Informativa sulla Privacy
Informativa sul trattamento dei dati personali ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 (GDPR)
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
idoneo.io
Sito web: https://idoneo.io
Email di contatto: privacy@idoneo.io
Supporto generale: support@idoneo.io
Il Titolare è responsabile di garantire che il trattamento dei dati personali avvenga in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.
2. Definizioni
- Piattaforma/Servizio: Il sito web idoneo.io e l'insieme delle funzionalità offerte, inclusi simulatore quiz, generazione di contenuti tramite IA, tracciamento progressi, dispense di studio e classifiche.
- Utente/Interessato: La persona fisica che accede o utilizza il Servizio.
- Dati Personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'art. 4 GDPR.
- Trattamento: Qualsiasi operazione compiuta sui dati personali (raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, cancellazione).
- Contenuti IA: Quiz, spiegazioni, dispense e materiali generati tramite algoritmi di intelligenza artificiale.
3. Tipologie di Dati Raccolti
a) Dati forniti volontariamente dall'Utente
- Dati identificativi: nome, cognome, indirizzo email, data di nascita
- Credenziali di accesso: password (conservata esclusivamente in forma hash crittografica tramite bcrypt, mai in chiaro)
- Dati di autenticazione sociale: ID Google e email associata (se si utilizza Google OAuth 2.0)
- Preferenze di studio: concorsi selezionati, argomenti di interesse
b) Dati generati dall'utilizzo del Servizio
- Dati di performance: risposte ai quiz, punteggi, statistiche di avanzamento, tempo impiegato
- Dati di interazione con l'IA: domande generate, spiegazioni richieste, dispense create
- Dati di classifica: posizione anonimizzata nella classifica tra candidati
- Segnalibri e preferenze di contenuto
c) Dati raccolti automaticamente
- Dati tecnici: indirizzo IP, tipo e versione del browser, sistema operativo
- Dati di navigazione: pagine visitate, durata della sessione, referrer URL
- Cookie e tecnologie simili (vedi Sezione 10)
d) Dati di pagamento
- Storico acquisti (piano, data, importo), ID transazione Stripe
Nota: I dati della carta di credito/debito non vengono mai raccolti o memorizzati nei nostri server. I pagamenti sono gestiti interamente da Stripe, Inc. (certificato PCI DSS Level 1).
4. Finalità e Base Giuridica del Trattamento
| Finalità | Base Giuridica | Art. GDPR |
|---|---|---|
| Registrazione e gestione dell'account | Esecuzione contrattuale | Art. 6(1)(b) |
| Erogazione del servizio (quiz, IA, progressi) | Esecuzione contrattuale | Art. 6(1)(b) |
| Gestione pagamenti e fatturazione | Esecuzione contrattuale / Obbligo di legge | Art. 6(1)(b), 6(1)(c) |
| Prevenzione frodi e sicurezza | Legittimo interesse | Art. 6(1)(f) |
| Analisi statistica e miglioramento | Legittimo interesse / Consenso | Art. 6(1)(f), 6(1)(a) |
| Comunicazioni di servizio | Esecuzione contrattuale | Art. 6(1)(b) |
| Marketing e newsletter | Consenso esplicito | Art. 6(1)(a) |
| Adempimenti fiscali e contabili | Obbligo di legge | Art. 6(1)(c) |
5. Destinatari e Condivisione dei Dati
I dati possono essere comunicati ai seguenti destinatari in qualità di Responsabili del trattamento ex art. 28 GDPR:
| Fornitore | Finalità | Sede |
|---|---|---|
| Google LLC (Gemini) | Generazione contenuti IA | USA* |
| OpenAI, Inc. | Generazione contenuti IA | USA* |
| Anthropic, PBC | Generazione contenuti IA | USA* |
| Oracle Corporation | Hosting (OCI) | UE (Frankfurt) |
| Stripe, Inc. | Pagamenti | USA* |
| Google LLC (Analytics) | Analisi statistica | USA* |
| Iubenda S.r.l. | Cookie consent | Italia |
* Per i trasferimenti verso gli USA, si applicano le garanzie di cui alla Sezione 7.
