Documento legale · v2.0

Privacy Policy

Informativa sul Trattamento dei Dati Personali (GDPR)

In vigore dal 8 luglio 2026

Informativa sul Trattamento dei Dati Personali

Privacy Policy ai sensi del Regolamento UE 2016/679 (GDPR)

NosLab S.a.s. di Bresadola Cristian (marchio Punto Riflesso) Sede legale: Via Nazionale 10 · 38027 Terzolas (TN) · Italia Sede operativa: Vicolo della Contrada Tedesca 9 · 38122 Trento C.F./P.IVA 02839670227 · Codice SDI SU9YNJA · PEC info@pec.noslab.it www.puntoriflesso.com

Versione 2.0, in vigore dal 5 luglio 2026 Ultima modifica: 5 luglio 2026 (NosLab S.a.s. assume il ruolo di Titolare del trattamento a seguito dello scioglimento dell'associazione Punto Riflesso e del passaggio del marchio)


1. Introduzione

La presente informativa descrive le modalità con cui NosLab S.a.s. di Bresadola Cristian, società che opera con il marchio Punto Riflesso (di seguito anche "Punto Riflesso", "la Società" o "noi"), raccoglie, utilizza e protegge i dati personali degli utenti che interagiscono con i nostri servizi digitali e in presenza.

Abbiamo scritto questo documento con la massima chiarezza possibile, evitando il linguaggio tecnico-legale dove non strettamente necessario. Se qualche punto non ti risulta chiaro, puoi sempre contattarci all'indirizzo info@puntoriflesso.com per chiedere chiarimenti.

La protezione dei tuoi dati personali è una responsabilità che prendiamo sul serio. Ogni trattamento avviene nel rispetto del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come aggiornato dal D.Lgs. 101/2018.


2. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

NosLab S.a.s. di Bresadola Cristian Società operante con il marchio Punto Riflesso, scuola di formazione olistica accreditata ASPIN Sede legale: Via Nazionale 10, 38027 Terzolas (TN), Italia Sede operativa corsi: Vicolo della Contrada Tedesca 9, 38122 Trento Codice Fiscale e Partita IVA: 02839670227 Codice SDI: SU9YNJA Email: info@puntoriflesso.com PEC: info@pec.noslab.it Telefono: +39 339 638 3790

Legale rappresentante: Cristian Bresadola (socio accomandatario)


3. Responsabile della Protezione dei Dati (DPO)

Il Titolare ha designato quale Responsabile della Protezione dei Dati (DPO) il Titolare del trattamento, Cristian Bresadola, legale rappresentante di NosLab S.a.s., contattabile all'indirizzo info@puntoriflesso.com per ogni questione in materia di protezione dei dati personali.


4. Responsabili Esterni del Trattamento

Per l'erogazione dei propri servizi digitali (sito, applicazione, community, piattaforma e-learning), il Titolare si avvale di fornitori tecnologici selezionati, che trattano dati personali per conto del Titolare in qualità di Responsabili Esterni del Trattamento ai sensi dell'art. 28 GDPR, ciascuno vincolato da apposito accordo (Data Processing Agreement) e tenuto agli obblighi di riservatezza, sicurezza e liceità previsti dal Regolamento.

L'elenco dei fornitori tecnologici nominati Responsabili Esterni è riportato al paragrafo 7.2.

I Responsabili Esterni:

  • Trattano i dati personali esclusivamente su istruzione del Titolare
  • Non utilizzano i dati per finalità proprie
  • Non comunicano i dati a soggetti terzi senza autorizzazione del Titolare
  • Sono tenuti a comunicare al Titolare ogni violazione di dati nei termini previsti dai rispettivi accordi

5. Tipologie di dati trattati

A seconda dei servizi utilizzati, possiamo trattare le seguenti categorie di dati personali:

5.1 Dati anagrafici e di contatto

  • Nome, cognome, data e luogo di nascita
  • Codice fiscale
  • Indirizzo di residenza/domicilio
  • Numero di telefono
  • Indirizzo email
  • Professione

5.2 Dati di accesso alla piattaforma

  • Credenziali (email + password cifrata secondo standard industriali con Argon2)
  • Indirizzo IP, data e ora degli accessi
  • Token di autenticazione (JWT)
  • Identificativi del dispositivo per le notifiche push

5.3 Dati relativi alla formazione

  • Corsi a cui l'utente è iscritto o che ha completato
  • Progressi, ore di frequenza, voti, certificazioni
  • Dossier formativi caricati dall'utente (documenti, attestati, materiali personali)
  • Contenuti prodotti dall'utente nella community (post, commenti, reazioni)

5.4 Dati di pagamento

  • Importi versati per iscrizione ai corsi e per l'eventuale abbonamento cliente
  • Metodo di pagamento utilizzato (bonifico, PayPal, Satispay, Stripe)
  • Identificativi transazione forniti dai processori di pagamento
  • NON trattiamo direttamente i numeri di carta di credito: questi vengono gestiti esclusivamente dai circuiti di pagamento (Stripe, PayPal) che sono titolari autonomi di tale trattamento.

