INFORMATIVA SULLA PRIVACY

Trattamento dei dati personali ai sensi della LPD svizzera e del Regolamento (UE) 2016/679 (GDPR)

www.route-crypto-training.net

1. Introduzione

La presente Informativa sulla Privacy (di seguito, l’“Informativa”) descrive le modalità con cui MFG Consulting SA, con sede legale in Corso Elvezia 16, 6900 Lugano, Svizzera (di seguito, la “Società” o il “Titolare”), raccoglie, utilizza e protegge i dati personali degli utenti che accedono al sito web www.route-crypto-training.net (di seguito, il “Sito”) e usufruiscono dei corsi di e-learning erogati tramite la piattaforma tecnologica Thinkific Labs Inc., con sede in Canada (di seguito, “Thinkific”).

La presente Informativa è resa ai sensi: (i) della Legge federale svizzera sulla protezione dei dati del 25 settembre 2020 (“nLPD”), entrata in vigore il 1° settembre 2023, e della relativa Ordinanza (OLPD); (ii) del Regolamento (UE) 2016/679 (“GDPR”), applicabile in virtù dell’art. 3, par. 2, GDPR, in quanto la Società offre servizi a interessati residenti nello Spazio Economico Europeo.

In caso di conflitto tra le normative, prevale la disposizione che riconosce maggiore tutela all’interessato.

2. Titolare del Trattamento

Titolare del trattamento dei dati personali è MFG Consulting SA, Corso Elvezia 16, 6900 Lugano, Svizzera, rappresentata dal Sig. Maurizio Camponovo. Per qualsiasi richiesta in merito al trattamento dei dati personali è possibile contattare il Titolare ai seguenti recapiti:

• E-mail generale: [email protected]
• E-mail del rappresentante: [email protected]

3. Rappresentante nell’Unione Europea

Qualora la Società tratti sistematicamente e su larga scala dati personali di interessati residenti nell’Unione Europea, ai sensi dell’art. 27 GDPR potrebbe essere designato un rappresentante nell’Unione. Allo stato, [indicare nome e contatti del rappresentante UE oppure: la Società non ha designato un rappresentante UE, ritenendo che l’attività di trattamento non rientri tra quelle che ne impongono la nomina ai sensi dell’art. 27, par. 2, GDPR].

4. Responsabile della Protezione dei Dati (DPO)

La Società non ha nominato un Responsabile della Protezione dei Dati (DPO/Data Protection Officer), non ricorrendone i presupposti obbligatori di cui all’art. 37 GDPR né ai sensi della nLPD. Per ogni questione relativa al trattamento dei dati personali è possibile rivolgersi direttamente al Titolare ai recapiti indicati al punto 2.

5. Base Giuridica del Trattamento

La Società tratta i dati personali sulla base di una o più delle seguenti condizioni di liceità, previste dall’art. 6, par. 1, GDPR e dagli artt. 30 e 31 nLPD:

• Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR; art. 31, cpv. 2, lett. a, nLPD): per la fornitura dei Servizi richiesti dall’utente, l’iscrizione ai Corsi, l’elaborazione dei pagamenti e la gestione del rapporto contrattuale;
• Obbligo legale (art. 6, par. 1, lett. c, GDPR; art. 31, cpv. 1, nLPD): per adempiere a obblighi previsti dalla legge svizzera o dell’Unione Europea (es. obblighi fiscali, contabili, antiriciclaggio);
• Consenso (art. 6, par. 1, lett. a, GDPR; art. 31, cpv. 1, nLPD): per l’invio di comunicazioni promozionali, newsletter e marketing diretto. Il consenso è facoltativo, specifico, informato e revocabile in qualsiasi momento;
• Legittimo interesse (art. 6, par. 1, lett. f, GDPR; art. 31, cpv. 1, lett. d, nLPD): per garantire la sicurezza informatica del Sito, prevenire frodi, far valere o difendere un diritto in sede giudiziale, e migliorare i Servizi offerti.

Il conferimento dei dati identificativi, di contatto e di pagamento è necessario per la conclusione del contratto e per la fruizione dei Corsi; il rifiuto di fornirli rende impossibile l’erogazione dei Servizi. Il conferimento dei dati per finalità di marketing è invece facoltativo e il rifiuto non pregiudica l’accesso ai Servizi.

6. Tipologia di Dati Raccolti

La Società raccoglie e tratta le seguenti categorie di dati personali:

• Dati identificativi: nome, cognome;
• Dati di contatto: indirizzo e-mail, eventuale numero di telefono;
• Dati professionali (ove applicabile): qualifica, datore di lavoro, codice identificativo professionale (es. RUI per intermediari assicurativi), per la certificazione delle ore di formazione IVASS/CONSOB;
• Dati relativi alla fruizione dei Corsi: login, progressi, completamento, esiti dei test, certificati rilasciati;
• Dati di pagamento: informazioni necessarie per elaborare le transazioni, trattate direttamente dai fornitori terzi Stripe e PayPal (cfr. punto 12);
• Dati tecnici e di navigazione: indirizzo IP, browser, sistema operativo, log di accesso, dati raccolti tramite cookie e tecnologie analoghe (cfr. Cookie Policy).

