INFORMATIVA SULLA PRIVACY

Trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy)

www.mediakeyacademy.it

1. Introduzione

La presente Informativa sulla Privacy (di seguito, l’“Informativa”) descrive le modalità con cui MEDIA KEY Srl Unipersonale S.r.l, con sede legale in Viale Cassala 36 - 20143 - Milano, Italia (di seguito, la “Società” o il “Titolare”), raccoglie, utilizza e protegge i dati personali degli utenti che accedono al sito web www.route-crypto-training.net (di seguito, il “Sito”) e usufruiscono dei corsi di e-learning erogati tramite la piattaforma tecnologica Thinkific Labs Inc., con sede in Canada (di seguito, “Thinkific”).

La presente Informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito, “GDPR”) e del D.Lgs. 30 giugno 2003, n. 196 (di seguito, “Codice Privacy”), come modificato dal D.Lgs. 10 agosto 2018, n. 101.

2. Titolare del Trattamento

Titolare del trattamento dei dati personali è [Ragione sociale completa], con sede legale in [●], C.F./P.IVA [●], iscritta al Registro delle Imprese di [●] al n. [●], PEC [●]. Per qualsiasi richiesta in merito al trattamento dei dati personali è possibile contattare il Titolare ai seguenti recapiti:

• E-mail: [●]
• PEC: [●]
• Indirizzo postale: [●]

3. Responsabile della Protezione dei Dati (DPO)

La Società [ha nominato / non ha nominato] un Responsabile della Protezione dei Dati (DPO/Data Protection Officer) ai sensi dell’art. 37 GDPR. [Se nominato: il DPO è contattabile all’indirizzo e-mail [●]]. [Se non nominato: non ricorrono i presupposti obbligatori di cui all’art. 37 GDPR per la nomina del DPO; per ogni questione relativa al trattamento dei dati personali è possibile rivolgersi direttamente al Titolare ai recapiti di cui al punto 2].

4. Base Giuridica del Trattamento

La Società tratta i dati personali sulla base di una o più delle seguenti condizioni di liceità, previste dall’art. 6, par. 1, GDPR:

• Esecuzione del contratto (lett. b): per la fornitura dei Servizi richiesti dall’utente, l’iscrizione ai Corsi, l’elaborazione dei pagamenti e la gestione del rapporto contrattuale;
• Obbligo legale (lett. c): per adempiere a obblighi previsti dalla normativa italiana e dell’Unione Europea (obblighi fiscali, contabili, antiriciclaggio, normative di settore IVASS/CONSOB);
• Consenso (lett. a): per l’invio di newsletter, comunicazioni promozionali e marketing diretto. Il consenso è facoltativo, specifico, informato e revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato precedentemente;
• Legittimo interesse (lett. f): per garantire la sicurezza informatica del Sito, prevenire frodi, far valere o difendere un diritto in sede giudiziale, e migliorare i Servizi offerti.

Il conferimento dei dati identificativi, di contatto e di pagamento è necessario per la conclusione del contratto e per la fruizione dei Corsi; il rifiuto di fornirli rende impossibile l’erogazione dei Servizi. Il conferimento dei dati per finalità di marketing è facoltativo e il rifiuto non pregiudica l’accesso ai Servizi.

5. Tipologia di Dati Raccolti

La Società raccoglie e tratta le seguenti categorie di dati personali:

• Dati identificativi: nome, cognome;
• Dati di contatto: indirizzo e-mail, eventuale numero di telefono;
• Dati professionali (ove applicabile): qualifica, datore di lavoro, codice identificativo professionale (es. RUI per intermediari assicurativi, OCF per consulenti finanziari), per la certificazione delle ore di formazione IVASS/CONSOB;
• Dati relativi alla fruizione dei Corsi: login, progressi, completamento, esiti dei test, certificati rilasciati;
• Dati di pagamento: informazioni necessarie per elaborare le transazioni, trattate direttamente dai fornitori terzi Stripe e PayPal (cfr. punto 8);
• Dati tecnici e di navigazione: indirizzo IP, browser, sistema operativo, log di accesso, dati raccolti tramite cookie e tecnologie analoghe (cfr. Cookie Policy).

La Società non raccoglie deliberatamente categorie particolari di dati ai sensi dell’art. 9 GDPR.

6. Finalità del Trattamento

I dati personali sono trattati per le seguenti finalità:

• Registrazione dell’utente, gestione dell’account e fornitura dei Corsi di e-learning;
• Monitoraggio dei progressi formativi, rilascio di attestati e certificati, certificazione delle ore di formazione ai fini IVASS, CONSOB o di altri organismi di settore;
• Elaborazione dei pagamenti e gestione amministrativa e contabile;
• Comunicazioni di servizio (es. modifiche ai termini contrattuali, aggiornamenti sui Corsi, comunicazioni tecniche o di sicurezza);
• Invio di newsletter e comunicazioni di marketing, previo consenso specifico dell’utente;
• Adempimento di obblighi di legge, regolamentari e fiscali;
• Tutela dei diritti della Società, prevenzione di frodi e abusi, sicurezza informatica;
• Risposta a richieste di esercizio dei diritti dell’interessato e a comunicazioni delle Autorità.

