Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è Itera Group Srl, gestore dell'Accademia di Psicologia Positiva, con sede legale in Via Capruzzi 184, 70124, Bari, Italia — P.IVA 08731140722.

Per qualsiasi richiesta relativa alla privacy puoi scrivere a privacy@accademiapsicologiapositiva.it oppure a info@accademiapsicologiapositiva.it.

2. Categorie di dati raccolti e finalità del trattamento

2.1 Modulo contatti e richieste informative

Dati raccolti: nome, email, professione (facoltativa), motivo del contatto, messaggio.
Base giuridica: esecuzione di misure precontrattuali su richiesta dell'interessato (art. 6.1.b GDPR) e consenso (art. 6.1.a) per la conservazione del contatto a fini di comunicazione futura.
Finalità: rispondere alla richiesta, fornire informazioni sui servizi formativi, mantenere la relazione commerciale.
Conservazione: fino alla revoca del consenso e per un massimo di 24 mesi dall'ultima interazione utile.

2.2 Iscrizione alla newsletter e form lead generation

Dati raccolti: email; nome e cognome, telefono, professione (a seconda del form).
Base giuridica: consenso esplicito (art. 6.1.a GDPR) prestato al momento dell'iscrizione.
Finalità: invio di comunicazioni informative e promozionali su corsi, eventi, contenuti formativi e iniziative dell'Accademia; segmentazione delle comunicazioni in base agli interessi e alla professione.
Conservazione: fino alla revoca del consenso. Puoi revocare in qualsiasi momento tramite il link di disiscrizione presente in ogni email.

2.3 Iscrizione a eventi (Inaugurazione, live, workshop)

Dati raccolti: nome, cognome, email, telefono (facoltativo), professione (facoltativa).
Base giuridica: consenso esplicito (art. 6.1.a GDPR).
Finalità: conferma dell'iscrizione, invio del link di accesso, promemoria, comunicazioni correlate all'evento e ai percorsi formativi dell'Accademia.
Conservazione: fino alla revoca del consenso e per un massimo di 24 mesi dall'ultima interazione.

2.4 Acquisto del Corso di Alta Formazione e gestione studenti

Dati raccolti: nome, cognome, email, indirizzo di fatturazione, codice fiscale o partita IVA (per fatturazione), dati di pagamento gestiti dal provider Stripe (la nostra infrastruttura non riceve né conserva i dati della carta), professione, dati di utilizzo della piattaforma (progressi, completamento moduli, journal delle pratiche, note personali, conversazioni con il Tutor AI).
Base giuridica: esecuzione del contratto di acquisto (art. 6.1.b GDPR), obblighi legali fiscali e di fatturazione (art. 6.1.c) e legittimo interesse (art. 6.1.f) per il miglioramento del servizio formativo.
Finalità: erogazione del corso, gestione dell'account studente, fatturazione, supporto, statistiche aggregate sull'utilizzo della piattaforma.
Conservazione: per la durata dell'accesso a vita al corso e per il tempo richiesto dagli obblighi fiscali italiani (10 anni per la documentazione contabile).

2.5 Comunicazione via WhatsApp Help Center

Dati raccolti: numero di telefono, contenuto dei messaggi inviati al numero di assistenza dell'Accademia.
Base giuridica: consenso (per la prima messaggistica volontaria) ed esecuzione del contratto (per il supporto agli studenti iscritti).
Finalità: gestire le richieste di informazioni e di supporto. Le risposte automatiche sono generate da un assistente AI (Anthropic Claude); i casi più complessi sono gestiti direttamente da un operatore umano.
Conservazione: 24 mesi dall'ultimo messaggio.

2.6 Analisi del traffico e misurazione delle campagne

Utilizziamo strumenti di analisi del traffico e misurazione delle conversioni per migliorare il sito e le campagne pubblicitarie:

• Google Analytics 4 e Google Tag Manager (con un proxy server-side ospitato su infrastruttura europea che riduce le informazioni inviate direttamente ai server di terze parti) per le statistiche di traffico
• Meta Pixel e Meta Conversions API (Facebook, Instagram) per la misurazione delle campagne
• Google Ads per il tracciamento delle conversioni pubblicitarie

Per migliorare l'accuratezza della misurazione delle conversioni — e solo previo consenso ai cookie di marketing — possiamo trasmettere a Google e Meta identificatori derivati dalla tua email e dal tuo numero di telefono in forma hash crittografato (SHA-256), quindi non riconducibile direttamente a te dai loro sistemi. Tale trasmissione avviene server-to-server e non comporta la condivisione di dati personali in chiaro.

Senza consenso, raccogliamo soltanto segnali aggregati e anonimi necessari al funzionamento del sito (Consent Mode v2 attivo).

Base giuridica: consenso (art. 6.1.a GDPR) e legittimo interesse (art. 6.1.f) per la sicurezza e il debug. Conservazione: 14 mesi (Google Analytics) / 90-180 giorni (Meta) / fino a 25 mesi (Google Ads).