La Società non raccoglie deliberatamente categorie particolari di dati ai sensi dell’art. 9 GDPR e dell’art. 5, lett. c, nLPD (cd. “dati personali degni di particolare protezione”).

7. Finalità del Trattamento

I dati personali sono trattati per le seguenti finalità:

• Registrazione dell’utente, gestione dell’account e fornitura dei Corsi di e-learning;
• Monitoraggio dei progressi formativi, rilascio di attestati e certificati, certificazione delle ore di formazione ai fini IVASS, CONSOB o di altri organismi di settore;
• Elaborazione dei pagamenti e gestione amministrativa e contabile;
• Comunicazioni di servizio (es. modifiche ai termini contrattuali, aggiornamenti sui Corsi, comunicazioni tecniche o di sicurezza);
• Invio di newsletter e comunicazioni di marketing, previo consenso specifico dell’utente;
• Adempimento di obblighi di legge, regolamentari e fiscali;
• Tutela dei diritti della Società, prevenzione di frodi e abusi, sicurezza informatica;
• Risposta a richieste di esercizio dei diritti dell’interessato e a comunicazioni delle Autorità.

8. Modalità del Trattamento e Comunicazioni Elettroniche

Il trattamento avviene con strumenti informatici e telematici, con logiche strettamente correlate alle finalità sopra indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. La Società adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR e dell’art. 8 nLPD.

La Società comunica con gli utenti tramite mezzi elettronici (in particolare posta elettronica) che, salvo diversa indicazione, non sono cifrati end-to-end. L’utente è informato che tali canali presentano rischi residui in termini di riservatezza e integrità dei messaggi; proseguendo nell’utilizzo del Sito e nella corrispondenza via e-mail, l’utente ne prende atto e accetta tali rischi. L’utente può in ogni momento richiedere modalità di comunicazione alternative, ove tecnicamente praticabili, contattando il Titolare ai recapiti di cui al punto 2.

La Società può avvalersi di fornitori terzi qualificati per la manutenzione e la gestione dei propri sistemi informatici, nominati Responsabili del trattamento ai sensi dell’art. 28 GDPR e dell’art. 9 nLPD.

9. Destinatari dei Dati e Servizi di Terze Parti

I dati personali possono essere comunicati ai seguenti destinatari, nei limiti strettamente necessari alle finalità del trattamento:

• Thinkific Labs Inc. (Canada) — fornitore della piattaforma di e-learning, designato Responsabile del trattamento;
• Stripe Payments Europe Ltd. e PayPal (Europe) S.à r.l. et Cie, S.C.A. — fornitori dei servizi di pagamento, che operano in qualità di titolari autonomi del trattamento per i dati di pagamento da essi raccolti; si invita a consultare le rispettive informative privacy disponibili su stripe.com e paypal.com;
• Fornitori di servizi IT, hosting, sicurezza informatica e assistenza tecnica, nominati Responsabili del trattamento;
• Consulenti professionali (legali, fiscali, contabili) tenuti a obbligo di riservatezza;
• Autorità pubbliche, di vigilanza e giudiziarie, qualora richiesto dalla legge;
• Soggetti datori di lavoro dell’utente, limitatamente ai dati di completamento dei Corsi, nei casi in cui l’iscrizione avvenga nell’ambito di un contratto corporate (cfr. Condizioni Generali di Utilizzo).

10. Trasferimento dei Dati all’Estero

I Corsi sono erogati tramite la piattaforma Thinkific, con sede in Canada. Il trasferimento dei dati personali verso il Canada avviene sulla base delle seguenti garanzie:

• Decisione di adeguatezza UE: la Commissione Europea ha riconosciuto con Decisione 2002/2/CE che il Canada garantisce un livello adeguato di protezione dei dati personali limitatamente alle organizzazioni private soggette al Personal Information Protection and Electronic Documents Act (PIPEDA). Thinkific è soggetta al PIPEDA;
• Riconoscimento svizzero: anche il Consiglio federale svizzero, ai sensi dell’art. 16 nLPD, ha incluso il Canada (con le medesime limitazioni) nell’elenco degli Stati che garantiscono una protezione adeguata;
• Garanzie contrattuali aggiuntive: in via prudenziale, sono in essere con Thinkific Clausole Contrattuali Standard ai sensi della Decisione UE 2021/914 e del modulo svizzero approvato dall’Incaricato federale, ove applicabili.