7. Modalità del Trattamento e Comunicazioni Elettroniche

Il trattamento avviene con strumenti informatici e telematici, con logiche strettamente correlate alle finalità sopra indicate e in modo da garantire la sicurezza e la riservatezza dei dati. La Società adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR.

La Società comunica con gli utenti tramite mezzi elettronici (in particolare posta elettronica) che, salvo diversa indicazione, non sono cifrati end-to-end. L’utente è informato che tali canali presentano rischi residui in termini di riservatezza e integrità dei messaggi; proseguendo nell’utilizzo del Sito e nella corrispondenza via e-mail, l’utente ne prende atto e accetta tali rischi. L’utente può in ogni momento richiedere modalità di comunicazione alternative, ove tecnicamente praticabili.

La Società può avvalersi di fornitori terzi qualificati per la manutenzione e la gestione dei propri sistemi informatici, nominati Responsabili del trattamento ai sensi dell’art. 28 GDPR.

8. Destinatari dei Dati e Servizi di Terze Parti

I dati personali possono essere comunicati ai seguenti destinatari, nei limiti strettamente necessari alle finalità del trattamento:

• Thinkific Labs Inc. (Canada) — fornitore della piattaforma di e-learning, designato Responsabile del trattamento;
• Stripe Payments Europe Ltd. e PayPal (Europe) S.à r.l. et Cie, S.C.A. — fornitori dei servizi di pagamento, che operano in qualità di titolari autonomi del trattamento per i dati di pagamento da essi raccolti; si invita a consultare le rispettive informative privacy disponibili su stripe.com e paypal.com;
• Fornitori di servizi IT, hosting, sicurezza informatica e assistenza tecnica, nominati Responsabili del trattamento ex art. 28 GDPR;
• Consulenti professionali (legali, fiscali, commercialisti) tenuti a obbligo di riservatezza;
• Autorità pubbliche, di vigilanza (IVASS, CONSOB, Agenzia delle Entrate) e giudiziarie, qualora richiesto dalla legge;
• Soggetti datori di lavoro dell’utente, limitatamente ai dati di completamento dei Corsi, nei casi di iscrizione nell’ambito di contratti corporate (cfr. Condizioni Generali di Utilizzo).

9. Trasferimento dei Dati al di Fuori dell’Unione Europea

I Corsi sono erogati tramite la piattaforma Thinkific, con sede in Canada. Il trasferimento dei dati personali verso il Canada avviene sulla base delle seguenti garanzie ai sensi degli artt. 44-49 GDPR:

• Decisione di adeguatezza: la Commissione Europea, con Decisione 2002/2/CE, ha riconosciuto che il Canada garantisce un livello adeguato di protezione dei dati personali limitatamente alle organizzazioni private soggette al Personal Information Protection and Electronic Documents Act (PIPEDA). Thinkific è soggetta al PIPEDA;
• Clausole Contrattuali Standard (SCC): in via prudenziale, sono in essere con Thinkific le Clausole Contrattuali Standard approvate con Decisione UE 2021/914, applicabili ad eventuali trasferimenti che esorbitino dall’ambito coperto dalla decisione di adeguatezza.

Per ulteriori informazioni sulle garanzie applicate ai trasferimenti, l’utente può rivolgersi al Titolare ai recapiti di cui al punto 2.

10. Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, secondo i seguenti criteri:

• Dati contrattuali, amministrativi e fiscali: 10 anni dalla cessazione del rapporto contrattuale, ai sensi dell’art. 2220 c.c. e del DPR 600/1973 in materia di obblighi di conservazione contabile e fiscale;
• Dati relativi alla certificazione delle ore di formazione IVASS: 5 anni ai sensi dell’art. 95 Reg. IVASS n. 40/2018;
• Dati relativi alla certificazione delle ore di formazione CONSOB: per il periodo previsto dalla normativa applicabile (Reg. Intermediari Consob e disposizioni OCF);
• Dati di marketing (newsletter, comunicazioni promozionali): fino alla revoca del consenso e comunque non oltre 24 mesi dall’ultima interazione, in linea con il Provvedimento del Garante 4 luglio 2013, n. 330;
• Log di accesso e dati tecnici: non oltre 12 mesi, in linea con il Provvedimento del Garante 27 novembre 2008 e successivi, salvo necessità di conservazione per finalità di sicurezza o richieste delle Autorità;
• Dati trattati per la difesa in giudizio: per il tempo necessario all’accertamento, esercizio o difesa di un diritto, e comunque entro i termini di prescrizione applicabili.

Al termine dei periodi di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile.

