Informativa sulla Privacy

1. Premessa

La presente informativa ("Informativa") descrive le modalita con cui vengono trattati i dati personali degli utenti che accedono alla piattaforma di e-learning erogata tramite Midas Learn ("Piattaforma"), gestita da Midas Touch S.R.L.

L'Informativa e resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018.

2. Titolare del Trattamento

Il Titolare del trattamento dei dati personali e:

• Midas Touch S.R.L.
• Sede legale: Via Arrigo Davila 61, 00179 Roma (RM)
• P.IVA / C.F.: 17203491000
• PEC: midastouch@legalmail.it
• REA: RM-1702781
• Legale Rappresentante: Federico Massoli

Per qualsiasi richiesta relativa al trattamento dei dati personali, e possibile scrivere a: privacy@midastouch.it

3. La Piattaforma e i Partner

Midas Touch S.R.L. gestisce una piattaforma tecnologica di e-learning utilizzata da soggetti terzi ("Partner" o "Tenant") per erogare corsi di formazione professionale ai propri utenti.

In questo contesto:

• Midas Touch S.R.L. e il Titolare del trattamento per tutti i dati raccolti e trattati tramite la Piattaforma, in quanto i database, i sistemi di autenticazione e l'infrastruttura tecnologica sono sotto il suo diretto controllo.
• Midas Learn ("Partner") opera in qualita di Responsabile del trattamento ai sensi dell'art. 28 GDPR, nei limiti dell'accesso ai dati dei propri utenti tramite il portale a loro dedicato. Il rapporto e regolato da un apposito accordo sul trattamento dei dati (Data Processing Agreement).

4. Categorie di Dati Raccolti

La Piattaforma raccoglie le seguenti categorie di dati personali:

4.1 Dati identificativi e di contatto

Forniti dall'utente in fase di registrazione:

• Nome e cognome
• Indirizzo email
• Password (conservata in forma crittografata con algoritmo scrypt)

4.2 Dati di utilizzo della Piattaforma

Generati automaticamente durante la fruizione del servizio:

• Progressi nei corsi e stato di completamento delle lezioni
• Risultati degli esami sostenuti
• Certificati ottenuti
• Note e appunti personali creati durante lo studio
• Tempo di studio e interazioni con i contenuti

4.3 Dati tecnici e di navigazione

Raccolti automaticamente dai sistemi informatici:

• Indirizzo IP
• Tipo di browser e versione
• Sistema operativo e tipo di dispositivo
• Data, ora e durata delle sessioni di accesso
• Pagine visitate all'interno della Piattaforma

Dati NON raccolti: la Piattaforma non raccoglie dati appartenenti a categorie particolari (art. 9 GDPR), quali dati sanitari, biometrici, relativi all'orientamento sessuale, alle opinioni politiche o alle convinzioni religiose. Non vengono raccolti dati relativi a pagamenti o carte di credito.

5. Finalita e Basi Giuridiche del Trattamento

I dati personali sono trattati per le seguenti finalita:

5.1 Monitoraggio degli indirizzi IP per la sicurezza dell'account

Al fine di proteggere l'integrita del servizio e prevenire la condivisione non autorizzata delle credenziali di accesso, la Piattaforma puo monitorare gli indirizzi IP da cui ciascun account effettua l'accesso. Tale trattamento si fonda sul legittimo interesse del Titolare (art. 6.1.f GDPR) a tutelare i contenuti dei Partner e garantire il rispetto dei Termini di Servizio. Gli indirizzi IP sono trattati in forma pseudonimizzata e non sono utilizzati per altre finalita. L'utente ha il diritto di opporsi a tale trattamento ai sensi dell'art. 21 GDPR, fermo restando che l'opposizione potrebbe comportare la sospensione dell'account qualora il Titolare ritenga prevalente il proprio legittimo interesse alla sicurezza.

