Informativa sulla Privacy

1.1 Dati Forniti Direttamente dall'Utente

Durante la registrazione e l'utilizzo della piattaforma, raccogliamo:

• Dati di identificazione: Nome, indirizzo email (obbligatori per la registrazione)
• Credenziali di accesso: Password (criptata con hash bcrypt, mai memorizzata in chiaro)
• Profilo utente: Avatar, biografia, timezone (opzionali, configurabili nel profilo)
• Accettazione termini: Data e ora di accettazione dei Termini e Condizioni
• Dati OAuth: Se utilizzi il login con Google, raccogliamo nome, email e immagine profilo dal tuo account Google

1.2 Dati di Utilizzo e Interazione

Raccogliamo automaticamente dati relativi all'utilizzo della piattaforma:

• Iscrizioni ai corsi: Corsi a cui sei iscritto, data di iscrizione, tipo di iscrizione (gratuita/a pagamento)
• Progresso formativo: Percentuale di completamento dei corsi, lezioni visualizzate, data di completamento
• Prenotazioni servizi: Servizi prenotati, date e orari programmati, note aggiuntive, stato della prenotazione
• Recensioni: Valutazioni e commenti lasciati sui corsi (pubblici o anonimi a tua scelta)
• Pagamenti: Storico transazioni, importi, metodi di pagamento utilizzati, stato dei pagamenti
• Log di attività: Azioni eseguite sulla piattaforma (accesso, visualizzazione contenuti, modifiche profilo)

1.3 Dati Tecnici e di Connessione

Raccogliamo automaticamente dati tecnici per garantire il funzionamento e la sicurezza:

• Indirizzo IP: Utilizzato per sicurezza, prevenzione frodi e rate limiting
• Informazioni dispositivo: Tipo di browser, sistema operativo, risoluzione schermo (per ottimizzazione UX)
• Cookie e tecnologie simili: Cookie di sessione, token di autenticazione (vedi sezione Cookie)
• Timestamp: Data e ora di accesso, ultima attività, creazione e aggiornamento account

1.4 Dati di Pagamento

IMPORTANTE: Non memorizziamo dati completi delle carte di credito. I pagamenti sono processati esclusivamente tramite provider certificati (Stripe e PayPal) che rispettano gli standard PCI-DSS. Memorizziamo solo:

• ID transazione fornito dal provider di pagamento
• Importo, valuta, metodo di pagamento utilizzato
• Stato del pagamento (completato, fallito, rimborsato)
• Data e ora della transazione

Trattiamo i tuoi dati personali in base alle seguenti basi giuridiche previste dal GDPR:

2.1 Esecuzione di un Contratto (Art. 6.1.b GDPR)

Per fornirti i servizi richiesti:

• Gestione account e autenticazione
• Accesso ai corsi acquistati o gratuiti
• Erogazione di servizi prenotati
• Processamento pagamenti e gestione ordini
• Tracciamento progresso formativo
• Gestione prenotazioni e appuntamenti

2.2 Consenso (Art. 6.1.a GDPR)

Con il tuo consenso esplicito:

• Invio comunicazioni promozionali e newsletter (se sottoscritte)
• Utilizzo cookie analitici non essenziali
• Condivisione dati con terze parti per marketing (solo se esplicitamente accettato)

2.3 Legittimo Interesse (Art. 6.1.f GDPR)

Per migliorare e proteggere i nostri servizi:

• Prevenzione frodi e abusi (rate limiting, controllo accessi)
• Analisi statistiche anonime per migliorare la piattaforma
• Sicurezza informatica e prevenzione attacchi
• Gestione reclami e supporto tecnico
• Comunicazione di aggiornamenti importanti sui servizi

2.4 Adempimento Obblighi Legali (Art. 6.1.c GDPR)

Per rispettare obblighi normativi:

• Conservazione documenti fiscali e contabili (10 anni per fatture)
• Risposta a richieste di autorità competenti
• Adempimento obblighi di trasparenza e comunicazione

Conserviamo i tuoi dati personali per periodi diversi in base alla finalità e agli obblighi legali:

• Dati account: Per tutta la durata del tuo account. Dopo la cancellazione, conserviamo dati essenziali per 30 giorni (periodo di recupero), poi eliminazione definitiva salvo obblighi legali
• Dati di pagamento e fatturazione: 10 anni dalla data di emissione (obbligo fiscale italiano)
• Log di sicurezza e attività: 12 mesi per prevenzione frodi e sicurezza
• Dati di utilizzo e progresso corsi: Per tutta la durata dell'account, eliminati con la cancellazione
• Recensioni pubbliche: Conservate anche dopo cancellazione account se pubblicate (possono essere rimosse su richiesta)
• Cookie: Durata variabile (vedi sezione Cookie)

Al termine del periodo di conservazione, i dati vengono eliminati in modo sicuro e irreversibile, salvo obblighi di legge che richiedano conservazione più lunga.

