1. Titolare del trattamento
Il titolare del trattamento dei dati è DECO GROUP S.R.L., con sede legale in Viale Brigata Cesare Battisti n. 27, 31033 Castelfranco Veneto (TV), Italia.
Per qualsiasi questione relativa al trattamento dei Suoi dati personali, può contattare il Titolare ai recapiti sopra indicati.
2. Categorie di dati personali trattati
Nell'ambito delle attività connesse al servizio DECO Academy, trattiamo le seguenti categorie di dati personali:
2.1 Dati identificativi e di contatto
- Nome e cognome
- Indirizzo email
- Numero di telefono
- Username Instagram
2.2 Dati relativi alla candidatura
- Esperienza pregressa nel settore (sì/no)
- Stato di completamento dei corsi Nailearn (completati/in corso/no)
- Corsi di interesse selezionati
- Fotografie e immagini caricate a corredo della candidatura (ad es. portfolio lavori)
2.3 Dati di navigazione e tecnici
- Cookie tecnici di sessione necessari all'autenticazione e al funzionamento del sito
- Indirizzo IP (registrato automaticamente nei log del server di hosting)
2.4 Dati relativi ai pagamenti
- Identificativo della sessione di pagamento Stripe (non trattiamo direttamente i dati della carta di credito, che sono gestiti esclusivamente da Stripe)
- Importo, stato e data del pagamento
- Eventuali rimborsi
2.5 Dati relativi alle prenotazioni
- Data e ora delle videochiamate prenotate
- Fuso orario preferito
- Link Zoom per la videochiamata
3. Finalità e basi giuridiche del trattamento
I Suoi dati personali sono trattati per le seguenti finalità, ciascuna con la rispettiva base giuridica:
Gestione della candidatura — ricezione, valutazione e comunicazione dell'esito della candidatura al Master
Base giuridica: Esecuzione di misure precontrattuali su richiesta dell'interessato (Art. 6.1.b)
Gestione del rapporto contrattuale — iscrizione ai corsi, gestione pagamenti, scadenze e fatturazione
Base giuridica: Esecuzione del contratto (Art. 6.1.b)
Comunicazioni transazionali — invio di email e messaggi WhatsApp relativi allo stato della candidatura, conferme di pagamento, promemoria scadenze e videochiamate
Base giuridica: Esecuzione del contratto (Art. 6.1.b) e interesse legittimo del Titolare (Art. 6.1.f)
Upload di immagini/portfolio — raccolta di fotografie e materiale visivo a corredo della candidatura
Base giuridica: Consenso dell'interessato (Art. 6.1.a)
Gestione delle prenotazioni — pianificazione videochiamate, creazione eventi calendario e meeting Zoom
Base giuridica: Esecuzione del contratto (Art. 6.1.b)
Elaborazione dei pagamenti — gestione delle transazioni economiche tramite Stripe
Base giuridica: Esecuzione del contratto (Art. 6.1.b) e adempimento di obblighi legali fiscali (Art. 6.1.c)
Autenticazione e sicurezza — accesso all'area amministrativa tramite OTP via email, protezione del sito
Base giuridica: Interesse legittimo del Titolare (Art. 6.1.f)
Adempimenti fiscali e contabili — conservazione dei dati di pagamento per obblighi di legge
Base giuridica: Adempimento di un obbligo legale (Art. 6.1.c)
Registro delle comunicazioni — log di email e messaggi WhatsApp inviati per finalità di audit e risoluzione di eventuali controversie
Base giuridica: Interesse legittimo del Titolare (Art. 6.1.f)
| Finalità | Base giuridica (Art. 6 GDPR) |
|---|
| Gestione della candidatura — ricezione, valutazione e comunicazione dell'esito della candidatura al Master | Esecuzione di misure precontrattuali su richiesta dell'interessato (Art. 6.1.b) |
| Gestione del rapporto contrattuale — iscrizione ai corsi, gestione pagamenti, scadenze e fatturazione | Esecuzione del contratto (Art. 6.1.b) |
