Informativa privacy

1. Titolare del trattamento

Il titolare del trattamento è il soggetto che gestisce ScaleUp Learn, come identificato nei recapiti legali e commerciali pubblicati sul sito (il "Titolare"). Salvo diversa indicazione espressa, le richieste privacy possono essere inviate ai contatti ufficiali indicati sul sito.

Ove nominato, l’eventuale responsabile della protezione dei dati (DPO) o altro referente privacy sarà indicato nei medesimi recapiti o in una comunicazione dedicata.

2. Categorie di dati trattati

ScaleUp Learn può trattare, a seconda del servizio utilizzato, le seguenti categorie di dati personali:

• dati identificativi e di contatto, come nome, cognome, email, username, eventuale numero di telefono e altri dati forniti volontariamente;
• dati account e autenticazione, come credenziali, identificativi tecnici, log di accesso, cookie di sessione, preferenze di utilizzo e dati relativi alla sicurezza dell’account;
• dati amministrativi, commerciali e di fatturazione, compresi dati relativi agli acquisti, agli abbonamenti, ai pagamenti e agli identificativi cliente presso fornitori di pagamento;
• dati relativi alle lezioni e alla fruizione dei servizi, come prenotazioni, stato delle sessioni, ore acquistate o utilizzate, disponibilità, docente assegnato, storico delle interazioni e dati operativi collegati alla gestione delle lezioni;
• dati provenienti da strumenti di scheduling e meeting, come email dell’invitato, orari di prenotazione, link di partecipazione, webhook, log operativi e riferimenti a eventi prenotati;
• dati audio/video e contenuti di lezione generati nell’ambito dei servizi di registrazione (es. Video Plus), inclusi file video, tracce audio, trascrizioni testuali, timestamp, durata, stato elaborazione e metadati tecnici della sessione;
• dati contenuti nelle comunicazioni inviate dall’utente al supporto, ai tutor, ai docenti, tramite moduli di contatto o attraverso strumenti di chat e messaggistica resi disponibili nella piattaforma;
• dati tecnici e di navigazione, quali indirizzo IP, identificativi dispositivo, browser, sistema operativo, pagine visitate, data e ora delle richieste, log di sicurezza e informazioni generate dall’uso del sito;
• ove strettamente necessario e solo se forniti dall’utente nel contesto del servizio, ulteriori dati contenuti in note, richieste, materiali caricati, comunicazioni didattiche o messaggi immessi in eventuali funzionalità di assistenza AI e chatbot.

Salvo diversa indicazione espressa, ScaleUp Learn non richiede sistematicamente categorie particolari di dati personali ai sensi dell’art. 9 GDPR. L’utente è invitato a non comunicare dati sensibili o eccedenti se non strettamente necessario.

3. Fonte dei dati

I dati personali possono essere raccolti:

• direttamente presso l’utente, al momento della registrazione, dell’acquisto o della prenotazione;
• durante l’utilizzo del sito, della piattaforma e dei servizi collegati;
• da fornitori terzi tecnici o commerciali utilizzati per erogare i servizi, come prestatori di pagamento, strumenti di scheduling, hosting, autenticazione, supporto o messaggistica;
• da altri soggetti autorizzati dall’utente o necessari per eseguire il servizio richiesto.

4. Finalità e basi giuridiche del trattamento

I dati personali sono trattati per le seguenti finalità e sulle seguenti basi giuridiche:

• esecuzione di misure precontrattuali e del contratto: creazione e gestione account, acquisto di servizi, gestione abbonamenti, erogazione lezioni, prenotazioni, supporto operativo, gestione ore e crediti, messaggistica docente-utente, strumenti di assistenza e comunicazioni di servizio;
• adempimento di obblighi legali: obblighi fiscali, contabili, civilistici, di sicurezza, prevenzione frodi, gestione reclami e richieste delle autorità;
• legittimo interesse del Titolare: protezione della piattaforma, prevenzione abusi, tutela giudiziaria, miglioramento del servizio, log tecnici, controllo qualità, audit interni, moderazione di comportamenti abusivi, anti-spam nei moduli di contatto, gestione organizzativa delle attività e continuità operativa;
• consenso dell’interessato, ove richiesto: cookie non tecnici, comunicazioni promozionali, newsletter, profilazione non necessaria o ulteriori finalità facoltative eventualmente attivate;
• ulteriore base giuridica specifica eventualmente prevista dalla normativa applicabile per particolari trattamenti.