Non vendiamo mai i tuoi dati personali. Condividiamo i dati solo con terze parti strettamente necessarie per fornire i servizi, sempre nel rispetto del GDPR:

4.1 Provider di Pagamento

• Stripe: Processamento pagamenti con carte di credito/debito. Dati condivisi: email, importo, ID transazione. Privacy Policy: stripe.com/privacy
• PayPal: Processamento pagamenti PayPal. Dati condivisi: email, importo, ID ordine. Privacy Policy: paypal.com/privacy

4.2 Servizi di Autenticazione

• Google OAuth: Se utilizzi il login con Google, condividiamo con Google solo i dati necessari per l'autenticazione. Privacy Policy: policies.google.com/privacy

4.3 Servizi di Hosting e Infrastruttura

• Vercel: Hosting della piattaforma. Dati: tutti i dati necessari per il funzionamento. Privacy Policy: vercel.com/legal/privacy-policy
• MongoDB Atlas: Database cloud. Dati: tutti i dati dell'applicazione. Privacy Policy: mongodb.com/legal/privacy-policy

4.4 Servizi di Integrazione

• Google Calendar API: Per creare eventi calendario per prenotazioni servizi. Dati condivisi: nome, email, data/ora appuntamento, note (solo se autorizzi l'integrazione). Privacy Policy: policies.google.com/privacy
• Resend: Invio email transazionali (attivazione account, reset password, conferme). Dati condivisi: email, nome. Privacy Policy: resend.com/legal/privacy-policy

4.5 Autorità Competenti

Possiamo condividere dati se richiesto da legge, ordine giudiziario o autorità competenti, o per proteggere i nostri diritti legali e prevenire attività fraudolente.

4.6 Trasferimenti Internazionali

Alcuni servizi terzi possono trasferire dati fuori dall'UE. In questi casi, ci assicuriamo che siano in vigore garanzie adeguate (Standard Contractual Clauses, Privacy Shield, ecc.) come previsto dal GDPR.

Utilizziamo cookie e tecnologie simili per garantire il funzionamento della piattaforma e migliorare l'esperienza utente:

5.1 Cookie Tecnici (Necessari)

Questi cookie sono essenziali e non possono essere disabilitati:

• next-auth.session-token / __Secure-next-auth.session-token: Cookie di sessione per autenticazione NextAuth. Mantiene la sessione di login attiva. Durata: 30 giorni. Categoria: Necessario.
• next-auth.csrf-token: Token CSRF per protezione contro attacchi Cross-Site Request Forgery. Durata: Sessione (eliminato alla chiusura del browser). Categoria: Necessario.

5.2 Cookie di Preferenze

Questi cookie memorizzano le tue preferenze per migliorare l'esperienza utente. Possono essere gestiti tramite il banner di consenso:

• theme: Memorizza la preferenza del tema scuro/chiaro (dark/light mode). Durata: Persistente (fino a quando non viene eliminato manualmente). Categoria: Preferenze.

5.2.1 Cookie Analitici

Attualmente non utilizziamo cookie analitici. In futuro, con il tuo consenso, potremmo utilizzare cookie per analizzare l'utilizzo della piattaforma e migliorare i nostri servizi.

5.2.2 Cookie di Marketing

Attualmente non utilizziamo cookie di marketing. In futuro, con il tuo consenso, potremmo utilizzare cookie per campagne pubblicitarie personalizzate.

5.3 Service Worker e Cache

La piattaforma utilizza un Service Worker per funzionalità PWA (Progressive Web App). Il Service Worker può memorizzare in cache contenuti per accesso offline, ma non raccoglie dati personali aggiuntivi.

