Informativa sulla Privacy — ManipulaPro
Ultimo aggiornamento: 27 aprile 2026 Versione: 1.0
1. Identità del Titolare del Trattamento
| Campo | Valore |
|---|---|
| Nome | Fabio Tassone |
| Forma giuridica | Lavoratore autonomo (autónomo iscritto IAE Spagna) |
| NIE | [da completare] |
| Domicilio fiscale | [da completare — Siviglia, Spagna] |
| Email di contatto privacy | privacy@manipulapro.com |
| Email generale | hola@manipulapro.com |
| Marchio commerciale | ManipulaPro |
| Domini | manipulapro.com, manipulapro.com |
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti dell'Art. 37 GDPR: l'attività non implica monitoraggio sistematico su larga scala né trattamento su larga scala di categorie particolari di dati ex Art. 9.
2. Dati personali trattati
| Categoria | Dati specifici | Origine |
|---|---|---|
| Identificativi | Nome, cognome, email | Form di registrazione |
| Autenticazione | Hash della password (gestito da Clerk), token di sessione | Servizio di autenticazione |
| Fatturazione | Email di pagamento, importo, ID transazione Stripe | Stripe Checkout |
| Didattici | Corsi acquistati, tentativi d'esame, punteggi, attestati emessi | Piattaforma ManipulaPro |
| Tecnici | IP, user agent, data di accesso, lingua | Log server (Vercel) |
| Cookie | Vedi sezione 9 | Browser dell'utente |
Non trattiamo dati delle categorie particolari ex Art. 9 GDPR (origine razziale, opinioni politiche, salute, dati biometrici, etc.). Non trattiamo dati di minori di 14 anni (Codice Privacy art. 2-quinquies).
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (Art. 6 GDPR) |
|---|---|
| Erogazione del servizio formativo online (registrazione, accesso ai corsi, esame, attestato) | Esecuzione del contratto (Art. 6.1.b) |
| Incasso e fatturazione | Obbligo di legge (Art. 6.1.c — normativa fiscale) |
| Comunicazioni transazionali (recupero password, fattura, attestato) | Esecuzione del contratto (Art. 6.1.b) |
| Gestione delle richieste degli interessati (Art. 15-22 GDPR) | Obbligo di legge (Art. 6.1.c) |
| Miglioramento del servizio tramite analytics aggregati | Legittimo interesse (Art. 6.1.f) — solo previo consenso a cookie analitici |
| Marketing tramite email | Consenso (Art. 6.1.a) — opt-in esplicito, nessun invio senza consenso preventivo |
4. Responsabili del trattamento (sub-processor)
ManipulaPro utilizza i seguenti fornitori che trattano dati personali per conto del Titolare. Tutti dispongono di Accordo sul Trattamento dei Dati (DPA) sottoscritto e, per i trasferimenti extra-SEE, di Clausole Contrattuali Tipo (SCC) approvate dalla Commissione Europea (Decisione 2021/914) o adesione all'EU-U.S. Data Privacy Framework.
| Fornitore | Sede | Finalità | Dati trasferiti | Garanzia trasferimento |
|---|---|---|---|---|
| Clerk Inc. | Stati Uniti | Autenticazione utenti, gestione sessioni | Email, nome, IP, token | SCC + EU-U.S. DPF |
| Stripe Payments Europe Ltd. | Irlanda (sede UE) | Elaborazione pagamenti | Email, importo, ID transazione, IP | Trattamento all'interno SEE |
| Stripe Inc. | Stati Uniti | Supporto tecnico servizio pagamenti | Dati pseudonimizzati | SCC + EU-U.S. DPF |
| Neon Inc. | Stati Uniti (dati in regione UE eu-central-1) | Database PostgreSQL | Tutti i dati account e didattici | SCC + data residency europea |
| Resend Inc. | Stati Uniti | Invio email transazionali | Email destinatario, contenuto messaggio | SCC |
| Vercel Inc. | Stati Uniti | Hosting applicazione, esecuzione funzioni serverless | Log tecnici (IP, user agent), dati in transito | SCC + EU-U.S. DPF |
| Cloudflare Ireland Ltd. | Irlanda (sede UE per clienti SEE) | DNS e rete di distribuzione contenuti (CDN) | IP, dati di traffico tecnici | Trattamento all'interno SEE |
| Upstash Inc. | Stati Uniti (dati in regione UE se configurata) | Rate limiting e cache | IP troncato, contatori | SCC |
ManipulaPro non autorizza questi sub-processor a utilizzare i dati per finalità proprie diverse dall'erogazione del servizio contrattualizzato. Prima di aggiungere un nuovo sub-processor, ManipulaPro valuta le garanzie tecniche e organizzative e sottoscrive il relativo DPA.
