Privacy Policy
Questa Informativa Privacy descrive come CIWZ Academy (la “Piattaforma”) tratta i dati personali degli utenti e dei visitatori in relazione all’uso del sito e dei servizi disponibili (registrazione, autenticazione, Dashboard, Corsi e Test, gestione del Wallet, emissione/verifica certificati, assistenza). La presente informativa è redatta con un’impostazione istituzionale e orientata alla compliance (privacy-by-design e security-by-design). Per i termini generali d’uso, consulta anche i Termini e condizioni: https://www.certificatoiwz.org/academy/terms.php.
Definizioni e ruoli
1. Ambito di applicazione
1.1 Questa Informativa si applica ai trattamenti effettuati tramite la Piattaforma, sia per utenti registrati sia per visitatori. 1.2 Alcune funzionalità (pagamenti, recapiti email, analytics) possono comportare l’interazione con servizi di terze parti, che operano secondo le rispettive informative.
2. Tipologie di dati trattati
2.1 Dati di account e identificazione: nome, cognome, email, credenziali (in forma cifrata/hashed), lingua preferita. 2.2 Dati di utilizzo e attività: corsi/test selezionati, tentativi, risultati, avanzamento, timestamp, esiti di validazione del Comitato docenti (se previsto). 2.3 Dati Wallet e transazionali: movimenti del Wallet, importi, valute, identificativi tecnici di transazione e ricevute; i dati sensibili di pagamento (es. numero carta) non vengono memorizzati dalla Piattaforma e sono gestiti dai provider di pagamento. 2.4 Dati tecnici e di sicurezza: indirizzo IP, user agent, log di accesso, eventi di sistema, misure anti-abuso, log applicativi. 2.5 Dati per supporto/comunicazioni: contenuti di richieste inviate tramite form o canali di assistenza (se presenti).
3. Finalità del trattamento e basi giuridiche
3.1 Erogazione del servizio e gestione dell’account (registrazione, login, Dashboard, Corsi/Test, certificati): esecuzione di un contratto o misure precontrattuali. 3.2 Gestione del Wallet e dei pagamenti (ricariche, tracciamento esiti, riconciliazione): esecuzione di un contratto; adempimento di obblighi legali (es. contabili/fiscali, ove applicabile). 3.3 Sicurezza, prevenzione frodi/abusi e tutela della Piattaforma (logging, controlli, audit trail): legittimo interesse del Titolare e/o adempimento di obblighi di sicurezza. 3.4 Comunicazioni di servizio (notifiche operative su account, test, certificati): esecuzione contrattuale/legittimo interesse. 3.5 Miglioramento del servizio e analytics (ove attivi): legittimo interesse e/o consenso, in funzione della configurazione e della normativa applicabile. 3.6 Gestione reclami/assistenza e richieste degli interessati: adempimento di obblighi legali e/o legittimo interesse.
4. Modalità del trattamento
4.1 I dati sono trattati con strumenti informatici e procedure organizzative idonee a garantire riservatezza, integrità e disponibilità. 4.2 Sono adottate misure di security-by-design (es. segregazione dei privilegi, protezioni CSRF, controllo accessi, logging di sicurezza, hardening applicativo), in misura coerente con la natura dei dati e il rischio. 4.3 Le credenziali non sono conservate in chiaro. Le password sono memorizzate tramite funzioni crittografiche (hash) con salting/parametri adeguati, ove implementato.
5. Comunicazione dei dati e destinatari
5.1 I dati possono essere comunicati a personale autorizzato e a fornitori (Responsabili) strettamente necessari all’erogazione del servizio (hosting, manutenzione, email, analytics, sistemi di pagamento). 5.2 Provider di pagamento (PayPal/Stripe): durante ricariche o checkout, i dati di pagamento sono trattati dai provider secondo le loro informative. La Piattaforma riceve tipicamente esiti/ID transazione e metadati necessari per registrare la ricarica o l’operazione. 5.3 Autorità e obblighi di legge: i dati possono essere comunicati a soggetti pubblici/autorità competenti nei casi previsti dalla legge o per tutela dei diritti.
