Vai al contenuto principaleVai al contenuto principale
Vuoi diventare Ambassador?CLICCA QUI

Informativa sulla Privacy

Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: 20 giugno 2026

Premessa

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che consultano il sito 123formazione.com, si registrano alla piattaforma e acquistano servizi di formazione professionale. L’informativa è resa ai soli utenti del sito e non vale per altri siti web eventualmente raggiungibili tramite link.

1. Titolare del Trattamento

Titolare del trattamento è CDS SERVICE SIC-LAV S.R.L. (di seguito anche "Titolare" o "123Formazione"), con sede legale in Via Santo Stefano 6/B — 00061 Anguillara Sabazia (RM), P. IVA IT10515661006, iscritta al Registro Imprese di Roma — R.E.A. RM-1236844.

Telefono
06 9968439
Sede
Via Santo Stefano 6/B — 00061 Anguillara Sabazia (RM)

2. Responsabile della Protezione dei Dati (DPO)

Il Titolare non ha nominato un Responsabile della Protezione dei Dati in quanto non ricorrono i presupposti di cui all’art. 37 del GDPR. Per ogni questione relativa al trattamento dei dati personali è possibile contattare direttamente il Titolare ai recapiti indicati al punto 1.

3. Categorie di Dati Trattati

Il Titolare tratta le seguenti categorie di dati personali, forniti dall’interessato o raccolti automaticamente durante la navigazione:

  • Dati anagrafici e di contatto: nome, cognome, data e luogo di nascita, indirizzo email, numero di telefono, indirizzo postale.
  • Dati fiscali: codice fiscale, partita IVA, ragione sociale, codice destinatario SDI/PEC, indirizzo di fatturazione.
  • Dati relativi alla formazione: ruolo aziendale, mansione, settore ATECO, corsi acquistati, ore di frequenza, esiti delle verifiche di apprendimento, attestati rilasciati.
  • Dati di account: credenziali di accesso (password conservata in forma cifrata), preferenze utente, log di accesso.
  • Dati di pagamento: gestiti direttamente dal fornitore Stripe; il Titolare riceve solo conferma dell’esito della transazione e ultime quattro cifre della carta a fini antifrode.
  • Dati di navigazione: indirizzo IP, user agent, pagine visitate, data e ora di accesso, referrer, identificativi di sessione.

Il Titolare non tratta categorie particolari di dati personali ex art. 9 GDPR né dati relativi a condanne penali ex art. 10 GDPR.

4. Finalità e Basi Giuridiche del Trattamento

FinalitàBase giuridicaConferimento
Registrazione utente e gestione dell’account in piattaformaEsecuzione di un contratto o di misure precontrattuali (art. 6.1.b GDPR)Obbligatorio
Acquisto e fruizione dei corsi, tracciamento ore e quizEsecuzione del contratto (art. 6.1.b GDPR)Obbligatorio
Rilascio dell’attestato di formazione e conservazione del registro presenzeObbligo di legge (art. 6.1.c GDPR) — D.Lgs. 81/2008 e Accordi Stato-RegioniObbligatorio
Emissione di fatture elettroniche e adempimenti contabili e fiscaliObbligo di legge (art. 6.1.c GDPR) — D.P.R. 633/1972, D.Lgs. 127/2015Obbligatorio
Gestione di richieste di assistenza, reclami e comunicazioni di servizioEsecuzione del contratto (art. 6.1.b GDPR)Obbligatorio
Invio di newsletter e comunicazioni commerciali su corsi e promozioniConsenso dell’interessato (art. 6.1.a GDPR)Facoltativo
Soft spam: comunicazioni su servizi analoghi a quelli acquistatiLegittimo interesse (art. 6.1.f GDPR — art. 130 c. 4 Codice Privacy)Facoltativo, con possibilità di opposizione
Cookie analitici e statistiche aggregateConsenso (art. 6.1.a GDPR) salvo cookie analitici assimilabili ai tecniciFacoltativo
Difesa in giudizio e prevenzione di frodiLegittimo interesse (art. 6.1.f GDPR)Obbligatorio

Il mancato conferimento dei dati indicati come obbligatori impedisce la conclusione del contratto e la corretta erogazione dei servizi formativi.