Qualora il conferimento dei dati sia necessario per la conclusione o l’esecuzione del contratto, il mancato conferimento può impedire la registrazione, l’acquisto, la prenotazione o l’erogazione del servizio richiesto.

5. Trattamenti con sistemi di intelligenza artificiale

ScaleUp Learn può utilizzare, ora o in futuro, strumenti software che incorporano funzionalità di intelligenza artificiale per finalità quali assistenza all’utente, supporto alla navigazione, miglioramento dell’esperienza didattica, generazione o organizzazione di contenuti, classificazione di richieste, automazione di processi interni, sicurezza operativa o analisi aggregate del servizio.

In particolare, alcune funzionalità di assistenza o chatbot possono comportare l’invio del testo inserito dall’utente a fornitori di modelli linguistici, anche terzi, per la generazione della risposta. In base alla configurazione del servizio, alcuni messaggi possono inoltre essere registrati nei sistemi di ScaleUp Learn per finalità di continuità del servizio, sicurezza, verifica qualità, supporto, audit e miglioramento dell’esperienza utente.

In tali casi, il Titolare adotta, per quanto applicabile alla natura dei sistemi utilizzati e al ruolo ricoperto nella relativa catena di fornitura, misure coerenti con i principi del GDPR e dell’AI Act, inclusi: minimizzazione dei dati, limitazione delle finalità, supervisione umana appropriata, controlli organizzativi, valutazione dei fornitori, monitoraggio dei rischi, logging ragionevole, istruzioni interne per l’uso responsabile e misure di sicurezza tecniche e contrattuali.

Salvo diversa indicazione espressa fornita all’utente in relazione a uno specifico servizio, ScaleUp Learn non adotta decisioni esclusivamente automatizzate che producano effetti giuridici o incidano in modo analogo significativamente sulla persona ai sensi dell’art. 22 GDPR. Qualora un servizio specifico facesse uso di processi automatizzati con impatto rilevante, l’utente riceverà un’informativa supplementare sulle logiche essenziali coinvolte, sul ruolo dell’automazione e sui diritti esercitabili, inclusa la possibilità di richiedere l’intervento umano ove previsto dalla legge.

Gli output generati da strumenti di IA possono essere probabilistici e non sempre accurati, completi o aggiornati. L’utente non dovrebbe fare affidamento esclusivo su tali output senza una verifica umana, soprattutto per decisioni rilevanti sotto il profilo personale, educativo, professionale, economico o legale.

L’utente è invitato a non inserire nelle funzionalità AI dati personali eccedenti, informazioni riservate, dati di terzi non necessari o categorie particolari di dati, salvo ciò sia strettamente richiesto e lecito rispetto alla finalità del servizio.

5-bis. Video Plus, bot di lezione/registrazione e autorizzazione dell’utente

Nell’ambito dei servizi premium (incluso Video Plus e, ove previsto dall’offerta commerciale, i piani individuali da 10 ore), il Titolare può attivare processi automatizzati di sessione, compreso l’accesso di bot tecnici al meeting, per consentire registrazione lezione, acquisizione audio/video, generazione trascrizione, indicizzazione e messa a disposizione del replay all’interno dell’account utente.

La sottoscrizione o il rinnovo del piano da 10 ore o di Video Plus costituisce manifestazione espressa di volontà dell’utente a favore dell’attivazione di tali funzionalità tecniche e dei trattamenti strettamente necessari alla loro erogazione.

Le basi giuridiche del trattamento sono, a seconda dei casi: (i) l’esecuzione del contratto o di misure precontrattuali (art. 6, par. 1, lett. b GDPR), (ii) il legittimo interesse del Titolare alla sicurezza, qualità e tracciabilità del servizio (art. 6, par. 1, lett. f GDPR), (iii) eventuali obblighi di legge (art. 6, par. 1, lett. c GDPR) e (iv) il consenso, ove richiesto dalla normativa applicabile.