6. Trasferimenti verso Paesi terzi
6.1 Alcuni fornitori (es. cloud, email, analytics, pagamenti) possono trattare dati in Paesi extra SEE. In tali casi, il Titolare mira ad adottare garanzie adeguate (es. decisioni di adeguatezza, clausole contrattuali standard, misure supplementari) in base alla normativa applicabile e alle condizioni del fornitore. 6.2 Le informazioni di dettaglio sulle sedi di trattamento e sui trasferimenti sono disponibili nelle informative dei singoli fornitori.
7. Periodi di conservazione (retention)
7.1 Account: per il tempo necessario all’erogazione del servizio e gestione dell’account; successivamente secondo politiche interne e obblighi legali applicabili. 7.2 Risultati test e dati certificato: conservati per garantire tracciabilità, verificabilità e audit trail del processo, in particolare se viene emesso un certificato con codice/QR di verifica. 7.3 Dati Wallet e transazionali: conservati per esigenze contabili, di riconciliazione e per gestione contestazioni, per un periodo coerente con obblighi legali e policy interne. 7.4 Log di sicurezza: conservati per un periodo proporzionato alle finalità di sicurezza, prevenzione abusi e investigazione incidenti. 7.5 Dati di supporto: conservati per il tempo necessario alla gestione della richiesta e, se utile, per miglioramento del servizio e tracciamento storico.
8. Cookie e tecnologie analoghe
8.1 La Piattaforma utilizza cookie tecnici necessari (sessione, autenticazione, preferenza lingua, protezione CSRF) per garantire funzionalità essenziali. 8.2 Ove attivati, possono essere utilizzati cookie/strumenti analitici per misurare prestazioni e utilizzo in forma aggregata e migliorare la qualità del servizio. 8.3 Durante i pagamenti, provider terzi (PayPal/Stripe) possono impostare cookie o tecnologie equivalenti secondo le proprie policy. 8.4 L’Utente può gestire i cookie tramite le impostazioni del browser; la disabilitazione dei cookie tecnici può compromettere l’uso di login, Dashboard, Wallet e Test.
9. Diritti dell’interessato
9.1 L’Interessato può esercitare i diritti previsti dalla normativa applicabile (es. accesso, rettifica, cancellazione, limitazione, portabilità, opposizione; ove applicabile, revoca del consenso). 9.2 Per esercitare i diritti o inviare richieste privacy, utilizzare i canali di contatto ufficiali indicati sulla Piattaforma o sul sito di riferimento, fornendo informazioni utili all’identificazione dell’account e alla gestione della richiesta. 9.3 L’Interessato ha diritto di proporre reclamo all’autorità di controllo competente, secondo le condizioni previste dalla normativa.
10. Minori
10.1 La Piattaforma non è destinata a minori, salvo diversa indicazione esplicita e previo rispetto delle norme applicabili. 10.2 Se ritieni che un minore abbia fornito dati personali senza autorizzazione, contatta i canali ufficiali indicati in piattaforma per le verifiche del caso.
11. Modifiche alla presente informativa
11.1 Il Titolare può aggiornare questa Informativa per adeguamenti normativi, evoluzioni tecniche o modifiche del servizio. La data di ultimo aggiornamento è indicata in testa alla pagina. 11.2 L’uso continuato della Piattaforma dopo la pubblicazione delle modifiche comporta la presa visione dell’informativa aggiornata.
12. Documentazione e trasparenza
12.1 Per dettagli operativi sull’uso della piattaforma (registrazione, Wallet, Test, validazione e certificati), consulta la guida: https://certificatoiwz.org/academy/user_guide.html. 12.2 Per condizioni d’uso generali, consulta i Termini e condizioni: https://www.certificatoiwz.org/academy/terms.php.
