1. Titolare del trattamento: Kemy S.r.l.s. (P.IVA: 06062120875), con sede legale in Catania (CT), alla Via Giuseppe Patanè, n. 18, 95128, Italia.

2. Email privacy / esercizio diritti: amministrazione@kemy.srl

3. PEC: kemysrls@pec.it

4. Canali (diversi dal sito web: https://mealprepacademy.it/) ufficiali del Titolare: 

• https://kemy.srl/; 

• https://emyfoodlife.com/; 

• Instagram, Facebook, TikTok (profili ufficiali). I social network sono piattaforme terze: il trattamento dei messaggi diretti segue sia questa informativa sia le privacy policy dei rispettivi provider.

Il Titolare decide finalità e modalità del trattamento dei dati personali connessi ai servizi offerti: corsi di cucina online, webinar, consulenza e vendita in privato con preventivo.

DPO nominato: non presente.
Se in futuro la società individuerà un Responsabile della Protezione dei Dati (DPO), i suoi dati verranno qui pubblicati.

Il punto di contatto per tutte le richieste privacy rimane: amministrazione@kemy.srl

Possono accedere ai dati, con istruzioni documentate ex art. 29 GDPR:

• il Titolare;

• i collaboratori e personale di supporto;

• i consulenti, anche legali, di riferimento;

• soggetti terzi nominati Responsabili esterni ex art. 28 (v. Art. 4).

Tutti sono vincolati a riservatezza.

Kemy S.r.l.s. tratta solo i dati necessari allo svolgimento dei servizi offerti (corsi online, webinar, vendita in privato con preventivo, newsletter), in conformità ai principi di minimizzazione, correttezza e trasparenza.

2.1 Dati di navigazione e log tecnici

Quando un utente visita i nostri siti web, sono automaticamente raccolti i seguenti dati, che sono necessari per il funzionamento del sito e che vengono trattati tramite cookie tecnici o strumenti equivalenti:

• Indirizzo IP;

• data/ora della visita;

• user-agent del browser/dispositivo;

• pagine visitate;

• eventuali errori tecnici;

• log di sicurezza e tentativi di accesso non autorizzati;

• eventi tecnici registrati tramite Google Tag Manager.

A cosa servono:

• sicurezza del sito;

• prevenzione abusi/frodi;

• funzionamento e manutenzione delle piattaforme;

• statistiche aggregate (solo previo consenso, se analytics non tecnici).

2.2 Dati forniti dall’utente 

Quando un utente si iscrive a un webinar o ci contatta tramite social o email, possiamo raccogliere:

• nome e cognome;

• email;

• numero di telefono;

• messaggio o richiesta inviata;

• preferenze marketing (checkbox di consenso);

• dati aziendali (per clienti business): denominazione, indirizzo, P.IVA/C.F., settore, ruolo, informazioni commerciali.

2.3 Dati relativi agli account su piattaforme esterne (System.io)

Gli utenti possono creare un account su System.io, dove sono registrati:

• nome;

• cognome;

• email;

• numero di telefono;

• dati di fatturazione (C.F. o P.IVA);

• log di accesso alla piattaforma;

• stato avanzamento corsi / webinar.

Il fornitore della piattaforma può agire come Responsabile esterno o, per alcune funzioni, titolare autonomo (es. gestione pagamenti se integrata).

2.4 Dati relativi ai pagamenti (trattati dai gateway esterni)

I gateway di pagamento, come titolari autonomi, possono trattare:

• dati identificativi;

• email;

• ultime cifre della carta;

• indirizzo di fatturazione;

• cronologia transazioni;

• strumenti anti-frode.

Trattiamo solo gli esiti necessari (pagato/non pagato) per l’erogazione del servizio.

2.5 Newsletter, offerte e comunicazioni commerciali

Raccogliamo:

• email;

• nome (per personalizzare la comunicazione);

• preferenze marketing (consenso);

• cluster di interesse basati su tag provenienti da Meta Ads. aperture/click nelle email (profilazione semplice), interazione con i nostri contenuti social.

