Informativa sulla Privacy

1. Identità e Dati di Contatto del Titolare del Trattamento

2. Responsabile della Protezione dei Dati (DPO)

Per questioni relative alla protezione dei dati personali, è possibile contattare il nostro Responsabile della Protezione dei Dati (Data Protection Officer) all'indirizzo:

Email DPO: [email protected]

3. Tipologie di Dati Raccolti

Xayawuke raccoglie e tratta le seguenti categorie di dati personali:

3.1 Dati Identificativi

• Nome e cognome
• Data e luogo di nascita
• Codice fiscale (se richiesto per certificazioni)
• Documento d'identità (per verifiche specifiche)

3.2 Dati di Contatto

• Indirizzo email
• Numero di telefono
• Indirizzo postale (se fornito)

3.3 Dati di Pagamento

• Informazioni sulla carta di credito/debito (gestite tramite gateway di pagamento certificati PCI-DSS)
• Dati di fatturazione
• Storico transazioni

3.4 Dati di Navigazione

• Indirizzo IP
• Tipo di browser e dispositivo
• Sistema operativo
• Pagine visitate e tempo di permanenza
• Sorgente di traffico (come sei arrivato al sito)
• Cookie e tecnologie simili

3.5 Dati Relativi all'Utilizzo dei Servizi

• Corsi frequentati e progressi nell'apprendimento
• Materiali didattici scaricati
• Interazioni con docenti e altri studenti
• Risultati di test, quiz e valutazioni
• Certificazioni ottenute
• Feedback e recensioni

3.6 Dati Professionali (Facoltativi)

• Curriculum vitae e informazioni professionali
• Esperienza lavorativa
• Competenze e certificazioni precedenti
• Profili LinkedIn o altri profili professionali

4. Finalità del Trattamento e Base Giuridica

4.1 Erogazione dei Servizi (Base Giuridica: Esecuzione del Contratto - Art. 6.1.b GDPR)

• Registrazione e gestione dell'account utente
• Erogazione dei corsi di formazione acquistati
• Accesso ai materiali didattici e risorse formative
• Rilascio di certificati, attestati e diplomi
• Supporto tecnico e assistenza clienti
• Gestione di pagamenti, fatturazione e rimborsi

4.2 Obblighi Legali (Base Giuridica: Obbligo Legale - Art. 6.1.c GDPR)

• Conservazione delle fatture e documenti fiscali
• Adempimenti contabili, fiscali e tributari
• Risposta a richieste delle autorità competenti
• Antiriciclaggio e prevenzione frodi

4.3 Marketing e Comunicazioni (Base Giuridica: Consenso - Art. 6.1.a GDPR)

• Invio di newsletter e comunicazioni promozionali
• Informazioni su nuovi corsi, webinar e offerte speciali
• Inviti a eventi formativi, conferenze e workshop
• Sondaggi di soddisfazione e ricerche di mercato

4.4 Miglioramento dei Servizi (Base Giuridica: Legittimo Interesse - Art. 6.1.f GDPR)

• Analisi statistiche aggregate sull'utilizzo della piattaforma
• Ottimizzazione dell'esperienza utente e della user interface
• Sviluppo di nuovi contenuti formativi e funzionalità
• Prevenzione di frodi, abusi e utilizzi impropri
• Sicurezza informatica e protezione dei sistemi

4.5 Profilazione e Personalizzazione (Base Giuridica: Consenso - Art. 6.1.a GDPR)

• Raccomandazione di corsi basati sui tuoi interessi e progressi
• Personalizzazione dei contenuti formativi
• Pubblicità mirata e targeting comportamentale

5. Modalità di Trattamento

I dati personali sono trattati mediante strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

Il trattamento avviene attraverso:

• Piattaforme cloud sicure e certificate - Infrastrutture conformi agli standard internazionali
• Database protetti con crittografia - Cifratura dei dati sensibili at-rest
• Sistemi di backup regolari - Backup automatici giornalieri con conservazione geograficamente distribuita
• Protocolli HTTPS/TLS - Tutte le comunicazioni sono cifrate end-to-end
• Firewall e sistemi di sicurezza avanzati - Protezione perimetrale multicapa
• Controlli di accesso rigorosi - Autenticazione multi-fattore e principio del minimo privilegio

6. Destinatari e Categorie di Destinatari dei Dati

I tuoi dati personali possono essere comunicati alle seguenti categorie di destinatari:

6.1 Personale Interno

Personale autorizzato di Xayawuke (amministratori di sistema, docenti, tutor, supporto tecnico, staff amministrativo) nel rigoroso rispetto del principio di "need to know" (necessità di conoscere).