6. Destinatari dei Dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari, tutti designati come Responsabili del trattamento ai sensi dell'art. 28 GDPR ove applicabile:

6.1 Fornitori di servizi tecnologici

• Neon Inc. - Database PostgreSQL serverless (conservazione dati)
• Cloudflare Inc. - CDN, storage file multimediali (Cloudflare R2), sicurezza della rete
• Vercel Inc. - Hosting dell'applicazione web (serverless computing)

6.2 Partner (Tenant)

Il Partner tramite il quale l'utente accede alla Piattaforma ha accesso ai dati di utilizzo dei propri utenti (progressi nei corsi, risultati esami, certificati) attraverso un portale dedicato. L'accesso e limitato ai soli dati degli utenti iscritti alla propria istanza della Piattaforma.

6.3 Autorita competenti

I dati possono essere comunicati ad autorita giudiziarie o amministrative qualora richiesto dalla legge o necessario per la tutela di un diritto in sede giudiziaria.

I dati personali non sono oggetto di diffusione, ovvero non sono portati a conoscenza di soggetti indeterminati.

7. Trasferimento dei Dati al di Fuori dell'UE

Alcuni dei fornitori di servizi tecnologici utilizzati dalla Piattaforma hanno sede negli Stati Uniti d'America. I trasferimenti di dati personali verso gli USA sono effettuati sulla base delle seguenti garanzie:

• EU-US Data Privacy Framework (DPF): la Commissione Europea ha adottato una decisione di adeguatezza per i trasferimenti verso organizzazioni statunitensi certificate nell'ambito del DPF (Decisione di esecuzione (UE) 2023/1795 del 10 luglio 2023). La validita della decisione e stata confermata dal Tribunale dell'UE con sentenza del 3 settembre 2025. Cloudflare, Vercel e Neon sono organizzazioni certificate DPF.
• Clausole Contrattuali Standard (SCC): in via subordinata, i trasferimenti sono coperti dalle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione di esecuzione (UE) 2021/914), integrate nei contratti con ciascun fornitore.

I data center utilizzati da Vercel per l'hosting della Piattaforma sono localizzati nell'Unione Europea (regione EU). I file multimediali sono distribuiti tramite la rete CDN globale di Cloudflare con storage primario in regione EU.

8. Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalita per cui sono stati raccolti:

• Dati dell'account: per tutta la durata dell'iscrizione alla Piattaforma e per 12 mesi successivi alla cancellazione dell'account, per consentire un'eventuale riattivazione.
• Dati di utilizzo (progressi corsi, risultati esami): per tutta la durata dell'iscrizione e per 24 mesi successivi alla cancellazione.
• Certificati: conservati a tempo indeterminato per consentirne la verifica da parte di terzi, salvo richiesta di cancellazione da parte dell'utente.
• Log tecnici e indirizzi IP: 12 mesi dalla data di registrazione.
• Dati per adempimenti fiscali: 10 anni dalla chiusura dell'esercizio, come previsto dalla normativa fiscale italiana.
• Dati per marketing (ove il consenso sia prestato): fino alla revoca del consenso.

Decorsi i periodi sopra indicati, i dati vengono cancellati o anonimizzati in modo irreversibile.

9. Diritti dell'Interessato

Ai sensi degli articoli da 15 a 22 del GDPR, l'utente ha il diritto di:

• Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali.
• Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
• Cancellazione (art. 17): ottenere la cancellazione dei propri dati, nei limiti previsti dalla legge.
• Limitazione (art. 18): ottenere la limitazione del trattamento in determinati casi.
• Portabilita (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
• Opposizione (art. 21): opporsi al trattamento fondato sul legittimo interesse, incluso il monitoraggio IP.
• Revoca del consenso (art. 7.3): revocare in qualsiasi momento il consenso prestato per il marketing, senza pregiudicare la liceita del trattamento basato sul consenso prestato prima della revoca.

Per esercitare i propri diritti, l'utente puo scrivere a: privacy@midastouch.it

Il Titolare si impegna a rispondere entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12 GDPR.