Le comunicazioni sono inviate tramite MailerLite.

2.6 Dati generati da attività di profilazione semplice

Effettuiamo attività di profilazione semplice, limitata e non invasiva attraverso:

• click nelle email;

• partecipazione a webinar;

• interazioni a corsi/lezioni;

• dati derivanti da Meta Pixel (previo consenso).

La suddetta attività di profilazione semplice serve a:

• segmentare gli utenti in gruppi;

• inviare email più pertinenti;

• mostrare contenuti/annunci coerenti con i tuoi interessi;

• migliorare l’esperienza di acquisto.

Non comporta decisioni automatizzate aventi effetti giuridici o similmente significativi (art. 22 GDPR).

2.7 Recensioni

Possiamo raccogliere:

• nome;

• email;

• testo della recensione;

• foto (solo previo consenso scritto);

• profilo social (se condiviso per interviste);

• recensioni su Trustpilot (dati gestiti da titolare autonomo).

2.8 Dati inerenti a webinar, eventi e corsi online

Se un utente si iscrive o partecipa a webinar/corsi, possiamo raccogliere:

• email;

• nome e cognome;

• ora e durata partecipazione;

• messaggi/chat inviati durante l’evento;

• registrazioni video/audio dell’evento;

• risposte a sondaggi o interazioni.

Strumenti usati: Streamyard, YouTube, System.io.

Le registrazioni possono essere usate per finalità educative e per inviare offerte post-evento, come da consenso o legittimo interesse ove pertinente.

2.9 Dati provenienti da Meta Ads e altre inserzioni

Quando un utente si iscrive tramite una Lead Ads o compila un form sponsorizzato, possiamo raccogliere:

• nome e cognome;

• email;

• numero di telefono;

• interessi selezionati;

• dati dichiarati nel form;

• sorgente dell’inserzione.

Questi dati provengono direttamente dall’utente, anche se raccolti tramite piattaforma terza.

2.10 Dati relativi ai minori

I nostri servizi possono essere fruiti anche da minori, ad esempio corsi di cucina.
Il trattamento avviene:

• con consenso del genitore/tutore per registrazioni;

• con meccanismi di rimozione rapida su richiesta del genitore;

• con limitazioni nelle attività di marketing rivolte ai minori.

Una sezione dedicata è presente all’Art. 10.

2.11 Altri strumenti e servizi usati

Durante l’uso del sito o dei corsi possono essere trattati dati tramite:

• Google Analytics 4 (solo previo consenso);

• Meta Pixel (solo previo consenso);

• Hotjar (solo previo consenso);

• Google Tag Manager;

• YouTube;

• BunnyCDN;

• Manychat;

• Dropbox;

• Google Workspace.

2.12 Dati tecnici e di sicurezza

Per garantire, il più possibile, la sicurezza dei dati compiamo le seguenti operazioni:

• log di sistema;

• log accesso account;

• backup periodici;

• trattiamo i dati necessari a rilevare anomalie o attacchi;

• ricerchiamo informazioni sulla configurazione dei dispositivi autorizzati;

• ricaviamo identificativi tecnici (ID contenuti nei cookie tecnici).

Trattiamo i dati personali esclusivamente per le finalità descritte qui sotto.
Per ogni finalità indichiamo:

• Base giuridica;

• Dati trattati;

• Natura del conferimento (necessario/facoltativo);

• Conseguenze del mancato conferimento;

• Periodo di conservazione;

• Categorie di destinatari.

3.1 Tabella completa 

A) Gestione dei contatti e riscontro alle richieste dell’utente

B) Erogazione dei corsi/webinar

C) Pagamenti

D) Spedizioni e gestione resi

E) Newsletter, offerte commerciali, campagne marketing

F) Marketing differenziato clienti - non clienti

G) Profilazione semplice e tracciamenti email

H) Meta Pixel, Google Analytics, Hotjar

I) Registrazione e gestione webinar/eventi

L) Recensioni e pubblicazione di contenuti

M) Sicurezza informatica, prevenzione abusi/frodi

N) Adempimenti legali, fiscali, contabili e tutela giudiziaria

Preliminarmente, si afferma che non vendiamo dati personali e non effettuiamo diffusione al pubblico.