5.5 Dati di comunicazione

  • Preferenze di notifica (email, push, categorie)
  • Storico delle comunicazioni inviate/ricevute
  • Messaggi scambiati attraverso la chat interna

5.6 Immagini e contenuti multimediali

  • Foto del profilo caricate volontariamente dall'utente
  • Immagini/video caricati nella community o come dossier formativo
  • Registrazioni audio/video di lezioni dove l'utente può essere ritratto (con previo consenso esplicito, vedi Liberatoria Immagini)

5.7 Dati di navigazione e utilizzo

  • Pagine visitate, azioni compiute nella piattaforma
  • Browser e sistema operativo utilizzati
  • Durata delle sessioni
  • Questi dati sono trattati in forma aggregata e anonimizzata per migliorare il servizio.

6. Finalità del trattamento e basi giuridiche

Ogni trattamento avviene esclusivamente per finalità specifiche, di seguito elencate con la relativa base giuridica ai sensi dell'art. 6 GDPR:

6.1 Gestione del rapporto con il cliente

Finalità: Ricevimento delle richieste di iscrizione e adesione ai servizi, gestione dell'eventuale abbonamento cliente, emissione delle relative ricevute, gestione del rapporto con il cliente. Base giuridica: Esecuzione di un contratto di cui l'interessato è parte (art. 6.1.b). Conferimento: Obbligatorio. Il mancato conferimento rende impossibile l'attivazione del rapporto e la fruizione dei servizi.

6.2 Gestione dei corsi di formazione

Finalità: Iscrizione, gestione didattica, registro delle presenze, emissione attestati e certificati accreditati ASPIN, comunicazioni relative al corso, valutazioni finali. Base giuridica: Esecuzione del contratto formativo (art. 6.1.b). Conferimento: Obbligatorio per la fruizione dei corsi.

6.3 Gestione della piattaforma digitale

Finalità: Autenticazione, profilazione tecnica dell'account, erogazione dei servizi online (studio, community, messaggistica, dossier formativo). Base giuridica: Esecuzione del contratto di servizio (art. 6.1.b). Conferimento: Obbligatorio per l'utilizzo della piattaforma.

6.4 Emissione di fatture e ricevute

Finalità: Adempimento degli obblighi fiscali e contabili. Base giuridica: Obbligo di legge (art. 6.1.c, D.P.R. 633/1972 e successive modificazioni). Tempo di conservazione: 10 anni dalla data di emissione ai sensi del Codice Civile.

6.5 Comunicazioni di servizio

Finalità: Invio di email transazionali necessarie per l'erogazione del servizio (conferme di iscrizione, recupero password, avvisi amministrativi importanti, scadenze abbonamento). Base giuridica: Esecuzione del contratto (art. 6.1.b). Opt-out: Non possibile, trattandosi di comunicazioni strettamente funzionali.

6.6 Comunicazioni editoriali e notifiche community

Finalità: Invio di newsletter, digest della community, notifiche di nuovi post, aggiornamenti sui corsi disponibili. Base giuridica: Consenso dell'interessato (art. 6.1.a). Opt-out: Sempre possibile dalla pagina "Preferenze notifiche" nel proprio profilo, oppure tramite link dedicato in fondo a ogni email ricevuta.

6.7 Comunicazioni promozionali di terzi

Finalità: Non effettuiamo questo tipo di trattamento. I tuoi dati non vengono mai ceduti, venduti o condivisi con soggetti terzi per finalità di marketing.

6.8 Community professionale e bacheca operatori

Finalità: Pubblicazione del profilo professionale nella community interna, inserimento in bacheca operatori per offerte di lavoro o collaborazioni. Base giuridica: Consenso esplicito dell'interessato (art. 6.1.a). Opt-out: Sempre revocabile dal proprio profilo.

6.9 Sicurezza della piattaforma

Finalità: Prevenzione frodi, monitoraggio accessi anomali, tutela dell'integrità del sistema. Base giuridica: Legittimo interesse del Titolare (art. 6.1.f). Dati trattati: Log di accesso, indirizzi IP, token di sessione. Conservati per 90 giorni.