Registro sintetico delle attività di trattamento (Art. 30)
Di seguito è riportato un registro sintetico delle principali attività di trattamento svolte tramite la Piattaforma. Il dettaglio operativo (responsabili esterni, sedi, misure e retention puntuali) è gestito a livello organizzativo e reso disponibile su richiesta secondo le procedure interne.
| Attività di trattamento | Categorie interessati | Categorie dati | Finalità | Base giuridica | Destinatari / Responsabili | Trasferimenti extra SEE | Conservazione | Misure di sicurezza (sintesi) |
|---|---|---|---|---|---|---|---|---|
| Gestione account e autenticazione (registrazione/login/Dashboard) | Utenti registrati | Dati identificativi e contatto; credenziali (hash); preferenze lingua; log accesso | Erogazione servizio, gestione account e accessi | Contratto / misure precontrattuali; legittimo interesse (sicurezza) | Hosting/maintenance; email provider (notifiche); personale autorizzato | Possibili in base ai fornitori (vedi informative) | Per durata account e tempi tecnici; log sicurezza per periodo proporzionato | Controllo accessi; CSRF; logging; hardening; backup |
| Erogazione Corsi e Test, risultati e validazione Comitato docenti | Utenti registrati | Attività corsi/test; risposte; risultati; tentativi; timestamp; esiti validazione | Valutazione competenze, tracciabilità e audit trail | Contratto; legittimo interesse (integrità valutazione) | Personale autorizzato; Comitato docenti (ruolo interno) | N/A salvo strumenti terzi abilitati | Storico utile a tracciabilità e contestazioni; secondo policy interne | Randomizzazione; rate limiting; controlli anti-abuso; audit log |
| Wallet: ricariche, movimenti, riconciliazione | Utenti registrati | Movimenti wallet; importi; valuta; ID transazione; esiti pagamento | Gestione credito e pagamenti; riconciliazione e contestazioni | Contratto; obblighi legali (ove applicabile); legittimo interesse | Provider pagamenti (PayPal/Stripe); personale autorizzato; contabilità (se prevista) | Possibili in base al provider di pagamento | Secondo esigenze contabili/contestazioni e policy interne | Minimizzazione; no memorizzazione dati carta; logging eventi |
| Emissione e verifica certificati (QR/codice) | Utenti certificati; verificatori (quando usano la verifica) | Dati certificato; identificativo; QR/codice; esito/metadata verifica | Emissione, disponibilità e verifica autenticità/integrità | Contratto; legittimo interesse (verificabilità e antifrode) | Hosting; eventuali sistemi di generazione PDF; personale autorizzato | N/A salvo fornitori terzi abilitati | Per garantire verificabilità nel tempo; secondo policy e requisiti schema | ID univoci; controllo accessi; audit log; integrità documento |
| Supporto e gestione richieste (form/assistenza) | Utenti e visitatori che contattano la piattaforma | Dati contatto; contenuto richiesta; metadati tecnici | Assistenza, gestione reclami e richieste privacy | Legittimo interesse; obbligo legale (richieste diritti) | Email/helpdesk provider; personale autorizzato | Possibili in base ai fornitori | Per il tempo necessario alla gestione e storicizzazione utile | Limitazione accessi; logging; retention controllata |
| Sicurezza e prevenzione abusi (logging e monitoraggio tecnico) | Utenti e visitatori | IP; user agent; eventi; tentativi accesso; segnali antifrode/abuso | Sicurezza, continuità, prevenzione frodi/abusi | Legittimo interesse; obblighi di sicurezza | Hosting/security provider; personale autorizzato | Possibili in base ai fornitori | Periodo proporzionato a sicurezza e investigazione incidenti | Hardening; rate limiting; alerting; backup; segregazione privilegi |
| Analytics / misurazione (ove attivi) | Visitatori e utenti | Dati tecnici e di navigazione; eventi aggregati; cookie analytics (se presenti) | Miglioramento prestazioni e qualità del servizio | Legittimo interesse e/o consenso (secondo configurazione e normativa) | Provider analytics; personale autorizzato | Possibili in base al provider | Secondo configurazione e policy analytics | Minimizzazione; aggregazione; controlli accessi |