4.1 Categorie di destinatari

I dati possono essere comunicati alle seguenti categorie di soggetti:

• Fornitori IT e hosting: Provider hosting e server dei siti web, CDN (Bunny CDN), Sistemi di sicurezza e backup. Il loro Ruolo è quello di Responsabili del trattamento ex art. 28 GDPR;

• Piattaforme per email marketing e automazioni: MailerLite (invio newsletter, automazioni email, segmentazioni), ManyChat (automazioni chat / social DM). Il loro Ruolo è quello di Responsabili del trattamento: essi registrano aperture/click e gestiscono segmentazioni solo se hanno ottenuto consenso;

• Piattaforme per account, corsi, webinar ed eventi: System.io (per la gestione degli account degli utenti, fatturazione, corsi), Streamyard (per i webinar live), YouTube (per streaming, hosting video dei corsi). Il loro Ruolo è quello di Responsabili esterni, ma YouTube opera anche come titolare autonomo per i cookie/profili propri;

• Strumenti di marketing e analisi: Meta Platforms (Facebook/Instagram Ads, Meta Pixel), Google LLC (Google Analytics GA4, Google Tag Manager, Drive, Meet, Workspace), Hotjar (mappe di calore, registrazione sessioni). Il loro Ruolo è il seguente:

• i cookie/tracciatori sono Titolari autonomi del Trattamento;

• Workspace/Drive/Meet sono Responsabili del Trattamento (secondo contratto DPA ufficiale Google).                                                                                                                                              Per questi strumenti i dati possono essere trasferiti extra-UE: vedi Art. 5;

• Pagamenti online: i dati di pagamento vengono trattati direttamente dai provider Stripe, PayPal, Klarna, nonché da circuiti di carta di credito/debito. Il loro Ruolo è quello di Titolari autonomi del Trattamento. Noi non trattiamo né conserviamo i dati della carta.

• Consulenti e professionisti: Commercialista/studio fiscale, Consulenti legali, Collaboratori autorizzati interni. Il loro Ruolo è il seguente:

• Se elaborano dati solo su nostra istruzione, essi sono Responsabili del Trattamento;

• Se agiscono per obblighi di legge, essi sono Titolari autonomi del Trattamento;

• Autorità competenti: autorità fiscali, giudiziarie, forze dell’ordine. Il loro Ruolo è quello di Titolari autonomi per obblighi di legge.

4.2 Persone autorizzate al trattamento (art. 29 GDPR)

All’interno di Kemy S.r.l.s. possono accedere ai dati, secondo istruzioni documentate:

• il Titolare del trattamento;

• i collaboratori coinvolti nelle attività e-commerce, assistenza, corsi, social;

• i legali ed i professionisti incaricati.

Tutti i soggetti richiamati sono vincolati a riservatezza e apposite policy interne.

4.3 Elenco completo dei Responsabili

L’elenco aggiornato e completo dei responsabili del trattamento è disponibile su richiesta inviando email a: amministrazione@kemy.srl 

I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo (“SEE”) quando necessario per l’utilizzo di servizi digitali forniti da aziende con sede extra-UE (es. Stati Uniti). Kemy S.r.l.s. effettua tali trasferimenti solo verso Paesi che garantiscono un livello di protezione conforme al GDPR, adottando una o più delle seguenti basi giuridiche.

5.1 Basi per il trasferimento dei dati

A) Decisione di adeguatezza – Data Privacy Framework (DPF)

Per alcuni servizi statunitensi che hanno aderito al DPF UE-USA, il trasferimento avviene sulla base della decisione di adeguatezza della Commissione Europea (luglio 2023). Esempi: Google LLC (per alcuni servizi), MailerLite, Meta Platforms Inc. nei limiti in cui risultino certificati al DPF.