10. Diritto di Reclamo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'utente che ritenga che il trattamento dei propri dati violi il GDPR ha il diritto di proporre reclamo all'Autorita Garante per la Protezione dei Dati Personali:

• Garante per la protezione dei dati personali
• Piazza Venezia n. 11, 00187 Roma
• Email: protocollo@gpdp.it
• PEC: protocollo@pec.gpdp.it
• Sito web: www.garanteprivacy.it

11. Cookie e Tecnologie Simili

La Piattaforma utilizza esclusivamente cookie tecnici, necessari al funzionamento del servizio. In particolare:

• Cookie di sessione e autenticazione: necessari per mantenere la sessione dell'utente dopo il login (durata: 7 giorni).
• Cookie di preferenza: per memorizzare le impostazioni dell'utente (es. tema chiaro/scuro). Conservati in localStorage, non trasmessi al server.

I cookie tecnici non richiedono il consenso dell'utente ai sensi dell'art. 122 del D.Lgs. 196/2003 e delle Linee Guida del Garante Privacy del 10 giugno 2021.

La Piattaforma non utilizza cookie di profilazione, cookie pubblicitari o strumenti di tracciamento di terze parti (es. Google Analytics, Meta Pixel). Qualora in futuro venissero introdotti strumenti di analisi, l'informativa sara aggiornata e sara richiesto il consenso preventivo dell'utente tramite un apposito banner.

12. Processi Decisionali Automatizzati e Profilazione

La Piattaforma non effettua attivita di profilazione automatizzata con effetti giuridici o che incidano in modo analogo significativamente sull'utente ai sensi dell'art. 22 GDPR.

I dati di utilizzo (progressi nei corsi, risultati esami) sono trattati esclusivamente per fornire il servizio richiesto e non per influenzare decisioni relative all'utente.

13. Responsabile della Protezione dei Dati (DPO)

Alla luce della natura e della portata dei trattamenti effettuati, che non comportano monitoraggio regolare e sistematico su larga scala ne trattamento su larga scala di categorie particolari di dati, il Titolare non e tenuto alla designazione di un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR.

Per qualsiasi questione relativa alla protezione dei dati personali, l'utente puo contattare direttamente il Titolare all'indirizzo: privacy@midastouch.it

14. Misure di Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio, tra cui:

• Crittografia delle comunicazioni tramite protocollo TLS/SSL
• Hash delle password con algoritmo crittografico scrypt (one-way, non reversibile)
• Isolamento dei dati tra i diversi Partner (architettura multi-tenant con database separati)
• Controllo degli accessi basato su ruoli (RBAC)
• Backup periodici dei database con procedure di disaster recovery
• Hosting su infrastruttura serverless con aggiornamenti di sicurezza automatici

15. Minori

La Piattaforma e destinata a utenti con almeno 16 anni di eta. Per gli utenti di eta compresa tra 16 e 18 anni, la registrazione e consentita con il consenso del genitore o del tutore legale, ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003 (che fissa a 14 anni l'eta minima per il consenso digitale in Italia).

Il Titolare non raccoglie consapevolmente dati di soggetti di eta inferiore a 14 anni. In caso di raccolta accidentale, i dati saranno cancellati tempestivamente.

16. Natura del Conferimento dei Dati

Il conferimento dei dati identificativi (nome, cognome, email) e necessario per la registrazione e l'utilizzo della Piattaforma. Il mancato conferimento rende impossibile la fruizione del servizio.

Il conferimento del consenso per finalita di marketing e facoltativo e non condiziona l'accesso al servizio.

17. Modifiche all'Informativa

Il Titolare si riserva il diritto di modificare la presente Informativa per adeguarla a nuove disposizioni normative o a evoluzioni del servizio. In caso di modifiche sostanziali, l'utente sara informato tramite avviso sulla Piattaforma e, ove possibile, tramite comunicazione email. La data dell'ultimo aggiornamento e indicata in cima al presente documento.