Premessa

1. Titolare del Trattamento

Titolare del trattamento ai sensi dell'art. 4, n. 7, GDPR è: EXNOVO RELAZIONI SOCIETÀ A RESPONSABILITÀ LIMITATA SEMPLIFICATA

• Sede legale: Via degli Ulivi n. 8, 93013 Mazzarino (CL)
• C.F./P.IVA: 02174570859
• REA: CL-124375
• PEC: [email protected]

Per qualsiasi comunicazione relativa al trattamento dei dati personali, l'interessato può rivolgersi al Titolare al recapito PEC sopra indicato o inviare raccomandata con ricevuta di ritorno.

2. Responsabile della Protezione dei Dati (DPO)

Tenuto conto della tipologia, della portata e della natura delle attività di trattamento svolte, il Titolare ha valutato che la nomina di un Responsabile della protezione dei dati (Data Protection Officer – DPO) non sia obbligatoria ai sensi dell'art. 37 GDPR, non rientrando le attività di Exnovo tra quelle che richiedono il monitoraggio sistematico e su larga scala degli interessati né il trattamento su larga scala di categorie di dati particolari.

Il Titolare rimane disponibile a valutare la nomina di un DPO in caso di significativa espansione del volume dei trattamenti o di variazione della tipologia dei dati trattati.

3. Categorie di Dati Personali Trattati

Il Titolare tratta le seguenti categorie di dati personali:

a) Dati forniti direttamente dall'interessato:

• Dati identificativi: nome, cognome, data e luogo di nascita, codice fiscale, indirizzo di residenza o domicilio;
• Dati di contatto: indirizzo di posta elettronica, numero di telefono;
• Dati di accesso alla piattaforma: indirizzo e-mail e credenziali di accesso all'area riservata;
• Dati contrattuali e di fatturazione: dati necessari per l'emissione di fattura elettronica ai sensi del D.P.R. 633/1972 e del D.Lgs. 127/2015;
• Dati di pagamento: informazioni relative alla transazione gestite direttamente dal gestore del pagamento (processore di pagamento terzo); il Titolare non ha accesso né conserva dati di carte di credito o coordinate bancarie;
• Comunicazioni scritte: contenuto delle e-mail, messaggi e comunicazioni intercorse con il Titolare.

b) Dati raccolti automaticamente:

• Dati di navigazione: indirizzi IP, tipo di browser, sistema operativo, pagine visitate, ora e durata della visita, URL di provenienza;
• Cookie e tecnologie analoghe: secondo quanto specificato nell'Art. 9 della presente Informativa.

c) Dati generati nel corso dell'erogazione dei servizi:

• Annotazioni operative relative all'avanzamento del percorso di coaching, sessioni effettuate, obiettivi concordati;
• Registrazioni di sessioni in videochiamata, esclusivamente previo espresso consenso dell'interessato e per le finalità indicate al momento della raccolta;
• Feedback e valutazioni forniti dall'utente.

4. Finalità e Basi Giuridiche del Trattamento

Il trattamento dei dati personali è effettuato per le seguenti finalità, ciascuna sorretta da una specifica base giuridica ai sensi dell'art. 6 GDPR:

4.1 Esecuzione del contratto e gestione del rapporto con il cliente

Finalità: gestione delle fasi precontrattuali e contrattuali (offerte, ordini, erogazione dei servizi di coaching/mentoring/formazione, consegna di contenuti digitali, assistenza post-acquisto, fatturazione).

Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto di cui l'interessato è parte o esecuzione di misure precontrattuali su richiesta dello stesso).

Obbligatorietà: il conferimento dei dati è necessario per la conclusione e l'esecuzione del contratto. Il rifiuto impedisce la stipulazione del rapporto contrattuale.

4.2 Adempimento di obblighi di legge

Finalità: tenuta della contabilità e degli adempimenti fiscali (IVA, emissione e conservazione delle fatture elettroniche tramite SDI, adempimenti ai sensi del D.P.R. 633/1972 e del D.Lgs. 127/2015), conservazione dei dati contrattuali nei termini di legge, adempimento di obblighi derivanti dalla normativa antiriciclaggio e da provvedimenti dell'autorità giudiziaria o amministrativa.

Base giuridica: art. 6, par. 1, lett. c) GDPR (adempimento di un obbligo legale a cui è soggetto il Titolare).

4.3 Legittimo interesse del Titolare

Finalità: prevenzione delle frodi, tutela dei diritti contrattuali e dei crediti del Titolare, gestione di eventuali controversie, miglioramento dei servizi, statistiche aggregate interne (non profilazione). Il Titolare ha effettuato il bilanciamento degli interessi e ritiene che il proprio legittimo interesse non pregiudichi i diritti e le libertà fondamentali degli interessati.

