Informativa sulla Privacy

Calibrate Ltd (numero di registrazione: 17109642), società registrata in Inghilterra e Galles, è il titolare del trattamento dei tuoi dati personali. La nostra sede legale si trova in 128 City Road, London, United Kingdom, EC1V 2NX. Per qualsiasi domanda riguardante il trattamento dei tuoi dati, puoi contattarci agli indirizzi indicati nella sezione Contatti di questa informativa.

Raccogliamo le seguenti categorie di dati personali:

• Dati dell'account: indirizzo email, nome e password (archiviata in forma crittografata) forniti in fase di registrazione.
• Dati dell'assessment: le tue risposte alla valutazione Cognitive Diagnostic Index (CDI) e i punteggi calcolati (punteggio CDI, profilo di drift, ripartizione per componente su consapevolezza, azione, impegno e coerenza).
• Dati comportamentali: risposte agli esercizi, risposte ai check-in giornalieri, dati di monitoraggio dei progressi e registrazioni di completamento delle sessioni generati dal tuo utilizzo dei nostri programmi. Questi dati possono includere informazioni sui tuoi schemi comportamentali, abitudini e tendenze decisionali, che classifichiamo come informazioni personali sensibili (vedi Sezione 12 per i diritti specifici per gli utenti negli Stati Uniti).
• Dati di pagamento e transazioni: cronologia degli acquisti, programma selezionato, importi delle transazioni, registrazioni dei rimborsi e dettagli del metodo di pagamento (elaborati e archiviati da Stripe; non memorizziamo i numeri completi delle carte).
• Dati di navigazione e dispositivo: indirizzo IP, tipo e versione del browser, sistema operativo, pagine di provenienza, pagine visitate, data e ora di accesso e geolocalizzazione approssimativa derivata dall'indirizzo IP — raccolti automaticamente durante la navigazione.
• Dati dei cookie: cookie tecnici, analitici e di marketing come descritto nella nostra Cookie Policy.
• Dati delle comunicazioni: indirizzo email, dati di engagement delle email (aperture, clic, bounce), preferenze di cancellazione e contenuto di eventuali comunicazioni che ci invii.

I tuoi dati personali sono trattati per le seguenti finalità:

• Fornitura e gestione del servizio: creazione dell'account, autenticazione, accesso ai programmi acquistati ed erogazione dei contenuti digitali.
• Elaborazione dei risultati della tua valutazione CDI, generazione di report personalizzati e raccomandazione del programma più adatto in base al tuo punteggio.
• Miglioramento del servizio attraverso l'analisi aggregata e anonimizzata dei dati di utilizzo e dei pattern comportamentali.
• Invio di comunicazioni relative al servizio, tra cui conferme dell'account, avvisi di sicurezza, aggiornamenti sui programmi e risposte all'assistenza.
• Con il tuo consenso, invio di comunicazioni di email marketing (campagne automatizzate) sui nostri programmi e servizi. Puoi cancellarti in qualsiasi momento tramite il link presente in ogni email.
• Con il tuo consenso, visualizzazione di annunci personalizzati tramite Meta (Facebook/Instagram) utilizzando il tracciamento pixel lato client e la Conversions API lato server.
• Elaborazione dei pagamenti, gestione degli abbonamenti, emissione dei rimborsi e tenuta dei registri finanziari come previsto dalla legge.
• Rilevamento e prevenzione di frodi, abusi e incidenti di sicurezza, e monitoraggio dell'integrità dei nostri sistemi.
• Adempimento degli obblighi legali applicabili, incluse le dichiarazioni fiscali, la risposta a richieste legittime delle autorità pubbliche e la costituzione o difesa di pretese legali.
• Identificazione e risoluzione di errori tecnici e problemi di prestazioni attraverso il monitoraggio automatizzato degli errori (Sentry).

