Iscriviti

Documento legale · v1.2

Privacy Policy

Informativa sul Trattamento dei Dati Personali (GDPR)

In vigore dal 24 aprile 2026 Scarica PDF

Informativa sul Trattamento dei Dati Personali

Privacy Policy ai sensi del Regolamento UE 2016/679 (GDPR)

Punto Riflesso APS Via Nazionale 10 · 38027 Terzolas (TN) · Italia C.F./P.IVA 02680400229 · PEC postmaster@pec.puntoriflesso.com www.puntoriflesso.com

Versione 1.1 — In vigore dal 24 aprile 2026 Ultima modifica: 24 aprile 2026 (integrazione NosLab S.a.s. come Responsabile Esterno)

1. Introduzione

La presente informativa descrive le modalità con cui Punto Riflesso APS (di seguito anche "Punto Riflesso", "Associazione" o "noi") raccoglie, utilizza e protegge i dati personali degli utenti che interagiscono con i nostri servizi digitali e in presenza.

Abbiamo scritto questo documento con la massima chiarezza possibile, evitando il linguaggio tecnico-legale dove non strettamente necessario. Se qualche punto non ti risulta chiaro, puoi sempre contattarci all'indirizzo info@puntoriflesso.com per chiedere chiarimenti.

La protezione dei tuoi dati personali è una responsabilità che prendiamo sul serio. Ogni trattamento avviene nel rispetto del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come aggiornato dal D.Lgs. 101/2018.

2. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Punto Riflesso APS Associazione di Promozione Sociale accreditata ASPIN Sede legale: Via Nazionale 10, 38027 Terzolas (TN), Italia Sede operativa corsi: Vicolo della Contrada Tedesca 9, 38122 Trento Codice Fiscale e Partita IVA: 02680400229 Codice Univoco: QULXG4S Email: info@puntoriflesso.com PEC: postmaster@pec.puntoriflesso.com Telefono: +39 339 638 3790

Rappresentante legale: Cristian Bresadola (Presidente)

3. Responsabile della Protezione dei Dati (DPO)

In considerazione della natura, dell'ambito e delle finalità dei trattamenti effettuati, l'Associazione non è tenuta alla nomina di un Responsabile della Protezione dei Dati ai sensi dell'art. 37 GDPR. Per ogni richiesta in materia di privacy, l'utente può rivolgersi direttamente al Titolare all'indirizzo info@puntoriflesso.com.

4. Partner digitale e Responsabile Esterno del Trattamento

La piattaforma digitale di Punto Riflesso APS (sito, applicazione, community) è realizzata e gestita in regime di collaborazione pro bono da:

NosLab S.a.s. di Bresadola Cristian Partita IVA e Codice Fiscale: 02839670227 Sede legale: Via Nazionale 10, 38027 Terzolas (TN) Sede operativa: Vicolo della Contrada Tedesca 9, 38122 Trento PEC: info@pec.noslab.it · Email: info@noslab.it · Web: www.noslab.it

NosLab S.a.s. è partner digitale di Punto Riflesso APS e opera in qualità di Responsabile Esterno del Trattamento ai sensi dell'art. 28 GDPR, sulla base di apposito contratto di nomina (DPA) sottoscritto tra le parti.

In questo ruolo, NosLab:

  • Sviluppa e mantiene il software della piattaforma
  • Gestisce operativamente i sistemi informatici (deploy, backup, monitoraggio)
  • Applica e verifica le misure tecniche di sicurezza
  • Tratta i dati personali esclusivamente su istruzione di Punto Riflesso APS
  • Non utilizza i dati dei soci, corsisti o utenti per finalità proprie
  • Non comunica i dati a soggetti terzi senza autorizzazione espressa del Titolare

NosLab è soggetta agli stessi obblighi di riservatezza, sicurezza e liceità del Titolare, e risponde direttamente all'Associazione per il rispetto delle disposizioni GDPR.

Il rapporto tra Punto Riflesso APS e NosLab S.a.s. è disciplinato da:

  • Accordo quadro di collaborazione pro bono (natura gratuita della prestazione)
  • Contratto di licenza software (NosLab proprietaria, APS licenziataria gratuita perpetua per scopi statutari)
  • DPA — Data Processing Agreement (nomina a Responsabile Esterno ex art. 28 GDPR)

5. Tipologie di dati trattati

A seconda dei servizi utilizzati, possiamo trattare le seguenti categorie di dati personali:

5.1 Dati anagrafici e di contatto

  • Nome, cognome, data e luogo di nascita
  • Codice fiscale
  • Indirizzo di residenza/domicilio
  • Numero di telefono
  • Indirizzo email
  • Professione

