Informativa sul Trattamento dei Dati Personali
e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
1. Titolare del Trattamento
| Denominazione | Skillnova srl |
| P.IVA / C.F. | 07479470481 |
| Sede legale | via Sant’angelo 25 – 50142 Firenze |
| Email privacy | info@skillnova-cert.it |
| PEC | skillnova@pec.it |
| Sito web | www.skillnova-cert.it |
Il Titolare è la figura giuridicamente responsabile del trattamento dei dati personali raccolti attraverso il sito web e i servizi offerti da SkillNova-Cert.
2. Responsabile della Protezione dei Dati (DPO)
3. Tipologie di Dati Trattati
3.1 Dati di navigazione
I sistemi informatici acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell’uso dei protocolli Internet. Tali informazioni non sono raccolte per essere associate a interessati identificati, ma potrebbero permettere di identificare gli utenti attraverso elaborazioni e associazioni con dati di terzi.
- Indirizzi IP
- Tipo di browser e sistema operativo
- Pagine visitate e orario di accesso
- Dati tecnici di sessione
3.2 Dati forniti dall’utente (E-commerce)
- Nome, cognome, indirizzo email
- Indirizzo di spedizione/fatturazione
- Codice fiscale (per fatturazione)
- Dati di pagamento (gestiti direttamente da PayPal – il Titolare non accede ai dati della carta di credito)
- Cronologia degli ordini e acquisti
- Comunicazioni inviate tramite form di contatto o assistenza
3.3 Dati per la certificazione DigCompEdu (Accredia)
In relazione al servizio di certificazione delle competenze digitali degli educatori, accreditato da Accredia, vengono trattati:
- Nome, cognome, data e luogo di nascita
- Codice fiscale
- Documento di identità (fronte/retro) – per la verifica identità pre-esame
- Fotografia (selfie) – per la corrispondenza con il documento d’identità
- Dati dell’esame: risposte, punteggi, esito
- Certificato rilasciato e numero di accreditamento Accredia
- Qualifica professionale dichiarata (se richiesta ai fini della certificazione)
3.4 Dati raccolti dal sistema di proctoring (Constructor.tech)
Durante l’esame online, il sistema di sorveglianza Constructor.tech raccoglie i seguenti dati, che includono dati biometrici ai sensi dell’art. 4 n. 14 GDPR:
- Riprese video del volto del candidato tramite webcam
- Registrazione audio tramite microfono
- Screenshot periodici dello schermo del candidato
- Monitoraggio dell’attività del browser (cambio tab, apertura di nuove finestre)
- Rilevamento dell’utilizzo di strumenti di intelligenza artificiale o applicazioni non consentite
- Metadati tecnici della sessione d’esame
3.5 Dati raccolti tramite SPID/CIE
L’accesso ai servizi riservati avviene tramite SPID o CIE, mediante l’Identity Provider Intesi Group S.p.A. Gli attributi acquisiti al momento dell’autenticazione sono:
- Nome e cognome
- Codice fiscale
- Indirizzo email certificato
- Data di nascita
Non vengono richiesti attributi aggiuntivi oltre agli identificativi base necessari all’erogazione del servizio.
4. Finalità, Basi Giuridiche e Tempi di Conservazione
| Finalità | Base giuridica | Dati trattati | Conservazione |
|---|---|---|---|
| Esecuzione del contratto di vendita (e-commerce) | Art. 6(1)(b) – esecuzione di un contratto | Anagrafica, ordini, pagamenti, fatturazione | 10 anni (obblighi fiscali ex D.P.R. 633/1972) |
| Autenticazione tramite SPID/CIE | Art. 6(1)(b) – erogazione del servizio | Attributi SPID: CF, nome, cognome, email | Durata sessione + log tecnici 12 mesi |
| Gestione esame DigCompEdu e rilascio certificazione Accredia | Art. 6(1)(b) e (c) – contratto + obbligo legale | Dati anagrafici, documento identità, esito esame, certificato | 10 anni (requisiti Accredia) |
| Videosorveglianza durante l’esame (proctoring) | Art. 9(2)(a) – consenso esplicito per dati biometrici | Video, audio, screenshot desktop, log comportamentali | 30 giorni sui server Constructor.tech, poi cancellazione automatica |
| Verifica identità pre-esame (documento + selfie) | Art. 9(2)(a) – consenso esplicito | Documento d’identità, fotografia | Cancellazione al termine della verifica (max 24h dall’abilitazione) |
| Adempimenti fiscali e contabili | Art. 6(1)(c) – obbligo legale | Dati fatturazione, importi, P.IVA/CF | 10 anni |
| Assistenza clienti | Art. 6(1)(b) – esecuzione contratto | Email, contenuto comunicazioni | 3 anni dalla chiusura del ticket |
| Sicurezza informatica e log di accesso | Art. 6(1)(f) – legittimo interesse | IP, log di accesso, dati tecnici | 12 mesi |
| Invio comunicazioni commerciali (newsletter) | Art. 6(1)(a) – consenso | Email, nome | Fino alla revoca del consenso |
5. Destinatari dei Dati e Responsabili del Trattamento
I dati personali possono essere comunicati alle seguenti categorie di destinatari, designati Responsabili del Trattamento ai sensi dell’art. 28 GDPR ove applicabile:
| WooCommerce / Automattic Inc. | Piattaforma e-commerce – server UE configurabili; DPA disponibile |
| PayPal (Europe) S.à r.l. | Elaborazione pagamenti – autonomo titolare per i dati di pagamento |
| Constructor.tech | Sistema di proctoring – trattamento dati biometrici su server propri per 30 giorni |
| Intesi Group S.p.A. | Identity Provider SPID/CIE – autonomo titolare per l’autenticazione |
| Accredia | Ente di accreditamento nazionale – comunicazione dei certificati rilasciati |
| Keliweb S.r.l. | Hosting server dedicato (Italia) – Responsabile del trattamento ex art. 28 GDPR |
| Commercialista / Studio fiscale | |
| Autorità competenti |
I dati non vengono ceduti o venduti a terzi per finalità di profilazione commerciale.