5. Conservazione dei dati
| Categoria | Periodo di conservazione | Base |
|---|---|---|
| Account utente (profilo, autenticazione) | Fino a richiesta di cancellazione dell'utente o inattività superiore a 36 mesi | Esecuzione del servizio |
| Dati di pagamento e fatturazione (importi, date, ID Stripe) | 10 anni dalla data di emissione della fattura | Obbligo di legge: Art. 2220 c.c. + DPR 600/1973 (per residenza fiscale italiana del cliente B2B) — 7 anni se cliente residente fiscale Spagna (Código de Comercio + LGT) |
Tentativi d'esame (QuizAttempt) | Fino a cancellazione dell'account | Esecuzione del servizio |
| Attestati emessi | A tempo indeterminato, anonimizzati dopo cancellazione dell'account del titolare | Legittimo interesse: integrità sistema di verifica pubblica anti-falsificazione + obblighi del Reg. CE 852/2004 a carico dell'operatore del settore alimentare |
Backup pg_dump cifrato | 30 giorni rotazione automatica | Sicurezza |
| Log tecnici di accesso | 90 giorni | Legittimo interesse: sicurezza e prevenzione frodi |
| Cookie | Vedi sezione 9 | Consenso o esecuzione del servizio |
| Comunicazioni marketing | Fino alla revoca del consenso | Consenso |
Anonimizzazione attestati: dopo la richiesta di cancellazione, il campo userId del record Certificate viene scollegato e i dati personali (nome, email) sono sostituiti da hash irreversibili. Il codice univoco dell'attestato e la data di emissione vengono conservati affinché la verifica pubblica tramite codice (/verifica/[code]) resti valida nei confronti delle autorità sanitarie e dei datori di lavoro che la consultino.
6. Diritti dell'interessato (Art. 15-22 GDPR)
Hai diritto a:
- Accesso (Art. 15): ottenere conferma del trattamento dei tuoi dati e, in caso affermativo, copia degli stessi.
- Rettifica (Art. 16): correggere dati inesatti.
- Cancellazione (Art. 17) — "diritto all'oblio": rimuovere i tuoi dati quando non più necessari o se revochi il consenso, fatti salvi i termini di conservazione obbligatori (Sezione 5).
- Limitazione del trattamento (Art. 18): chiedere la sospensione del trattamento in casi tipizzati.
- Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato (JSON) e trasmetterli ad altro titolare.
- Opposizione (Art. 21): opporti al trattamento basato su legittimo interesse (analytics) o al marketing diretto.
- Non essere oggetto di decisioni automatizzate (Art. 22): ManipulaPro non effettua decisioni automatizzate con effetti giuridici sugli utenti. La valutazione del test è algoritmica ma non costituisce una decisione giuridica autonoma.
Come esercitare i tuoi diritti: invia un'email a privacy@manipulapro.com indicando il diritto che intendi esercitare e allegando copia del tuo documento d'identità per accertare la tua identità. Termine di risposta: un mese prorogabile a tre mesi nei casi complessi (Art. 12 GDPR).
Reclamo all'autorità di controllo: se ritieni che il trattamento violi il GDPR puoi presentare reclamo all'autorità competente:
- Per residenti in Italia: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it, tel. 06 696771.
- Per residenti in Spagna: Agencia Española de Protección de Datos (AEPD), www.aepd.es.
