Informativa sul trattamento dei dati personali
Ultimo aggiornamento: 8 maggio 2026
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 ("Codice Privacy"), come modificato dal D.Lgs. 101/2018, a tutte le persone fisiche che interagiscono con la piattaforma SkillBridge erogata sotto il brand CresciScuola.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è:
NUXI S.R.L.
- Sede legale: Via Sidney Sonnino 170, 09127 Cagliari (CA), Italia
- Partita IVA e Codice Fiscale: 03839050923
- Numero REA: CA – 301129
- PEC: nuxi@pec.it
- Sito istituzionale: www.nuxi.io
- Email per richieste privacy: privacy@nuxi.io
- Email per assistenza utenti: hello@cresciscuola.it
Nel seguito denominata anche "Titolare", "Nuxi" o, con riferimento al servizio, "CresciScuola" / "SkillBridge".
2. Responsabile della Protezione dei Dati (DPO)
Nuxi S.R.L., sulla base dell'analisi dei trattamenti effettuati, non rientra nei casi di nomina obbligatoria del Responsabile della Protezione dei Dati previsti dall'articolo 37 del GDPR. Per ogni richiesta in materia di protezione dei dati personali è possibile contattare direttamente il Titolare ai recapiti indicati al paragrafo 1.
3. Categorie di interessati
L'informativa si rivolge alle seguenti categorie di persone fisiche che interagiscono con la piattaforma:
| Categoria | Descrizione |
|---|---|
| Formatori | Docenti e tutor che si registrano per essere selezionati ed erogare corsi di formazione |
| Referenti aziendali | Persone fisiche che agiscono per conto di un'azienda, di un ente o di un consorzio committente (ruoli ADMIN_AZIENDALE e REFERENTE_ENTE_TERZO) |
| Partecipanti | Dipendenti, collaboratori o iscritti delle aziende clienti che frequentano i corsi |
| Visitatori | Utenti non registrati che consultano le pagine pubbliche, accedono ai portali tramite link condivisibili (preventivi, iscrizioni, feedback) o navigano la landing page |
| Candidati formatori | Persone che compilano il form della pagina pubblica /formatori per manifestare interesse a entrare nella piattaforma |
4. Tipologie di dati trattati
A seconda del ruolo e dell'interazione, sono trattate le seguenti categorie di dati personali. Tutti i dati sono forniti volontariamente dall'interessato o dall'azienda che ne dispone i poteri di gestione.
4.1 Dati dei formatori
- Dati anagrafici e di contatto: nome, cognome, codice fiscale, partita IVA, indirizzo di residenza, città, provincia, CAP, email, numero di telefono.
- Dati professionali: titolo di studio, esperienza professionale, ruoli ricoperti (docente/tutor), competenze, qualifiche, anni di esperienza, settori di attività, enti presso cui si è collaborato.
- Documenti: foto profilo, curriculum vitae, copia del documento d'identità, eventuali certificazioni e attestati caricati.
- Dati bancari/fiscali: IBAN per il pagamento delle pre-fatture, regime fiscale, eventuale aliquota IVA o ritenuta d'acconto. Trattati solo a partire dal momento in cui inizia il rapporto economico.
- Dati di disponibilità: griglia oraria settimanale, eccezioni e blocchi su date specifiche, ferie.
- Dati relativi alle prestazioni: corsi assegnati, ore erogate, presenze registrate, materiali didattici prodotti, valutazioni ricevute, contratti firmati.
- Dati di utilizzo della piattaforma: log accessi, pagine visitate, azioni eseguite tracciate nel sistema di audit interno.
4.2 Dati dei referenti aziendali
- Dati anagrafici e di contatto: nome, cognome, email aziendale, qualifica.
- Dati riferiti all'azienda di appartenenza: ragione sociale, partita IVA, sede legale, PEC, codice destinatario SDI, settore, dimensione, logo (se caricato).
- Dati di utilizzo della piattaforma: log accessi, azioni di gestione (creazione corsi, accettazione preventivi, gestione persone, gestione partecipanti).
4.3 Dati dei partecipanti
- Dati anagrafici e di contatto: nome, cognome, email, qualifica all'interno dell'azienda.