7. Destinatari dei dati

I tuoi dati personali possono essere comunicati, per le finalità sopra descritte, alle seguenti categorie di soggetti:

7.1 Personale del Titolare

Amministratori, segreteria e docenti del Titolare (marchio Punto Riflesso), ciascuno nei limiti delle funzioni e delle autorizzazioni assegnate. Ogni accesso è tracciato e limitato da un sistema granulare di permessi (Row-Level Security).

7.2 Responsabili Esterni tecnologici (fornitori nominati dal Titolare)

Abbiamo selezionato fornitori tecnologici di alta qualità con garanzie conformi al GDPR:

Fornitore Servizio Sede
Supabase Inc. Database, autenticazione, archiviazione file Stati Uniti (server UE attivi, dati ospitati in region EU Central)
Netlify Inc. Hosting del sito web e dell'applicazione Stati Uniti (CDN globale)
Resend Inc. Invio email transazionali ed editoriali Stati Uniti (DPA firmato, SCC applicate)
Google LLC, Firebase Notifiche push ai dispositivi Stati Uniti
Aruba S.p.A. Hosting DNS, caselle email ordinarie, PEC Italia
Cloudflare Inc. CDN, DNS gestito, mitigazione DDoS e bot per il sito web Stati Uniti (rete globale con edge UE)

Trasferimenti extra-UE: alcuni dei nostri fornitori hanno sede negli Stati Uniti. Per tali trasferimenti, il Titolare si avvale delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Standard Contractual Clauses, SCC) e verifica la conformità al framework Data Privacy Framework USA-UE ove applicabile.

7.3 Autorità pubbliche

In caso di obblighi di legge, i dati possono essere comunicati ad autorità giudiziarie, tributarie, Garante per la protezione dei dati personali, forze dell'ordine, limitatamente a quanto strettamente necessario.

7.4 Consulenti professionali

Commercialisti, consulenti del lavoro, revisori, vincolati da obbligo di riservatezza professionale, per adempimenti contabili e fiscali.

7.5 Processori di pagamento

Stripe, PayPal, Satispay, ai quali vengono trasmessi esclusivamente i dati necessari per l'elaborazione del pagamento, nell'ambito della loro titolarità autonoma.


8. Tempi di conservazione

I dati vengono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, e comunque nel rispetto dei seguenti criteri:

Categoria di dati Tempo di conservazione
Dati del rapporto con il cliente Durata del rapporto + 10 anni dalla cessazione
Dati di iscrizione ai corsi Durata del corso + 10 anni (obblighi fiscali)
Dati contabili e fiscali 10 anni (art. 2220 c.c.)
Dati di comunicazione (email inviate) 3 anni dall'ultima interazione
Contenuti community (post, commenti) Fino a richiesta di cancellazione dell'utente o chiusura dell'account
Messaggi privati in chat 2 anni dall'ultimo messaggio, salvo richiesta di cancellazione anticipata
Log di accesso e sicurezza 90 giorni
Cookie tecnici Durata della sessione
Cookie di preferenza 1 anno
Backup del database 30 giorni a rotazione

Alla scadenza, i dati vengono cancellati in modo sicuro o anonimizzati in modo irreversibile.


9. I tuoi diritti

In qualità di interessato, hai il diritto di esercitare in qualsiasi momento i seguenti diritti ai sensi degli artt. 15-22 GDPR:

9.1 Diritto di accesso (art. 15)

Puoi chiederci conferma che stiamo trattando i tuoi dati e ottenere una copia completa.

9.2 Diritto di rettifica (art. 16)

Puoi richiedere la correzione di dati inesatti o l'integrazione di dati incompleti. La maggior parte dei dati è modificabile direttamente dal tuo profilo utente.

9.3 Diritto alla cancellazione: "Diritto all'oblio" (art. 17)

Puoi richiedere la cancellazione dei tuoi dati. La richiesta verrà evasa entro 30 giorni, salvo che sussistano obblighi di conservazione previsti dalla legge (es. dati fiscali).

9.4 Diritto di limitazione (art. 18)

Puoi richiedere la limitazione del trattamento in casi specifici (es. contestazione dell'esattezza dei dati).

9.5 Diritto alla portabilità (art. 20)

Puoi richiedere di ricevere una copia dei tuoi dati in formato strutturato, di uso comune e leggibile (es. JSON, CSV) e di trasmetterli ad altro titolare.

