionale su aggregati e alcuni audit pubblici.
L'elenco può evolvere con ragionevole preavviso quando la modifica è significativa.
Assistenza al cliente
Snorklee assiste il cliente per richieste di accesso, cancellazione, export, informazioni sui responsabili, documentazione di sicurezza e, quando applicabile, risposta all'esercizio dei diritti.
In assenza di un identificatore visitatore stabile, Snorklee non può sempre ritrovare una persona individualmente nelle statistiche. Secondo il contesto, una richiesta può essere trattata per intervallo temporale, tramite cancellazione di un evento se identificabile altrimenti dal cliente, o tramite cancellazione del sito.
Il cliente resta l'interlocutore principale del visitatore finale.
Periodi
Gli eventi grezzi sono conservati 90 giorni. Gli aggregati analytics sono conservati fino a 25 mesi. Dopo la disdetta, i dati del sito possono essere conservati 30 giorni per permettere un recupero, poi cancellati secondo le procedure previste.
IA
Quando il cliente usa funzionalità IA, Snorklee trasmette solo gli aggregati necessari alla sintesi o risposta: indicatori, tendenze, pagine, canali o periodi. Nessun indirizzo IP grezzo, identificatore visitatore, riga individuale di evento o dato direttamente identificativo deve essere trasmesso al motore IA in questo contesto.
L'IA è attivata su richiesta del cliente, salvo configurazione diversa esplicitamente documentata.
Se il cliente attiva il modulo opzionale di monitoraggio della visibilità IA, domande costruite a partire dai contenuti pubblici del suo sito (mai dati dei visitatori) vengono inviate ai fornitori di assistenti IA interrogati — OpenAI, Google, Perplexity e Anthropic (Stati Uniti) — per misurare la presenza del marchio nelle loro risposte. Questo modulo è disattivato di default e dipende dalla scelta del cliente.
Addendum CCPA/CPRA
Il DPA può includere un addendum CCPA/CPRA quando il cliente lo attiva dalla scheda Conformità. Questo allegato documenta il ruolo di Snorklee come service provider per la misurazione dell'audience, l'assenza di vendita o condivisione pubblicitaria dei dati di audience Snorklee e la finalità limitata del trattamento.
Questo addendum copre solo il perimetro Snorklee. Gli altri strumenti presenti sul sito del cliente devono essere valutati separatamente.
Firma
La versione operativa del DPA è generata e firmabile dalla scheda Conformità della dashboard. Questa pagina spiega il contenuto in linguaggio semplice; il documento firmato prevale in caso di divergenza.
La dashboard può generare una pagina di prova della firma, includendo timestamp, identità del firmatario e impronta del documento, secondo le funzionalità disponibili.