Informativa sul Trattamento
dei Dati Personali

ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) · pitagoramundus.net

Versione 1.2 — Maggio 2026. Questa informativa si applica esclusivamente alla piattaforma e-learning pitagoramundus.net. È distinta dall'informativa pubblicata su pitagoramundus.org, relativa al sito istituzionale. In caso di discordanza prevale il testo integrale qui riportato.

1Titolare del Trattamento

Titolare	Salvatore La Porta
Ente	Associazione Culturale Pitagora Mundus
Sede legale	Via G. Barrio, 10 — c/o Fedeterziario — 87100 Cosenza — Italia
Email privacy	privacy@pitagoramundus.org
Piattaforma	pitagoramundus.net
Sito istituzionale	pitagoramundus.org

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, in quanto il trattamento non rientra nelle fattispecie di nomina obbligatoria previste dall'art. 37, par. 1.

2Dati Trattati e Finalità

La piattaforma raccoglie e tratta le seguenti categorie di dati personali:

a) Dati anagrafici e di contatto
Nome, cognome, data di nascita, nazionalità, paese di residenza, sesso, indirizzo email, numero di cellulare. Finalità: gestione dell'iscrizione al corso, creazione del profilo utente, invio di comunicazioni operative.

b) Dati di autenticazione
Indirizzo email e hash crittografico della password (bcrypt, cost 10). Le password in chiaro non vengono mai conservate. Finalità: accesso sicuro alla piattaforma.

c) Dati didattici e di avanzamento
Presenze alle lezioni, avanzamento e completamento delle lezioni, punteggi dei quiz, valutazioni CEFR (A1–B1), note individuali redatte dalla docente. Finalità: erogazione del servizio formativo, valutazione del percorso di apprendimento.

d) Dati del Test di Ingresso (TI)
Punteggi delle competenze CO (Comprensione Orale), CS (Comprensione Scritta), CC (Competenza Comunicativa), PS (Produzione Scritta), PO (Produzione Orale), IO (Interazione Orale asincrona), Grammatica, Lessico. Registrazioni video per la componente IO. Finalità: determinazione del livello CEFR e assegnazione alla classe appropriata.

e) Contenuti generati dall'utente
Fotografie e testi pubblicati nel Diario del Borgo (attività culturale e territoriale). Finalità: documentazione dell'esperienza formativa e condivisione tra i partecipanti del corso.

f) Dati tecnici e di navigazione
Log di accesso, indirizzo IP anonimizzato, token per notifiche push, preferenze di sessione. Finalità: sicurezza della piattaforma, funzionamento delle notifiche, debug e miglioramento del servizio.

3Base Giuridica del Trattamento

Il trattamento dei dati si fonda sulle seguenti basi giuridiche ai sensi dell'art. 6 GDPR:

Art. 6.1.b — Esecuzione di un contratto: i dati anagrafici, didattici e del Test di Ingresso sono trattati per erogare il servizio formativo a cui l'interessato ha aderito iscrivendosi al corso.
Art. 6.1.b — Esecuzione del contratto (video IO): le registrazioni video IO sono parte necessaria del Test di Ingresso, la cui esecuzione è condizione per la partecipazione al corso. La base giuridica è l'esecuzione del contratto, non il consenso.
Art. 6.1.a — Consenso (contenuti facoltativi): le fotografie del Diario del Borgo e le notifiche push sono trattate previo consenso esplicito e libero dell'interessato. Il consenso è revocabile in qualsiasi momento senza pregiudizio per la partecipazione al corso né per la valutazione finale.
Art. 6.1.f — Legittimo interesse: i log tecnici e i dati di sicurezza sono trattati nell'interesse legittimo del titolare a garantire la sicurezza e l'integrità della piattaforma.

4Trasferimento di Dati verso Paesi Terzi

⚠️ Trasferimento extra-SEE. I dati personali degli utenti sono archiviati su infrastruttura cloud fornita da Supabase Inc. (San Francisco, CA, USA), con datacenter in zona sa-east-1 (Sudamerica — Brasile). Il Brasile non è oggetto di una decisione di adeguatezza della Commissione Europea ai sensi dell'art. 45 GDPR.

Il trasferimento è regolato dalle Clausole Contrattuali Standard (Standard Contractual Clauses — SCC) adottate dalla Commissione Europea ai sensi dell'art. 46.2.c GDPR, incorporate nelle condizioni d'uso di Supabase.

Per maggiori informazioni sul trattamento dei dati da parte di Supabase Inc., consultare: supabase.com/privacy.

