Informativa sulla privacy

Il Titolare del trattamento dei dati è Fabio Tassone, lavoratore autonomo (autónomo) iscritto al Régimen Especial de Trabajadores Autónomos (RETA) e al Registro Único de Empresarios spagnolo.

Dati identificativi:

Cursalys non è obbligata a nominare un Responsabile della Protezione dei Dati (DPO) ai sensi dell'Art. 37 GDPR perché non rientra nei casi di obbligo (autorità pubblica, monitoraggio sistematico su larga scala, trattamento di dati particolari come attività principale).

Il Titolare gestisce direttamente le richieste privacy. Per qualsiasi questione relativa ai tuoi dati personali scrivi a rayajustwork@gmail.com. Riceverai risposta entro 30 giorni dalla ricezione (Art. 12 par. 3 GDPR).

Trattiamo i tuoi dati solo per le finalità indicate sotto e solo sulla base giuridica corrispondente (Art. 6 GDPR):

• Creazione e gestione account utente, autenticazione, recupero password — esecuzione del contratto (Art. 6(1)(b) GDPR). Provider: Clerk.
• Cronologia ricerche, segnalibri, preferenze personalizzate — esecuzione del contratto e interesse legittimo a migliorare il servizio (Art. 6(1)(b) e (f) GDPR).
• Analytics aggregati e statistiche di utilizzo (Vercel Analytics, Speed Insights, Google Analytics 4) — consenso esplicito (Art. 6(1)(a) GDPR). Puoi revocare il consenso in qualsiasi momento dalle preferenze cookie.
• Comunicazioni di marketing via email (newsletter, novità prodotto) — consenso esplicito (Art. 6(1)(a) GDPR). Puoi disiscriverti con un click da ogni email.
• Tracciamento click affiliate verso provider partner (Coursera, Udemy, Domestika, Tutellus, Skillshare) — interesse legittimo a monetizzare il servizio gratuito (Art. 6(1)(f) GDPR). Esiste un opt-out dedicato nelle preferenze account.
• Fatturazione, adempimenti fiscali e contabili tramite Stripe — obbligo legale (Art. 6(1)(c) GDPR) ai sensi della normativa fiscale italiana e spagnola (Modello 036 RETA Spagna, fatturazione elettronica IT).

Conserviamo i dati personali solo per il tempo necessario alle finalità del trattamento, secondo i seguenti criteri:

• Dati account (email, profilo, password hash gestito da Clerk): 3 anni dall'ultimo accesso. Dopo questo termine l'account viene cancellato automaticamente con notifica via email 30 giorni prima.
• Cronologia ricerche e bookmark: 12 mesi dalla creazione. Dati anonimizzati conservati per analisi aggregata.
• Log dei consensi GDPR (consent log): conservazione permanente come prova di lawful basis (Art. 7 par. 1 GDPR).
• Fatture e ricevute Stripe: 10 anni come previsto dall'Art. 2220 c.c. italiano e dalla normativa fiscale spagnola (Ley General Tributaria, 4 anni minimi + 6 anni Modelo 036).
• Log tecnici e di sicurezza: massimo 12 mesi (Art. 132 Codice Privacy IT, anche per gli operatori non telco è prassi consolidata).

Per fornire il servizio condividiamo dati con i seguenti sub-responsabili. Ognuno ha sottoscritto un Data Processing Agreement (DPA) ai sensi dell'Art. 28 GDPR e, dove applicabile, le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea per i trasferimenti extra-UE:

• Clerk (USA) — autenticazione utenti, gestione sessione. DPA + SCC.
• Neon Postgres (UE, Francoforte) — database primario. DPA intra-UE, nessun trasferimento extra-UE per i dati di produzione.
• Vercel (USA) — hosting applicazione, Vercel Analytics, Speed Insights. DPA + SCC.
• Stripe (USA, sede irlandese per UE) — pagamenti, fatturazione, Stripe Tax automatico. DPA + SCC.
• Resend (USA) — invio email transazionali (conferme, notifiche). DPA + SCC.
• Anthropic (USA) — modelli Claude per ricerca conversazionale AI. DPA + SCC. Non viene inviato alcun dato identificativo nelle query AI.
• Voyage AI (USA) — generazione embedding semantici 1024-dim per la ricerca corsi. DPA + SCC.
• Firecrawl (USA) — scraping cataloghi corsi da provider partner. Non tratta dati personali utente.