6. Trasferimenti di Dati verso Paesi Terzi
I dati sono conservati principalmente su server ubicati in Italia (Keliweb S.r.l.). Alcuni fornitori (es. PayPal con sede in Lussemburgo, Automattic/WooCommerce) potrebbero elaborare dati in ambito UE/SEE o, in alcuni casi, negli Stati Uniti.
In caso di trasferimento extra-UE, il Titolare garantisce che avvenga nel rispetto delle garanzie previste dagli artt. 44–49 GDPR (es. Decisioni di adeguatezza della Commissione europea, Clausole Contrattuali Standard – SCC).
7. Diritti degli Interessati
Ai sensi degli artt. 15–22 GDPR, l’interessato ha diritto di:
- Accesso – ottenere conferma del trattamento in corso e ricevere copia dei propri dati
- Rettifica – ottenere la correzione di dati inesatti o incompleti
- Cancellazione – ottenere la cancellazione dei dati, salvo obblighi di legge
- Limitazione – ottenere la sospensione del trattamento in determinati casi
- Portabilità – ricevere i propri dati in formato strutturato e leggibile da macchina
- Opposizione – opporsi al trattamento basato su legittimo interesse, incluso il marketing diretto
- Revoca del consenso – revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente
- Reclamo – presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
Le richieste devono essere inviate a: [DA COMPILARE – email privacy del Titolare]
Il Titolare risponde entro 30 giorni, prorogabili di ulteriori 60 giorni in caso di complessità (art. 12 GDPR).
8. Minori
I servizi di SkillNova-Cert non sono destinati a minori di 16 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora venisse rilevato un trattamento non autorizzato riguardante minori, i dati saranno immediatamente cancellati.
9. Cookie e Tecnologie di Tracciamento
Il sito utilizza cookie tecnici necessari al funzionamento e, previo consenso, cookie analitici. Per informazioni dettagliate si rimanda alla Cookie Policy disponibile sul sito.
- Cookie tecnici/sessione: non richiedono consenso
- Cookie analitici (es. Google Analytics con IP anonimizzato): richiedono consenso preventivo
- Cookie di terze parti (PayPal, WooCommerce): gestiti dai rispettivi titolari
10. Misure di Sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, tra cui:
- Protocollo HTTPS con certificato SSL/TLS su tutto il sito
- Server dedicato Keliweb con accesso limitato e autenticato
- Autenticazione forte tramite SPID/CIE
- Cifratura dei dati sensibili a riposo e in transito
- Accesso ai dati limitato al personale autorizzato e formato
- Procedure di backup periodico
- Registro delle attività di trattamento (art. 30 GDPR)
11. Informativa Specifica sul Sistema di Proctoring
Il sistema di sorveglianza durante gli esami (proctoring) costituisce un trattamento di dati biometrici ai sensi dell’art. 4 n. 14 GDPR. Il Titolare adotta il principio di minimizzazione del dato (art. 5(1)(c) GDPR) limitando al massimo l’esposizione di informazioni non pertinenti all’esame.