B) Clausole Contrattuali Standard (SCC) + misure supplementari

Quando il fornitore non rientra nel Data Privacy Framework, utilizziamo le SCC adottate dalla Commissione Europea, integrate da:

• cifratura in transito e a riposo;

• pseudonimizzazione (laddove possibile);

• minimizzazione;

• controllo degli accessi;

• policy interne e limitazioni contrattuali del fornitore;

• 2FA sugli account;

• sistemi di monitoraggio e log.

Queste garanzie sono applicate per: Streamyard, Dropbox, ManyChat, Hotjar.

C) Art. 49 GDPR – deroghe (solo in via residuale)

Utilizzate solo quando indispensabile e mai in modo sistematico.

5.2 Valutazioni d’impatto e Transfer Impact Assessment (TIA)

Per ciascun trasferimento extra-UE verso fornitori che non rientrano nel DPF, Kemy S.r.l.s. effettua una Transfer Impact Assessment (TIA) per valutare:

• il quadro normativo del Paese terzo;

• il livello di rischio per i diritti degli interessati;

• le misure tecniche e organizzative di mitigazione;

• la necessità del trasferimento in relazione al servizio.

Una sintesi del TIA o una copia delle SCC può essere richiesta all’indirizzo: amministrazione@kemy.srl

5.3 Fornitori che possono comportare trasferimenti extra-UE

Di seguito i principali servizi utilizzati:

Nota importante:
per tutti gli strumenti di marketing (Meta, GA4, Hotjar), nessun dato non tecnico viene trasferito senza consenso esplicito dell’utente tramite cookie banner.

5.4 Conservazione dei dati presso fornitori extra-UE

I fornitori extra-UE trattano i dati solo per:

• erogare i servizi a Kemy S.r.l.s.;

• garantire sicurezza, affidabilità e backup;

• rispettare la normativa locale.

Sono vietate:

• forme di rivendita dei dati;

• uso per finalità proprie non compatibili con l’accordo;

• addestramento dei modelli IA, se non autorizzato.

5.5 Diritti degli utenti in caso di trasferimenti extra-UE

Gli utenti mantengono tutti i diritti del GDPR anche quando i dati vengono trattati negli Stati Uniti o in altri Paesi terzi.

In caso di reclami, oltre al Garante, è possibile rivolgersi al Data Protection Review Court (DPF) per i fornitori certificati.

Conserviamo i dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti, nel rispetto degli artt. 5(1)(e) e 13 GDPR, nonché delle normative civilistiche, fiscali e commerciali. Quando non è possibile indicare un termine fisso, utilizziamo criteri chiari e verificabili (periodicità di verifica, ultima interazione, necessità contrattuale o legale).

6.1 Tabella di conservazione per finalità

6.2 Criteri aggiuntivi

Quando non è possibile stabilire un termine preciso, la conservazione avviene secondo i seguenti criteri:

• tempo necessario alla gestione del rapporto con l’utente;

• obblighi legali in materia fiscale, civilistica e commerciale;

• necessità di tutelare il Titolare in caso di controversie;

• periodiche verifiche interne (almeno annuali) sulle finalità e sulle basi giuridiche.

6.3 Cancellazione o anonimizzazione

Al termine dei periodi indicati, i dati vengono cancellati, oppure pseudonimizzati o anonimizzati, quando utili a fini statistici o di miglioramento dei servizi.

Sul sito utilizziamo cookie e tecnologie simili (pixel, script, local storage) per garantire il corretto funzionamento della piattaforma, comprendere l’utilizzo dei servizi e, previa prestazione del consenso, svolgere attività di analisi e marketing. Una descrizione completa, l’elenco dettagliato di cookie e tracciatori con durata e terze parti, è disponibile nella Cookie Policy dedicata e nel banner di gestione preferenze (CMP), accessibile in ogni momento tramite il link “Preferenze Cookie” presente nel footer.