| Comunicazioni transazionali — invio di email e messaggi WhatsApp relativi allo stato della candidatura, conferme di pagamento, promemoria scadenze e videochiamate | Esecuzione del contratto (Art. 6.1.b) e interesse legittimo del Titolare (Art. 6.1.f) |
| Upload di immagini/portfolio — raccolta di fotografie e materiale visivo a corredo della candidatura | Consenso dell'interessato (Art. 6.1.a) |
| Gestione delle prenotazioni — pianificazione videochiamate, creazione eventi calendario e meeting Zoom | Esecuzione del contratto (Art. 6.1.b) |
| Elaborazione dei pagamenti — gestione delle transazioni economiche tramite Stripe | Esecuzione del contratto (Art. 6.1.b) e adempimento di obblighi legali fiscali (Art. 6.1.c) |
| Autenticazione e sicurezza — accesso all'area amministrativa tramite OTP via email, protezione del sito | Interesse legittimo del Titolare (Art. 6.1.f) |
| Adempimenti fiscali e contabili — conservazione dei dati di pagamento per obblighi di legge | Adempimento di un obbligo legale (Art. 6.1.c) |
| Registro delle comunicazioni — log di email e messaggi WhatsApp inviati per finalità di audit e risoluzione di eventuali controversie | Interesse legittimo del Titolare (Art. 6.1.f) |
4. Modalità del trattamento
I dati personali sono trattati con strumenti elettronici e informatici, con logiche strettamente correlate alle finalità sopra indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
Il Titolare adotta misure di sicurezza tecniche e organizzative adeguate ai sensi dell'Art. 32 del GDPR, tra cui:
- Crittografia dei dati a riposo e in transito (HTTPS/TLS)
- Validazione e sanitizzazione di tutti i dati in input lato server
- Verifica del tipo di file tramite analisi dei magic bytes per prevenire il caricamento di file malevoli
- Controllo degli accessi basato su ruoli (Row Level Security)
- Autenticazione senza password (OTP) per l'area amministrativa
- Separazione tra chiavi pubbliche e chiavi di servizio
5. Destinatari e responsabili del trattamento
I Suoi dati personali potranno essere comunicati ai seguenti soggetti, nominati Responsabili del trattamento ai sensi dell'Art. 28 del GDPR, nella misura strettamente necessaria alle finalità indicate:
Supabase Inc.
- Servizio
- Database, autenticazione, archiviazione file
- Dati trattati
- Tutti i dati personali della candidatura, credenziali di sessione, file caricati
- Sede e garanzie
- USA (con possibilità di region EU). Trasferimento basato su Standard Contractual Clauses (SCC) e DPA sottoscritto
Resend Inc.
- Servizio
- Invio email transazionali
- Dati trattati
- Nome, cognome, indirizzo email, contenuto delle email
- Sede e garanzie
- USA. Aderente al EU-US Data Privacy Framework. DPA disponibile
Meta Platforms Ireland Ltd.
- Servizio
- Notifiche WhatsApp Business
- Dati trattati
- Numero di telefono, nome, dettagli prenotazioni
- Sede e garanzie
- Irlanda/USA. Trasferimento basato su Data Processing Terms di WhatsApp Business e SCC
Stripe Inc.
- Servizio
- Elaborazione pagamenti
- Dati trattati
- Dati di pagamento (carta di credito gestita direttamente da Stripe), importo, email
- Sede e garanzie
- USA/Irlanda. Aderente al EU-US Data Privacy Framework. DPA disponibile
Zoom Video Communications Inc.
- Servizio
- Videochiamate
- Dati trattati
- Dati della riunione (orario, durata, link di accesso)
- Sede e garanzie
- USA. Trasferimento basato su SCC e DPA sottoscritto
Google LLC
- Servizio
- Google Calendar (gestione slot prenotazioni)
- Dati trattati
- Date e orari delle prenotazioni, identificativi degli eventi
- Sede e garanzie
- USA. Aderente al EU-US Data Privacy Framework. DPA disponibile
Vercel Inc.