I dati personali non vengono mai ceduti, venduti o noleggiati a terzi per finalità di marketing o profilazione commerciale indipendente.
6. Periodo di Conservazione dei Dati
- Dati dell'account: Per tutta la durata del rapporto contrattuale e fino a 30 giorni dalla richiesta di cancellazione.
- Dati di utilizzo e progressi: Per tutta la durata dell'account. In caso di cancellazione, anonimizzati o eliminati entro 30 giorni.
- Dati di fatturazione: 10 anni (obblighi fiscali — art. 2220 c.c.).
- Log di sicurezza: Massimo 12 mesi.
- Dati per marketing: Fino alla revoca del consenso.
7. Trasferimento dei Dati al di fuori dell'UE
I trasferimenti verso gli USA avvengono sulla base di:
- EU-U.S. Data Privacy Framework (DPF): Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
- Clausole Contrattuali Tipo (SCC): Decisione (UE) 2021/914, ove il DPF non sia applicabile.
- Misure supplementari: Crittografia in transito (TLS 1.3) e a riposo, pseudonimizzazione ove possibile.
L'infrastruttura principale è ospitata in data center Oracle Cloud nell'Unione Europea.
8. Misure di Sicurezza
Adottiamo misure tecniche e organizzative ai sensi dell'art. 32 GDPR:
- Crittografia delle password tramite bcrypt con salt unico
- Comunicazioni protette tramite HTTPS/TLS 1.3
- Autenticazione tramite token JWT con scadenza temporale
- Accesso ai database limitato e protetto da firewall
- Backup periodici crittografati
- Separazione logica dei dati tra utenti
- Monitoraggio continuo degli accessi
9. Diritti dell'Interessato
Ai sensi degli artt. 15-22 GDPR, l'Utente ha diritto di:
- Accesso (art. 15): Ottenere conferma e copia dei propri dati.
- Rettifica (art. 16): Correggere dati inesatti o incompleti.
- Cancellazione (art. 17): Richiedere la cancellazione ("diritto all'oblio").
- Limitazione (art. 18): Ottenere la limitazione del trattamento.
- Portabilità (art. 20): Ricevere i dati in formato strutturato.
- Opposizione (art. 21): Opporsi al trattamento basato su legittimo interesse.
- Revoca del consenso (art. 7): Revocare il consenso in qualsiasi momento.
Per esercitare i diritti: scrivere a privacy@idoneo.io con copia di un documento di identità. Risposta entro 30 giorni.
Reclamo: L'Utente può proporre reclamo al Garante per la protezione dei dati personali — www.garanteprivacy.it, Piazza Venezia 11, 00187 Roma.
10. Cookie Policy
| Tipo | Finalità | Base Giuridica |
|---|---|---|
| Tecnici/necessari | Funzionamento del sito, sessione | Legittimo interesse |
| Statistici (GA4) | Analisi aggregata del traffico | Consenso |
La gestione dei consensi cookie è affidata a Iubenda. L'Utente può modificare le proprie preferenze tramite il banner cookie o il link "Preferenze Cookie" nel footer.
11. Profilazione e Decisioni Automatizzate
La Piattaforma utilizza algoritmi di IA per personalizzare l'esperienza di studio. Tali elaborazioni:
- Non producono effetti giuridici significativi ai sensi dell'art. 22 GDPR.
- Sono finalizzate esclusivamente al miglioramento dell'esperienza didattica.
- Non determinano decisioni relative a credito, lavoro, salute o diritti fondamentali.
12. Trattamento dei Dati dei Minori
Il Servizio è rivolto a utenti di almeno 14 anni (art. 8 GDPR e art. 2-quinquies D.Lgs. 196/2003). I minori tra 14 e 18 anni dovrebbero registrarsi con il consenso dei genitori. Dati di minori sotto i 14 anni saranno prontamente cancellati.
13. Modifiche alla presente Informativa
Il Titolare si riserva il diritto di modificare questa informativa. Le modifiche sostanziali saranno comunicate tramite banner informativo e/o email.
Ultimo aggiornamento: 18 marzo 2025
Per qualsiasi domanda: privacy@idoneo.io