Privacy Policy

Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
Ultimo aggiornamento: 2 febbraio 2026 | Versione: 1.0

La presente Privacy Policy descrive le modalità di trattamento dei dati personali degli utenti che accedono e utilizzano il sito web www.whitecoachboard.it e la relativa applicazione web (di seguito, il "Servizio" o la "Piattaforma").

Puntosistemi Servizi S.r.l. si impegna a proteggere la privacy degli utenti e a trattare i dati personali in conformità al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle altre normative applicabili in materia di protezione dei dati personali.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

Il Titolare può essere contattato per qualsiasi informazione relativa al trattamento dei dati personali utilizzando i recapiti sopra indicati.

2. Responsabile della Protezione dei Dati (DPO)

Il Titolare, in considerazione della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, ha valutato di non nominare un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 del GDPR.

Per qualsiasi questione relativa al trattamento dei dati personali, l'interessato può contattare direttamente il Titolare ai recapiti indicati al punto 1.

3. Categorie di Dati Trattati

3.1 Dati forniti volontariamente dall'utente

a) Dati di registrazione

• Nome e cognome
• Indirizzo email
• Password (memorizzata in forma crittografata)
• Eventuale numero di telefono

b) Dati di profilo

• Informazioni professionali (qualifica, specializzazione)
• Immagine del profilo (opzionale)
• Preferenze di utilizzo della Piattaforma

c) Dati di pagamento

• Dati della carta di credito/debito (gestiti direttamente da Stripe)
• Informazioni di fatturazione
• Storico delle transazioni

Nota: I dati delle carte di pagamento non sono mai memorizzati sui nostri server. Il pagamento è gestito interamente da Stripe, Inc., un fornitore di servizi di pagamento conforme allo standard PCI-DSS.

d) Contenuti inseriti nella Piattaforma

• Dati delle aziende clienti
• Dati dei dipendenti aziendali (coachee)
• Dati dei clienti privati
• Dati dei gruppi di formazione e relativi partecipanti
• Note, obiettivi, KPI, sessioni, preventivi e altri contenuti inseriti

3.2 Dati raccolti automaticamente

a) Dati di navigazione

I sistemi informatici preposti al funzionamento del Servizio acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet:

• Indirizzi IP
• Tipo di browser e dispositivo utilizzato
• Sistema operativo
• Data e ora di accesso
• Pagine visitate e azioni compiute
• URL di provenienza (referrer)

b) Dati raccolti tramite cookie

Per informazioni dettagliate sui cookie utilizzati, si rimanda alla Cookie Policy.

3.3 Categorie particolari di dati

Il Servizio non richiede e non è progettato per raccogliere categorie particolari di dati personali ai sensi dell'art. 9 del GDPR (dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale).

L'utente è pregato di non inserire tali categorie di dati nella Piattaforma. Qualora l'utente decidesse autonomamente di inserire tali dati, lo fa sotto la propria esclusiva responsabilità.

4. Finalità e Base Giuridica del Trattamento

I dati personali sono trattati per le seguenti finalità:

Finalità	Base Giuridica (art. 6 GDPR)	Obbligatorietà
Registrazione e gestione dell'account Creazione dell'account, autenticazione, gestione del profilo utente	Art. 6(1)(b) – Esecuzione del contratto	Obbligatoria per l'utilizzo del Servizio
Erogazione del Servizio Permettere l'utilizzo delle funzionalità della Piattaforma (gestione clienti, sessioni, KPI, formazione, calendario, preventivi)	Art. 6(1)(b) – Esecuzione del contratto	Obbligatoria per l'utilizzo del Servizio
Gestione degli abbonamenti e pagamenti Elaborazione dei pagamenti, emissione fatture, gestione rinnovi e disdette	Art. 6(1)(b) – Esecuzione del contratto	Obbligatoria per gli abbonamenti Pro
Comunicazioni di servizio Invio di comunicazioni tecniche, aggiornamenti, notifiche relative al Servizio, conferme di registrazione e pagamento	Art. 6(1)(b) – Esecuzione del contratto	Obbligatoria
Assistenza clienti Risposta a richieste di supporto, gestione reclami	Art. 6(1)(b) – Esecuzione del contratto Art. 6(1)(f) – Legittimo interesse	Necessaria per fornire supporto
Adempimenti legali e fiscali Adempimento di obblighi di legge (es. conservazione documenti fiscali, risposta a richieste dell'autorità giudiziaria)	Art. 6(1)(c) – Obbligo legale	Obbligatoria per legge
Sicurezza e prevenzione frodi Protezione del Servizio, rilevamento attività sospette, prevenzione abusi	Art. 6(1)(f) – Legittimo interesse	Necessaria per la sicurezza
Miglioramento del Servizio Analisi aggregate e anonimizzate per migliorare l'esperienza utente e le funzionalità	Art. 6(1)(f) – Legittimo interesse	Facoltativa (dati anonimizzati)
Marketing diretto Invio di comunicazioni promozionali, newsletter, offerte commerciali	Art. 6(1)(a) – Consenso	Facoltativa – Solo previo consenso