Base giuridica: art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare).

4.4 Consenso dell'interessato

Finalità: invio di comunicazioni di marketing, newsletter, aggiornamenti su nuovi prodotti e contenuti formativi; registrazione di sessioni in videochiamata; utilizzo di cookie di profilazione e analitici non strettamente necessari (v. Art. 9).

Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso espresso e specifico dell'interessato).

Il consenso è liberamente revocabile in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca. La revoca non incide sul rapporto contrattuale in essere.

5. Dati Appartenenti a Categorie Particolari (Art. 9 GDPR)

5.1 Politica di non raccolta

Exnovo non raccoglie, non sollecita e non richiede, né nei moduli di registrazione né nel corso delle sessioni di coaching o attraverso qualsiasi altro canale, dati personali appartenenti a categorie particolari ai sensi dell'art. 9 GDPR, ivi inclusi – a titolo esemplificativo e non esaustivo – dati relativi alla salute fisica o mentale, all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, ai dati genetici, ai dati biometrici, alla vita sessuale o all'orientamento sessuale.

I servizi offerti da Exnovo consistono esclusivamente in attività di coaching, mentoring e formazione professionale e personale. Exnovo non è un operatore sanitario, non eroga prestazioni di psicoterapia, non diagnostica condizioni mediche o psichiatriche e non tratta condizioni patologiche di alcun genere. Qualsiasi informazione relativa alla salute o al benessere psicologico degli utenti è del tutto estranea alle finalità dei servizi erogati.

5.2 Responsabilità per la comunicazione spontanea di dati particolari

Nel corso delle sessioni di coaching – condotte in videochiamata individuale – accade che gli utenti scelgano di condividere spontaneamente, per propria autonoma iniziativa, informazioni relative alla propria situazione personale che possono includere riferimenti alla salute fisica o mentale, a situazioni di disagio psicologico, a trascorsi di carattere sensibile o ad altre categorie di dati particolari ai sensi dell'art. 9 GDPR.

In questi casi, occorre precisare quanto segue:

• La condivisione di tali informazioni avviene per esclusiva scelta libera e autonoma dell'utente, senza alcuna sollecitazione o richiesta da parte del Titolare;
• Il Titolare non è in grado di impedire che l'utente fornisca spontaneamente dati di carattere sensibile nel corso di una comunicazione verbale o scritta;
• Le informazioni di carattere sensibile eventualmente comunicate dall'utente nel corso delle sessioni saranno trattate con il massimo livello di riservatezza e non saranno diffuse, cedute a terzi o utilizzate per finalità diverse da quelle strettamente necessarie all'erogazione del servizio di coaching;
• Il Titolare non è responsabile delle conseguenze derivanti dalla comunicazione spontanea di dati sensibili da parte dell'utente, anche laddove tali informazioni siano state condivise in assenza di una base giuridica idonea ai sensi dell'art. 9, par. 2, GDPR;
• Si raccomanda espressamente all'utente di astenersi dalla comunicazione di informazioni relative alla propria salute o ad altre categorie particolari di dati, salvo che ciò non risulti strettamente indispensabile per lo svolgimento del percorso concordato.

5.3 Base giuridica per i dati particolari eventualmente trattati

Nella sola ipotesi in cui, per effetto della comunicazione spontanea dell'utente, il Titolare si trovasse a trattare dati appartenenti a categorie particolari ai sensi dell'art. 9 GDPR, il trattamento sarà effettuato esclusivamente sulla base:

• del consenso esplicito dell'interessato ai sensi dell'art. 9, par. 2, lett. a) GDPR, acquisito nella forma più idonea al caso concreto; oppure
• della necessità di proteggere un interesse vitale dell'interessato o di un terzo qualora l'interessato si trovi nell'impossibilità fisica o giuridica di prestare il proprio consenso, ai sensi dell'art. 9, par. 2, lett. c) GDPR.

In nessun caso il trattamento di dati di categoria particolare sarà effettuato oltre le finalità di tutela dell'interessato e non sarà mai finalizzato ad attività di profilazione, marketing o comunicazione a terzi.

5.4 Interruzione del servizio per ragioni di tutela

In conformità con quanto previsto nel Contratto di Fornitura di Servizi, il Titolare si riserva la facoltà di sospendere o interrompere l'erogazione del servizio qualora emerga, nel corso delle sessioni, una situazione che richieda l'intervento di professionisti sanitari o sociali qualificati. Ciò non costituisce trattamento di dati sanitari, bensì esercizio di una facoltà contrattuale e di tutela dell'interessato.