Ai sensi del Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK GDPR) e del Data Protection Act 2018, trattiamo i tuoi dati sulle seguenti basi giuridiche:

• Esecuzione del contratto (Articolo 6(1)(b) UK GDPR): trattamento necessario per fornire il servizio che hai acquistato o richiesto, inclusa la gestione dell'account, l'erogazione del programma e l'elaborazione dei pagamenti.
• Consenso (Articolo 6(1)(a) UK GDPR): per i cookie analitici, i cookie di marketing, le comunicazioni di email marketing, la pubblicità personalizzata e la registrazione delle sessioni. Puoi revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.
• Interesse legittimo (Articolo 6(1)(f) UK GDPR): per la sicurezza del servizio, la prevenzione delle frodi, il monitoraggio degli errori e il miglioramento dei nostri servizi sulla base di dati di utilizzo aggregati. Abbiamo condotto un test di bilanciamento per garantire che i nostri interessi non prevalgano sui tuoi diritti.
• Obbligo di legge (Articolo 6(1)(c) UK GDPR): per gli adempimenti fiscali e contabili previsti dalla legge del Regno Unito, inclusi i requisiti HMRC.

I tuoi dati personali saranno conservati per i seguenti periodi:

• Dati dell'account: per la durata del tuo account più 30 giorni dalla cancellazione per consentire il recupero dell'account.
• Dati dell'assessment e comportamentali: per la durata del tuo account. Alla cancellazione dell'account, questi dati vengono anonimizzati o eliminati entro 30 giorni.
• Dati di pagamento e transazioni: 6 anni dalla data della transazione, come richiesto dall'HMRC per finalità fiscali e contabili ai sensi della legge del Regno Unito.
• Registrazioni dei rimborsi: 6 anni dalla data del rimborso, in linea con i requisiti HMRC e i termini di prescrizione per eventuali reclami.
• Dati di navigazione: 26 mesi dalla data di raccolta.
• Dati di email marketing: fino alla cancellazione dell'iscrizione o alla cancellazione dell'account, a seconda di quale evento si verifichi prima. Le registrazioni di cancellazione vengono conservate a tempo indeterminato per rispettare le tue preferenze.
• Dati dei cookie: secondo la durata specificata nella nostra Cookie Policy.
• Log di monitoraggio errori (Sentry): 90 giorni dalla data dell'evento.

Ai sensi dell'UK GDPR (Articoli 15-22) e del Data Protection Act 2018, hai i seguenti diritti:

• Diritto di accesso (Articolo 15): ottenere conferma dell'esistenza di un trattamento dei tuoi dati personali e richiederne una copia.
• Diritto di rettifica (Articolo 16): far correggere dati personali inesatti o incompleti.
• Diritto alla cancellazione (Articolo 17): richiedere la cancellazione dei tuoi dati personali (il "diritto all'oblio"), nel rispetto degli obblighi legali di conservazione.
• Diritto alla portabilità dei dati (Articolo 20): ricevere i tuoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare.
• Diritto di opposizione (Articolo 21): opporti al trattamento basato sull'interesse legittimo, inclusa la profilazione. Interromperemo il trattamento salvo che dimostriamo motivi legittimi cogenti.
• Diritto di limitazione (Articolo 18): richiedere la limitazione del trattamento dei tuoi dati in determinate circostanze, ad esempio durante la verifica dell'esattezza dei tuoi dati.
• Diritto di revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca. Puoi revocare il consenso tramite le impostazioni dei cookie, i link di cancellazione nelle email o contattandoci.
• Diritti relativi alle decisioni automatizzate (Articolo 22): vedi la Sezione 9 per i dettagli su come utilizziamo il trattamento automatizzato.

Per esercitare uno qualsiasi di questi diritti, contattaci all'indirizzo privacy@calibrate-system.com. Risponderemo entro un mese di calendario. Se la tua richiesta è complessa o riceviamo un elevato numero di richieste, potremmo prorogare questo periodo fino a ulteriori due mesi, informandoti di tale proroga.