11.1 Dati raccolti e modalità di sorveglianza
- Riprese video del volto tramite webcam – in modo continuativo per tutta la durata dell’esame
- Registrazione audio tramite microfono – in modo continuativo
- Screenshot periodici dello schermo limitati alla finestra del browser d’esame
- Monitoraggio comportamentale: cambio di scheda o finestra, apertura di applicazioni non consentite, rilevamento di strumenti di intelligenza artificiale
- Metadati tecnici della sessione (ora di inizio/fine, IP, dispositivo)
11.2 Condivisione del desktop – quando avviene e perché
La visualizzazione dell’intero desktop da parte del sorvegliante umano è una misura eccezionale e non continuativa, attivata esclusivamente nei seguenti casi:
- Rilevamento automatico di cambio di finestra o scheda del browser
- Apertura di applicazioni esterne non consentite durante l’esame
- Sospetto utilizzo di strumenti di intelligenza artificiale o di copiatura
- Comportamenti anomali segnalati dal sistema automatico di Constructor.tech
In tali circostanze, il sorvegliante può accedere alla visualizzazione dello schermo completo al solo fine di accertare la violazione delle regole d’esame e non per raccogliere o conservare altre informazioni. Il sorvegliante è contrattualmente obbligato a:
- Limitare la propria osservazione al comportamento rilevante per l’esame
- Non annotare, trascrivere o conservare informazioni personali accidentalmente visibili sullo schermo del candidato
- Interrompere immediatamente la visualizzazione appena accertata (o esclusa) la violazione
- Procedere alla chiusura immediata della sessione in caso di violazione confermata
11.3 Istruzioni obbligatorie pre-esame – misure di tutela del candidato
Al fine di tutelare la riservatezza del candidato e nel rispetto del principio di privacy by design (art. 25 GDPR), prima dell’avvio dell’esame il candidato è tenuto a:
- Chiudere tutte le applicazioni non necessarie all’esame (client email, documenti, messaggistica, homebanking, ecc.)
- Chiudere tutte le altre schede e finestre del browser diverse da quella d’esame
- Disattivare le notifiche di sistema che potrebbero visualizzare contenuti personali
- Utilizzare preferibilmente un profilo browser dedicato all’esame, privo di estensioni e segnalibri personali
- Svolgere l’esame in un ambiente fisico riservato, evitando la presenza di documenti o schermi secondari visibili
Queste istruzioni sono presentate obbligatoriamente al candidato in una schermata dedicata prima dell’avvio e devono essere accettate espressamente insieme al consenso al trattamento.
11.4 Consenso esplicito e granulare
Prima dell’avvio dell’esame, il candidato presta consenso separato per ciascuno dei seguenti trattamenti:
- Consenso A – Ripresa video del volto e registrazione audio per tutta la durata dell’esame
- Consenso B – Screenshot periodici della finestra del browser d’esame
- Consenso C – Visualizzazione eccezionale del desktop completo da parte del sorvegliante umano in caso di anomalia rilevata, nei termini descritti al punto 11.2
Il rifiuto di uno qualsiasi dei consensi preclude la possibilità di sostenere l’esame in modalità online. [DA VERIFICARE: indicare se sono previste modalità alternative in presenza per i candidati che non intendono accettare il proctoring]
11.5 Conservazione e cancellazione
- Video, audio e log comportamentali: conservati sui server di Constructor.tech per 30 giorni dalla data dell’esame, poi cancellazione automatica e certificata
- Esito dell’esame e dati di certificazione: conservati per 10 anni (requisiti Accredia)
11.6 Obblighi contrattuali del sorvegliante
Il Titolare ha stipulato con Constructor.tech un accordo di trattamento dei dati (DPA) ai sensi dell’art. 28 GDPR, che include specifici obblighi di riservatezza per il personale di sorveglianza, divieto assoluto di utilizzo dei dati per finalità diverse dalla sorveglianza d’esame, e obblighi di cancellazione certificata alla scadenza dei termini.
12. Informativa Specifica sull’Autenticazione SPID/CIE
L’autenticazione tramite SPID o CIE avviene attraverso il servizio di Identity Provider fornito da Intesi Group S.p.A., soggetto abilitato AgID. Il Titolare:
- Non memorizza le credenziali SPID o CIE dell’utente
- Riceve esclusivamente gli attributi identificativi minimi necessari all’erogazione del servizio (nome, cognome, codice fiscale, email)
- Non effettua tracciamento delle sessioni di autenticazione oltre quanto strettamente necessario per la sicurezza
Per informazioni sul trattamento dei dati da parte di Intesi Group S.p.A. in qualità di Identity Provider, consultare l’informativa privacy di Intesi Group.
13. Registro delle Attività di Trattamento
Il Titolare mantiene il Registro delle attività di trattamento ai sensi dell’art. 30 GDPR, disponibile su richiesta del Garante per la Protezione dei Dati Personali.
14. Valutazione d’Impatto sulla Protezione dei Dati (DPIA)
15. Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, dandone idonea pubblicità agli utenti sul sito. Si invita a consultare periodicamente questa pagina. In caso di modifiche sostanziali, gli utenti registrati saranno notificati via email.