6. Destinatari e Responsabili del Trattamento

I dati personali potrebbero essere comunicati, nei limiti strettamente necessari per le finalità indicate, alle seguenti categorie di destinatari:

6.1 Soggetti che trattano dati per conto del Titolare (Responsabili del trattamento ex art. 28 GDPR):

• Fornitore di servizi di videoconferenza (Zoom Video Communications, Inc.) – per l'erogazione delle sessioni individuali in videochiamata;
• Fornitore di firma elettronica (DocuSign, Inc. / Dropbox, Inc. / HelloSign) – per la sottoscrizione e la gestione dei contratti;
• Processore di pagamento (es. Stripe, Inc. o PayPal, Inc.) – per la gestione delle transazioni economiche;
• Fornitore di servizi di e-mail marketing (ove attivato con consenso dell'interessato) – per l'invio di newsletter e comunicazioni commerciali;
• Provider di hosting e infrastruttura del sito web www.dinuovatua.com;
• Studio commercialista e/o consulente fiscale incaricati della tenuta della contabilità.

Con ciascuno dei suddetti responsabili del trattamento è stato concluso o sarà concluso, ove obbligatorio, un accordo di trattamento dei dati ai sensi dell'art. 28 GDPR.

6.2 Soggetti che trattano i dati in qualità di titolari autonomi:

• Autorità giudiziarie e amministrative, su richiesta e nei limiti di legge;
• Soggetti ai quali la comunicazione sia obbligatoria per legge (es. Agenzia delle Entrate, INPS, enti previdenziali).

6.3 Esclusione della diffusione

I dati personali non saranno in alcun caso diffusi a soggetti indeterminati, né ceduti a terzi per finalità di marketing di soggetti terzi, né venduti o scambiati a fini commerciali propri o di terzi.

7. Trasferimento verso Paesi Terzi

Alcuni dei responsabili del trattamento indicati al precedente punto 6 hanno sede negli Stati Uniti d'America o in altri Paesi al di fuori dello Spazio Economico Europeo (SEE). Il trasferimento dei dati personali verso tali soggetti è effettuato nel rispetto delle garanzie previste dal Capo V del GDPR (artt. 44–49).

I trasferimenti verso soggetti aventi sede negli Stati Uniti sono effettuati sulla base di una o più delle seguenti garanzie:

• EU-US Data Privacy Framework: per i soggetti aderenti al Framework adottato dalla Commissione europea con Decisione di adeguatezza del 10 luglio 2023 (C(2023) 4745), che costituisce una garanzia adeguata ai sensi dell'art. 45 GDPR;
• Clausole contrattuali standard (Standard Contractual Clauses – SCC): per i soggetti non aderenti al Framework, sulla base delle Clausole contrattuali standard adottate dalla Commissione europea con Decisione del 4 giugno 2021 (2021/914/UE) ai sensi dell'art. 46, par. 2, lett. c) GDPR.

8. Periodo di Conservazione

I dati personali saranno conservati per il periodo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione di cui all'art. 5, par. 1, lett. e) GDPR, e specificamente:

• Dati contrattuali e di fatturazione: 10 anni dalla conclusione del contratto, in conformità con gli obblighi di conservazione delle scritture contabili ai sensi dell'art. 2220 c.c. e della normativa fiscale vigente;
• Dati relativi all'erogazione del servizio (annotazioni di sessione, e-book consegnati, progressi del percorso): 5 anni dalla conclusione del rapporto contrattuale, al fine di consentire la difesa in giudizio in caso di contestazioni (prescrizione ordinaria ex art. 2946 c.c.);
• Dati di contatto per finalità di marketing (previa acquisizione del consenso): fino alla revoca del consenso da parte dell'interessato e comunque non oltre 24 mesi dall'ultima interazione;
• Dati di navigazione e cookie tecnici: v. Art. 9;
• Dati particolari ex art. 9 GDPR eventualmente comunicati dall'interessato: cancellati entro 30 giorni dalla cessazione del rapporto contrattuale, salvo che la loro conservazione non sia necessaria per la difesa di un diritto in sede giudiziaria (art. 17, par. 3, lett. e) GDPR);
• Registrazioni di sessioni in videochiamata (ove effettuate con consenso): cancellate entro 60 giorni dalla registrazione, salvo diverso accordo scritto con l'interessato.

Alla scadenza del periodo di conservazione, i dati saranno cancellati o resi anonimi in modo irreversibile.