L'interessato può richiedere copia delle garanzie adeguate adottate per il trasferimento scrivendo a privacy@pitagoramundus.org.

5Destinatari e Soggetti Autorizzati

I dati personali sono accessibili, nei limiti delle rispettive funzioni, dalle seguenti categorie di soggetti:

Docenti — accedono ai dati della propria classe (presenze, avanzamento, valutazioni). Non possono accedere ai dati delle altre classi né modificare l'iscrizione degli studenti.
Coordinatrice — accede in sola lettura ai dati di tutte le classi dell'edizione in corso. Può caricare documenti e materiali. Non può sbloccare lezioni né gestire l'iscrizione degli studenti.
Amministratore della piattaforma — accesso completo per finalità di gestione tecnica e operativa della piattaforma.
Supabase Inc. — responsabile esterno del trattamento ai sensi dell'art. 28 GDPR, in qualità di fornitore dell'infrastruttura tecnologica.

I dati non vengono comunicati a terzi, né ceduti o venduti per finalità commerciali o pubblicitarie.

6Periodo di Conservazione

Dati anagrafici e di iscrizione: conservati per la durata del corso e per i 24 mesi successivi alla conclusione dell'edizione, per eventuali richieste di certificazione o contestazioni.
Dati didattici (presenze, valutazioni, avanzamento): conservati per 24 mesi dalla fine dell'edizione.
Registrazioni video IO: eliminate entro 90 giorni dalla conclusione del corso, salvo esplicita richiesta di conservazione da parte dell'interessato.
Fotografie Diario del Borgo: le fotografie contrassegnate come "ufficiali" possono essere conservate a fini documentali e promozionali, previo consenso specifico. Le fotografie private degli studenti sono eliminate entro 90 giorni dalla fine del corso.
Log tecnici: conservati per 12 mesi e poi anonimizzati.
Token notifiche push: eliminati automaticamente alla revoca del consenso o alla disattivazione del dispositivo.

7Diritti dell'Interessato

Ai sensi degli artt. 15–22 GDPR, l'interessato ha diritto di:

Articolo	Diritto	Contenuto
Art. 15	Accesso	Ottenere conferma del trattamento e copia dei dati personali trattati.
Art. 16	Rettifica	Correggere dati inesatti o incompleti.
Art. 17	Cancellazione	Richiedere la cancellazione dei dati ("diritto all'oblio"), nei casi previsti dalla normativa.
Art. 18	Limitazione	Ottenere la limitazione del trattamento in determinate circostanze.
Art. 20	Portabilità	Ricevere i propri dati in formato strutturato, leggibile da dispositivo automatico.
Art. 21	Opposizione	Opporsi al trattamento fondato su legittimo interesse.
Art. 7.3	Revoca consenso	Revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento precedente.

Per esercitare i propri diritti, l'interessato può scrivere a:
📧 privacy@pitagoramundus.org — oggetto: "Esercizio dei diritti GDPR — Pitagora Mundus"

Il titolare risponde entro 30 giorni dal ricevimento della richiesta. In caso di complessità o numerosità delle richieste, il termine può essere prorogato di ulteriori 60 giorni, con comunicazione motivata all'interessato entro il primo mese (art. 12.3 GDPR).

ℹ️ L'interessato ha inoltre il diritto di proporre reclamo all'Autorità di controllo competente. Per gli interessati residenti in Italia: Garante per la protezione dei dati personali — garanteprivacy.it — Piazza Venezia, 11 — 00187 Roma.
Per gli interessati residenti in altri paesi UE/SEE: l'elenco delle autorità nazionali è disponibile su edpb.europa.eu.

8Misure di Sicurezza

Il titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza proporzionato al rischio, tra cui:

Trasmissione dei dati cifrata tramite HTTPS/TLS
Password conservate esclusivamente come hash bcrypt (cost factor 10) — mai in chiaro
Accesso ai dati basato su Row Level Security (RLS): ogni utente accede solo ai dati di propria pertinenza
Autenticazione gestita tramite il servizio Supabase Auth (GoTrue), con token JWT a scadenza
Separazione logica dei dati per schema di database (pitagora_mundus, contenuti_comuni)
Accesso amministrativo protetto da Service Key disponibile solo lato server

9Cookie e Tecnologie di Tracciamento

La piattaforma non utilizza cookie di profilazione né strumenti di tracciamento pubblicitario.