In relazione ai partecipanti diversi dall’utente titolare dell’account, resta fermo l’obbligo dell’utente di fornire idonea informativa e acquisire eventuali consensi/autorizzazioni richiesti dalla legge applicabile prima dell’avvio della registrazione.

Le registrazioni lezione associate ai servizi Video Plus sono conservate, di regola, fino alla data di scadenza mostrata in piattaforma e comunque per un periodo massimo ordinario di 6 (sei) mesi, salvo ulteriore conservazione strettamente necessaria per obblighi normativi, gestione di contestazioni o tutela dei diritti in sede stragiudiziale/giudiziale.

6. Cookie e tecnologie simili

Il sito può utilizzare cookie e tecnologie analoghe per garantire il funzionamento tecnico della piattaforma, mantenere la sessione, ricordare preferenze, proteggere la sicurezza, misurare prestazioni, gestire checkout o prenotazioni e, se attivati, supportare analisi o comunicazioni promozionali.

I cookie tecnici o strettamente necessari non richiedono, di regola, il consenso dell’utente. I cookie analitici non anonimizzati, di profilazione, marketing o di terze parti non necessari saranno utilizzati solo sulla base di un idoneo presupposto di liceità, normalmente il consenso, ove richiesto dalla normativa applicabile.

Ove il sito attivi strumenti di gestione del consenso o banner dedicati per cookie non necessari, l’utente potrà impostare o modificare le preferenze tramite tali strumenti. In ogni caso, resta possibile intervenire anche tramite le impostazioni del browser. La disabilitazione di alcuni cookie può limitare il corretto funzionamento di determinate funzionalità.

7. Account aziendali, docenti e accessi collegati

Alcuni account possono essere creati, invitati o gestiti nell’ambito di programmi aziendali, rapporti con docenti, amministratori di team o altri assetti organizzativi multiutente. In tali casi, determinati dati di profilo, stato dell’account, fruizione del servizio, prenotazioni, crediti orari o informazioni strettamente necessarie alla gestione del rapporto possono essere accessibili ai soggetti autorizzati che amministrano il programma o il servizio collegato.

Quando il servizio è fruito in ambito aziendale, alcuni trattamenti possono essere effettuati anche per dare esecuzione al rapporto con l’organizzazione di appartenenza dell’utente. Ove necessario, la ripartizione dei ruoli privacy tra ScaleUp Learn e l’organizzazione interessata sarà disciplinata negli accordi contrattuali applicabili.

Alcune funzionalità, comprese eventuali funzioni di assistenza AI, potrebbero essere abilitate, limitate o disabilitate in base al piano applicabile, al ruolo dell’utente o alle impostazioni definite dall’organizzazione di appartenenza.

8. Comunicazione dei dati e categorie di destinatari

I dati personali possono essere comunicati, nei limiti di quanto necessario, a:

• fornitori di servizi tecnologici, cloud, hosting, manutenzione, autenticazione, posta elettronica, supporto, CRM o gestione documentale;
• prestatori di servizi di pagamento, gestione abbonamenti e riconciliazione amministrativa;
• fornitori di strumenti di scheduling, videoconferenza, calendario, meeting e gestione operativa delle lezioni;
• docenti, tutor, collaboratori, consulenti e personale autorizzato che necessitino dei dati per l’erogazione del servizio;
• fornitori di servizi AI, automazione, moderazione, email transazionali o assistenza clienti, ove utilizzati per le finalità dichiarate nella presente informativa;
• consulenti legali, fiscali, contabili, revisori, assicuratori, autorità pubbliche o altri soggetti quando richiesto dalla legge o necessario per tutelare diritti del Titolare.

Tali soggetti operano, a seconda dei casi, come titolari autonomi, contitolari o responsabili del trattamento nominati ai sensi dell’art. 28 GDPR.