5. Periodo di Conservazione

I dati sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti e, in ogni caso, nel rispetto dei termini di legge:

  • Dati di account: per tutta la durata del rapporto e fino a 24 mesi dalla cancellazione dell’account, salvo diversi obblighi di legge.
  • Dati contabili e fiscali: 10 anni dalla data di emissione del documento (art. 2220 c.c. e art. 22 D.P.R. 600/1973).
  • Attestati di formazione e registri presenze: almeno 5 anni dalla data di rilascio, in coerenza con la durata di validità degli attestati e con le verifiche ispettive degli organi di vigilanza.
  • Log di accesso e dati di navigazione: 12 mesi, salvo specifiche esigenze investigative.
  • Dati per finalità di marketing: fino alla revoca del consenso e, comunque, non oltre 24 mesi dall’ultimo contatto utile.
  • Dati per difesa in giudizio: per il tempo necessario all’accertamento e all’esercizio del diritto, fino al passaggio in giudicato della sentenza.

6. Destinatari dei Dati e Responsabili del Trattamento

I dati personali possono essere comunicati alle seguenti categorie di soggetti, nominati Responsabili del trattamento ex art. 28 GDPR ove ricorrano i presupposti:

DestinatarioServizioSede
Supabase Inc.Database, autenticazione, archiviazione contenuti formativiUSA (server UE quando disponibili)
Vercel Inc.Hosting della piattaforma e CDNUSA / UE
Stripe Payments Europe Ltd.Elaborazione pagamenti (PCI DSS Level 1)Irlanda / USA
Google Ireland Ltd.Google Analytics 4 con IP anonimizzato (solo previo consenso)Irlanda / USA
Consulenti fiscali, commercialisti, revisoriAdempimenti contabili e fiscaliItalia / UE
Docenti e tutor incaricatiErogazione dei corsi e tutoraggioItalia / UE
Autorità giudiziarie, di vigilanza e pubblicheAdempimenti di legge e verifiche ispettiveItalia / UE

I dati non sono oggetto di diffusione né di cessione a terzi per finalità commerciali proprie di questi ultimi.

7. Trasferimento dei Dati Extra-UE

Alcuni dei fornitori sopra indicati (in particolare Supabase, Stripe, Vercel e Google) possono trattare dati in Paesi extra-UE, principalmente Stati Uniti d’America. Il trasferimento è garantito da una delle basi previste dal Capo V del GDPR, ovvero:

  1. Decisioni di adeguatezza adottate dalla Commissione Europea (in particolare, EU-U.S. Data Privacy Framework per i fornitori certificati).
  2. Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea ai sensi dell’art. 46.2 lett. c) GDPR.
  3. Misure supplementari tecniche e organizzative (cifratura in transito e a riposo, pseudonimizzazione ove applicabile).

È possibile richiedere copia delle garanzie adottate scrivendo al Titolare.

8. Diritti dell’Interessato

Ai sensi degli artt. 15–22 GDPR, l’interessato ha diritto di:

  • Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
  • Rettifica (art. 16): correggere dati inesatti o integrare dati incompleti.
  • Cancellazione (art. 17): ottenere la cancellazione dei dati nei casi previsti (cd. diritto all’oblio).
  • Limitazione (art. 18): chiedere la limitazione del trattamento.
  • Portabilità (art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
  • Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse, incluso il marketing diretto.
  • Revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento svolto in precedenza.
  • Non essere sottoposto a decisioni automatizzate (art. 22), incluso il profiling, salvo specifiche eccezioni; il Titolare non utilizza processi decisionali automatizzati di tale natura.

Le richieste vanno inoltrate a info@cdsservice.it o via PEC a cdsservicesiclavsrl@pec.it. Il Titolare fornisce riscontro senza ingiustificato ritardo e, comunque, entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in caso di complessità ex art. 12.3 GDPR).

9. Reclamo all’Autorità di Controllo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, Piazza Venezia 11 — 00187 Roma, tel. (+39) 06 696771, PEC protocollo@pec.gpdp.it www.garanteprivacy.it.

10. Sicurezza del Trattamento

Il Titolare adotta misure tecniche e organizzative adeguate al rischio, ai sensi dell’art. 32 GDPR, tra cui: cifratura TLS dei dati in transito, cifratura a riposo, controllo accessi basato su ruoli, backup periodici, logging degli accessi privilegiati, formazione periodica del personale autorizzato.

Per informazioni di dettaglio su cookie e tecnologie di tracciamento utilizzati dal sito si rimanda alla Cookie Policy.

12. Modifiche alla presente Informativa

Il Titolare si riserva il diritto di aggiornare la presente informativa per riflettere modifiche normative, organizzative o tecniche. Le versioni successive saranno pubblicate su questa pagina con indicazione della data di aggiornamento; in caso di modifiche sostanziali, gli utenti registrati saranno informati via email.