Vengono utilizzati esclusivamente:

Cookie tecnici di sessione — necessari al funzionamento dell'autenticazione (token JWT). Non richiedono consenso ai sensi dell'art. 122 Codice Privacy.
LocalStorage — per la conservazione delle preferenze di sessione lato client. Nessun dato sensibile è conservato in chiaro.
Service Worker — per il funzionamento della PWA (Progressive Web App) e delle notifiche push, attivi solo previo consenso esplicito dell'utente.

Non sono integrati Google Analytics, Meta Pixel, o altri strumenti di analisi di terze parti.

10Dati di Minori

La piattaforma è destinata a partecipanti maggiorenni (18 anni o più). Qualora, in via eccezionale, venga accettata la partecipazione di un minore, il trattamento dei dati personali avviene solo previo consenso del titolare della responsabilità genitoriale, ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003 (Codice Privacy italiano).

11Decisioni Automatizzate e Profilazione

Ai sensi dell'art. 22 GDPR, l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o incida significativamente sulla sua persona.

La piattaforma utilizza un sistema automatizzato di valutazione nell'ambito del Test di Ingresso (TI): al termine della fase automatica del test, un algoritmo calcola un punteggio ponderato sulla base delle competenze CO, CS e CC e assegna provvisoriamente lo studente a una fascia di livello (A1/A2 · A2/B1 · B1).

⚠️ La decisione automatica è sempre soggetta a revisione umana. L'assegnazione definitiva alla classe avviene solo dopo la valutazione da parte della docente delle componenti PS (Produzione Scritta), PO (Produzione Orale) e IO (Interazione Orale asincrona). L'interessato ha il diritto di richiedere l'intervento umano, di esprimere la propria posizione e di contestare la valutazione scrivendo a privacy@pitagoramundus.org.

Logica del sistema automatizzato: il punteggio provvisorio è calcolato con la formula CO×20% + CS×20% + CC×20%, per un massimo di 60 punti. Le soglie di assegnazione sono: 0–33 → A1/A2 · 34–61 → A2/B1 · 62–100 → B1. Nessuna altra logica di profilazione è applicata.

La piattaforma non effettua profilazione a fini commerciali né utilizza i dati didattici per finalità diverse da quelle formative dichiarate nella presente informativa.

12Obbligatorietà del Conferimento dei Dati

Ai sensi dell'art. 13.2.e GDPR, si specifica la natura obbligatoria o facoltativa del conferimento dei dati personali e le conseguenze del mancato conferimento:

Categoria di dati	Natura	Conseguenze del mancato conferimento
Nome, cognome, email, data di nascita, nazionalità	Obbligatoria	Impossibilità di completare l'iscrizione e accedere alla piattaforma.
Numero di cellulare	Facoltativa	Nessuna — il numero è usato solo per comunicazioni urgenti di carattere organizzativo.
Fotografie nel Diario del Borgo	Facoltativa	Nessuna — la funzione è opzionale e non incide sulla valutazione del corso.
Registrazioni video IO (Test di Ingresso)	Obbligatoria per completare il TI	Impossibilità di completare la fase IO del test; il punteggio IO sarà assente e la valutazione definitiva risulterà parziale.
Consenso notifiche push	Facoltativa	Nessuna — le notifiche push sono un servizio aggiuntivo. Le comunicazioni operative avvengono comunque tramite email e messaggi in-app.

13Responsabili Esterni del Trattamento

Ai sensi dell'art. 28 GDPR, il titolare si avvale dei seguenti responsabili esterni del trattamento, con i quali sono stati stipulati appositi accordi di trattamento dati (DPA):

Fornitore	Servizio	Sede / Trasferimento	Garanzie
Supabase Inc.	Database, autenticazione, archiviazione file (foto, video)	USA · datacenter sa-east-1 (Brasile) — extra-SEE	Standard Contractual Clauses (SCC) art. 46 GDPR — supabase.com/privacy
Netlify Inc.	Hosting e distribuzione del frontend della piattaforma	USA — extra-SEE	Standard Contractual Clauses (SCC) art. 46 GDPR — netlify.com/gdpr-ccpa

ℹ️ L'interessato può richiedere copia delle garanzie adeguate adottate per i trasferimenti extra-SEE scrivendo a privacy@pitagoramundus.org. I Data Processing Agreement con i fornitori sono disponibili su richiesta.