4.1 Legittimo interesse

Ove il trattamento sia basato sul legittimo interesse del Titolare (art. 6(1)(f) GDPR), è stata effettuata una valutazione di bilanciamento degli interessi che ha confermato la prevalenza del legittimo interesse del Titolare rispetto ai diritti e alle libertà dell'interessato, tenuto conto delle ragionevoli aspettative dell'interessato in base alla sua relazione con il Titolare.

L'interessato può opporsi al trattamento basato sul legittimo interesse contattando il Titolare ai recapiti indicati.

5. Modalità del Trattamento

Il trattamento dei dati personali è effettuato mediante strumenti informatici e telematici, con modalità organizzative e logiche strettamente correlate alle finalità sopra indicate.

Il trattamento è effettuato da:

• Personale autorizzato del Titolare, che agisce sulla base di specifiche istruzioni in ordine a finalità e modalità del trattamento;
• Responsabili del trattamento esterni, che operano sulla base di specifici accordi contrattuali conformi all'art. 28 del GDPR.

Sono adottate misure di sicurezza adeguate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati, come meglio specificato alla sezione 11.

6. Periodo di Conservazione

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti, nel rispetto dei principi di minimizzazione e limitazione della conservazione di cui all'art. 5 del GDPR.

Tipologia di Dati	Periodo di Conservazione
Dati dell'account (registrazione, profilo)	Per tutta la durata del rapporto contrattuale e per 10 anni dalla cessazione, in conformità agli obblighi di legge
Contenuti inseriti nella Piattaforma (clienti, sessioni, KPI, etc.)	Per tutta la durata del rapporto contrattuale. Alla cessazione, l'utente può esportare i dati entro 30 giorni, dopodiché saranno cancellati
Dati di pagamento e fatturazione	10 anni dalla data della transazione, in conformità alle normative fiscali (art. 2220 c.c., DPR 600/1973)
Dati di navigazione e log	6 mesi dalla raccolta, salvo necessità di conservazione per accertamento di reati
Comunicazioni di supporto	2 anni dalla chiusura della richiesta
Consensi al marketing	Fino alla revoca del consenso e per i 2 anni successivi per finalità di prova

Al termine del periodo di conservazione, i dati saranno cancellati o anonimizzati in modo irreversibile.

7. Destinatari dei Dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

7.1 Responsabili del Trattamento

Soggetti che trattano i dati per conto del Titolare sulla base di specifici accordi conformi all'art. 28 GDPR:

• Provider di hosting e infrastruttura cloud – per l'hosting dell'applicazione e la memorizzazione dei dati (server ubicati nell'Unione Europea)
• Stripe, Inc. – per la gestione dei pagamenti (sede negli USA, con garanzie adeguate ai sensi del GDPR)
• Provider di servizi email – per l'invio di comunicazioni transazionali e di marketing (ove acconsentito)
• Fornitori di servizi IT – per manutenzione, assistenza tecnica e sviluppo software

7.2 Autonomi Titolari del Trattamento

Soggetti che trattano i dati in qualità di autonomi titolari:

• Autorità pubbliche – qualora richiesto per legge (es. Agenzia delle Entrate, Autorità Giudiziaria)
• Professionisti e consulenti – commercialisti, avvocati, per adempimenti contabili e legali

7.3 Nessuna vendita di dati

Il Titolare non vende, cede né affitta i dati personali degli utenti a terzi per finalità di marketing o per qualsiasi altra finalità commerciale.

8. Trasferimento dei Dati

8.1 Trasferimento all'interno dell'UE/SEE

I dati personali sono principalmente trattati all'interno dell'Unione Europea e dello Spazio Economico Europeo, dove il GDPR garantisce un livello uniforme di protezione.