7.1 Funzionamento del Cookie Banner (CMP)

Il banner è configurato secondo i principi di “equal prominence” stabiliti dal Garante:

• Pulsanti “Accetta tutti”, “Rifiuta tutti” e “Personalizza” sul medesimo livello e con pari evidenza;

• Nessun cookie non tecnico viene installato prima del consenso;

• Chiusura del banner tramite “X” equivale alla mancata prestazione di alcun consenso;

• Il consenso è granulare per categorie (es. analytics, marketing);

• Il rifiuto o la revoca sono sempre possibili attraverso il link “Preferenze Cookie”.

Registro dei consensi (per 12–24 mesi):

• timestamp del consenso;

• versione del banner/policy;

• categorie accettate o rifiutate;

• device/browser.

In caso di modifica sostanziale dei partner o delle finalità, verrà richiesto un nuovo consenso.

7.2 Come modificare o revocare il consenso

L’utente può:

• cliccare su “Preferenze Cookie” nel footer del sito;

• modificare selettivamente le categorie attive;

• revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.

8.1 Profilazione semplice

Svolgiamo attività di profilazione non invasiva, basata unicamente su:

• storico degli acquisti (corsi, quantità, valore);

• interazioni con le email (aperture, click, link cliccati);

• preferenze indicate dall’utente nei form;

• comportamento all’interno dell’area corsi System.io (completamento lezioni, etc.).

La profilazione è utilizzata esclusivamente per:

• inviare contenuti più pertinenti agli interessi dell’utente;

• proporre offerte e comunicazioni personalizzate;

• segmentare gli utenti in gruppi.

La profilazione avviene previo Consenso esplicito (art. 6(1)(a) GDPR) dell’utente, dallo stesso prestato tramite checkbox nei form; l’utente può revocare il consenso in qualsiasi momento.

Il consenso è facoltativo.
La mancata prestazione non incide sull’uso del sito né sull’acquisto dei servizi.

8.2 Tecnologie utilizzate

La profilazione avviene tramite:

• MailerLite (invio newsletter e analisi aperture/click);

• Meta Pixel (solo se l’utente presta consenso marketing);

• Google Analytics 4 (solo previa accettazione cookie analytics);

• Hotjar (mappe e comportamento interfaccia, solo con consenso);

• System.io (gestione avanzamento corsi, non usato a fini di profilazione commerciale senza consenso).

La profilazione è limitata, non produce categorie sensibili né comporta effetti significativi per l’utente.

8.3 Decisioni automatizzate ex art. 22 GDPR

Non adottiamo decisioni basate unicamente sul trattamento automatizzato che producano effetti giuridici o incidano significativamente sulla persona, ai sensi dell’art. 22 GDPR.

Qualsiasi raccomandazione di contenuti o offerte personalizzate:

• non limita i diritti dell’utente;

• non comporta obblighi né impatti sostanziali;

• può essere disattivata revocando il consenso.

8.4 Periodo di conservazione dei dati di profilazione

I dati utilizzati per la profilazione vengono conservati per:

• 12 mesi dall’ultima interazione (linee guida EDPB + best practice marketing);

• successivamente anonimizzati o cancellati, salvo diverso obbligo di legge.

8.5 Diritto di opposizione

L’utente può:

• revocare il consenso al marketing e alla profilazione tramite link “unsubscribe” presente in ogni email;

• scrivere a amministrazione@kemy.srl;

• disattivare i cookie di marketing dal pannello “Preferenze Cookie”.

La revoca è immediata e non pregiudica la liceità del trattamento precedente.

Gli utenti (interessati) possono esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15–22 GDPR e dal Codice Privacy.
I diritti sono gratuiti e vengono gestiti entro 30 giorni dalla richiesta (prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione motivata).