3. Sub-processor (responsabili del trattamento)

Il titolare si avvale dei seguenti fornitori in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR:

3.1 Infrastruttura sito e applicazioni (server EU)

• Hetzner Online GmbH (Germania) — hosting server, region EU
• Coolify (self-hosted su Hetzner) — orchestrazione container delle applicazioni
• Sentry — error monitoring per debug tecnico (region EU)

3.2 Area riservata studenti

• Supabase (region EU) — autenticazione, database studenti, progressi, materiali
• Bunny.net (CDN) — streaming video del corso con URL firmati
• Anthropic Claude API — assistente didattico Tutor AI. I messaggi non sono usati per addestrare i modelli, secondo i termini commerciali Anthropic. Server: Stati Uniti, sotto Standard Contractual Clauses (SCC)

3.3 Pagamenti e fatturazione

• Stripe Payments Europe Ltd. (Irlanda) — gateway di pagamento PCI-DSS Level 1
• Klarna Bank AB (Svezia) — opzione di pagamento rateale a tasso zero, integrata via Stripe
• Fattureincloud (TeamSystem, Italia) — emissione delle fatture (serie ACC) e gestione fiscale

3.4 Email e comunicazione

• Mautic — piattaforma di email marketing self-hosted su infrastruttura europea (gestione contatti, newsletter, sequenze automatiche, segmentazione)
• Resend con consegna via Amazon SES — email transazionali (conferme acquisto, notifiche, password reset). Server di consegna globalmente distribuiti, sotto SCC
• n8n — automazione workflow self-hosted su infrastruttura europea (instradamento dati tra Stripe, Mautic, Odoo)
• Odoo Community — CRM commerciale self-hosted su infrastruttura europea (gestione lead e relazione cliente)
• WhatsApp Cloud API (Meta Platforms Ireland) — Help Center clienti via WhatsApp

3.5 Analytics e advertising

• Google Ireland Ltd. — Google Analytics 4, Google Tag Manager, Google Ads
• Meta Platforms Ireland Ltd. — Meta Pixel e Conversions API per misurazione e creazione di pubblici simili

4. Trasferimento dei dati extra-UE

La maggior parte dei sistemi (Mautic, n8n, Odoo, Sentry, Hetzner, Supabase EU, Coolify) è ospitata su infrastruttura europea.

Alcuni servizi (Anthropic Claude, Resend/Amazon SES, Google Analytics, Meta Pixel, WhatsApp Cloud API) possono comportare il trasferimento di dati al di fuori dello Spazio Economico Europeo. In questi casi il trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC)approvate dalla Commissione Europea, dell'adesione al Data Privacy Framework UE-USA (per i fornitori certificati) o di altri meccanismi di adeguatezza riconosciuti dall'art. 46 GDPR.

5. Profilazione e decisioni automatizzate

Per l'invio di comunicazioni email Mautic effettua una segmentazionedei contatti sulla base di interesse manifestato (es. lead inaugurazione, lead richiesta corso, ex-studenti) e della professione dichiarata. Questa attività è una segmentazione di base e non costituisce profilazione che produca effetti giuridici significativi sull'interessato ai sensi dell'art. 22 GDPR.

Il Tutor AIdella piattaforma (basato su Anthropic Claude) risponde a domande didattiche dello studente. Le risposte sono di natura informativa e non determinano l'esito del corso né l'ottenimento dell'attestato.

6. Diritti dell'interessato

Ai sensi degli artt. 15–22 GDPR, hai il diritto di:

• Accedere ai tuoi dati personali (art. 15)
• Rettificare dati inesatti o incompleti (art. 16)
• Richiedere la cancellazione dei dati ("diritto all'oblio", art. 17)
• Limitare il trattamento (art. 18)
• Portabilità dei dati in formato strutturato (art. 20)
• Opporti al trattamento basato su legittimo interesse o per finalità di marketing diretto (art. 21)
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato precedentemente
• Non essere sottoposto a decisioni automatizzate che producano effetti giuridici (art. 22)

Per esercitare questi diritti scrivi a privacy@accademiapsicologiapositiva.it. Risponderemo entro 30 giorni dalla ricezione, eventualmente prorogabili fino a 60 giorni in caso di richieste complesse.

Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

7. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione, in conformità all'art. 32 GDPR. In particolare: connessioni HTTPS/TLS, autenticazione a due fattori per gli account amministrativi, crittografia at-rest dei database, backup periodici, accesso ai dati su base "need to know" per il personale autorizzato.

8. Conservazione dei dati

Conserviamo i dati personali soltanto per il tempo strettamente necessario alle finalità per cui sono stati raccolti, con i seguenti limiti generali:

• Lead e iscritti newsletter: fino alla revoca del consenso, con revisione automatica dopo 24 mesi di inattività
• Studenti del corso: per la durata dell'accesso a vita ai materiali e per i 10 anni richiesti dagli obblighi fiscali italiani per la documentazione contabile
• Dati di analytics: 14 mesi (GA4)
• Log tecnici e error monitoring: 90 giorni

9. Modifiche alla presente informativa

Il titolare si riserva il diritto di modificare la presente informativa per riflettere cambiamenti nei servizi, nei sub-processor o nella normativa applicabile. La versione aggiornata è sempre disponibile a questo indirizzo. Le modifiche sostanziali saranno comunicate via email agli iscritti.