14Violazioni dei Dati Personali (Data Breach)

In caso di violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o trattati, il titolare adotta le seguenti misure ai sensi degli artt. 33–34 GDPR:

Notifica al Garante (art. 33): entro 72 ore dalla scoperta della violazione, salvo il caso in cui sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
Comunicazione agli interessati (art. 34): senza ingiustificato ritardo, qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati. La comunicazione avviene via email all'indirizzo registrato in piattaforma.
Registro delle violazioni (art. 33.5): tutte le violazioni, anche quelle non notificate al Garante, sono documentate internamente con descrizione, effetti e misure adottate.

Per segnalare sospette violazioni della sicurezza: privacy@pitagoramundus.org

15Consenso al Trattamento — Oggetto, Modalità e Revoca

Ai sensi dell'art. 7 GDPR, il consenso è raccolto una volta sola, al momento dell'attivazione dell'account (primo accesso con codice PM), tramite checkbox esplicito. Prima di prestarlo, allo studente è resa disponibile la presente informativa nella sua versione integrale. Il consenso è libero, specifico, informato e inequivocabile.

⚠️ Distinzione fondamentale. I dati necessari alla partecipazione al corso (anagrafica, credenziali, presenze, valutazioni, Test di Ingresso) sono trattati sulla base del contratto (art. 6.1.b GDPR) e non richiedono consenso separato. Il consenso di cui alla presente sezione riguarda esclusivamente i contenuti multimediali e le comunicazioni facoltative elencati di seguito.

Oggetto del consenso

Con la sottoscrizione del modulo di attivazione, il partecipante presta il proprio consenso esplicito al trattamento delle seguenti categorie di dati:

Immagini fotografiche Fotografie che ritraggono il partecipante, caricate nel Diario del Borgo o acquisite durante le attività del corso. Sono visibili agli altri partecipanti della stessa edizione, alle docenti e alla coordinatrice. Le fotografie contrassegnate come "ufficiali" dall'amministratore possono essere utilizzate a fini documentali e promozionali dell'Associazione (sito web, materiali informativi, social media istituzionali).

Registrazioni video Video registrati dal partecipante tramite la fotocamera del proprio dispositivo nell'ambito del Diario del Borgo. Visibili ai partecipanti della stessa edizione, alle docenti e alla coordinatrice. Non vengono pubblicati su canali pubblici senza consenso aggiuntivo specifico.

Registrazioni audio e video — Test IO Registrazioni audio/video prodotte durante la componente IO (Interazione Orale asincrona) del Test di Ingresso. Accessibili esclusivamente alla docente valutatrice e all'amministratore della piattaforma. Eliminate entro 90 giorni dalla fine del corso, salvo richiesta scritta di conservazione da parte dell'interessato.

Registrazioni vocali Tracce audio prodotte durante esercizi di ascolto e produzione orale presenti nelle lezioni. Trattate con le stesse modalità delle registrazioni video IO.

Testi e produzioni scritte Testi, commenti e produzioni scritte pubblicati nel Diario del Borgo o nelle attività collaborative della piattaforma. Visibili ai partecipanti della stessa edizione e allo staff del corso.

Notifiche push Invio di notifiche sul dispositivo del partecipante per avvisi operativi (sblocco lezioni, messaggi, valutazioni). Il consenso è richiesto separatamente dal sistema operativo del dispositivo e può essere revocato in qualsiasi momento dalle impostazioni del dispositivo stesso.

Accessi successivi al primo

Agli accessi successivi all'attivazione non è richiesta alcuna nuova prestazione di consenso. Il consenso prestato all'attivazione rimane valido per tutta la durata del corso. La schermata di login riporta un link all'informativa consultabile in qualsiasi momento, senza obbligo di interazione.

Revoca del consenso (art. 7.3 GDPR).
Il partecipante può revocare il consenso ai trattamenti facoltativi (fotografie, video, audio, testi del Diario del Borgo, notifiche push) in qualsiasi momento scrivendo a privacy@pitagoramundus.org con oggetto "Revoca consenso — Pitagora Mundus".

La revoca non pregiudica la liceità del trattamento effettuato prima della revoca stessa. I contenuti già caricati saranno rimossi entro 30 giorni dalla richiesta, salvo quelli già pubblicati in materiali promozionali per i quali la rimozione non sia tecnicamente praticabile: in tal caso il titolare ne dà comunicazione scritta all'interessato.

16Modifiche alla Presente Informativa

Il titolare si riserva di aggiornare la presente informativa per adeguarla a modifiche normative, tecnologiche o operative. Le modifiche sostanziali saranno comunicate agli utenti tramite avviso nella piattaforma o per email.

La versione aggiornata sarà sempre disponibile alla pagina: pitagoramundus.net/privacy

Informativa sul Trattamentodei Dati Personali