- Dati relativi alla formazione: corsi a cui sono iscritti, presenze registrate per ogni incontro, percentuale di frequenza, feedback eventualmente espressi.
Nota. I feedback espressi dai partecipanti tramite il portale pubblico
/feedback/[token]vengono presentati ai formatori e all'azienda in forma aggregata e anonimizzata. I commenti testuali individuali, se previsti, vengono mostrati senza dati identificativi del partecipante.
4.4 Dati dei visitatori e dei candidati formatori
- Dati di navigazione: indirizzo IP, user agent, timestamp, pagine visitate, durata della visita. Trattati esclusivamente per la sicurezza, la prevenzione di abusi e l'erogazione tecnica del servizio. Non vengono utilizzati strumenti di profilazione o analytics di terze parti.
- Dati del form lead formatori (
/formatori): nome, email, telefono, breve descrizione dell'esperienza, eventuali link a profili professionali pubblici. - Dati del form contatti: nome, email, oggetto e contenuto del messaggio.
4.5 Categorie particolari di dati
La piattaforma non richiede né intende trattare categorie particolari di dati personali ai sensi dell'articolo 9 GDPR (es. dati relativi alla salute, all'origine etnica, all'orientamento religioso o sessuale, all'appartenenza sindacale). Si invitano gli utenti a non inserire dati di tale natura nei campi liberi (es. note, descrizioni esperienza, feedback). Eventuali dati di questa tipologia inseriti spontaneamente dagli utenti saranno cancellati senza ulteriore avviso.
5. Finalità e basi giuridiche del trattamento
Ogni finalità di trattamento è associata a una base giuridica specifica ai sensi dell'art. 6 GDPR. La tabella che segue riassume le finalità principali.
| Finalità | Base giuridica | Esempi di dati trattati |
|---|---|---|
| Registrazione e gestione dell'account | Esecuzione di un contratto (art. 6.1.b) | Email, password, ruolo |
| Erogazione del servizio agli utenti registrati (formatori, aziende, partecipanti) | Esecuzione di un contratto (art. 6.1.b) | Anagrafica completa, documenti, dati di disponibilità, dati delle prestazioni |
| Generazione e firma del contratto quadro con il formatore | Esecuzione di un contratto (art. 6.1.b) | Dati anagrafici, fiscali, IBAN, firma elettronica |
| Generazione preventivi, ordini e pre-fatture | Esecuzione di un contratto (art. 6.1.b); obbligo di legge per la fatturazione (art. 6.1.c) | Anagrafica fiscale azienda/formatore, ore erogate, importi |
| Gestione delle lezioni online tramite Google Meet | Esecuzione di un contratto (art. 6.1.b) | Email, partecipazione alla lezione |
| Invio di comunicazioni transazionali (notifiche, promemoria, conferme) | Esecuzione di un contratto (art. 6.1.b) | Email, eventi rilevanti del corso |
| Adempimenti contabili, fiscali e civilistici | Obbligo di legge (art. 6.1.c) | Dati di fatturazione e contabili |
| Sicurezza della piattaforma, prevenzione di abusi e frodi, audit log | Legittimo interesse del Titolare (art. 6.1.f) | Log accessi, IP, eventi tecnici |
| Risposta a richieste pervenute via form pubblici (lead formatori, contatti) | Misure precontrattuali su richiesta dell'interessato (art. 6.1.b) | Email, dati di contatto |
| Esercizio o difesa di un diritto in sede giudiziaria | Legittimo interesse del Titolare (art. 6.1.f) | Tutti i dati pertinenti al caso |
La piattaforma non effettua attività di marketing diretto, profilazione o invio di newsletter commerciali se non previo consenso esplicito e revocabile. Allo stato attuale tale attività non è prevista.
6. Conferimento dei dati
Il conferimento dei dati indicati come obbligatori in fase di registrazione e di completamento del profilo è necessario per accedere ai servizi della piattaforma. Il mancato conferimento di tali dati comporta l'impossibilità di:
- registrare l'account;
- candidarsi ai corsi (per i formatori);
- richiedere o gestire corsi (per le aziende);
- iscriversi alle lezioni (per i partecipanti);
- ricevere pagamenti o emettere documenti contabili.