9. Dati di Navigazione e Cookie

9.1 Dati di navigazione

I sistemi informatici del sito www.dinuovatua.com acquisiscono automaticamente, nel corso del loro normale funzionamento, alcuni dati la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (es. indirizzi IP, indirizzi URL, ora della richiesta, codice numerico dello stato della risposta). Questi dati non sono raccolti per essere associati a interessati identificati, ma per loro natura potrebbero consentire l'identificazione degli utenti. Essi vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento; vengono conservati per il tempo strettamente necessario e comunque non oltre 12 mesi, salvo esigenze probatorie derivanti da illeciti informatici.

9.2 Cookie

Il sito web utilizza cookie e tecnologie di tracciamento analoghe. I cookie sono piccoli file di testo che il sito invia al browser dell'utente e che vengono memorizzati sul dispositivo. Le tipologie di cookie utilizzate sono le seguenti:

• Cookie tecnici e di sessione (strettamente necessari): indispensabili per la navigazione e per usufruire delle funzionalità del sito. Non richiedono il consenso dell'utente ai sensi della normativa vigente;
• Cookie analitici (de anonimizzati / aggregati): finalizzati a raccogliere informazioni statistiche sull'utilizzo del sito. Richiedono il consenso dell'utente se non adeguatamente anonimizzati;
• Cookie di profilazione e marketing: finalizzati a creare profili relativi all'utente per inviare messaggi pubblicitari in linea con le preferenze manifestate. Richiedono il consenso espresso e specifico dell'utente.

Al primo accesso al sito, l'utente riceve un'informativa cookie estesa e la possibilità di esprimere il proprio consenso per ciascuna categoria di cookie non essenziali, tramite apposito banner. Il consenso può essere revocato in qualsiasi momento tramite le impostazioni del banner stesso o del browser.

Per informazioni dettagliate sui cookie utilizzati, le finalità e i soggetti terzi coinvolti, si rinvia alla Cookie Policy disponibile alla pagina [URL Cookie Policy].

10. Misure di Sicurezza

Il Titolare ha adottato misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. Le misure adottate includono, tra le altre:

• Trasmissione dei dati tramite protocollo crittografato (SSL/TLS);
• Accesso ai sistemi di gestione dei dati limitato ai soli soggetti autorizzati e strettamente necessari, mediante credenziali personalizzate e autenticazione a due fattori ove disponibile;
• Utilizzo di piattaforme di terzi che adottano standard di sicurezza certificati (es. ISO 27001, SOC 2);
• Procedure interne per la gestione delle violazioni dei dati personali (data breach) ai sensi degli artt. 33–34 GDPR;
• Formazione periodica del personale eventualmente incaricato del trattamento.

Il Titolare richiama l'attenzione degli interessati sull'importanza di adottare comportamenti prudenti nella gestione delle proprie credenziali di accesso alla piattaforma e di non condividere con soggetti terzi informazioni sensibili attraverso canali non sicuri.

Si avverte che nessun sistema di trasmissione dei dati su Internet può essere garantito come sicuro al 100%. Il Titolare non può essere ritenuto responsabile per violazioni che sfuggano al proprio controllo tecnico o organizzativo, qualora dimostri di aver adottato misure adeguate al rischio ai sensi dell'art. 32 GDPR.

11. Minori

I servizi offerti da Exnovo sotto il brand "Di Nuovo Tua" sono destinati esclusivamente a persone fisiche che abbiano compiuto il diciottesimo anno di età.

Il Titolare non raccoglie consapevolmente dati personali di minori di anni 18. Qualora venisse a conoscenza di aver ricevuto dati personali di un minore senza il consenso del titolare della responsabilità genitoriale, provvederà alla cancellazione immediata di tali dati.

Nella fase di registrazione alla piattaforma e di acquisto dei servizi, l'utente è tenuto a dichiarare di avere compiuto il diciottesimo anno di età. Il Titolare non è responsabile per le conseguenze derivanti da dichiarazioni mendaci rese dall'utente in merito alla propria età.

12. Diritti dell'Interessato

In relazione ai propri dati personali trattati dal Titolare, l'interessato ha il diritto di:

• Accesso (art. 15 GDPR): ottenere conferma che sia in corso un trattamento di dati personali che lo riguardano e, in tal caso, accedere ai dati stessi e alle informazioni relative al trattamento;
• Rettifica (art. 16 GDPR): ottenere la rettifica dei dati personali inesatti che lo riguardano e l'integrazione di quelli incompleti;
• Cancellazione ("diritto all'oblio" – art. 17 GDPR): ottenere la cancellazione dei dati personali che lo riguardano, nei casi previsti dalla norma (es. revoca del consenso, dati non più necessari rispetto alle finalità, trattamento illecito), salvo che il trattamento sia necessario per l'adempimento di obblighi di legge o per la difesa in giudizio;
• Limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento nelle ipotesi previste dalla norma (es. contestazione dell'esattezza dei dati, trattamento illecito, opposizione al trattamento in attesa di verifica);
• Portabilità (art. 20 GDPR): ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano, qualora il trattamento si basi sul consenso o sull'esecuzione di un contratto e sia effettuato con mezzi automatizzati;
• Opposizione (art. 21 GDPR): opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato sulla base del legittimo interesse del Titolare o per finalità di marketing diretto;
• Revoca del consenso (art. 7, par. 3 GDPR): revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento effettuato prima della revoca;
• Non essere sottoposto a decisioni automatizzate (art. 22 GDPR): non essere sottoposto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici significativi nei suoi confronti.

Per esercitare i propri diritti, l'interessato può inviare una richiesta scritta al Titolare tramite PEC all'indirizzo [email protected] oppure tramite raccomandata con ricevuta di ritorno. Il Titolare risponderà entro 30 giorni dal ricevimento della richiesta; in caso di particolare complessità, tale termine può essere prorogato di ulteriori 60 giorni, con comunicazione all'interessato entro i primi 30 giorni. La risposta e l'esercizio dei diritti sono gratuiti; il Titolare si riserva di addebitare un contributo ragionevole in caso di richieste manifestamente infondate o eccessive, ai sensi dell'art. 12, par. 5 GDPR.

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali qualora ritenga che il trattamento dei propri dati personali violi il Reg. (UE) 2016/679. L'interessato è invitato a contattare preventivamente il Titolare per cercare una soluzione concordata prima di presentare un reclamo all'Autorità di controllo.

13. Limitazione di Responsabilità

Nell'ambito dei servizi erogati, il Titolare non controlla preventivamente le informazioni che l'utente sceglie di condividere nel corso delle sessioni individuali in videochiamata, nelle comunicazioni scritte o attraverso qualsiasi altro canale di comunicazione. L'utente è l'unico responsabile della selezione e della comunicazione delle informazioni che ritiene rilevanti per il proprio percorso di coaching, incluse quelle di carattere sensibile o appartenenti a categorie particolari ai sensi dell'art. 9 GDPR.

Il Titolare declina ogni responsabilità per le conseguenze derivanti dalla comunicazione spontanea, da parte dell'utente, di dati personali appartenenti a categorie particolari o di informazioni di carattere riservato che l'utente avrebbe interesse a non divulgare.

Qualora l'utente, nel corso delle sessioni, scelga di condividere informazioni relative a terze persone (familiari, colleghi, partner sentimentali, ecc.), il Titolare non potrà essere ritenuto responsabile del trattamento di tali informazioni, trattandosi di dati comunicati per libera scelta dell'utente senza alcuna richiesta del Titolare. L'utente si assume la piena responsabilità del rispetto dei diritti dei terzi le cui informazioni vengano condivise.

Il Titolare non è responsabile delle pratiche in materia di privacy adottate dalle piattaforme di terzi utilizzate per l'erogazione dei servizi (es. Zoom per le videoconferenze), in relazione a dati trattati da tali piattaforme come titolari autonomi. Si invita l'utente a prendere visione delle rispettive informative privacy, i cui link sono disponibili al precedente Art. 7.

Il Titolare non può essere ritenuto responsabile per la violazione, la perdita o la distruzione di dati personali qualora tali eventi siano riconducibili a cause di forza maggiore, eventi imprevedibili o a condotte illecite di terzi (es. attacchi informatici), purché il Titolare dimostri di aver adottato le misure di sicurezza adeguate ai sensi dell'art. 32 GDPR, in conformità con quanto stabilito dalla Corte di Giustizia dell'Unione europea e dai principi generali in materia di responsabilità del titolare del trattamento.

14. Modifiche alla Presente Informativa

Il Titolare si riserva il diritto di aggiornare la presente Informativa in qualsiasi momento, in caso di modifiche normative, variazioni delle finalità o dei metodi di trattamento, ovvero per qualsiasi altra ragione legittima. Le versioni aggiornate saranno pubblicate sul sito www.dinuovatua.com con indicazione della data di aggiornamento. Per le modifiche sostanziali che includono significativi impatti sui diritti degli interessati, il Titolare provvederà a inviare comunicazione agli utenti registrati tramite l'indirizzo e-mail fornito in fase di registrazione.

Si consiglia di consultare periodicamente la presente Informativa per verificare eventuali aggiornamenti. La versione in vigore è sempre quella pubblicata sul sito.