Privacy Policy
Ultimo aggiornamento: 28/04/2026. Questa informativa descrive il trattamento dei dati personali effettuato da Nosumo School in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
1. Titolare del trattamento
Titolare: C&O Company di Curti Marco ("Nosumo School").
Codice fiscale: CRTMRC95T10G337D.
P.IVA: 03103850347.
Codice Ateco: 60.39.00.
Indirizzo attività: Via Claudio Treves, 4A, 43010 Fontevivo (PR).
Regime fiscale: forfettario (imposta sostitutiva 15%, coefficiente di redditività 67%).
Inizio attività: 24/01/2025.
Cassa previdenziale: INPS Commercianti (matricola: -).
Sito web: school.nosumo.it.
Email: education@nosumo.it.
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono le condizioni di obbligatorietà ex art. 37 GDPR. Per ogni questione privacy il punto di contatto è l'email indicata.
2. Categorie di dati trattati
- Dati anagrafici e di contatto: nome, email.
- Dati account: password (hash), preferenze, ruolo, ultimo accesso.
- Dati di pagamento: gestiti direttamente da Stripe; conserviamo solo identificatori transazione (no carte).
- Dati di utilizzo: progresso lezioni, quiz, badge, eventi engagement.
- Dati tecnici: indirizzo IP, browser, dispositivo, log di sicurezza.
- Dati di consenso: scelte cookie, marketing, timestamp.
- Dati analytics e marketing: solo previo consenso esplicito (Meta Pixel, GA4).
3. Finalità e basi giuridiche
- Erogazione del servizio (account, lezioni, quiz): esecuzione del contratto (art. 6.1.b GDPR).
- Pagamenti e fatturazione: esecuzione contratto + obblighi legali fiscali (art. 6.1.b/c).
- Assistenza clienti: esecuzione contratto e legittimo interesse (art. 6.1.b/f).
- Email transazionali (verifica email, reset password, ricevute): esecuzione contratto.
- Email marketing/newsletter: consenso esplicito separato (art. 6.1.a).
- Cookie analytics e marketing: consenso esplicito tramite banner (art. 6.1.a + Direttiva ePrivacy).
- Sicurezza, prevenzione frodi e abusi: legittimo interesse (art. 6.1.f).
4. Cookie e tecnologie similari
Distinguiamo tre categorie di cookie/storage tecnologie:
- Necessari: indispensabili per autenticazione, sicurezza, memorizzazione delle scelte. Non richiedono consenso.
- Analytics: misurazione aggregata visitatori (GA4). Attivi solo con consenso.
- Marketing: ottimizzazione campagne e remarketing (Meta Pixel + Conversion API). Attivi solo con consenso.
Il consenso può essere modificato o revocato in qualsiasi momento dal link "Gestisci cookie" presente nel footer di ogni pagina.
| Nome | Fornitore | Finalità | Durata | Categoria |
|---|---|---|---|---|
| sb-*-auth-token | Supabase | Sessione autenticata utente | 1 anno (rinnovo) | Necessario |
| nosumo.consent.v2 | Nosumo (localStorage) | Memorizza le scelte di consenso cookie | Finché non revocato | Necessario |
| _ga, _ga_* | Google Analytics 4 | Misurazione aggregata visitatori, session, eventi | 14 mesi | Analytics |
| _fbp | Meta (Facebook) | Identificatore browser per misurazione campagne | 90 giorni | Marketing |
| _fbc | Meta (Facebook) | Click ID di Meta Ads (passato via querystring fbclid) | 90 giorni | Marketing |
| __stripe_mid, __stripe_sid | Stripe | Sicurezza pagamenti, prevenzione frodi | 1 anno / sessione | Necessario |
5. Conservazione dei dati
- Dati account utente attivo: Fino a cancellazione + 10 anni se cliente (obblighi fiscali).
- Lead non convertiti: 24 mesi dall'ultimo contatto, poi cancellazione.
- Email marketing: Fino a revoca consenso o disiscrizione.
- Dati di pagamento (token Stripe): 10 anni (obblighi fiscali).
- Log tecnici/sicurezza: 6 mesi.
- Cookie analytics (GA4): 14 mesi.
- Cookie marketing (Meta): 90 giorni.
6. Destinatari e responsabili esterni
Per fornire il servizio ci avvaliamo dei seguenti fornitori, nominati responsabili del trattamento ex art. 28 GDPR:
| Fornitore | Ruolo | Sede / Trasferimento | Privacy |
|---|---|---|---|
| Supabase Inc. | Hosting database e storage | USA (DPF) | link |
| Vercel Inc. | Hosting applicazione web | USA (DPF) | link |
| Stripe Payments Europe Ltd. | Pagamenti | Irlanda (UE) / USA (DPF) | link |
| Resend Inc. | Invio email transazionali e marketing | USA (DPF) | link |
| Meta Platforms Ireland Ltd. | Pixel di misurazione + Conversion API per campagne ads (con consenso) | Irlanda (UE) / USA (DPF) | link |
| Google Ireland Ltd. | Google Analytics 4 (con consenso) | Irlanda (UE) / USA (DPF) | link |
| Vimeo Inc. | Hosting video lezioni | USA (DPF) | link |
| Upstash Inc. | Rate limiting infrastruttura | USA (DPF) | link |
7. Trasferimenti extra-UE
Alcuni fornitori (Stripe, Resend, Vercel, Meta, Google, Vimeo, Upstash) hanno sede o elaborano dati negli Stati Uniti. Il trasferimento avviene in conformità al EU-US Data Privacy Framework (Decisione di adeguatezza UE del 10 luglio 2023) e/o tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea. In caso di richieste extragiudiziali da parte di autorità statunitensi, i fornitori hanno l'obbligo di applicare salvaguardie aggiuntive previste dal DPF.
8. Decisioni automatizzate e profilazione
Possiamo effettuare elaborazioni automatizzate per finalità di marketing personalizzato (es. segmentazione utenti per email lifecycle, audience matching su Meta CAPI). Tali elaborazioni non producono effetti giuridici significativi sull'utente. Hai sempre diritto a oppositi al trattamento e a richiedere intervento umano scrivendo a education@nosumo.it.
9. I tuoi diritti
In ogni momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR:
- Accesso ai tuoi dati (art. 15)
- Rettifica (art. 16)
- Cancellazione - "diritto all'oblio" (art. 17)
- Limitazione del trattamento (art. 18)
- Portabilità (art. 20)
- Opposizione (art. 21), incluso il marketing diretto
- Revoca del consenso in qualsiasi momento (art. 7)
Per esercitarli scrivi a education@nosumo.it. Risponderemo entro 30 giorni. Hai inoltre diritto di reclamo al Garante per la Protezione dei Dati Personali.
10. Modifiche alla privacy policy
Aggiorniamo questa informativa quando cambia la nostra struttura tecnica, i fornitori o gli adempimenti normativi. La data di "ultimo aggiornamento" è in cima al documento. Modifiche sostanziali vengono notificate via email agli utenti registrati.