In qualità di interessato hai diritto a esercitare i seguenti diritti previsti dagli Art. 15-22 GDPR e dal Codice Privacy italiano:

• Diritto di accesso (Art. 15 GDPR) — ottenere conferma dell'esistenza di un trattamento e copia dei dati che ti riguardano.
• Diritto di rettifica (Art. 16 GDPR) — far correggere dati inesatti o integrare dati incompleti.
• Diritto alla cancellazione / oblio (Art. 17 GDPR) — chiedere la rimozione dei tuoi dati se non più necessari, se hai revocato il consenso o ti opponi al trattamento.
• Diritto alla limitazione del trattamento (Art. 18 GDPR) — chiedere di sospendere temporaneamente il trattamento.
• Diritto alla portabilità (Art. 20 GDPR) — ricevere i tuoi dati in formato strutturato, leggibile da macchina (JSON) e trasmetterli ad altro Titolare.
• Diritto di opposizione (Art. 21 GDPR) — opporti in qualsiasi momento al trattamento basato su interesse legittimo, incluso il tracciamento affiliate.
• Diritto di revoca del consenso (Art. 7 par. 3 GDPR) — revocare il consenso prestato in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
• Diritto di non essere sottoposto a decisioni automatizzate (Art. 22 GDPR) — Cursalys non assume decisioni con effetti giuridici basate esclusivamente su trattamento automatizzato.

Scrivi a rayajustwork@gmail.com indicando nell'oggetto la richiesta (es. "Diritto di accesso GDPR Art. 15"). Allega un documento di identità o usa un'email già verificata sull'account. Il Titolare risponde entro 30 giorni dalla ricezione (Art. 12 par. 3 GDPR), prorogabili di altri due mesi se la richiesta è complessa.

L'esercizio dei diritti è gratuito. Possiamo richiedere un contributo solo se la richiesta è manifestamente infondata o eccessiva, in particolare se ripetitiva (Art. 12 par. 5 GDPR).

Se l'account è cancellato automaticamente puoi comunque richiedere informazioni residue: conserviamo unicamente log di consenso e dati fiscali per i periodi indicati al punto 4.

Se ritieni che il trattamento dei tuoi dati violi il GDPR puoi proporre reclamo a una delle autorità di controllo competenti (Art. 77 GDPR):

• Italia — Garante per la protezione dei dati personali. Piazza Venezia 11, 00187 Roma. Sito: garanteprivacy.it. PEC: protocollo@pec.gpdp.it.
• Spagna — Agencia Española de Protección de Datos (AEPD). C/ Jorge Juan, 6, 28001 Madrid. Sito: aepd.es. Sede elettronica: sedeagpd.gob.es.

Alcuni sub-processor (Clerk, Vercel, Stripe, Resend, Anthropic, Voyage AI, Firecrawl) hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione 2021/914, integrate da misure tecniche supplementari (cifratura in transito TLS 1.3, cifratura at-rest AES-256, controllo accessi role-based).

Dove applicabile, i provider aderiscono al EU-US Data Privacy Framework (Decisione di adeguatezza 2023/1795). Puoi richiedere copia delle SCC e dei Transfer Impact Assessment (TIA) scrivendo a rayajustwork@gmail.com.

L'informativa può essere aggiornata per riflettere modifiche legali, organizzative o tecniche. La data dell'ultima revisione è indicata in alto.

In caso di modifiche sostanziali (nuove finalità, nuovi sub-processor, cambio di base giuridica) ti notifichiamo via email almeno 30 giorni prima dell'entrata in vigore e mostriamo un banner in-app. Se non accetti le modifiche puoi richiedere la cancellazione dell'account prima della scadenza.