Per ulteriori informazioni sulle garanzie applicate ai trasferimenti, l’utente può rivolgersi al Titolare ai recapiti di cui al punto 2.

11. Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, secondo i seguenti criteri:

• Dati contrattuali, amministrativi e fiscali: 10 anni dalla cessazione del rapporto contrattuale, ai sensi della normativa fiscale e contabile svizzera (art. 958f CO) e, ove applicabile, dell’art. 2220 c.c. italiano;
• Dati relativi alla certificazione delle ore di formazione (IVASS, CONSOB e analoghe): per l’intero periodo previsto dalla normativa di settore applicabile (a titolo indicativo, 5 anni ai sensi dell’art. 95 Reg. IVASS n. 40/2018);
• Dati di marketing (newsletter, comunicazioni promozionali): fino alla revoca del consenso e comunque non oltre 24 mesi dall’ultima interazione dell’utente, salvo rinnovo;
• Log di accesso e dati tecnici: non oltre 12 mesi, salvo necessità di conservazione per finalità di sicurezza o richieste delle Autorità;
• Dati trattati per la difesa in giudizio: per il tempo necessario all’accertamento, esercizio o difesa di un diritto, e comunque entro i termini di prescrizione applicabili.

Al termine dei periodi di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile.

12. Cookie e Tecnologie di Tracciamento

Il Sito utilizza cookie tecnici, analitici e, previo consenso, di profilazione o marketing. Per informazioni dettagliate sui cookie utilizzati, sulle finalità e sulle modalità di gestione delle preferenze si rinvia alla Cookie Policy pubblicata sul Sito, che costituisce parte integrante della presente Informativa.

13. Profilazione e Decisioni Automatizzate

La Società non effettua processi decisionali automatizzati né profilazione produttiva di effetti giuridici o significativi sull’interessato ai sensi dell’art. 22 GDPR e dell’art. 21 nLPD. Eventuali analisi statistiche aggregate sui Corsi sono effettuate in forma anonima o pseudonimizzata e non producono effetti individuali sugli utenti.

14. Trattamento dei Dati dei Minori

I Servizi sono rivolti a soggetti maggiorenni. L’iscrizione alla Piattaforma è riservata a utenti che abbiano compiuto il 18° anno di età. Qualora la Società venisse a conoscenza di un trattamento di dati riferito a un minore in assenza di valido consenso, procederà alla tempestiva cancellazione dei dati.

15. Sicurezza dei Dati

La Società adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, alterazione, distruzione o divulgazione, in conformità all’art. 32 GDPR e all’art. 8 nLPD. Tali misure includono, a titolo esemplificativo, controlli di accesso, cifratura dei dati in transito, backup periodici, segregazione degli ambienti, formazione del personale autorizzato al trattamento.

Pur adottando le migliori misure di sicurezza disponibili, la Società non può garantire l’assoluta inviolabilità dei dati trasmessi via Internet o archiviati in formato elettronico.

16. Diritti degli Interessati

Ai sensi degli artt. 15-22 GDPR e degli artt. 25 e seguenti nLPD, l’interessato ha diritto di:

• Accedere ai propri dati personali e ottenerne copia;
• Rettificare dati inesatti o integrare dati incompleti;
• Ottenere la cancellazione dei dati (“diritto all’oblio”), nei limiti previsti dalla legge;
• Limitare il trattamento dei propri dati;
• Opporsi al trattamento, anche per finalità di marketing diretto;
• Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (portabilità);
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato anteriormente alla revoca;
• Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato.

Per esercitare tali diritti l’interessato può scrivere a [email protected] o [email protected]. La Società risponde senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione della richiesta.

L’interessato ha inoltre diritto di proporre reclamo alle Autorità competenti:

• Incaricato federale della protezione dei dati e della trasparenza (IFPDT) — Feldeggweg 1, CH-3003 Berna, www.edoeb.admin.ch;
• Garante per la Protezione dei Dati Personali (Italia) — Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it, qualora l’interessato risieda in Italia;
• Autorità di controllo dello Stato UE di residenza, lavoro o del luogo in cui si è verificata la presunta violazione, ai sensi dell’art. 77 GDPR.

17. Modifiche all’Informativa

La Società si riserva il diritto di modificare la presente Informativa per adeguarla a evoluzioni normative, tecnologiche od organizzative. Le modifiche saranno pubblicate sul Sito con indicazione della data di aggiornamento e, ove le modifiche siano sostanziali, sarà data notizia tramite e-mail agli utenti registrati. Si invita a consultare periodicamente questa pagina.

18. Contatti

Per qualsiasi domanda relativa alla presente Informativa o al trattamento dei dati personali è possibile contattare la Società ai seguenti indirizzi:

• E-mail: [email protected]
• E-mail del rappresentante: [email protected]
• Indirizzo postale: MFG Consulting SA, Corso Elvezia 16, 6900 Lugano, Svizzera