5.2 Dati di accesso alla piattaforma

  • Credenziali (email + password cifrata secondo standard industriali con Argon2)
  • Indirizzo IP, data e ora degli accessi
  • Token di autenticazione (JWT)
  • Identificativi del dispositivo per le notifiche push

5.3 Dati relativi alla formazione

  • Corsi a cui l'utente è iscritto o che ha completato
  • Progressi, ore di frequenza, voti, certificazioni
  • Dossier formativi caricati dall'utente (documenti, attestati, materiali personali)
  • Contenuti prodotti dall'utente nella community (post, commenti, reazioni)

5.4 Dati di pagamento

  • Importi versati per iscrizione ai corsi e quota associativa
  • Metodo di pagamento utilizzato (bonifico, PayPal, Satispay, Stripe)
  • Identificativi transazione forniti dai processori di pagamento
  • NON trattiamo direttamente i numeri di carta di credito: questi vengono gestiti esclusivamente dai circuiti di pagamento (Stripe, PayPal) che sono titolari autonomi di tale trattamento.

5.5 Dati di comunicazione

  • Preferenze di notifica (email, push, categorie)
  • Storico delle comunicazioni inviate/ricevute
  • Messaggi scambiati attraverso la chat interna

5.6 Immagini e contenuti multimediali

  • Foto del profilo caricate volontariamente dall'utente
  • Immagini/video caricati nella community o come dossier formativo
  • Registrazioni audio/video di lezioni dove l'utente può essere ritratto (con previo consenso esplicito — vedi Liberatoria Immagini)

5.7 Dati di navigazione e utilizzo

  • Pagine visitate, azioni compiute nella piattaforma
  • Browser e sistema operativo utilizzati
  • Durata delle sessioni
  • Questi dati sono trattati in forma aggregata e anonimizzata per migliorare il servizio.

6. Finalità del trattamento e basi giuridiche

Ogni trattamento avviene esclusivamente per finalità specifiche, di seguito elencate con la relativa base giuridica ai sensi dell'art. 6 GDPR:

6.1 Gestione dell'adesione associativa

Finalità: Ricevimento delle domande di adesione, rinnovo della tessera, emissione ricevute di quota associativa, gestione del rapporto associativo. Base giuridica: Esecuzione di un contratto di cui l'interessato è parte (art. 6.1.b) e adempimento di obblighi di legge relativi alla normativa sulle APS (art. 6.1.c). Conferimento: Obbligatorio. Il mancato conferimento rende impossibile l'adesione all'Associazione.

6.2 Gestione dei corsi di formazione

Finalità: Iscrizione, gestione didattica, registro delle presenze, emissione attestati e certificati accreditati ASPIN, comunicazioni relative al corso, valutazioni finali. Base giuridica: Esecuzione del contratto formativo (art. 6.1.b). Conferimento: Obbligatorio per la fruizione dei corsi.

6.3 Gestione della piattaforma digitale

Finalità: Autenticazione, profilazione tecnica dell'account, erogazione dei servizi online (studio, community, messaggistica, dossier formativo). Base giuridica: Esecuzione del contratto di servizio (art. 6.1.b). Conferimento: Obbligatorio per l'utilizzo della piattaforma.

6.4 Emissione di fatture e ricevute

Finalità: Adempimento degli obblighi fiscali e contabili. Base giuridica: Obbligo di legge (art. 6.1.c — D.P.R. 633/1972, L. 266/2005 e successive modificazioni). Tempo di conservazione: 10 anni dalla data di emissione ai sensi del Codice Civile.

6.5 Comunicazioni di servizio

Finalità: Invio di email transazionali necessarie per l'erogazione del servizio (conferme di iscrizione, recupero password, avvisi amministrativi importanti, scadenze tessera). Base giuridica: Esecuzione del contratto (art. 6.1.b). Opt-out: Non possibile, trattandosi di comunicazioni strettamente funzionali.

6.6 Comunicazioni editoriali e notifiche community

Finalità: Invio di newsletter, digest della community, notifiche di nuovi post, aggiornamenti sui corsi disponibili. Base giuridica: Consenso dell'interessato (art. 6.1.a). Opt-out: Sempre possibile dalla pagina "Preferenze notifiche" nel proprio profilo, oppure tramite link dedicato in fondo a ogni email ricevuta.

6.7 Comunicazioni promozionali di terzi

Finalità: Non effettuiamo questo tipo di trattamento. I tuoi dati non vengono mai ceduti, venduti o condivisi con soggetti terzi per finalità di marketing.

6.8 Community professionale e bacheca operatori

Finalità: Pubblicazione del profilo professionale nella community interna, inserimento in bacheca operatori per offerte di lavoro o collaborazioni. Base giuridica: Consenso esplicito dell'interessato (art. 6.1.a). Opt-out: Sempre revocabile dal proprio profilo.

