Ultimo aggiornamento: 19 Agosto 2025

Privacy Policy

Obliva è un servizio di condivisione file progettato per garantire privacy reale e sicurezza avanzata tramite cifratura end-to-end. Questa informativa spiega in modo chiaro come trattiamo i dati, in conformità al Regolamento UE 2016/679 (GDPR).

  • Architettura zero-knowledge

    • Obliva non può accedere a:

    • • Contenuti dei file (cifrati nel tuo browser)
    • • Chiavi di decrittazione (mai inviate al server)
    • • Identità degli utenti (nessun account richiesto)
    • • Cronologia delle tue attività (nessun tracking)
  • Dati tecnici minimi

    • Per il funzionamento del servizio gestiamo temporaneamente:

    Informazioni file (temporanee):

    • Identificatore univoco: Stringa random per localizzare il file
    • Nome originale: Nome del file offuscato
    • Percorso storage: Dove è salvato il file cifrato
    • Dimensione: Spazio occupato in bytes
    • Timestamp: Creazione e scadenza
    • Contatori: Download effettuati e limite massimo
    • Stato cifratura: Flag che indica file cifrato (sempre true)
    • Regione storage: Zona geografica scelta (eu/us/asia)
    • Protezione password: Hash e salt SOLO per verifica password opzionale

    Nota: Il campo "salt" serve esclusivamente per verificare la password di protezione (se impostata). NON serve per decifrare il file. I file sono cifrati client-side, non possiamo mai accedere al contenuto.

    Sistemi di supporto:

    • Log accessi minimi: Solo ID file e timestamp, nessun dato utente
    • Statistiche aggregate: Totali giornalieri completamente anonimi
    • Token upload temporanei: Validazione richieste a breve scadenza
    • Anti-abuso anonimo: Hash temporanei che ruotano regolarmente
  • Protezione anti-abuso privacy-preserving

    • Per prevenire abusi senza compromettere la privacy:

    • • Generiamo hash anonimi temporanei (NON salviamo IP)
    • • Gli hash cambiano automaticamente a intervalli regolari
    • • Impossibile correlare attività tra sessioni diverse
    • • Ogni traccia viene eliminata automaticamente
  • Cosa NON raccogliamo
    • ❌ Indirizzi IP reali o permanenti
    • ❌ Email o dati personali
    • ❌ Cookie di tracking o analytics
    • ❌ Browser fingerprint persistenti
    • ❌ User agent o informazioni dispositivo
    • ❌ Contenuti dei file (sono cifrati end-to-end)
    • ❌ Chiavi o parametri di decrittazione
    • ❌ Cronologia o pattern di utilizzo
  • Cancellazione automatica e manuale

    • I file vengono eliminati completamente quando:

    • • Raggiunto il limite download impostato (eliminazione automatica immediata)
    • • Raggiunta la scadenza temporale (eliminazione automatica)
    • • Richiesta manuale tramite token di eliminazione

    Processo di eliminazione completa:

    • ✓ Record del file eliminato dal database
    • ✓ File cifrato eliminato dallo storage
    • ✓ Log di accesso relativi al file cancellati
    • ✓ Zero tracce rimanenti nel sistema
  • Localizzazione dati

    • Puoi scegliere dove salvare i tuoi file cifrati:

    Regione Località Giurisdizione
    Europa Unione Europea GDPR Compliant (default)
    Nord America Stati Uniti Trasferimento Extra-UE
    Asia Pacifico Asia Orientale Trasferimento Extra-UE
  • Sistema token upload

    • Per validare richieste legittime:

    • • Token temporanei a breve scadenza
    • • Challenge-response per prevenire bot
    • • Solo hash anonimi, nessun dato personale
    • • Auto-eliminazione dopo scadenza
    • • Limiti per dimensione e numero file
  • I tuoi diritti GDPR
    • Accesso (Art. 15): Non abbiamo dati personali da mostrarti
    • Cancellazione (Art. 17): Eliminazione effettiva automatica o manuale dei file
    • Portabilità (Art. 20): I file sono già tuoi, cifrati client-side
    • Opposizione (Art. 21): Puoi semplicemente non usare il servizio
    • Rettifica (Art. 16): Non applicabile (nessun dato personale)
    • Limitazione (Art. 18): Non applicabile (nessun trattamento dati personali)
  • Misure di sicurezza
    • Cifratura lato client: I file vengono cifrati nel tuo browser PRIMA dell'invio
    • Zero-knowledge: Il server riceve solo dati già cifrati, mai in chiaro
    • • Chiavi di cifratura generate e mantenute solo nel browser
    • • Connessioni protette con protocolli di sicurezza moderni
    • • Password protette con algoritmi di hashing sicuri
    • • Protezione contro attacchi comuni (injection, XSS, CSRF)
    • • Sistema anti-abuso con rate limiting preservando la privacy
    • • Storage con crittografia aggiuntiva a riposo
    • • Architettura progettata per l'impossibilità tecnica di accesso ai dati
  • Contatti

    • Per domande sulla privacy o esercitare i diritti GDPR (Art. 15-22):

    📧 privacy@obliva.org

    Nota sulla collaborazione con le autorità: In caso di richieste legali valide, possiamo fornire solo le informazioni temporanee del file durante la sua esistenza (ID, dimensione, timestamp). Non possiamo fornire contenuti (sono cifrati client-side), chiavi di decrittazione (non le abbiamo mai), o dati utente (non li raccogliamo). Dopo l'eliminazione automatica o manuale, non esiste alcuna informazione recuperabile.

    Obliva è progettato per dimenticare. La privacy non è un'opzione, è l'architettura.