A titolo esemplificativo, il Titolare può avvalersi di fornitori per servizi di pagamento e billing come Stripe, strumenti di scheduling e calendaring come Calendly, servizi email come Resend, fornitori di modelli AI come OpenAI e ulteriori provider infrastrutturali, database, hosting o sicurezza, nella misura in cui tali servizi siano effettivamente attivati nell’operatività della piattaforma.

9. Trasferimenti internazionali

Alcuni fornitori tecnici o commerciali del Titolare possono essere stabiliti al di fuori dello Spazio Economico Europeo o trattare dati in infrastrutture ubicate in Paesi terzi. In tali casi, i trasferimenti sono effettuati nel rispetto degli artt. 44 e seguenti del GDPR, adottando, ove necessario, decisioni di adeguatezza, clausole contrattuali standard, misure supplementari o altri strumenti di trasferimento riconosciuti dalla normativa applicabile.

10. Periodi di conservazione

I dati personali sono conservati per un periodo non superiore a quello necessario rispetto alle finalità per cui sono stati raccolti, salvo obblighi legali o esigenze di difesa in giudizio. In termini generali:

• i dati account e di servizio sono conservati per la durata del rapporto e, successivamente, per il tempo necessario a gestire obblighi, contestazioni o chiusure amministrative;
• i dati amministrativi, fiscali e contabili sono conservati per i termini richiesti dalla legge applicabile;
• i log tecnici e di sicurezza sono conservati per il periodo strettamente necessario alla protezione della piattaforma, alla diagnosi di anomalie e agli audit;
• i file video, le trascrizioni e i relativi metadati prodotti tramite funzionalità Video Plus sono conservati per il periodo di disponibilità indicato nel servizio e, in via ordinaria, per non oltre 6 (sei) mesi, salvo eccezioni di legge;
• le richieste inviate tramite moduli di contatto, supporto o sistemi di messaggistica possono essere conservate per il tempo necessario a gestire la richiesta, tracciare le interazioni, prevenire abusi e tutelare i diritti del Titolare;
• i dati trattati sulla base del consenso sono conservati fino a revoca del consenso o fino al venir meno della finalità, salvo ulteriore conservazione ove consentita dalla legge.

11. Sicurezza

Il Titolare adotta misure tecniche, organizzative e contrattuali ragionevoli per proteggere i dati personali da distruzione, perdita, alterazione, divulgazione non autorizzata, accesso illecito o uso improprio, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura dei dati e dei rischi per i diritti e le libertà delle persone fisiche.

Nessun sistema può tuttavia garantire sicurezza assoluta. L’utente è invitato a proteggere le proprie credenziali, utilizzare password robuste e non condividere informazioni non necessarie tramite canali non sicuri.

12. Diritti dell’interessato

Nei casi previsti dalla legge, l’utente può esercitare i diritti di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione, portabilità dei dati e revoca del consenso senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.

Se ricorrono i presupposti, l’utente può inoltre chiedere informazioni sul trattamento automatizzato rilevante, ottenere intervento umano nei casi previsti dalla legge e proporre reclamo all’autorità di controllo competente, in Italia il Garante per la protezione dei dati personali.

Le richieste possono essere inviate ai recapiti indicati sul sito. Il Titolare potrà richiedere informazioni ragionevoli per verificare l’identità del richiedente prima di dare seguito alla domanda.

13. Minori

I servizi di ScaleUp Learn non sono destinati a minori che non possano validamente prestare il consenso ove richiesto dalla legge senza l’intervento del genitore o tutore. Qualora il Titolare venga a conoscenza del trattamento non autorizzato di dati di minori in violazione della normativa applicabile, adotterà misure ragionevoli per cancellare o anonimizzare tali dati.

14. Modifiche all’informativa

Il Titolare può aggiornare la presente informativa per esigenze normative, organizzative, tecniche o commerciali. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, potranno essere fornite ulteriori comunicazioni ove richiesto dalla legge.

15. Contatti privacy

Per richieste relative alla privacy, all’esercizio dei diritti o all’uso eventuale di sistemi di intelligenza artificiale nell’ambito dei servizi, l’utente può contattare il Titolare tramite i recapiti ufficiali pubblicati sul sito.