6.9 Sicurezza della piattaforma

Finalità: Prevenzione frodi, monitoraggio accessi anomali, tutela dell'integrità del sistema. Base giuridica: Legittimo interesse del Titolare (art. 6.1.f). Dati trattati: Log di accesso, indirizzi IP, token di sessione. Conservati per 90 giorni.

7. Destinatari dei dati

I tuoi dati personali possono essere comunicati, per le finalità sopra descritte, alle seguenti categorie di soggetti:

7.1 Personale dell'Associazione

Amministratori, segreteria e docenti dell'Associazione, ciascuno nei limiti delle funzioni e delle autorizzazioni assegnate. Ogni accesso è tracciato e limitato da un sistema granulare di permessi (Row-Level Security).

7.2 Partner digitale (Responsabile Esterno)

NosLab S.a.s. (P.IVA 02839670227), in qualità di Responsabile Esterno del Trattamento ex art. 28 GDPR, per le finalità di sviluppo e manutenzione della piattaforma. Vedi § 4 per i dettagli.

7.3 Sub-responsabili tecnologici (fornitori di NosLab e PR APS)

Abbiamo selezionato fornitori tecnologici di alta qualità con garanzie conformi al GDPR:

Fornitore Servizio Sede
Supabase Inc. Database, autenticazione, archiviazione file Stati Uniti (server UE attivi — dati ospitati in region EU Central)
Netlify Inc. Hosting del sito web e dell'applicazione Stati Uniti (CDN globale)
Resend Inc. Invio email transazionali ed editoriali Stati Uniti (DPA firmato, SCC applicate)
Google LLC — Firebase Notifiche push ai dispositivi Stati Uniti
Aruba S.p.A. Hosting DNS, caselle email ordinarie, PEC Italia
Cloudflare Inc. CDN, DNS gestito, mitigazione DDoS e bot per il sito web Stati Uniti (rete globale con edge UE)
HighLevel Inc. (GoHighLevel / ClientClub) Piattaforma LMS per corsisti — videolezioni, CRM, magic link SSO Stati Uniti

Trasferimenti extra-UE: alcuni dei nostri fornitori hanno sede negli Stati Uniti. Per tali trasferimenti, il Titolare e il Responsabile Esterno si avvalgono delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Standard Contractual Clauses — SCC) e verificano la conformità al framework Data Privacy Framework USA-UE ove applicabile.

7.4 Autorità pubbliche

In caso di obblighi di legge, i dati possono essere comunicati a autorità giudiziarie, tributarie, Garante per la protezione dei dati personali, forze dell'ordine, limitatamente a quanto strettamente necessario.

7.5 Consulenti professionali

Commercialisti, consulenti del lavoro, revisori — vincolati da obbligo di riservatezza professionale — per adempimenti contabili e fiscali.

7.6 Processori di pagamento

Stripe, PayPal, Satispay — ai quali vengono trasmessi esclusivamente i dati necessari per l'elaborazione del pagamento, nell'ambito della loro titolarità autonoma.

8. Tempi di conservazione

I dati vengono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, e comunque nel rispetto dei seguenti criteri:

Categoria di dati Tempo di conservazione
Dati di adesione associativa Durata del rapporto associativo + 10 anni dalla cessazione
Dati di iscrizione ai corsi Durata del corso + 10 anni (obblighi fiscali)
Dati contabili e fiscali 10 anni (art. 2220 c.c.)
Dati di comunicazione (email inviate) 3 anni dall'ultima interazione
Contenuti community (post, commenti) Fino a richiesta di cancellazione dell'utente o chiusura dell'account
Messaggi privati in chat 2 anni dall'ultimo messaggio, salvo richiesta di cancellazione anticipata
Log di accesso e sicurezza 90 giorni
Cookie tecnici Durata della sessione
Cookie di preferenza 1 anno
Backup del database 30 giorni a rotazione

Alla scadenza, i dati vengono cancellati in modo sicuro o anonimizzati in modo irreversibile.

9. I tuoi diritti

In qualità di interessato, hai il diritto di esercitare in qualsiasi momento i seguenti diritti ai sensi degli artt. 15-22 GDPR:

9.1 Diritto di accesso (art. 15)

Puoi chiederci conferma che stiamo trattando i tuoi dati e ottenere una copia completa.

9.2 Diritto di rettifica (art. 16)

Puoi richiedere la correzione di dati inesatti o l'integrazione di dati incompleti. La maggior parte dei dati è modificabile direttamente dal tuo profilo utente.

9.3 Diritto alla cancellazione — "Diritto all'oblio" (art. 17)

Puoi richiedere la cancellazione dei tuoi dati. La richiesta verrà evasa entro 30 giorni, salvo che sussistano obblighi di conservazione previsti dalla legge (es. dati fiscali).