Il conferimento dei dati indicati come facoltativi (es. logo aziendale, descrizioni libere, link a profili pubblici) è libero e non incide sulla fruizione del servizio principale.
7. Modalità del trattamento
I dati sono trattati con strumenti elettronici, presso server gestiti dai responsabili esterni indicati al paragrafo 9, applicando misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:
- comunicazione cifrata in transito tramite TLS 1.2 o superiore;
- archiviazione su database con accessi protetti da credenziali e autenticazione a doppio fattore per gli amministratori;
- segregazione dei ruoli e dei privilegi (formatore, azienda, admin) lato applicativo;
- crittografia delle password mediante algoritmi a senso unico (bcrypt);
- log di audit per le azioni amministrative;
- backup periodici con conservazione limitata nel tempo.
I dati non sono diffusi a soggetti indeterminati. La condivisione tra utenti della piattaforma avviene secondo lo schema descritto al paragrafo 8.
8. Visibilità dei dati tra gli utenti della piattaforma
Per il funzionamento del servizio, alcune informazioni vengono mostrate tra gli utenti della piattaforma secondo le seguenti regole.
| Dato | Chi lo vede | Quando |
|---|---|---|
| Nome, cognome, foto, email del formatore | Admin azienda titolare del corso | Dopo l'assegnazione del formatore al corso |
| CV e documento di identità del formatore | Admin azienda titolare del corso | Dopo l'assegnazione, per esigenze di compliance |
| Rating medio e commenti dettagliati ricevuti | Formatore valutato | Dopo l'invio del feedback |
| Nome, cognome, email del referente azienda | Admin amministratore della piattaforma; formatori assegnati al corso | Per il coordinamento delle attività |
| Anagrafica e contatti dei partecipanti | Admin azienda di appartenenza; admin amministratore della piattaforma; docente e tutor del corso | Solo per i corsi cui i partecipanti sono iscritti |
| Presenze del partecipante | Admin azienda; docente e tutor del corso; admin amministratore | Per la gestione del registro presenze |
I dati non sono mai visibili agli altri utenti della piattaforma al di fuori delle relazioni descritte sopra. Un formatore non vede i dati di altri formatori; un'azienda non vede i dati di altre aziende; un partecipante non vede gli altri partecipanti del corso (a meno che non sia esplicitamente previsto).
9. Destinatari e responsabili esterni del trattamento
Per l'erogazione del servizio, il Titolare si avvale di fornitori esterni nominati responsabili del trattamento ai sensi dell'art. 28 GDPR. I rapporti sono regolati da Data Processing Agreement (DPA). L'elenco aggiornato dei sub-processor è il seguente.
| Fornitore | Servizio | Sede del trattamento | Strumento di garanzia per trasferimenti extra UE |
|---|---|---|---|
| Supabase Inc. | Hosting database PostgreSQL e archiviazione documenti | Server Unione Europea (Irlanda) – titolare con sede negli Stati Uniti | Clausole Contrattuali Standard (SCC) della Commissione UE; certificazione EU–U.S. Data Privacy Framework |
| Vercel Inc. | Hosting applicazione web ed edge network | Edge globale; Stati Uniti per la sede del titolare | SCC; EU–U.S. Data Privacy Framework |
| Resend Inc. | Invio email transazionali | Stati Uniti | SCC; EU–U.S. Data Privacy Framework |
| Google LLC / Google Ireland Ltd. | Google Meet, Google Calendar, Google Workspace per la generazione delle stanze di videoconferenza e gli inviti calendario | Unione Europea (Irlanda); Stati Uniti per la casa madre | SCC; EU–U.S. Data Privacy Framework |
| Google LLC (Firebase Cloud Messaging) | Push notification mobile (predisposizione, non attivo) | Unione Europea / Stati Uniti | SCC; EU–U.S. Data Privacy Framework |
| Yousign SAS | Firma elettronica avanzata dei contratti (in roadmap; allo stato attuale la firma avviene in piattaforma con sottoscrizione elettronica semplice) | Francia (UE) | Trasferimento intra-UE; non applicabile |
| TeamSystem S.p.A. (Fatture in Cloud) o Aruba S.p.A. | Sincronizzazione dei documenti contabili emessi (in roadmap) | Italia | Trasferimento intra-UE; non applicabile |
I dati possono inoltre essere comunicati, ove necessario, a:
- soggetti pubblici (Agenzia delle Entrate, autorità giudiziaria, autorità di vigilanza) per adempimenti di legge;
- consulenti professionali (commercialisti, avvocati) vincolati da segreto professionale;
- società del gruppo Nuxi, qualora l'organizzazione interna lo richieda, sempre in qualità di responsabili o di soggetti autorizzati.
