Premessa
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che consultano il sito 123formazione.com, si registrano alla piattaforma e acquistano servizi di formazione professionale. L’informativa è resa ai soli utenti del sito e non vale per altri siti web eventualmente raggiungibili tramite link.
1. Titolare del Trattamento
Titolare del trattamento è CDS SERVICE SIC-LAV S.R.L. (di seguito anche "Titolare" o "123Formazione"), con sede legale in Via Santo Stefano 6/B — 00061 Anguillara Sabazia (RM), P. IVA IT10515661006, iscritta al Registro Imprese di Roma — R.E.A. RM-1236844.
- info@cdsservice.it
- Telefono
- 06 9968439
- Sede
- Via Santo Stefano 6/B — 00061 Anguillara Sabazia (RM)
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare non ha nominato un Responsabile della Protezione dei Dati in quanto non ricorrono i presupposti di cui all’art. 37 del GDPR. Per ogni questione relativa al trattamento dei dati personali è possibile contattare direttamente il Titolare ai recapiti indicati al punto 1.
3. Categorie di Dati Trattati
Il Titolare tratta le seguenti categorie di dati personali, forniti dall’interessato o raccolti automaticamente durante la navigazione:
- Dati anagrafici e di contatto: nome, cognome, data e luogo di nascita, indirizzo email, numero di telefono, indirizzo postale.
- Dati fiscali: codice fiscale, partita IVA, ragione sociale, codice destinatario SDI/PEC, indirizzo di fatturazione.
- Dati relativi alla formazione: ruolo aziendale, mansione, settore ATECO, corsi acquistati, ore di frequenza, esiti delle verifiche di apprendimento, attestati rilasciati.
- Dati di account: credenziali di accesso (password conservata in forma cifrata), preferenze utente, log di accesso.
- Dati di pagamento: gestiti direttamente dal fornitore Stripe; il Titolare riceve solo conferma dell’esito della transazione e ultime quattro cifre della carta a fini antifrode.
- Dati di navigazione: indirizzo IP, user agent, pagine visitate, data e ora di accesso, referrer, identificativi di sessione.
Il Titolare non tratta categorie particolari di dati personali ex art. 9 GDPR né dati relativi a condanne penali ex art. 10 GDPR.
4. Finalità e Basi Giuridiche del Trattamento
| Finalità | Base giuridica | Conferimento |
|---|---|---|
| Registrazione utente e gestione dell’account in piattaforma | Esecuzione di un contratto o di misure precontrattuali (art. 6.1.b GDPR) | Obbligatorio |
| Acquisto e fruizione dei corsi, tracciamento ore e quiz | Esecuzione del contratto (art. 6.1.b GDPR) | Obbligatorio |
| Rilascio dell’attestato di formazione e conservazione del registro presenze | Obbligo di legge (art. 6.1.c GDPR) — D.Lgs. 81/2008 e Accordi Stato-Regioni | Obbligatorio |
| Emissione di fatture elettroniche e adempimenti contabili e fiscali | Obbligo di legge (art. 6.1.c GDPR) — D.P.R. 633/1972, D.Lgs. 127/2015 | Obbligatorio |
| Gestione di richieste di assistenza, reclami e comunicazioni di servizio | Esecuzione del contratto (art. 6.1.b GDPR) | Obbligatorio |
| Invio di newsletter e comunicazioni commerciali su corsi e promozioni | Consenso dell’interessato (art. 6.1.a GDPR) | Facoltativo |
| Soft spam: comunicazioni su servizi analoghi a quelli acquistati | Legittimo interesse (art. 6.1.f GDPR — art. 130 c. 4 Codice Privacy) | Facoltativo, con possibilità di opposizione |
| Cookie analitici e statistiche aggregate | Consenso (art. 6.1.a GDPR) salvo cookie analitici assimilabili ai tecnici | Facoltativo |
| Difesa in giudizio e prevenzione di frodi | Legittimo interesse (art. 6.1.f GDPR) | Obbligatorio |
Il mancato conferimento dei dati indicati come obbligatori impedisce la conclusione del contratto e la corretta erogazione dei servizi formativi.
5. Periodo di Conservazione
I dati sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti e, in ogni caso, nel rispetto dei termini di legge:
- Dati di account: per tutta la durata del rapporto e fino a 24 mesi dalla cancellazione dell’account, salvo diversi obblighi di legge.
- Dati contabili e fiscali: 10 anni dalla data di emissione del documento (art. 2220 c.c. e art. 22 D.P.R. 600/1973).
