Privacy
Cosa sappiamo di te e perche.
Niente burocratese. Italiano chiaro. Cosa raccogliamo, perche, cosa non facciamo mai - piu una tabella cookie che ti serve davvero.
Ultimo aggiornamento: maggio 2026
Cosa raccogliamo
La tua email - solo se ti iscrivi.
Per la mail giornaliera del coach. La conserviamo finche non ti disiscrivi. Non la condividiamo ne vendiamo. Mai.
Il tuo paese (sempre) e lat/lon (spesso).
Il paese viene da un database DB-IP locale sul nostro server - nessuna chiamata esterna, il tuo IP non va a terzi. Decide se mostriamo Celsius o Fahrenheit e quale paese sta in cima a /citta. Lat/lon (livello citta) alimentano il meteo perche la frase del coach combaci con cosa succede fuori. Entrambi derivati dal tuo IP di visita e non conservati a lungo.
La tua posizione precisa - solo se la concedi.
Quando clicchi su /citta su 'Usa posizione precisa', il browser chiede il permesso. Se accetti, usiamo la lat/lon esatta del dispositivo per il meteo e per vedere se copriamo la tua citta. Altrimenti torniamo alla stima IP qui sopra.
Il tuo IP - brevemente, hashato.
Calcoliamo un hash SHA-256 (primi 16 caratteri) per limitare contributi community, custom-roast e suggerimenti citta. L'IP grezzo non viene mai memorizzato - solo l'hash, solo per il tempo necessario.
Quello che scrivi - per i custom-roast e le righe community.
Le scuse libere vanno a OpenAI per moderazione e generazione. I contributi community e i suggerimenti citta restano nel nostro DB finche non chiedi la cancellazione o un admin li rifiuta.
Anonymous pageviews and clicks — our own counter.
We run our own first-party audience-measurement: pageviews, which excuses are picked, which destinations are shared to, run-commits, subscribes. Stored in our database with route + event-type + country (from local mmdb) + device class + referrer host. No cookie set, no visitor identifier, no PII, no fingerprinting. Falls outside cookie-consent rules per CNIL / DSK / ICO guidance for consent-free first-party analytics. We use it to answer product questions (what works, what gets shared) — not to profile.
Eventi corsa anonimi.
Quando premi Yes e ti impegni a una corsa, registriamo l'istante (timestamp, lingua, scusa scelta, citta + temperatura + codice meteo, hash IP). Alimenta il contatore nel footer e il ticker attivita. Nessun nome, nessuna email collegata. Dettagliato per 90 giorni, poi anonimizzato.
Un piccolo set di cookie + localStorage - vedi la tabella.
Lingua, tema, unita, la tua scelta cookie e (solo con consenso) Google Tag Manager. Lista completa piu sotto.
Chi altro lo vede
Brevo (mail transazionali).
Quando inviamo la mail giornaliera, Brevo vede l'indirizzo e la mail renderizzata. Server UE, responsabile UE.
OpenAI (custom-roast + moderazione + traduzioni admin).
Quando scrivi una scusa libera, il testo va a OpenAI. Per le traduzioni IA dall'admin, va anche il testo sorgente. OpenAI non conserva le richieste API per training secondo la policy attuale.
Open-Meteo (meteo + geocoding).
Per il meteo inviamo lat/lon. Per il suggerimento citta geocodifichiamo il nome inserito. Niente account, niente cookie. Server in Germania.
OpenStreetMap Nominatim (geocoding inverso, solo opt-in).
Se clicchi su /citta su 'Usa posizione precisa' e dai il permesso, mandiamo lat/lon a Nominatim della OSM Foundation per ottenere un nome di citta (es. 'Bologna'). Servizio gratuito. Non chiamato mai senza un click esplicito + permesso accordato.
Mapbox (immagini delle mappe).
Le mappe statiche delle pagine citta vengono richieste dal nostro server a Mapbox. Mapbox vede il nostro IP server, non il tuo. Nessuno script di tracking si carica nel tuo browser da Mapbox.
Strava (segmenti di corsa).
L'API pubblica di segmenti Strava alimenta i marker su /city/[nome]. Il nostro server interroga con lat/lon della citta. Strava vede il nostro IP server e la query bounding-box, non il tuo IP ne la tua identita.
Meta (Facebook + Instagram, solo in uscita).