9.1 Quali diritti possono essere esercitati

- Diritto di accesso (art. 15), per ottenere:

• conferma che sia o meno in corso un trattamento dei tuoi dati;

• copia dei dati trattati;

• informazioni su finalità, categorie, destinatari, tempi di conservazione e diritti;

- Diritto di rettifica (art. 16), per chiedere la correzione dei dati inesatti o l’integrazione di quelli incompleti;

- Diritto alla cancellazione (art. 17), per chiedere che i dati siano cancellati quando:

• non siano più necessari alle finalità raccolte;

• l’interessato revochi il consenso;

• l’interessato si opponga al trattamento;

• i dati siano trattati illecitamente;

• vi sia un obbligo legale di cancellazione.

La cancellazione potrebbe essere negata quando sussistono obblighi di legge (es. conservazione fiscale 10 anni);

- Diritto alla limitazione del trattamento (art. 18), quando:

• l’interessato contesti l’esattezza dei dati;

• l’interessato si opponga al trattamento (in attesa di valutazione);

• il trattamento sia illecito ma l’interessato non voglia la cancellazione;

• i dati servono per la difesa in giudizio;

- Diritto alla portabilità dei dati (art. 20): se il trattamento si basi su contratto o consenso, l’interessato può ottenere i dati in formato strutturato, interoperabile, oppure chiederne la trasmissione diretta a un altro titolare, se tecnicamente possibile.

- Diritto di opposizione (art. 21):

• al trattamento basato su legittimo interesse (es. sicurezza, organizzazione interna), indicando le ragioni legate alla situazione particolare dell’interessato;

• in qualsiasi momento, senza motivazione, al marketing diretto e alla profilazione collegata al marketing.

In caso di opposizione al marketing, l’attività cessa immediatamente;

- Diritto di revoca del consenso (art. 7) in ogni momento, senza che ciò pregiudichi la liceità del trattamento precedente.

- Diritto di proporre reclamo al Garante (art. 77)

Se l’interessato ritenga che i suoi diritti siano stati violati, può presentare reclamo all’autorità di controllo:

Garante per la Protezione dei Dati Personali
Sito: https://www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it

Resta salva la possibilità di adire l’autorità giudiziaria (art. 79 GDPR).

9.2 Modalità di esercizio dei diritti

L’interessato può esercitare i propri diritti inviando una richiesta all’email privacy (Titolare): amministrazione@kemy.srl 

In caso di richiesta relativa a dati trattati tramite servizi terzi (Stripe, PayPal, Meta, Google, System.io ecc.), collaboreremo con tali soggetti per fornire un riscontro completo.

9.3 Identificazione del richiedente

Per tutelare la sicurezza dei dati, il Titolare potrebbe richiedere informazioni aggiuntive per verificare l’identità del richiedente, quando necessario, ex art. 12(6) GDPR.

10.1 Accesso dei minori ai servizi

Alcuni servizi offerti dal Titolare (es. corsi online di cucina, webinar, iscrizione a community o eventi digitali) possono essere utilizzati anche da soggetti che non abbiano ancora compiuto gli anni 18.

Il Titolare adotta misure ragionevoli per verificare la liceità del trattamento, nel rispetto degli artt. 8 GDPR e 2-quinquies del Codice Privacy.

10.2 Minori di anni 14

Per i servizi della società dell’informazione offerti direttamente a un minore con età inferiore a 14 anni, il trattamento dei dati personali è lecito solo con il consenso del titolare della responsabilità genitoriale.

Il Titolare potrà quindi:

• richiedere la conferma del rapporto di responsabilità genitoriale;

• richiedere un recapito del genitore/tutore per conferma del consenso;

• sospendere o limitare l’account fino alla ricezione del consenso.

10.3 Minori tra 14 e 18 anni

i minori di età compresa tra 14 e 18 anni:

• possono usufruire autonomamente dei servizi che non comportano rischi elevati;

• per attività che comportano trattamenti particolari (es. pagamenti, contenuti personalizzati, profilazione, partecipazione a webinar registrati) il Titolare può richiedere un consenso del genitore/tutore quando necessario.