6.2 Fornitori di Servizi (Responsabili del Trattamento ex Art. 28 GDPR)

I dati possono essere trattati dai seguenti fornitori di servizi terzi, con i quali abbiamo stipulato accordi di responsabilità del trattamento ai sensi dell'Art. 28 GDPR:

• Hosting e Cloud Services: Amazon Web Services (AWS), Google Cloud Platform, Microsoft Azure
• Payment Gateway: Stripe, PayPal, processori di pagamento certificati PCI-DSS
• Email Marketing: Mailchimp, SendGrid
• Analytics: Google Analytics (con anonimizzazione IP), Hotjar
• CRM e Customer Support: Zendesk, Intercom
• Video Hosting: Vimeo, Wistia, YouTube (per contenuti didattici)
• CDN e Performance Optimization: Cloudflare

Tutti i fornitori sono selezionati in base a rigorosi criteri di sicurezza e conformità GDPR.

6.3 Partner Commerciali (previo consenso)

• Aziende partner per opportunità lavorative e placement
• Enti certificatori per il rilascio di certificazioni riconosciute
• Sponsor di eventi formativi

6.4 Autorità e Enti Pubblici

Autorità giudiziarie, forze di polizia, autorità fiscali e altri enti pubblici quando richiesto dalla legge o da ordini delle autorità competenti.

7. Trasferimento dei Dati all'Estero

Alcuni dei nostri fornitori di servizi potrebbero essere localizzati al di fuori dell'Unione Europea (in particolare negli Stati Uniti d'America). In tali casi, Xayawuke garantisce che il trasferimento dei dati avvenga nel pieno rispetto del GDPR attraverso uno dei seguenti meccanismi:

• Clausole Contrattuali Standard (SCC) - Clausole contrattuali tipo approvate dalla Commissione Europea (Decisione 2021/914)
• Decisioni di Adeguatezza - Trasferimenti verso paesi riconosciuti dalla Commissione Europea come dotati di un livello di protezione adeguato
• Binding Corporate Rules (BCR) - Norme vincolanti d'impresa per gruppi multinazionali
• Garanzie Adeguate - Altre garanzie appropriate previste dall'Art. 46 GDPR

Puoi richiedere copia dei meccanismi di salvaguardia adottati contattando il DPO.

8. Periodo di Conservazione dei Dati

8.1 Dati Contrattuali e di Fatturazione

Durata: Per tutta la durata del rapporto contrattuale e per i 10 anni successivi alla cessazione (obbligo di conservazione fiscale ex Art. 2220 Codice Civile e D.P.R. 600/1973).

8.2 Dati di Navigazione e Log

Durata: I log di sistema sono conservati per un massimo di 7 giorni. I dati di analytics aggregati e anonimizzati possono essere conservati indefinitamente per finalità statistiche.

8.3 Dati di Marketing

Durata: Fino alla revoca del consenso o per un massimo di 24 mesi dall'ultima interazione significativa (apertura email, click, accesso alla piattaforma). Dopo tale periodo, richiederemo un rinnovo esplicito del consenso.

8.4 Certificazioni e Attestati

Durata: Conservati indefinitamente per consentire verifiche future della loro autenticità e validità, anche dopo la cessazione del rapporto contrattuale.

8.5 Dati di Profilazione

Durata: Fino alla revoca del consenso. I dati sono periodicamente rivisti e aggiornati per garantirne l'accuratezza.

9. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, in qualità di interessato hai i seguenti diritti:

• Diritto di Accesso (Art. 15 GDPR): Puoi ottenere conferma dell'esistenza di tuoi dati personali e ricevere una copia degli stessi, insieme a informazioni sul trattamento.
• Diritto di Rettifica (Art. 16 GDPR): Puoi chiedere la correzione immediata di dati personali inesatti e l'integrazione di dati incompleti.
• Diritto alla Cancellazione - "Diritto all'Oblio" (Art. 17 GDPR): Puoi richiedere la cancellazione dei tuoi dati personali quando:
  • I dati non sono più necessari per le finalità per cui sono stati raccolti
  • Revochi il consenso su cui si basa il trattamento
  • Ti opponi al trattamento e non sussistono motivi legittimi prevalenti
  • I dati sono stati trattati illecitamente
  • La cancellazione è necessaria per adempiere un obbligo legale
• Diritto di Limitazione del Trattamento (Art. 18 GDPR): Puoi richiedere la limitazione (freezing) del trattamento quando:
  • Contesti l'esattezza dei dati (per il periodo necessario alla verifica)
  • Il trattamento è illecito ma non vuoi la cancellazione dei dati
  • I dati ti servono per far valere un diritto in sede giudiziaria
  • Ti sei opposto al trattamento in attesa della verifica dei motivi legittimi
• Diritto alla Portabilità dei Dati (Art. 20 GDPR): Puoi ricevere i dati che ti riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico (es. CSV, JSON, XML), e trasmetterli ad altro titolare del trattamento.
• Diritto di Opposizione (Art. 21 GDPR): Puoi opporti in qualsiasi momento al trattamento dei dati personali basato su legittimo interesse o per finalità di marketing diretto (compresa la profilazione).
• Diritto di Revocare il Consenso: Quando il trattamento si basa sul consenso (Art. 6.1.a o 9.2.a GDPR), puoi revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
• Diritto di Proporre Reclamo (Art. 77 GDPR): Hai il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) se ritieni che il trattamento violi il GDPR.

