Cookie Policy
Informazioni su cookie, local storage e altri strumenti di tracciamento usati sul sito e nella piattaforma pubblica.
Ultimo aggiornamento: 6 maggio 2026
Indice
Pagine correlate
1. Ambito e operatore
Questa Cookie Policy si applica al sito pubblico e alle superfici web di NeuroStep operate da CHIANCA MARCO, incluse le pagine informative, i contenuti marketing e le aree di accesso pubblico che precedono la sezione clinica autenticata.
Per “cookie” intendiamo sia cookie HTTP tradizionali sia tecnologie equivalenti, come local storage, session storage, IndexedDB e altri identificatori browser usati per autenticazione, sicurezza, analytics o memorizzazione delle preferenze.
2. Come gestiamo il consenso
Gli strumenti opzionali vengono attivati solo dopo una scelta esplicita tramite il banner cookie o il centro preferenze. La misurazione audience cookieless di base tramite Umami resta attiva sulle sole pagine pubbliche perché non imposta cookie o storage analytics e invia pageview minimizzate. Le categorie oggi configurabili sono: monitoraggio errori, analytics avanzati del sito pubblico e marketing.
- La scelta “Solo essenziali” mantiene attive soltanto le componenti tecniche necessarie e la misurazione audience cookieless minimizzata.
- La scelta “Accetta tutto” abilita tutte le categorie opzionali configurate.
- La scelta “Personalizza” apre il centro preferenze granulare, modificabile in ogni momento anche dal footer del sito.
- Le route cliniche sotto
/appsono escluse sia da Umami sia da Google Analytics 4.
Il consenso raccolto viene versionato rispetto all’informativa privacy/cookie in vigore, cosi da poter dimostrare la scelta effettuata e richiedere una nuova decisione se la policy cambia in modo sostanziale.
3. Categorie di strumenti
| Categoria | Finalita | Base giuridica | Attivazione |
|---|---|---|---|
| Essenziali | Autenticazione, sicurezza, persistenza login, memorizzazione della scelta privacy, protezione da abusi e corretto funzionamento tecnico del sito e della piattaforma. | Art. 6(1)(b) GDPR e art. 6(1)(f) GDPR; non richiedono consenso quando strettamente necessari. | Sempre attivi. |
| Misurazione audience cookieless | Pageview aggregate e minimizzate sulle sole pagine pubbliche tramite Umami, senza cookie, local storage analytics, query string, hash o area clinica `/app`. | Art. 6(1)(f) GDPR; misurazione tecnica minimizzata dell’audience e miglioramento del sito pubblico. | Sempre sulle route pubbliche, con Do Not Track rispettato dove supportato dal browser/tracker. |
| Monitoraggio errori | Raccolta minimizzata di errori applicativi per debugging e stabilita del servizio. | Art. 6(1)(a) GDPR; attivato solo dopo consenso specifico. | Solo se abiliti la categoria "Monitoraggio errori". |
| Analytics avanzati del sito pubblico | Statistiche aggiuntive sulle pagine pubbliche tramite Google Analytics 4, con pageview controllate e senza tracciamento dell’area clinica `/app`. | Art. 6(1)(a) GDPR e art. 122 Codice Privacy. | Solo se abiliti la categoria "Analytics". |
| Marketing | Newsletter, comunicazioni commerciali e attivita promozionali future. | Art. 6(1)(a) GDPR. | Solo se abiliti la categoria "Marketing". |
4. Inventario analitico di cookie e browser storage
La tabella seguente riporta gli strumenti principali che il prodotto usa o può usare nel browser in base al contesto. Dove un identificatore e gestito interamente da un fornitore terzo, la durata tecnica può dipendere dalla configurazione del vendor e dal browser dell’utente.