Quando pubblichiamo il roast del giorno sulla nostra pagina FB e account IG, il nostro server chiama la Meta Graph API. Non viene inviato alcun dato del visitatore - solo il nostro testo e la nostra immagine quadrata. Meta non sa chi sei.
Google Tag Manager + GA4 (analytics, opzionale).
Si carica solo se accetti i cookie. Per contare visite e click a supporto delle decisioni di prodotto. Niente pixel pubblicitari.
Il nostro hosting (Vultr via Cleavr).
Server su istanza Vultr in UE. Log standard (IP, user agent, URL richiesto, timestamp) conservati dal provider 7 giorni per monitoraggio abuso e uptime.
Quali cookie esattamente
Manteniamo questa lista completa e aggiornata. Se aggiungiamo qualcosa, cambia la data in cima alla pagina e (se hai accettato gli analytics) GTM vede un nuovo campo consent_version.
Strettamente necessari
| Nome | Ambito | Durata | Scopo |
|---|---|---|---|
| i18n_redirected | Cookie, 1a parte | 1 anno | Ricorda la preferenza di lingua (en, nl, de, fr, es, it, pt). |
| nobs:theme | localStorage | Finche non lo cancelli | Ricorda la scelta chiaro / scuro / auto. |
| nobs:units | Cookie, 1a parte | 1 anno | Ricorda la preferenza Celsius/km vs Fahrenheit/miles (o 'auto'). |
| nobs:consent | localStorage | Fino a cancellazione o modifica | Salva la scelta cookie e la versione per non chiedere di nuovo. |
| nobs:pending-run | localStorage | 6 ore, auto-rimossa | Ricorda una corsa impegnata ma non confermata, per mostrare 'ancora in giro?' al ritorno. |
Statistiche (solo con consenso)
| Nome | Ambito | Durata | Scopo |
|---|---|---|---|
| _ga | Cookie, terza parte (Google) | 2 anni | ID client Google Analytics. Conta visitatori unici. |
| _ga_XXXXXXXXXX | Cookie, terza parte (Google) | 2 anni | Stato sessione Google Analytics 4. |
Per quanto lo conserviamo
Email: finche non ti disiscrivi (un click in ogni mail giornaliera). Eventi di corsa / scelte di scusa: 90 giorni dettagliati, poi anonimizzati (citta + temp svuotati, restano slug + timestamp per le statistiche aggregate). Contributi community + suggerimenti citta: finche non chiedi la rimozione del tuo, o lo rifiutiamo. Hash rate-limit: 1 ora, scorrevole. Log server presso Vultr: 7 giorni.
I tuoi diritti
Puoi chiederci di: - Mostrarti tutto quello che e legato alla tua email o nome inviato. - Cancellarlo. - Consegnartelo in formato portabile (mandiamo JSON). - Correggere o aggiornare cio che e sbagliato. - Opporti al trattamento. Rispondi a una mail giornaliera o scrivi all'indirizzo sotto. Cerchiamo di rispondere entro 7 giorni. Se sei in UE/SEE/UK e non sei contento, puoi rivolgerti alla tua autorita nazionale.
Cosa non facciamo mai
Non vendiamo i tuoi dati. Non li condividiamo con reti pubblicitarie. Non ti profiliamo tra siti. Non usiamo dark pattern per tenerti iscritto - ogni mail ha link di disiscrizione e una pagina di conferma a un click senza account. Non facciamo fingerprinting. Niente pixel-tracking. Nessuno script di terze parti caricato eccetto Google Tag Manager, e solo se hai detto si.
Minori
nobs.run e pensato per 16 anni in su. Non raccogliamo consapevolmente dati di utenti piu giovani. Se pensi sia successo - scrivici e cancelliamo.
Trasferimenti internazionali
OpenAI tratta le chiamate API negli USA. Ci appoggiamo al Data Privacy Framework UE-USA per il trasferimento. Brevo e Open-Meteo trattano in UE. Mapbox usa server US; i trasferimenti sono server-a-server (il tuo IP non c'entra). Strava e US; idem - server-a-server, non il tuo IP.
Modifiche a questa pagina
Quando cambia qualcosa di sostanziale, aggiorniamo la data in cima e (se sei iscritto) lo segnaliamo in una mail. Lo storico completo e in git: github.com/elixermedia/nobsrun.