Privacy Policy

Il titolare del trattamento dei dati personali è 3ml.it - Gabriele Marazzi, P.IVA IT11766831009, con sede in Via Val di Lanzo, 107, 00141 Roma (RM).

Responsabile della protezione dei dati (DPO): Gabriele Marazzi — gabriele.marazzi@gmail.com

La presente Privacy Policy si applica al trattamento dei dati personali effettuato tramite la piattaforma Workshop, un servizio SaaS B2B che consente a 3ml.it - Gabriele Marazzi e ad altre organizzazioni di offrire workshop interattivi ai propri clienti. Il servizio è rivolto ad aziende e liberi professionisti, principalmente con sede in Italia.

Workshop raccoglie le seguenti categorie di dati personali:

• Dati anagrafici: nome, cognome, data di nascita.
• Dati di contatto: indirizzo email, numero di telefono, indirizzo.
• Dati di accesso: username, password (conservata in forma hashata con algoritmo bcrypt).
• Dati fiscali: partita IVA, codice fiscale.
• Dati di navigazione e tecnici: indirizzo IP, tipo di browser, user agent, dati di sessione e cookie tecnici.
• Dati comportamentali: azioni compiute all'interno dell'applicazione e preferenze dell'utente.
• Foto e immagini del profilo: eventuale immagine caricata dall'utente.
• Contenuti caricati: file, documenti e materiali inseriti dall'utente nella piattaforma.
• Dati di business: idee, problematiche aziendali e proposte di soluzioni condivise durante i workshop.
• Dati di integrazione: token OAuth per Google Calendar, utilizzati esclusivamente per accedere al calendario dell'utente su sua richiesta.

Workshop offre un'integrazione opzionale con Google Calendar, attivabile esclusivamente dagli utenti con ruolo Owner tramite la pagina Impostazioni. L'integrazione utilizza il protocollo OAuth 2.0 e richiede il seguente scope:

• https://www.googleapis.com/auth/calendar.events — consente la lettura e la creazione di eventi nel calendario Google dell'utente.

Finalità dell'accesso:

• Leggere gli eventi esistenti per verificare la disponibilità dell'utente.
• Creare nuovi eventi nel calendario per la pianificazione dei workshop.

Dati conservati:

Workshop conserva nel proprio database esclusivamente i token OAuth (access token e refresh token) e l'indirizzo email dell'account Google associato. Gli eventi del calendario restano interamente su Google e non vengono copiati né archiviati da Workshop.

Revoca e disconnessione:

L'utente può disconnettere Google Calendar in qualsiasi momento dalla pagina Impostazioni. La disconnessione comporta la revoca del token su Google e la cancellazione immediata dei token dal database di Workshop. L'utente può inoltre revocare l'accesso direttamente dalle impostazioni di sicurezza del proprio account Google.

I dati personali vengono trattati per le seguenti finalità, con le relative basi giuridiche ai sensi degli artt. 6 e 7 del GDPR:

I dati sono trattati con strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e comunque in modo da garantirne la sicurezza e la riservatezza. Non vengono effettuate decisioni automatizzate né attività di profilazione ai sensi dell'art. 22 del GDPR.

I dati personali vengono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

• Dati account (nome, email, profilo): per tutta la durata dell'account, più 2 anni dalla cancellazione.
• Dati fiscali (P.IVA, codice fiscale, fatture): 10 anni, come previsto dalla normativa fiscale.
• Contenuti utente (file, documenti, dati business): per tutta la durata dell'account, cancellati entro 30 giorni dalla chiusura.
• Log tecnici (IP, sessioni): 90 giorni.
• Dati marketing (consensi): fino alla revoca del consenso da parte dell'utente.
• Token OAuth (Google Calendar): fino alla disconnessione o cancellazione dell'account.

I dati personali non vengono venduti a terzi. Possono essere comunicati a soggetti terzi che agiscono in qualità di responsabili del trattamento (sub-responsabili) ai sensi dell'art. 28 del GDPR, limitatamente a quanto necessario per l'erogazione del servizio:

• Google (Google Calendar API, Google Analytics) — integrazione calendario e analisi statistica.
• Zoho (SMTP) — invio di email transazionali e comunicazioni operative.
• Meta (Facebook Pixel) — analisi e marketing.

I dati possono inoltre essere comunicati ad autorità competenti in adempimento di obblighi di legge.

Alcuni dei sub-responsabili indicati (Google, Meta) possono trasferire dati personali verso paesi al di fuori dell'Unione Europea e dello Spazio Economico Europeo, in particolare negli Stati Uniti. Tali trasferimenti avvengono sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46.2.c del GDPR, nonché del EU-US Data Privacy Framework ove applicabile.

Workshop utilizza cookie tecnici strettamente necessari al funzionamento del servizio (sessione e autenticazione). Possono inoltre essere utilizzati cookie analitici (Google Analytics) e di marketing (Facebook Pixel) previo consenso dell'utente. Per maggiori dettagli sui cookie di terze parti, si rimanda alle rispettive informative privacy.

Ai sensi dell'art. 32 del GDPR, il titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, tra cui:

• Crittografia delle password con algoritmo bcrypt.
• Autenticazione sicura tramite JWT (JSON Web Token).
• Crittografia dei dati in transito (HTTPS/TLS) e a riposo.
• Controllo degli accessi basato su ruoli (RBAC).
• Middleware di protezione delle rotte applicative.
• Backup regolari del database.
• Rate limiting sulle API per prevenire abusi.
• Validazione e sanitizzazione degli input utente.
• Aggiornamento regolare delle dipendenze software.
• Logging e monitoraggio degli accessi sospetti.
• Principio del minimo privilegio nell'accesso ai dati.

Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:

• Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati.
• Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
• Cancellazione (art. 17): ottenere la cancellazione dei propri dati, salvo obblighi di conservazione previsti dalla legge.
• Limitazione (art. 18): ottenere la limitazione del trattamento in determinate circostanze.
• Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
• Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse.
• Revoca del consenso (art. 7.3): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

Per esercitare i propri diritti, l'utente può contattare il DPO all'indirizzo gabriele.marazzi@gmail.com.

L'utente ha inoltre il diritto di proporre reclamo all'autorità di controllo competente (Garante per la protezione dei dati personali — www.garanteprivacy.it).

Il titolare si riserva il diritto di apportare modifiche alla presente Privacy Policy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Si invitano gli utenti a consultare periodicamente questa pagina. In caso di modifiche sostanziali, ne verrà data comunicazione tramite email o avviso all'interno della piattaforma.

La presente Privacy Policy è regolata dal Regolamento (UE) 2016/679 (GDPR), dal D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018, e dalla normativa italiana ed europea vigente in materia di protezione dei dati personali.