10.4 Acquisti e pagamenti effettuati da minori

Nei casi in cui un minore effettui un acquisto e comunichi dati personali al fine di completarlo:

• il Titolare considera necessario che il pagamento sia effettuato da un maggiorenne (genitore/tutore) o comunque da un soggetto debitamente autorizzato;

• il Titolare potrà richiedere conferma dell’età dell’acquirente o del consenso del genitore/tutore, quando appropriato.

10.5 Contenuti registrati (webinar, corsi, eventi)

Poiché i webinar/corsi possono essere registrati, e le email dei partecipanti utilizzate per l’invio di offerte post-evento:

• i minori sono informati che la partecipazione comporta il trattamento dei loro dati (es. nome, email, eventuale voce/immagine se intervengono in diretta);

• per i minori sotto i 14 anni, la registrazione del webinar e l’uso dei dati per finalità ulteriori richiedono consenso del genitore/tutore.

10.6 Revoca del consenso e rimozione dei dati dei minori

Il genitore/tutore può:

• revocare il consenso in qualsiasi momento;

• richiedere la cancellazione immediata di dati personali del minore;

• richiedere la rimozione da materiali registrati quando il minore è riconoscibile, nei limiti tecnici e contrattuali.

Richieste: amministrazione@kemy.srl 

10.7 Sicurezza dei minori

Il Titolare adotta misure tecniche e organizzative aggiuntive per la protezione dei dati dei minori, tra cui:

• limitazione dell’accesso ai dati al solo personale autorizzato (collaboratori e legali);

• minimizzazione dei dati richiesti;

• misure di sicurezza (2FA, dispositivi protetti, backup, policy interne).

11.1 Misure di sicurezza tecniche e organizzative

Il Titolare adotta misure tecniche e organizzative adeguate ai sensi degli artt. 24, 25 e 32 GDPR, proporzionate ai rischi del trattamento e costantemente aggiornate.
Si indicano, di seguito, a titolo meramente esemplificativo e non esaustivo, alcune delle misure tecniche ed organizzative adottate.

Misure tecniche:

• sistemi e dispositivi protetti da password/PIN complessi;

• autenticazione a due fattori (2FA) su account, email e piattaforme utilizzate;

• aggiornamenti periodici dei software e dei sistemi operativi;

• antivirus e sistemi antimalware attivi;

• connessioni cifrate (HTTPS / TLS);

• backup periodici off-site e/o cifrati;

• minimizzazione dei dati negli strumenti e ambienti operativi;

• controllo e gestione dei log di accesso.

Misure organizzative:

• accesso ai dati limitato a personale autorizzato: titolare, collaboratori interni ed esterni, legali e consulenti;

• accordi di riservatezza e istruzioni vincolanti per i collaboratori;

• processi di revisione periodica e cancellazione dei dati non più necessari;

• valutazioni d’impatto e TIA (Transfer Impact Assessment), ove richiesto per i trasferimenti extra-UE;

• gestione degli incidenti di sicurezza e procedure di data breach conformi agli artt. 33–34 GDPR.

11.2 Aggiornamenti dell’informativa

Il Titolare si riserva di modificare o aggiornare la presente informativa in qualsiasi momento, quando:

• cambia la normativa applicabile;

• cambiano i trattamenti effettuati o i fornitori;

• vengono introdotti nuovi servizi o funzionalità;

• vi sono modifiche organizzative rilevanti.

In caso di modifiche rilevanti che impattino sui diritti dell’interessato (es. nuove finalità, nuove basi giuridiche, nuovi destinatari o trasferimenti fuori UE):

• l’utente verrà informato tramite avviso sul sito, email o banner;

• se richiesto dalla legge, verrà richiesto un nuovo consenso.

La versione sempre aggiornata è disponibile sul sito.

11.3 Decorrenza e versione

• Versione: 1.0

• Data ultimo aggiornamento: 20.11.2025