L'elenco completo e aggiornato dei responsabili del trattamento è disponibile su richiesta all'indirizzo indicato al paragrafo 1.
10. Trasferimento dei dati al di fuori dell'Unione Europea
Alcuni fornitori indicati al paragrafo 9 hanno la propria sede negli Stati Uniti d'America. Per i trasferimenti che, anche solo potenzialmente, possono comportare un'uscita dei dati dallo Spazio Economico Europeo, il Titolare si avvale di uno o più dei seguenti strumenti previsti dal Capo V del GDPR:
- Decisioni di adeguatezza della Commissione Europea, ivi compresa la decisione di adeguatezza per il trasferimento di dati verso gli Stati Uniti relativa alle organizzazioni certificate al EU–U.S. Data Privacy Framework;
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione 2021/914;
- ulteriori misure tecniche e organizzative supplementari ove richiesto dalla valutazione di rischio (es. crittografia in transito e a riposo, segregazione degli accessi).
Una copia delle garanzie applicate può essere richiesta al Titolare.
11. Periodo di conservazione
I dati sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti. La tabella riassume i criteri principali di conservazione.
| Categoria di dato | Periodo di conservazione |
|---|---|
| Dati di account attivi (formatori, referenti aziendali, partecipanti) | Per tutta la durata del rapporto contrattuale o di iscrizione |
| Dati di account chiusi su richiesta dell'interessato | Cancellati o anonimizzati entro 30 giorni dalla richiesta, salvo obblighi di conservazione previsti dalla legge |
| Documenti contabili e fiscali (pre-fatture, contratti, fatture) | 10 anni, ai sensi dell'art. 2220 c.c. e della normativa fiscale |
| Contratto quadro firmato con il formatore | 10 anni dalla cessazione del rapporto |
| Documenti dei formatori (CV, documento d'identità, certificazioni) | Per la durata del rapporto e per i 12 mesi successivi |
| Dati relativi alle presenze e alle ore erogate | 10 anni (collegati ai documenti contabili) |
| Feedback (rating e commenti) | Per la durata di permanenza del corso in piattaforma; in forma aggregata e statistica successivamente |
| Log di accesso e log di audit | 12 mesi |
| Dati di navigazione | 12 mesi |
| Backup automatici del database | 30 giorni dalla generazione |
| Dati raccolti tramite form pubblici (lead, contatti) | 24 mesi dalla compilazione, salvo che l'interessato diventi utente registrato |
Al termine dei periodi di conservazione i dati sono cancellati o anonimizzati in modo irreversibile.
12. Diritti dell'interessato
In qualità di interessato, e ai sensi degli articoli da 15 a 22 del GDPR, ti sono riconosciuti i seguenti diritti:
- Diritto di accesso (art. 15): ottenere la conferma dell'esistenza di un trattamento e ricevere copia dei dati personali oggetto di trattamento;
- Diritto di rettifica (art. 16): chiedere la correzione di dati inesatti o l'integrazione di dati incompleti;
- Diritto di cancellazione (art. 17): chiedere la cancellazione dei dati nei casi previsti dalla norma (es. revoca del consenso, dati non più necessari);
- Diritto di limitazione (art. 18): chiedere la limitazione del trattamento in presenza di specifiche condizioni;
- Diritto alla portabilità (art. 20): ricevere in formato strutturato e di uso comune i dati personali e trasmetterli ad altro titolare, ove tecnicamente possibile;
- Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento basato su legittimo interesse, salvo motivi legittimi cogenti del Titolare;
- Diritto di revoca del consenso: ove il trattamento sia basato sul consenso, l'interessato può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento svolto prima della revoca;
- Diritto di reclamo all'Autorità di controllo: presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità di controllo dello Stato membro di residenza abituale, lavoro o luogo della presunta violazione.
