1. Titolare del trattamento
La Sailtur Ltd, con sede in 1, Floor 2, Falzun Street C/W Naxxar Road, Birkirkara BKR 1441, Malta, VAT MT26882709, è il titolare del trattamento dei dati personali raccolti sulla piattaforma NanoKoala. Sailtur Ltd è stabilita in Malta, Stato membro dell'UE: il GDPR si applica integralmente.
Contatto privacy: [email protected]
2. A chi si applica
Genitori e tutori legali che creano account, bambini i cui account sono gestiti da un genitore, e visitatori di nanokoala.ai.
In Italia, ai sensi dell'art. 8 GDPR e del D.Lgs. 101/2018, il trattamento dei dati di minori di 14 anni richiede il consenso del genitore o tutore.
3. Dati che raccogliamo
3.1 Dati di registrazione (genitore/tutore)
- Nome e cognome, indirizzo e-mail
- Password (hash bcrypt irreversibile — mai in chiaro)
- Dati di fatturazione (elaborati dal provider di pagamento; non archiviamo dati di carte)
3.2 Dati del minore
- Nome o soprannome (secondo la preferenza del genitore)
- Indirizzo e-mail dell'account del minore (se creato)
- Collegamento con l'account del genitore
3.3 Dati di utilizzo e navigazione
- Indirizzo IP, identificatore di sessione (pseudonimizzato)
- Log di attività sulla piattaforma
- Data e ora di accesso e fine sessione
3.4 Dati vocali (Laboratorio Voci) — dato particolare (art. 9 GDPR)
Le registrazioni vocali costituiscono dati biometrici ai sensi dell'art. 4(14) GDPR. Trattamento consentito solo con consenso esplicito del genitore (art. 9(2)(a) GDPR), revocabile con cancellazione immediata.
3.5 Dati di supporto
- Contenuto dei messaggi di supporto e storico delle comunicazioni
4. Basi giuridiche (GDPR Art. 6)
| Finalità | Base giuridica | Dati |
|---|---|---|
| Creazione e gestione account | Esecuzione contratto (art. 6(1)(b)) | Nome, e-mail, password |
| Erogazione servizi educativi | Esecuzione contratto (art. 6(1)(b)) | Tutti i dati di utilizzo |
| Trattamento dati vocali | Consenso esplicito (art. 6(1)(a) + art. 9(2)(a)) | Registrazioni vocali |
| Fatturazione e abbonamento | Esecuzione contratto (art. 6(1)(b)) | Dati di fatturazione |
| Sicurezza e prevenzione frodi | Interesse legittimo (art. 6(1)(f)) | IP, log di sessione |
| Obblighi legali | Obbligo legale (art. 6(1)(c)) | Log di conservazione |
| Miglioramento piattaforma | Interesse legittimo (art. 6(1)(f)) | Dati aggregati anonimizzati |
| Comunicazioni di servizio | Esecuzione contratto (art. 6(1)(b)) | |
| Marketing (opt-in) | Consenso (art. 6(1)(a)) |
5. Condivisione dei dati
Condividiamo dati solo con provider di hosting (USA, vincolato da CCS), provider di pagamento PCI-DSS, e provider di IA vincolati da DPA (art. 28 GDPR). Non vendiamo dati personali. Mai.
6. Protezione dei minori
- Ogni account di un minore di 14 anni richiede autorizzazione preventiva ed esplicita del genitore (GDPR art. 8, D.Lgs. 101/2018)
- Il genitore può visualizzare, correggere ed eliminare i dati del minore in qualsiasi momento
- Nessun marketing diretto verso bambini o adolescenti
- Minimizzazione dei dati: raccogliamo solo ciò che è necessario (art. 5(1)(c) GDPR)
7. Conservazione dei dati
| Categoria | Periodo | Motivazione |
|---|---|---|
| Dati account (attivo) | Durata del contratto | Esecuzione del contratto |
| Dati account (dopo cancellazione) | 10 anni | Obbligo fiscale (DPR 633/1972) |
| Log di accesso (IP, sessione) | 12 mesi | Interesse legittimo |
| Log di attività piattaforma | 12 mesi | Interesse legittimo |
| Dati vocali | Fino a cancellazione da parte dell'utente | Consenso |
| Dati di fatturazione | 10 anni | Obbligo fiscale (art. 2220 c.c.) |
8. I tuoi diritti (GDPR Art. 15–22)
| Diritto | Art. GDPR | Cosa significa |
|---|---|---|
| Accesso | Art. 15 | Sapere se trattiamo i tuoi dati e riceverne copia |
| Rettifica | Art. 16 | Correggere dati incompleti o inesatti |
| Cancellazione ("diritto all'oblio") | Art. 17 | Ottenere la cancellazione in determinati casi |
| Limitazione | Art. 18 | Limitare il trattamento in determinati casi |
| Portabilità | Art. 20 | Ricevere i dati in formato strutturato |
| Opposizione | Art. 21 | Opporsi al trattamento per interesse legittimo |
| Revoca consenso | Art. 7(3) | Ritirare il consenso in qualsiasi momento |
Invia richiesta a [email protected] con oggetto "Diritti GDPR — [nome e cognome]". Risponderemo entro 1 mese (prorogabile a 3 mesi nei casi complessi).
9. Sicurezza
- Password con hash bcrypt (irreversibile)
- Comunicazioni cifrate TLS/HTTPS
- Rate limiting e protezione da attacchi brute-force
- Accesso ai dati limitato per ruolo (RBAC)
In caso di violazione, notificheremo l'autorità entro 72 ore e gli interessati senza indebito ritardo (artt. 33–34 GDPR).
10. Cookie
Solo cookie strettamente necessari: sessione, token CSRF e preferenza lingua. Nessun cookie di profilazione o analisi di terze parti. Vedi la Informativa sui Cookie.
11. Trasferimento internazionale
Alcuni provider elaborano dati fuori dal SEE. In questi casi applichiamo Clausole Contrattuali Standard (CCS) approvate dalla Commissione Europea (art. 46 GDPR).
12. Modifiche
Comunicheremo modifiche rilevanti via e-mail con almeno 30 giorni di preavviso.
13. Autorità di controllo e reclami
- Autorità capofila (lead DPA): Information and Data Protection Commissioner — Malta
idpc.org.mt - Per gli interessati italiani: Garante per la protezione dei dati personali
garanteprivacy.it — Piazza Venezia 11, 00187 Roma