7. Sicurezza
ManipulaPro applica misure tecniche e organizzative adeguate (Art. 32 GDPR), tra cui:
- Cifratura in transito tramite TLS 1.3
- Cifratura a riposo del database (Neon usa AES-256)
- Autenticazione a due fattori (2FA) disponibile per amministratori
- Hash delle password con bcrypt/argon2 (gestito da Clerk, ManipulaPro non accede mai alle password in chiaro)
- Isolamento delle credenziali tramite variabili d'ambiente (Vercel Encrypted Env Vars)
- Verifica crittografica dei webhook in entrata (firma Stripe + Clerk svix)
- Anti-tampering lato server nella valutazione del test
- Rate limiting sugli endpoint sensibili
- Backup cifrati con rotazione di 30 giorni
- Registro delle attività di trattamento interno conforme all'Art. 30 GDPR
Notifica di violazioni di sicurezza: in caso di violazione che presenti un rischio elevato per i diritti e le libertà degli interessati, ManipulaPro notificherà all'autorità competente entro 72 ore (Art. 33 GDPR) e comunicherà agli interessati senza ingiustificato ritardo (Art. 34).
8. Avvertenza sulla validità degli attestati (mercato Italia)
ManipulaPro opera attualmente solo per il mercato spagnolo (manipulapro.com, dominio principale). Il dominio manipulapro.com è temporaneamente in modalità "in arrivo" in attesa della conclusione di una partnership con un ente accreditato italiano per l'emissione di attestati HACCP validi sul territorio nazionale.
Quando il servizio sarà attivo in Italia, l'attestato sarà emesso da un ente di formazione accreditato regionalmente, in regime di mutuo riconoscimento ex Direttiva UE 2005/36/CE (validità sull'intero territorio nazionale a partire da una singola accreditazione regionale, principio confermato dalla giurisprudenza del Consiglio di Stato).
Fino all'attivazione del servizio italiano, ManipulaPro non emette attestati validi sul territorio italiano. Eventuali utenti italiani che si iscrivono al servizio spagnolo lo fanno per finalità formative proprie e non come adempimento dell'obbligo formativo previsto dall'art. 4 Reg. CE 852/2004 in Italia.
9. Cookie
ManipulaPro utilizza esclusivamente i seguenti cookie:
| Nome | Tipo | Finalità | Durata | Terza parte |
|---|---|---|---|---|
__session | Tecnico necessario | Sessione di autenticazione Clerk | Sessione / fino a logout | Clerk |
__client_uat | Tecnico necessario | Validazione client Clerk | 1 anno | Clerk |
NEXT_LOCALE | Tecnico necessario | Lingua dell'utente | 1 anno | ManipulaPro |
manipulapro_consent_v1 | Tecnico necessario | Memorizza la tua preferenza cookie | 1 anno | ManipulaPro |
__stripe_mid, __stripe_sid | Tecnico necessario | Prevenzione frodi nei pagamenti | 1 anno / 30 minuti | Stripe |
Non utilizziamo cookie di analytics né di marketing nella versione attuale del servizio. Se in futuro aggiungeremo analytics (ad esempio Plausible Analytics, self-hosted in UE senza cookie) o cookie di marketing, questa informativa sarà aggiornata e verrà richiesto il consenso aggiuntivo all'utente prima dell'attivazione.
I cookie strettamente necessari sono esenti dal requisito di consenso ai sensi dell'Art. 122 Codice Privacy e delle linee guida del Garante.
10. Modifiche dell'informativa
ManipulaPro si riserva il diritto di modificare la presente Informativa per adattarla a evoluzioni normative o all'evoluzione del servizio. Le modifiche sostanziali saranno comunicate agli utenti registrati via email con un preavviso minimo di 30 giorni. La data dell'ultimo aggiornamento è indicata in apertura del documento.
11. Legge applicabile e foro competente
La presente Informativa è disciplinata dal Regolamento (UE) 2016/679 (GDPR), dal D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy), dalla Ley Orgánica 3/2018 (LOPDGDD spagnola, in quanto sede del Titolare). Per ogni controversia il foro competente è quello di Siviglia, fatti salvi i diritti del consumatore ex art. 66-bis Codice del Consumo italiano per gli utenti residenti in Italia.
Contatto privacy: privacy@manipulapro.com Titolare: Fabio Tassone — Siviglia, Spagna