- Servizio
- Hosting e distribuzione del sito web
- Dati trattati
- Dati di navigazione (indirizzo IP, log del server)
- Sede e garanzie
- USA. Trasferimento basato su SCC e DPA disponibile
| Fornitore | Servizio | Dati trattati | Sede e garanzie |
|---|
| Supabase Inc. | Database, autenticazione, archiviazione file | Tutti i dati personali della candidatura, credenziali di sessione, file caricati | USA (con possibilità di region EU). Trasferimento basato su Standard Contractual Clauses (SCC) e DPA sottoscritto |
| Resend Inc. | Invio email transazionali | Nome, cognome, indirizzo email, contenuto delle email | USA. Aderente al EU-US Data Privacy Framework. DPA disponibile |
| Meta Platforms Ireland Ltd. | Notifiche WhatsApp Business | Numero di telefono, nome, dettagli prenotazioni | Irlanda/USA. Trasferimento basato su Data Processing Terms di WhatsApp Business e SCC |
| Stripe Inc. | Elaborazione pagamenti | Dati di pagamento (carta di credito gestita direttamente da Stripe), importo, email | USA/Irlanda. Aderente al EU-US Data Privacy Framework. DPA disponibile |
| Zoom Video Communications Inc. | Videochiamate | Dati della riunione (orario, durata, link di accesso) | USA. Trasferimento basato su SCC e DPA sottoscritto |
| Google LLC | Google Calendar (gestione slot prenotazioni) | Date e orari delle prenotazioni, identificativi degli eventi | USA. Aderente al EU-US Data Privacy Framework. DPA disponibile |
| Vercel Inc. | Hosting e distribuzione del sito web | Dati di navigazione (indirizzo IP, log del server) | USA. Trasferimento basato su SCC e DPA disponibile |
I dati personali non saranno oggetto di diffusione, né saranno comunicati a soggetti terzi diversi da quelli sopra indicati, salvo obbligo di legge.
6. Trasferimento dei dati verso paesi terzi
Alcuni dei fornitori sopra indicati hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso gli USA è effettuato nel rispetto del Capo V del GDPR (Artt. 44-49), sulla base di una o più delle seguenti garanzie:
- EU-US Data Privacy Framework — decisione di adeguatezza della Commissione Europea del 10 luglio 2023 (per i fornitori certificati DPF)
- Standard Contractual Clauses (SCC) — clausole contrattuali tipo approvate dalla Commissione Europea ai sensi dell'Art. 46.2.c del GDPR
- Data Processing Agreement (DPA) — contratti di trattamento dati sottoscritti con ciascun fornitore ai sensi dell'Art. 28 del GDPR
L'interessato può richiedere copia delle garanzie adottate contattando il Titolare ai recapiti indicati nella Sezione 1.
7. Periodo di conservazione dei dati
I dati personali saranno conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di minimizzazione (Art. 5.1.e GDPR):
Dati di candidatura (candidature non ammesse)
24 mesi dalla chiusura del processo di selezione
Dati di candidatura (candidature ammesse/iscritti)
Durata del corso + 10 anni (per adempimenti fiscali e civili, Art. 2220 c.c.)
Immagini e file caricati
Durata del corso + 12 mesi, oppure fino a richiesta di cancellazione
Dati di pagamento e documentazione fiscale
10 anni (obblighi fiscali e contabili, Art. 2220 c.c.)
Log delle comunicazioni (email e WhatsApp)
24 mesi (interesse legittimo per risoluzione controversie)
Cookie tecnici di sessione
Fino alla scadenza della sessione o al logout
Dati delle prenotazioni e videochiamate
12 mesi dalla data della videochiamata
| Categoria di dati | Periodo di conservazione |
|---|
| Dati di candidatura (candidature non ammesse) | 24 mesi dalla chiusura del processo di selezione |
| Dati di candidatura (candidature ammesse/iscritti) | Durata del corso + 10 anni (per adempimenti fiscali e civili, Art. 2220 c.c.) |
| Immagini e file caricati | Durata del corso + 12 mesi, oppure fino a richiesta di cancellazione |
| Dati di pagamento e documentazione fiscale | 10 anni (obblighi fiscali e contabili, Art. 2220 c.c.) |
| Log delle comunicazioni (email e WhatsApp) | 24 mesi (interesse legittimo per risoluzione controversie) |
| Cookie tecnici di sessione | Fino alla scadenza della sessione o al logout |
| Dati delle prenotazioni e videochiamate | 12 mesi dalla data della videochiamata |
Trascorsi i termini sopra indicati, i dati saranno cancellati o anonimizzati in modo irreversibile.