Per esercitare i propri diritti è sufficiente scrivere all'indirizzo email indicato al paragrafo 1, allegando un documento di identità in corso di validità. Il Titolare risponde entro un mese dal ricevimento della richiesta, salvo proroghe motivate.
13. Decisioni automatizzate e profilazione
La piattaforma utilizza un algoritmo di matching tra i corsi pubblicati e la disponibilità/competenze dei formatori, finalizzato a mostrare in bacheca solamente i corsi compatibili con il singolo formatore. Tale algoritmo:
- non produce effetti giuridici sull'interessato né effetti che incidono in modo analogo sulla sua persona ai sensi dell'art. 22 GDPR;
- è utilizzato a soli fini di filtraggio della bacheca, e non come decisione finale di assegnazione: l'assegnazione di un formatore a un corso avviene sempre per scelta umana (admin) e candidatura volontaria del formatore;
- è descritto in modo trasparente nella documentazione del servizio.
Non sono effettuate altre attività di profilazione automatizzata.
14. Cookie e tecnologie analoghe
La piattaforma utilizza esclusivamente cookie tecnici e di sessione, indispensabili per garantire l'autenticazione, la corretta navigazione e la sicurezza. Tali cookie sono installati direttamente dal Titolare e non richiedono il consenso dell'interessato ai sensi del Provvedimento del Garante 10 giugno 2021. Non vengono utilizzati cookie di profilazione, di marketing o di analytics di terze parti.
| Cookie | Finalità | Durata | Tipologia |
|---|---|---|---|
next-auth.session-token |
Mantenere la sessione utente autenticata | Sessione o massimo 30 giorni se "ricordami" | Tecnico, prima parte |
next-auth.csrf-token |
Prevenzione attacchi Cross-Site Request Forgery | Sessione | Tecnico, prima parte |
next-auth.callback-url |
Memorizzare l'URL di callback dopo il login | Sessione | Tecnico, prima parte |
L'utente può comunque disabilitare i cookie tramite le impostazioni del proprio browser; in tal caso, alcune funzionalità della piattaforma (in particolare l'autenticazione) potrebbero non funzionare correttamente.
15. Sicurezza dei dati e segnalazione di violazioni (data breach)
Il Titolare adotta misure di sicurezza adeguate per ridurre i rischi di distruzione, perdita, accesso non autorizzato o trattamento non conforme. In caso di violazione dei dati personali idonea a comportare un rischio per i diritti e le libertà degli interessati, il Titolare provvederà a notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dalla scoperta, e ne darà comunicazione agli interessati nei casi previsti dall'art. 34 GDPR.
Eventuali sospette violazioni dei dati possono essere segnalate scrivendo all'indirizzo email del Titolare indicato al paragrafo 1.
16. Minori
I servizi della piattaforma non sono rivolti a minori di 16 anni. Non vengono raccolti consapevolmente dati personali di minori. Qualora un genitore, un tutore o un'azienda venga a conoscenza dell'inserimento involontario di dati riferiti a un minore, è invitato a contattare il Titolare, che provvederà alla tempestiva cancellazione.
17. Modifiche all'informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli utenti registrati tramite email o avviso in piattaforma. La data di "Ultimo aggiornamento" indicata in apertura riflette la versione corrente. Eventuali modifiche sostanziali saranno comunicate con almeno 15 giorni di anticipo rispetto alla loro entrata in vigore.
18. Contatti
Per qualsiasi domanda relativa al trattamento dei dati personali, per esercitare i diritti riconosciuti dal GDPR o per segnalare violazioni:
- Email: privacy@nuxi.io
- PEC: nuxi@pec.it
- Posta: NUXI S.R.L., Via Sidney Sonnino 170, 09127 Cagliari (CA), Italia
L'Autorità di controllo italiana è il Garante per la protezione dei dati personali (www.garanteprivacy.it; piazza Venezia 11, 00187 Roma).