11. Cookie e Tecnologie di Tracciamento

Il Sito utilizza cookie tecnici, analitici e, previo consenso, di profilazione o marketing, in conformità al Provvedimento del Garante per la Protezione dei Dati Personali 10 giugno 2021, n. 231 (“Linee guida cookie e altri strumenti di tracciamento”). Per informazioni dettagliate sui cookie utilizzati, sulle finalità e sulle modalità di gestione delle preferenze si rinvia alla Cookie Policy pubblicata sul Sito.

12. Profilazione e Decisioni Automatizzate

La Società non effettua processi decisionali automatizzati né profilazione produttiva di effetti giuridici o significativi sull’interessato ai sensi dell’art. 22 GDPR. Eventuali analisi statistiche aggregate sui Corsi sono effettuate in forma anonima o pseudonimizzata.

13. Trattamento dei Dati dei Minori

I Servizi sono rivolti a soggetti maggiorenni. L’iscrizione alla Piattaforma è riservata a utenti che abbiano compiuto il 18° anno di età. Ai sensi dell’art. 8 GDPR e dell’art. 2-quinquies del Codice Privacy, il consenso al trattamento dei dati personali del minore di 14 anni è valido solo se prestato da chi esercita la responsabilità genitoriale. Qualora la Società venisse a conoscenza di un trattamento di dati riferito a un minore in assenza di valido consenso, procederà alla tempestiva cancellazione dei dati.

14. Sicurezza dei Dati

La Società adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, alterazione, distruzione o divulgazione, in conformità all’art. 32 GDPR. Tali misure includono, a titolo esemplificativo, controlli di accesso, cifratura dei dati in transito, backup periodici, segregazione degli ambienti, formazione del personale autorizzato al trattamento ex art. 29 GDPR e art. 2-quaterdecies Codice Privacy.

Pur adottando le migliori misure di sicurezza disponibili, la Società non può garantire l’assoluta inviolabilità dei dati trasmessi via Internet o archiviati in formato elettronico. In caso di violazione dei dati personali (data breach), la Società adempirà agli obblighi di notifica all’Autorità di controllo e di comunicazione all’interessato ai sensi degli artt. 33 e 34 GDPR.

15. Diritti degli Interessati

Ai sensi degli artt. 15-22 GDPR, l’interessato ha diritto di:

• Accedere ai propri dati personali e ottenerne copia (art. 15);
• Rettificare dati inesatti o integrare dati incompleti (art. 16);
• Ottenere la cancellazione dei dati – “diritto all’oblio” (art. 17), nei limiti previsti dalla legge;
• Limitare il trattamento dei propri dati (art. 18);
• Opporsi al trattamento (art. 21), anche per finalità di marketing diretto;
• Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico – portabilità (art. 20);
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato anteriormente alla revoca (art. 7, par. 3);
• Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (art. 22).

Per esercitare tali diritti l’interessato può scrivere ai recapiti indicati al punto 2. La Società risponde senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione della richiesta, salvo proroga motivata di ulteriori 60 giorni nei casi previsti dall’art. 12, par. 3, GDPR.

L’interessato ha inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it), ai sensi dell’art. 77 GDPR, ovvero di adire l’Autorità giudiziaria competente ai sensi dell’art. 79 GDPR.

16. Modifiche all’Informativa

La Società si riserva il diritto di modificare la presente Informativa per adeguarla a evoluzioni normative, tecnologiche od organizzative. Le modifiche saranno pubblicate sul Sito con indicazione della data di aggiornamento e, ove le modifiche siano sostanziali, sarà data notizia tramite e-mail agli utenti registrati. Si invita a consultare periodicamente questa pagina.

17. Contatti

Per qualsiasi domanda relativa alla presente Informativa o al trattamento dei dati personali è possibile contattare la Società ai seguenti recapiti:

• E-mail: [●]
• PEC: [●]
• Indirizzo postale: [●]

18. Sezione Specifica – Certificazione delle Ore di Formazione IVASS e CONSOB

Per gli utenti che fruiscono dei Corsi al fine di adempiere all’obbligo di aggiornamento professionale previsto dalla normativa di settore (in particolare, Reg. IVASS n. 40/2018 in materia di intermediari assicurativi e Reg. Intermediari Consob in materia di consulenti finanziari), si applicano le seguenti specifiche:

• Finalità: certificazione delle ore di formazione svolte, rilascio dell’attestato, eventuale comunicazione dei dati di completamento all’intermediario datore di lavoro o all’Autorità di vigilanza competente, ove richiesto dalla normativa di settore;
• Dati trattati: nome, cognome, indirizzo e-mail, codice identificativo professionale (es. iscrizione RUI/OCF), durata e contenuto dei Corsi fruiti, esiti dei test;
• Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b, GDPR) e adempimento di obblighi normativi del settore assicurativo e finanziario (art. 6, par. 1, lett. c, GDPR);
• Conservazione: 5 anni dal completamento del Corso, ai sensi dell’art. 95 Reg. IVASS n. 40/2018 e disposizioni analoghe per il settore CONSOB;
• Destinatari: intermediario datore di lavoro dell’utente, IVASS, CONSOB, OCF e altre Autorità di vigilanza, ove richiesto dalla legge.