8. Cookie
Il presente sito utilizza esclusivamente cookie tecnici di sessione, strettamente necessari al funzionamento del sito e alla gestione dell'autenticazione degli utenti.
Nello specifico:
- Cookie di autenticazione Supabase — gestiscono la sessione dell'utente autenticato (area amministrativa). Contengono un token crittografato. Sono impostati con flag HttpOnly e Secure. Vengono cancellati al logout.
Il sito non utilizza cookie di profilazione, cookie analitici di terze parti, né strumenti di tracciamento comportamentale.
Ai sensi delle Linee guida del Garante per la Protezione dei Dati Personali del 10 giugno 2021 (Provvedimento n. 231), i cookie strettamente tecnici non richiedono il consenso dell'utente né la visualizzazione di un banner. La presente sezione funge da informativa sui cookie ai sensi dell'Art. 122 del D.Lgs. 196/2003.
9. Diritti dell'interessato
In qualità di interessato, Lei ha il diritto di esercitare in qualsiasi momento i diritti previsti dagli Artt. 15-22 del GDPR, ovvero:
- Diritto di accesso (Art. 15) — ottenere conferma dell'esistenza di un trattamento e accedere ai Suoi dati personali
- Diritto di rettifica (Art. 16) — ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
- Diritto alla cancellazione (Art. 17) — ottenere la cancellazione dei Suoi dati, salvo che sussistano obblighi legali di conservazione
- Diritto di limitazione (Art. 18) — ottenere la limitazione del trattamento in determinati casi
- Diritto alla portabilità (Art. 20) — ricevere i Suoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
- Diritto di opposizione (Art. 21) — opporsi al trattamento basato sull'interesse legittimo del Titolare
- Diritto di revoca del consenso (Art. 7.3) — revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Come esercitare i Suoi diritti
Per esercitare i diritti sopra elencati, può inviare una richiesta via email a info@deco-group.it oppure tramite PEC all'indirizzo decogroup@pec.it.
Il Titolare risponderà alla Sua richiesta entro 30 giorni dal ricevimento. Tale termine può essere prorogato di ulteriori 60 giorni, se necessario, tenendo conto della complessità e del numero delle richieste. In tal caso, il Titolare La informerà della proroga entro un mese dal ricevimento della richiesta.
10. Diritto di reclamo
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se ritiene che il trattamento dei Suoi dati personali violi il GDPR, Lei ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:
11. Conferimento dei dati e conseguenze del rifiuto
Il conferimento di tutti i dati richiesti nel modulo di candidatura (nome, cognome, email, telefono, username Instagram, fotografie) è obbligatorio per la gestione della candidatura e l'eventuale iscrizione al Master. Il mancato conferimento di tali dati comporta l'impossibilità di procedere con la candidatura.
12. Processi decisionali automatizzati
Il Titolare non adotta processi decisionali automatizzati, inclusa la profilazione, ai sensi dell'Art. 22 del GDPR. La valutazione delle candidature è effettuata esclusivamente da personale autorizzato.
13. Minori
Il servizio è rivolto a persone di età superiore ai 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Se il Titolare dovesse venire a conoscenza di aver raccolto dati di un minore senza il consenso del genitore o tutore legale, provvederà alla cancellazione tempestiva di tali dati.
14. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare, aggiornare o integrare la presente informativa in qualsiasi momento. Le eventuali modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Si invita l'interessato a consultare periodicamente questa pagina.
In caso di modifiche sostanziali, il Titolare provvederà a darne comunicazione tramite i canali di contatto disponibili.
Questa informativa è stata redatta in conformità al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle Linee guida del Garante per la Protezione dei Dati Personali.