10. Come Esercitare i Tuoi Diritti

Per esercitare uno qualsiasi dei tuoi diritti, puoi contattarci attraverso i seguenti canali:

Tempi di Risposta:

• Ti risponderemo entro 30 giorni dalla ricezione della richiesta
• In casi di particolare complessità, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione motivata
• La risposta sarà fornita gratuitamente
• In caso di richieste manifestamente infondate o eccessive, potremmo addebitare un contributo ragionevole o rifiutare di dar seguito alla richiesta

11. Sicurezza dei Dati

Xayawuke adotta misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali da:

• Accesso non autorizzato
• Divulgazione accidentale o illecita
• Perdita, distruzione o danneggiamento
• Trattamento non autorizzato

Misure Tecniche Implementate:

• Crittografia: Cifratura dei dati in transito (SSL/TLS 1.3) e a riposo (AES-256)
• Autenticazione Forte: Multi-Factor Authentication (MFA) per gli account utente e dello staff
• Controlli di Accesso: Sistema RBAC (Role-Based Access Control) con principio del minimo privilegio
• Monitoring e Logging: Monitoraggio continuo delle attività sospette e sistemi di allerta in tempo reale
• Backup e Disaster Recovery: Backup crittografati giornalieri con conservazione geograficamente distribuita e piani di ripristino testati
• Penetration Testing: Test di sicurezza periodici condotti da società specializzate
• Patch Management: Aggiornamenti di sicurezza tempestivi di tutti i sistemi

Misure Organizzative:

• Formazione periodica del personale sulla protezione dei dati e sicurezza informatica
• Accordi di riservatezza con tutti i collaboratori
• Policy interne di sicurezza e privacy
• Audit interni regolari
• Valutazioni di impatto privacy (DPIA) per trattamenti ad alto rischio

12. Data Breach - Violazione dei Dati Personali

In conformità agli articoli 33 e 34 del GDPR:

Notifica all'Autorità:

In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà delle persone fisiche, Xayawuke notificherà la violazione all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta.

Comunicazione agli Interessati:

Se la violazione comporta un rischio elevato per i tuoi diritti e libertà, ti informeremo senza ingiustificato ritardo attraverso:

• Email personale
• Notifica nell'area utente della piattaforma
• In casi eccezionali, comunicazione pubblica sul sito web

La comunicazione includerà:

• Natura della violazione e dati coinvolti
• Possibili conseguenze
• Misure adottate o previste per porvi rimedio
• Misure che puoi adottare per proteggere i tuoi interessi

13. Cookie e Tecnologie Simili

Il sito web di Xayawuke utilizza cookie e tecnologie simili per migliorare l'esperienza di navigazione e fornire servizi personalizzati.

Tipologie di Cookie Utilizzati:

• Cookie Tecnici (Necessari): Essenziali per il funzionamento del sito, non richiedono consenso
• Cookie Analitici: Per analizzare l'utilizzo del sito (es. Google Analytics)
• Cookie di Profilazione: Per pubblicità personalizzata (richiedono consenso esplicito)
• Cookie di Terze Parti: Impostati da servizi esterni (social media, video embedding)

Per informazioni dettagliate sull'utilizzo dei cookie e su come gestire le tue preferenze, consulta la nostra Cookie Policy.

14. Minori di Età

I servizi di Xayawuke sono destinati primariamente a persone maggiorenni (18 anni o più).

Minori tra 16 e 18 anni:

I minori di età compresa tra 16 e 18 anni possono utilizzare i servizi, ma raccomandiamo la supervisione di un genitore o tutore.

Minori sotto i 16 anni:

Conformemente all'Art. 8 GDPR, non raccogliamo consapevolmente dati personali di minori di 16 anni senza il consenso preventivo dei genitori o tutori legali.

Se veniamo a conoscenza di aver raccolto dati di un minore senza le necessarie autorizzazioni, procederemo immediatamente alla cancellazione di tali informazioni.

15. Modifiche alla Privacy Policy

Xayawuke si riserva il diritto di modificare, aggiornare o integrare la presente Informativa Privacy in qualsiasi momento per:

• Adeguamento a nuove normative
• Miglioramento dei servizi
• Introduzione di nuove funzionalità
• Modifiche organizzative

Comunicazione delle Modifiche:

• Modifiche Sostanziali: Saranno comunicate via email almeno 30 giorni prima dell'entrata in vigore
• Modifiche Minori: Saranno pubblicate sul sito web con aggiornamento della data di "Ultimo aggiornamento"

Ti invitiamo a consultare periodicamente questa pagina per rimanere aggiornato sulle nostre pratiche di privacy.

16. Normativa di Riferimento

La presente Informativa Privacy è redatta in conformità a:

• Regolamento UE 2016/679 (GDPR) - Regolamento generale sulla protezione dei dati
• D.Lgs. 196/2003 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018
• Provvedimenti del Garante Privacy - Linee guida e provvedimenti dell'Autorità italiana
• Direttiva ePrivacy 2002/58/CE - Privacy nelle comunicazioni elettroniche
• Linee Guida EDPB - European Data Protection Board