| Nome / strumento | Provider | Tipologia | Finalita | Durata | Quando si attiva |
|---|---|---|---|---|---|
| rol-consent-v1 | NeuroStep / prima parte | localStorage | Registra la decisione privacy corrente, le categorie abilitate, la modalita di scelta e la versione dell’informativa accettata. | Persistente fino a nuova scelta, policy bump o cancellazione manuale del browser. | Sempre, dopo che l’utente compie una scelta sul banner o nel centro preferenze. |
| rol-consent-pending-v1 | NeuroStep / prima parte | localStorage | Coda temporanea delle decisioni di consenso in attesa di sincronizzazione server-side quando l’utente effettua il login. | Persistente fino a sincronizzazione, policy bump o cancellazione manuale. | Solo se la decisione viene raccolta prima del collegamento al record di audit autenticato. |
| Persistenza Firebase Auth | Firebase / Google | Browser storage tecnico (IndexedDB, localStorage o sessionStorage secondo SDK e contesto) | Mantiene lo stato di autenticazione, la sessione applicativa e i token tecnici necessari all’accesso sicuro. | Sessione o persistente secondo configurazione del browser, dell’SDK e dello stato di login. | Solo quando l’utente utilizza funzioni di login o area riservata. |
| Umami tracker | Umami Cloud / Umami Software, Inc. | Script analytics cookieless; nessun cookie o localStorage analytics impostato dal nostro codice | Misura pageview aggregate, referrer tecnico, dispositivo/browser e paese sulle sole pagine pubbliche, con invio manuale del solo pathname. | Nessun cookie client-side; retention dei dati aggregati secondo piano e configurazione Umami Cloud. | Sempre sulle route pubbliche, con `data-auto-track=false`, esclusione query/hash e blocco dell’area `/app`. |
| _ga | Google Analytics 4 / Google LLC | Cookie di terza parte / analytics | Distingue utenti e browser di ritorno per produrre statistiche aggregate sulle sole pagine pubbliche del sito. | Fino a 2 anni secondo configurazione standard GA4. | Solo dopo consenso analytics e solo sulle route pubbliche. |
| _ga_<measurement-id> | Google Analytics 4 / Google LLC | Cookie di terza parte / analytics | Mantiene il contesto di misurazione per la proprieta GA4 configurata nel sito pubblico. | Fino a 2 anni secondo configurazione vendor. | Solo dopo consenso analytics e solo sulle route pubbliche. |
| Identificatori Stripe su pagine ospitate da Stripe | Stripe, Inc. | Cookie o browser storage di terza parte su dominio/provider Stripe | Gestione checkout, prevenzione frodi, sicurezza dei pagamenti e customer portal, quando l’utente apre flussi di billing ospitati da Stripe. | Secondo politica e configurazione del fornitore. | Solo quando l’utente apre checkout o portale cliente gestito da Stripe. |
| Trasporto diagnostico Sentry | Sentry | SDK event-based; nessun cookie di prima parte dedicato e nominato dal nostro codice | Invia errori applicativi minimizzati e sanitizzati solo quando il relativo consenso e attivo. | Non usato come cookie persistente di prima parte nel nostro codice; eventuale comportamento vendor dipende dallo SDK e dal browser. | Solo dopo consenso "Monitoraggio errori". |
5. Terze parti e trasferimenti
Alcuni strumenti opzionali dipendono da fornitori terzi. La loro attivazione resta subordinata alla categoria di consenso applicabile o al fatto che l’utente apra volontariamente il relativo flusso esterno, come nel caso del checkout.
| Vendor | Location / area | Nota operativa |
|---|---|---|
| Umami Cloud | Secondo regione selezionata in Umami Cloud e infrastruttura vendor | Misurazione cookieless di base sulle sole pagine pubbliche, senza cookie, senza query string/hash, con `data-auto-track=false` e area `/app` esclusa. |
| Google Analytics 4 | Secondo infrastruttura Google LLC | Layer analytics avanzato inizializzato solo dopo consenso, con `send_page_view: false`, IP anonimizzato, query string non inviata e area `/app` esclusa. |
| Sentry | Secondo configurazione vendor | Attivato solo dopo consenso dedicato, con scrub PII, rimozione query string, token, email e altri identificatori sensibili. |
| Stripe | Secondo infrastruttura vendor | Interviene nei flussi di billing quando l’utente apre pagine ospitate dal fornitore di pagamento. |
I dettagli aggiornati su ruoli privacy, sub-processori e trasferimenti sono descritti anche nella Privacy Policy. Per documentazione contrattuale, DPA o richieste legali puoi scrivere a legal@neurostep.it.
6. Come modificare o revocare le preferenze
- Puoi riaprire il centro preferenze dal footer del sito in qualsiasi momento.
- Puoi cancellare cookie e storage direttamente dal browser, tenendo conto che questo può comportare logout o perdita di preferenze.
- Puoi bloccare cookie di terza parte o gestire eccezioni tramite le impostazioni del browser.
- Per richieste privacy formali relative ai dati personali collegati ai consensi puoi scrivere a privacy@neurostep.it.
Se revochi analytics avanzati o monitoraggio errori, le integrazioni opzionali vengono disattivate per le visite successive e, ove tecnicamente applicabile, il client interrompe nuovi invii. La revoca non disattiva la misurazione audience cookieless di base e non rende automaticamente anonimi i dati già trattati dal vendor prima della revoca.
7. Aggiornamenti e contatti
Possiamo aggiornare questa Cookie Policy per riflettere cambiamenti tecnici, nuovi vendor, attivazione di nuove categorie opzionali o revisioni normative. Se l’aggiornamento modifica in modo sostanziale il perimetro dei trattamenti opzionali, potremmo richiedere una nuova scelta di consenso.
Contatto privacy: privacy@neurostep.it
Contatto legale / vendor pack: legal@neurostep.it
Operatore del servizio: CHIANCA MARCO
Codice fiscale / Partita IVA: CHNMRC97R09A399S / IT03160010645