5.4 Gestione Cookie e Consensi

La piattaforma utilizza un sistema di gestione consensi GDPR conforme alle normative europee:

• Banner di consenso: All' prima visita, viene mostrato un banner che ti permette di accettare, rifiutare o personalizzare i cookie non necessari.
• Gestione consensi nel profilo: Gli utenti registrati possono gestire i propri consensi in qualsiasi momento dalla sezione "Privacy & Consensi" del proprio profilo.
• Revoca consensi: Puoi revocare i tuoi consensi in qualsiasi momento, ad eccezione dei cookie necessari che sono essenziali per il funzionamento della piattaforma.
• Tracciamento consensi: Tutti i consensi rilasciati vengono tracciati e registrati con timestamp, IP address e versione della privacy policy accettata, in conformità alle richieste GDPR.

Puoi anche gestire i cookie tramite le impostazioni del tuo browser. Tuttavia, disabilitare i cookie tecnici può compromettere il funzionamento della piattaforma. Per informazioni su come gestire i cookie nel tuo browser, consulta la guida del browser utilizzato.

Implementiamo misure di sicurezza tecniche e organizzative per proteggere i tuoi dati:

• Crittografia: Password hashate con bcrypt, connessioni HTTPS/TLS per tutte le comunicazioni
• Autenticazione: Token JWT sicuri, sessioni con scadenza automatica
• Rate Limiting: Protezione da attacchi brute-force e abusi
• Validazione Input: Sanitizzazione e validazione di tutti i dati in ingresso per prevenire injection
• Content Security Policy: Headers di sicurezza per prevenire XSS e altri attacchi
• Backup e Disaster Recovery: Backup regolari del database con crittografia
• Accesso Limitato: Solo personale autorizzato può accedere ai dati, con log di audit
• Aggiornamenti di Sicurezza: Mantenimento aggiornato di dipendenze e software

Nonostante le misure implementate, nessun sistema è completamente sicuro. Ti invitiamo a utilizzare password forti e uniche, e a non condividere le tue credenziali.

In conformità al GDPR, hai i seguenti diritti riguardo ai tuoi dati personali:

7.1 Diritto di Accesso (Art. 15 GDPR)

Puoi richiedere una copia di tutti i dati personali che conserviamo su di te, inclusi: dati account, iscrizioni, pagamenti, prenotazioni, recensioni, log di attività.

7.2 Diritto di Rettifica (Art. 16 GDPR)

Puoi correggere o aggiornare i tuoi dati personali in qualsiasi momento dalla sezione "Profilo" della piattaforma, o richiedendo la modifica tramite supporto.

7.3 Diritto alla Cancellazione (Art. 17 GDPR - "Diritto all'Oblio")

Puoi richiedere la cancellazione del tuo account e di tutti i dati associati, salvo:

• Dati che dobbiamo conservare per obblighi legali (fatture: 10 anni)
• Dati necessari per risolvere controversie in corso
• Recensioni pubbliche (possono essere rimosse su richiesta specifica)

7.4 Diritto alla Limitazione del Trattamento (Art. 18 GDPR)

Puoi richiedere la limitazione del trattamento dei tuoi dati in determinate circostanze (ad esempio, durante la risoluzione di una controversia).

7.5 Diritto alla Portabilità dei Dati (Art. 20 GDPR)

Puoi richiedere di ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, per trasferirli a un altro fornitore di servizi.

7.6 Diritto di Opposizione (Art. 21 GDPR)

Puoi opporti al trattamento dei tuoi dati per finalità di marketing diretto o per motivi legati alla tua situazione particolare (salvo che abbiamo motivi legittimi prevalenti).

7.7 Diritto di Revoca del Consenso

Se il trattamento si basa sul consenso, puoi revocarlo in qualsiasi momento. La revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca.

7.8 Come Esercitare i Tuoi Diritti

Per esercitare i tuoi diritti, contatta il supporto tramite email indicando:

• Il diritto che desideri esercitare
• Email associata all'account
• Eventuale documentazione di identità (per sicurezza)

Risponderemo alla tua richiesta entro 30 giorni (o 60 giorni in casi complessi, con preavviso).

7.9 Diritto di Reclamo

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di presentare un reclamo all'autorità di controllo competente:

Garante per la Protezione dei Dati Personali
Piazza di Monte Citorio, 121 - 00186 Roma
Tel: +39 06 696771
Email: garante@gpdp.it
Web: www.garanteprivacy.it