Informativa sulla privacy

per l'applicazione web interna « YT Stream » (https://fast.imh-group.us) — Valido da: giugno 2025

1. Titolare del trattamento

Il titolare del trattamento ai sensi del Regolamento generale sulla protezione dei dati (GDPR) è:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Authorized representative: Christian Aberle
Contatto generale: info@imh-group.us, Telefono: +1 (302) 212-0640

Richieste sulla privacy (accesso, cancellazione, rettifica, opposizione): info@imh-group.us

I dati aziendali sono disponibili anche nell' Note legali o Imprint – IMH Group Inc.

2. Finalità dell'applicazione

YT Stream è uno strumento di amministrazione interno di IMH Group, Inc. per la gestione di stream live YouTube (canali, playlist, programmazioni, media). L'accesso è riservato al personale e agli amministratori autorizzati. Non vengono utilizzati cookie di tracciamento visitatori, marketing o analitici.

3. Dati trattati

  • Account utente: Nome utente, hash password (bcrypt), ruolo (amministratore/personale), stato di attivazione, timestamp di creazione.
  • Cookie di sessione: tecnicamente necessario per accesso e autorizzazione (vedi sezione 4).
  • Configurazione canali e stream: Nomi canali, slug, programmazioni, voci playlist (percorsi/titoli file), impostazioni encoder.
  • Chiavi stream e token OAuth: memorizzati crittografati nel database (Fernet, derivato dal segreto dell'applicazione).
  • Registro di audit: Timestamp, nome utente connesso, azione (es. crea, modifica, avvia/ferma), ID canale opzionale e breve dettaglio (es. nome canale) — nessuna password o chiave stream in chiaro.
  • Sicurezza / rate limiting: Indirizzo IP su tentativi di accesso falliti, temporaneamente in memoria (max 15 minuti, non memorizzato permanentemente).
  • Log operativi e di errore: log tecnici sul server (Plesk EU), contenuto in base alla configurazione del server.

I ruoli del personale non possono visualizzare le chiavi stream in chiaro; gli amministratori possono gestire le chiavi. L'interfaccia evita deliberatamente di mostrare dati personali non necessari nei messaggi.

4. Cookie

Viene impostato solo un cookie di sessione (tipicamente denominato session). Questo cookie è strettamente necessario per l'accesso e non richiede consenso ai sensi dell'articolo 25 TTDSG congiuntamente al considerando 28 del GDPR.

  • HttpOnly: sì — nessun accesso via JavaScript nel browser.
  • SameSite: Lax (Starlette SessionMiddleware).
  • Secure: in produzione con HTTPS o quando PUBLIC_BASE_URL usa https:// o sono abilitate le intestazioni proxy attendibili.

La pagina di accesso indica che l'accesso imposta questo cookie. Non c'è banner cookie per marketing o analitica perché non ne vengono utilizzati.

5. Basi giuridiche (Art. 6 GDPR)

  • Art. 6(1)(b): Trattamento per eseguire il rapporto di utilizzo o fornire il servizio interno agli utenti autorizzati.
  • Art. 6(1)(f): interesse legittimo alla sicurezza informatica, tracciabilità delle modifiche (registro di audit), prevenzione degli abusi (rate limit di accesso).

6. Conservazione

  • Account utente: fino alla disattivazione o cancellazione da parte di un amministratore o su richiesta scritta a info@imh-group.us.
  • Sessione: fino alla disconnessione o fine della sessione del browser.
  • Registro di audit: fino alla pulizia manuale o cancellazione del database; tipicamente conservato per un periodo più lungo per tracciabilità operativa. Le voci relative a un utente possono essere trattate su richiesta.
  • Rate limit di accesso (IP): massimo 15 minuti in memoria, poi cancellazione automatica.
  • Log del server: secondo la policy di conservazione del provider di hosting (Plesk EU).

7. Destinatari e terze parti

I dati non vengono condivisi con servizi pubblicitari o analitici. YT Stream non include tracciamento integrato (es. Google Analytics).

Quando si usano funzionalità opzionali, i dati possono essere trasmessi a:

  • YouTube / Google: in caso di utilizzo di OAuth o API, conforme alle policy privacy di Google.
  • Jellyfin: solo se configurato (query metadati).
  • Hosting (Plesk EU): gestione del server nell'ambito di un accordo di trattamento dati con il provider.

Risorse CDN esterne (Tailwind, htmx) vengono caricate per l'interfaccia; gli indirizzi IP possono essere tecnicamente elaborati dal provider CDN. Si possono usare file statici locali.

8. Misure tecniche e organizzative

  • Le password sono hashate con bcrypt, non memorizzate in chiaro.
  • Chiavi stream e token OAuth refresh sono memorizzati con crittografia Fernet nel database.
  • HTTPS è previsto in produzione; i cookie di sessione ricevono il flag Secure quando configurato.
  • I dati dell'applicazione (DATA_DIR: database, log, cache) sono fuori dalla root web pubblica o protetti da regole del server.
  • Accesso solo dopo autenticazione; restrizioni basate sui ruoli per il personale.
  • Protezione CSRF per azioni basate su form.

9. I vostri diritti

Avete, tra gli altri, i seguenti diritti nei confronti del titolare del trattamento:

  • Accesso (Art. 15 GDPR)
  • Rettifica (Art. 16 GDPR)
  • Cancellazione (Art. 17 GDPR)
  • Limitazione del trattamento (Art. 18 GDPR)
  • Opposizione al trattamento basato su interessi legittimi (Art. 21 GDPR)
  • Portabilità dei dati, ove applicabile (Art. 20 GDPR)
  • Presentare reclamo a un'autorità di controllo (Art. 77 GDPR)

Cancellazione account del personale: Gli amministratori possono disattivare account nella gestione utenti o eliminare completamente gli account del personale. Per ulteriori richieste, contattare info@imh-group.us.

10. Nessun obbligo di fornire dati

L'utilizzo di YT Stream richiede un'autorizzazione interna. Senza fornire i dati necessari per l'accesso, l'utilizzo non è possibile.

Note legali