9.6 Diritto di opposizione (art. 21)

Puoi opporti in qualsiasi momento al trattamento dei tuoi dati per finalità di marketing diretto o basate sul legittimo interesse.

9.7 Diritto di revoca del consenso

Se il trattamento si basa sul tuo consenso, puoi revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato fino a quel momento.

9.8 Come esercitare i tuoi diritti

Puoi esercitare i tuoi diritti in uno dei seguenti modi:

  1. Dal tuo profilo utente: molte azioni (modifica dati, cancellazione account, esportazione dati) sono disponibili direttamente nell'app alla sezione Profilo → Privacy e dati.
  2. Via email ordinaria a info@puntoriflesso.com
  3. Via PEC a info@pec.noslab.it per comunicazioni formali
  4. Via posta raccomandata a: NosLab S.a.s., Via Nazionale 10, 38027 Terzolas (TN)

Tutti i diritti sono esercitabili nei confronti del Titolare (NosLab S.a.s.).

Risponderemo entro 30 giorni (eventualmente prorogabili fino a 60 giorni in caso di richieste particolarmente complesse, previa comunicazione).

9.9 Reclamo al Garante

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali Piazza Venezia 11, 00187 Roma Tel. +39 06 69677 1 www.garanteprivacy.it


10. Sicurezza dei dati

Adottiamo misure di sicurezza tecniche e organizzative adeguate a proteggere i tuoi dati:

  • Cifratura in transito (TLS 1.2+) per tutte le comunicazioni tra browser e server
  • Cifratura a riposo dei database Supabase (AES-256)
  • Hashing password con algoritmo Argon2
  • Row-Level Security granulare: ogni utente può accedere solo ai propri dati (salvo ruoli specifici)
  • Backup automatici giornalieri con retention 30 giorni
  • Audit log accessi amministrativi
  • Autenticazione a due fattori (OTP via email) per il recupero password
  • Controllo accessi basato su ruoli (role-based access control)

Tali misure sono implementate dal Titolare (NosLab S.a.s.) e dai Responsabili Esterni tecnologici, ciascuno per le proprie competenze.

Nonostante le misure adottate, nessun sistema informatico è invulnerabile al 100%. In caso di violazione (data breach) che possa rappresentare un rischio per i diritti degli interessati, provvederemo alla notifica al Garante entro 72 ore e, ove richiesto, alla comunicazione diretta agli interessati. I Responsabili Esterni sono tenuti a comunicare al Titolare ogni violazione nei termini previsti dai rispettivi accordi.


11. Minori di 16 anni

I nostri servizi sono rivolti a persone di età pari o superiore a 16 anni. Non raccogliamo consapevolmente dati di minori al di sotto di tale soglia. Se venissimo a conoscenza del trattamento di dati di un minore senza il consenso di chi esercita la potestà genitoriale, provvederemo alla cancellazione immediata.


12. Modifiche all'informativa

La presente informativa può essere aggiornata per adeguarsi a nuove disposizioni normative, per l'introduzione di nuovi servizi o per affinamenti gestionali. In caso di modifiche sostanziali, ti informeremo:

  1. Via email all'indirizzo associato al tuo account
  2. Tramite notifica in-app al successivo accesso
  3. Pubblicando la data di aggiornamento in testa a questo documento

Al tuo successivo accesso dopo una modifica sostanziale, ti verrà richiesto di accettare la nuova versione prima di proseguire.

L'archivio delle versioni precedenti è consultabile su richiesta all'indirizzo info@puntoriflesso.com.


Note di versione

Versione 2.0 (5 luglio 2026): Aggiornamento a seguito dello scioglimento dell'associazione Punto Riflesso e del passaggio del marchio a NosLab S.a.s. NosLab S.a.s. assume il ruolo di Titolare del trattamento. Rimossa la figura del Responsabile Esterno interno (NosLab come partner/processore): i trattamenti sono ora svolti direttamente dal Titolare, che si avvale di Responsabili Esterni tecnologici (fornitori). Aggiornati i dati identificativi del Titolare, le basi giuridiche relative al rapporto con il cliente e i riferimenti al lessico associativo. Versione 1.2 / 1.1 (24 aprile 2026): Integrazione di NosLab S.a.s. come Responsabile Esterno del Trattamento ex art. 28 GDPR (superata dalla versione 2.0). Versione 1.0 (24 aprile 2026): Prima pubblicazione.


Documento redatto in ottemperanza al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 aggiornato dal D.Lgs. 101/2018 e alle Linee Guida del Garante per la Protezione dei Dati Personali.

Ultima revisione: 5 luglio 2026, Versione 2.0