8.2 Trasferimento verso Paesi Terzi

Alcuni fornitori di servizi (es. Stripe per i pagamenti) potrebbero trattare i dati al di fuori dell'UE/SEE. In tali casi, il trasferimento avviene esclusivamente:

• Verso Paesi che garantiscono un livello di protezione adeguato riconosciuto dalla Commissione Europea (decisioni di adeguatezza); oppure
• Sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46(2)(c) del GDPR; oppure
• Nel rispetto del Data Privacy Framework UE-USA per i trasferimenti verso gli Stati Uniti.

L'interessato può ottenere copia delle garanzie adottate contattando il Titolare.

9. Diritti dell'Interessato

In conformità agli articoli 15-22 del GDPR, l'interessato ha i seguenti diritti:

9.1 Diritto di accesso (art. 15)

L'interessato ha il diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati e alle seguenti informazioni:

• Finalità del trattamento
• Categorie di dati trattati
• Destinatari dei dati
• Periodo di conservazione
• Esistenza dei diritti dell'interessato
• Origine dei dati (se non raccolti presso l'interessato)
• Esistenza di processi decisionali automatizzati

9.2 Diritto di rettifica (art. 16)

L'interessato ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano e l'integrazione dei dati incompleti.

9.3 Diritto alla cancellazione ("diritto all'oblio") (art. 17)

L'interessato ha il diritto di ottenere la cancellazione dei dati che lo riguardano quando:

• I dati non sono più necessari rispetto alle finalità per cui sono stati raccolti
• L'interessato revoca il consenso e non sussiste altro fondamento giuridico
• L'interessato si oppone al trattamento e non sussistono motivi legittimi prevalenti
• I dati sono stati trattati illecitamente
• La cancellazione è richiesta per adempiere un obbligo legale

9.4 Diritto di limitazione del trattamento (art. 18)

L'interessato ha il diritto di ottenere la limitazione del trattamento quando:

• Contesta l'esattezza dei dati (per il periodo necessario alla verifica)
• Il trattamento è illecito ma l'interessato si oppone alla cancellazione
• Il Titolare non ha più bisogno dei dati ma l'interessato ne ha bisogno per difesa legale
• L'interessato si è opposto al trattamento (in attesa della verifica)

9.5 Diritto alla portabilità dei dati (art. 20)

L'interessato ha il diritto di ricevere i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmettere tali dati a un altro titolare. La Piattaforma consente l'export dei dati nei formati JSON, CSV e PDF.

9.6 Diritto di opposizione (art. 21)

L'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati basato sul legittimo interesse del Titolare. L'interessato ha altresì il diritto di opporsi al trattamento per finalità di marketing diretto, compresa la profilazione.

9.7 Diritto di revoca del consenso

Ove il trattamento sia basato sul consenso, l'interessato ha il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

9.8 Diritto di proporre reclamo

L'interessato ha il diritto di proporre reclamo all'Autorità di controllo competente:

9.9 Come esercitare i diritti

Per esercitare i propri diritti, l'interessato può:

• Inviare una email a: info@puntosistemiservizi.it
• Inviare una PEC a: servizi@pec.puntosistemi.it
• Inviare una lettera raccomandata a: Puntosistemi Servizi S.r.l., Via Cavalieri di Vittorio Veneto 12, 15057 Tortona (AL)
• Utilizzare le funzionalità di gestione dell'account disponibili nella Piattaforma

Il Titolare risponderà alla richiesta entro 30 giorni, prorogabili di ulteriori 60 giorni in caso di richieste complesse, previa comunicazione all'interessato.

10. Cookie e Tecnologie di Tracciamento

Il Servizio utilizza cookie e tecnologie simili per garantire il corretto funzionamento, migliorare l'esperienza utente e, previo consenso, per finalità di analisi e marketing.

Per informazioni dettagliate sui tipi di cookie utilizzati, sulle loro finalità e sulle modalità per gestire le preferenze, si rimanda alla Cookie Policy.