9.4 Diritto di limitazione (art. 18)

Puoi richiedere la limitazione del trattamento in casi specifici (es. contestazione dell'esattezza dei dati).

9.5 Diritto alla portabilità (art. 20)

Puoi richiedere di ricevere una copia dei tuoi dati in formato strutturato, di uso comune e leggibile (es. JSON, CSV) e di trasmetterli ad altro titolare.

9.6 Diritto di opposizione (art. 21)

Puoi opporti in qualsiasi momento al trattamento dei tuoi dati per finalità di marketing diretto o basate sul legittimo interesse.

9.7 Diritto di revoca del consenso

Se il trattamento si basa sul tuo consenso, puoi revocarlo in qualsiasi momento — senza pregiudicare la liceità del trattamento effettuato fino a quel momento.

9.8 Come esercitare i tuoi diritti

Puoi esercitare i tuoi diritti in uno dei seguenti modi:

  1. Dal tuo profilo utente — molte azioni (modifica dati, cancellazione account, esportazione dati) sono disponibili direttamente nell'app alla sezione Profilo → Privacy e dati.
  2. Via email ordinaria a info@puntoriflesso.com
  3. Via PEC a postmaster@pec.puntoriflesso.com per comunicazioni formali
  4. Via posta raccomandata a: Punto Riflesso APS, Via Nazionale 10, 38027 Terzolas (TN)

Tutti i diritti sono esercitabili nei confronti del Titolare (PR APS). NosLab, in qualità di Responsabile Esterno, supporta il Titolare nell'adempimento ma non riceve direttamente richieste dagli interessati.

Risponderemo entro 30 giorni (eventualmente prorogabili fino a 60 giorni in caso di richieste particolarmente complesse, previa comunicazione).

9.9 Reclamo al Garante

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali Piazza Venezia 11, 00187 Roma Tel. +39 06 69677 1 www.garanteprivacy.it

10. Sicurezza dei dati

Adottiamo misure di sicurezza tecniche e organizzative adeguate a proteggere i tuoi dati:

  • Cifratura in transito (TLS 1.2+) per tutte le comunicazioni tra browser e server
  • Cifratura a riposo dei database Supabase (AES-256)
  • Hashing password con algoritmo Argon2
  • Row-Level Security granulare: ogni utente può accedere solo ai propri dati (salvo ruoli specifici)
  • Backup automatici giornalieri con retention 30 giorni
  • Audit log accessi amministrativi
  • Autenticazione a due fattori (OTP via email) per il recupero password
  • Controllo accessi basato su ruoli (role-based access control)

Tali misure sono implementate congiuntamente dal Titolare (PR APS) e dal Responsabile Esterno (NosLab S.a.s.), ciascuno per le proprie competenze.

Nonostante le misure adottate, nessun sistema informatico è invulnerabile al 100%. In caso di violazione (data breach) che possa rappresentare un rischio per i diritti degli interessati, provvederemo alla notifica al Garante entro 72 ore e, ove richiesto, alla comunicazione diretta agli interessati. NosLab è tenuta a comunicare al Titolare ogni violazione entro 24 ore dalla scoperta, ai sensi del DPA.

11. Minori di 16 anni

I nostri servizi sono rivolti a persone di età pari o superiore a 16 anni. Non raccogliamo consapevolmente dati di minori al di sotto di tale soglia. Se venissimo a conoscenza del trattamento di dati di un minore senza il consenso di chi esercita la potestà genitoriale, provvederemo alla cancellazione immediata.

12. Modifiche all'informativa

La presente informativa può essere aggiornata per adeguarsi a nuove disposizioni normative, per l'introduzione di nuovi servizi o per affinamenti gestionali. In caso di modifiche sostanziali, ti informeremo:

  1. Via email all'indirizzo associato al tuo account
  2. Tramite notifica in-app al successivo accesso
  3. Pubblicando la data di aggiornamento in testa a questo documento

Al tuo successivo accesso dopo una modifica sostanziale, ti verrà richiesto di accettare la nuova versione prima di proseguire.

L'archivio delle versioni precedenti è consultabile su richiesta all'indirizzo info@puntoriflesso.com.

Note di versione

Versione 1.1 (24 aprile 2026) — Integrazione di NosLab S.a.s. come Responsabile Esterno del Trattamento ex art. 28 GDPR (nuova sezione 4, aggiornamenti sez. 7 e sez. 10). Versione 1.0 (24 aprile 2026) — Prima pubblicazione.

Documento redatto in ottemperanza al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 aggiornato dal D.Lgs. 101/2018, alle Linee Guida del Garante per la Protezione dei Dati Personali e alle specifiche di settore per le Associazioni di Promozione Sociale.

Ultima revisione: 24 aprile 2026 — Versione 1.1