- Attestati di formazione e registri presenze: almeno 5 anni dalla data di rilascio, in coerenza con la durata di validità degli attestati e con le verifiche ispettive degli organi di vigilanza.
- Log di accesso e dati di navigazione: 12 mesi, salvo specifiche esigenze investigative.
- Dati per finalità di marketing: fino alla revoca del consenso e, comunque, non oltre 24 mesi dall’ultimo contatto utile.
- Dati per difesa in giudizio: per il tempo necessario all’accertamento e all’esercizio del diritto, fino al passaggio in giudicato della sentenza.
6. Destinatari dei Dati e Responsabili del Trattamento
I dati personali possono essere comunicati alle seguenti categorie di soggetti, nominati Responsabili del trattamento ex art. 28 GDPR ove ricorrano i presupposti:
| Destinatario | Servizio | Sede |
|---|---|---|
| Supabase Inc. | Database, autenticazione, archiviazione contenuti formativi | USA (server UE quando disponibili) |
| Vercel Inc. | Hosting della piattaforma e CDN | USA / UE |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti (PCI DSS Level 1) | Irlanda / USA |
| Google Ireland Ltd. | Google Analytics 4 con IP anonimizzato (solo previo consenso) | Irlanda / USA |
| Consulenti fiscali, commercialisti, revisori | Adempimenti contabili e fiscali | Italia / UE |
| Docenti e tutor incaricati | Erogazione dei corsi e tutoraggio | Italia / UE |
| Autorità giudiziarie, di vigilanza e pubbliche | Adempimenti di legge e verifiche ispettive | Italia / UE |
I dati non sono oggetto di diffusione né di cessione a terzi per finalità commerciali proprie di questi ultimi.
7. Trasferimento dei Dati Extra-UE
Alcuni dei fornitori sopra indicati (in particolare Supabase, Stripe, Vercel e Google) possono trattare dati in Paesi extra-UE, principalmente Stati Uniti d’America. Il trasferimento è garantito da una delle basi previste dal Capo V del GDPR, ovvero:
- Decisioni di adeguatezza adottate dalla Commissione Europea (in particolare, EU-U.S. Data Privacy Framework per i fornitori certificati).
- Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea ai sensi dell’art. 46.2 lett. c) GDPR.
- Misure supplementari tecniche e organizzative (cifratura in transito e a riposo, pseudonimizzazione ove applicabile).
È possibile richiedere copia delle garanzie adottate scrivendo al Titolare.
8. Diritti dell’Interessato
Ai sensi degli artt. 15–22 GDPR, l’interessato ha diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
- Rettifica (art. 16): correggere dati inesatti o integrare dati incompleti.
- Cancellazione (art. 17): ottenere la cancellazione dei dati nei casi previsti (cd. diritto all’oblio).
- Limitazione (art. 18): chiedere la limitazione del trattamento.
- Portabilità (art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse, incluso il marketing diretto.
- Revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento svolto in precedenza.
- Non essere sottoposto a decisioni automatizzate (art. 22), incluso il profiling, salvo specifiche eccezioni; il Titolare non utilizza processi decisionali automatizzati di tale natura.
Le richieste vanno inoltrate a info@cdsservice.it o via PEC a cdsservicesiclavsrl@pec.it. Il Titolare fornisce riscontro senza ingiustificato ritardo e, comunque, entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in caso di complessità ex art. 12.3 GDPR).
9. Reclamo all’Autorità di Controllo
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, Piazza Venezia 11 — 00187 Roma, tel. (+39) 06 696771, PEC protocollo@pec.gpdp.it — www.garanteprivacy.it.
10. Sicurezza del Trattamento
Il Titolare adotta misure tecniche e organizzative adeguate al rischio, ai sensi dell’art. 32 GDPR, tra cui: cifratura TLS dei dati in transito, cifratura a riposo, controllo accessi basato su ruoli, backup periodici, logging degli accessi privilegiati, formazione periodica del personale autorizzato.
11. Cookie e Tecnologie Simili
Per informazioni di dettaglio su cookie e tecnologie di tracciamento utilizzati dal sito si rimanda alla Cookie Policy.
12. Modifiche alla presente Informativa
Il Titolare si riserva il diritto di aggiornare la presente informativa per riflettere modifiche normative, organizzative o tecniche. Le versioni successive saranno pubblicate su questa pagina con indicazione della data di aggiornamento; in caso di modifiche sostanziali, gli utenti registrati saranno informati via email.