11. Misure di Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, ai sensi dell'art. 32 del GDPR. Tali misure includono:

11.1 Misure tecniche

• Crittografia in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS con certificati SSL/TLS
• Crittografia delle password: le password sono memorizzate utilizzando algoritmi di hashing sicuri (bcrypt)
• Autenticazione a due fattori (2FA): disponibile per tutti gli utenti tramite TOTP
• Backup automatici: backup periodici dei dati con conservazione sicura
• Firewall e protezione DDoS: protezione dell'infrastruttura da attacchi esterni
• Monitoraggio e logging: registrazione degli accessi e delle attività sospette
• Aggiornamenti di sicurezza: applicazione tempestiva di patch e aggiornamenti

11.2 Misure organizzative

• Principio del minimo privilegio: accesso ai dati limitato al personale autorizzato
• Formazione del personale: istruzioni specifiche sulla protezione dei dati
• Accordi di riservatezza: vincoli contrattuali per dipendenti e collaboratori
• Valutazione dei fornitori: verifica delle garanzie di sicurezza dei responsabili del trattamento
• Procedure di gestione incidenti: processi per la rilevazione e gestione di data breach

11.3 Ubicazione dei server

I server che ospitano i dati della Piattaforma sono ubicati nell'Unione Europea, presso data center che rispettano elevati standard di sicurezza fisica e logica.

12. Trattamento dei Dati di Minori

Il Servizio è destinato a professionisti del coaching e non è rivolto a minori di 18 anni.

Il Titolare non raccoglie consapevolmente dati personali di minori. Nel caso in cui il Titolare venga a conoscenza di aver raccolto dati di un minore senza il consenso dei genitori o tutori, provvederà alla cancellazione degli stessi nel più breve tempo possibile.

I genitori o tutori che ritengano che un minore abbia fornito dati personali sono pregati di contattare immediatamente il Titolare.

13. L'Utente come Titolare del Trattamento

13.1 Ruoli nel trattamento dei dati

Quando l'utente inserisce nella Piattaforma i dati personali dei propri clienti (es. nomi, contatti, informazioni sulle sessioni di coaching, KPI, obiettivi, etc.):

• L'utente agisce in qualità di Titolare autonomo del trattamento ai sensi dell'art. 4(7) del GDPR, relativamente ai dati dei propri clienti;
• Puntosistemi Servizi S.r.l. agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 del GDPR, trattando i dati per conto dell'utente al solo fine di erogare il Servizio.

13.2 Obblighi dell'utente come Titolare

In qualità di Titolare del trattamento dei dati dei propri clienti, l'utente è tenuto a:

• Informare i propri clienti del trattamento dei loro dati personali, fornendo un'idonea informativa ai sensi degli artt. 13-14 del GDPR;
• Acquisire la base giuridica necessaria per il trattamento (es. contratto di coaching, consenso ove necessario);
• Garantire i diritti dei propri clienti (accesso, rettifica, cancellazione, etc.);
• Adottare misure di sicurezza adeguate (es. protezione dell'account con password sicura e 2FA);
• Non inserire dati particolari (art. 9 GDPR) salvo ove strettamente necessario e con adeguata base giuridica;
• Rispettare la normativa sulla protezione dei dati personali applicabile.

13.3 Data Processing Agreement (DPA)

Il rapporto tra l'utente (Titolare) e Puntosistemi Servizi S.r.l. (Responsabile) relativamente ai dati dei clienti dell'utente è disciplinato da un accordo di trattamento dati (Data Processing Agreement) conforme all'art. 28 del GDPR, disponibile su richiesta.

Per richiedere il DPA, contattare: info@puntosistemiservizi.it

13.4 Sub-responsabili

L'utente autorizza Puntosistemi Servizi S.r.l. ad avvalersi di sub-responsabili per l'erogazione del Servizio, a condizione che:

• Siano vincolati da obblighi equivalenti a quelli previsti dal DPA;
• L'elenco dei sub-responsabili sia disponibile su richiesta;
• Eventuali modifiche siano comunicate all'utente con congruo anticipo.

14. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento, per adeguarla a novità normative, giurisprudenziali o tecniche, o per migliorare la chiarezza dell'informativa.

Le modifiche saranno comunicate mediante:

• Pubblicazione della nuova versione su questa pagina, con indicazione della data di aggiornamento;
• Notifica via email in caso di modifiche sostanziali;
• Avviso nella Piattaforma.

Si consiglia agli utenti di consultare periodicamente questa pagina. L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.

15. Contatti

Per qualsiasi domanda, chiarimento o richiesta relativa alla presente Privacy Policy o al trattamento dei dati personali, l'interessato può contattare il Titolare:

La presente Privacy Policy è stata redatta in conformità al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle Linee Guida del Garante per la protezione dei dati personali.