Condividiamo i tuoi dati con le seguenti categorie di destinatari, ciascuno dei quali agisce come responsabile del trattamento in base a un accordo scritto per il trattamento dei dati:

• Hosting e infrastruttura: Vercel (Stati Uniti) per l'hosting del sito web e le funzioni serverless; Supabase (Stati Uniti) per l'hosting del database, l'autenticazione degli utenti e l'archiviazione dei dati.
• Analisi: PostHog (Unione Europea) per l'analisi anonimizzata del sito web e, con il tuo consenso, la registrazione delle sessioni. PostHog è configurato in modalità opt-out predefinita e si attiva solo dopo che fornisci il consenso. Le registrazioni delle sessioni possono acquisire le tue interazioni con il sito, inclusi clic, scorrimenti e navigazione tra le pagine. Nessuna registrazione viene effettuata senza il tuo previo consenso.
• Pubblicità: Meta Platforms (Stati Uniti) per le campagne di marketing, solo con il tuo consenso. Questo include il tracciamento lato client tramite il Meta Pixel e la trasmissione di eventi lato server tramite la Meta Conversions API (CAPI). Il tracciamento lato server invia dati sugli eventi (come visualizzazioni di pagina e acquisti) direttamente dai nostri server a Meta, che possono includere identificatori sottoposti a hash.
• Elaborazione dei pagamenti: Stripe (Stati Uniti) per l'elaborazione sicura delle transazioni. Stripe agisce come titolare indipendente del trattamento per i dati delle carte di pagamento ai sensi della propria informativa sulla privacy.
• Recapito email: Resend (Stati Uniti) per le email transazionali (conferme dell'account, avvisi di sicurezza) e le campagne di email marketing (sequenze automatizzate). Resend tratta indirizzi email e metadati di recapito per nostro conto.
• Monitoraggio errori: Sentry (dati acquisiti tramite endpoint tedesco, Functional Software GmbH) per il tracciamento degli errori dell'applicazione e il monitoraggio delle prestazioni. Sentry può trattare indirizzi IP, informazioni sul browser e dati di contesto degli errori. Nessun dato comportamentale o di assessment viene inviato a Sentry.

Abbiamo stipulato accordi per il trattamento dei dati con ciascuno di questi fornitori in conformità all'Articolo 28 dell'UK GDPR, garantendo che i tuoi dati siano trattati esclusivamente secondo le nostre istruzioni documentate e con misure di sicurezza appropriate.

In qualità di società con sede nel Regno Unito che serve un pubblico internazionale, i tuoi dati personali possono essere trasferiti al di fuori del Regno Unito. Garantiamo che tutti i trasferimenti internazionali siano protetti da garanzie appropriate:

• Trasferimenti verso paesi con decisione di adeguatezza del Regno Unito: laddove il Segretario di Stato del Regno Unito ha stabilito che un paese offre un livello adeguato di protezione dei dati, ci basiamo su tale decisione di adeguatezza.
• International Data Transfer Agreement (IDTA): per i trasferimenti verso gli Stati Uniti e altri paesi privi di decisione di adeguatezza, utilizziamo l'International Data Transfer Agreement del Regno Unito o l'Addendum britannico alle Clausole Contrattuali Standard dell'UE, approvati dall'Information Commissioner's Office (ICO).
• UK-US Data Bridge: ove applicabile, ci basiamo sull'estensione britannica dell'EU-US Data Privacy Framework per i trasferimenti verso organizzazioni statunitensi certificate.

I nostri fornitori con sede negli Stati Uniti (Vercel, Supabase, Stripe, Resend, Meta) trattano i dati nel rispetto di queste garanzie. I dati di Sentry vengono acquisiti tramite un endpoint tedesco all'interno dello Spazio Economico Europeo. I dati di PostHog sono trattati all'interno dell'UE.

Puoi richiedere una copia delle garanzie di trasferimento pertinenti contattandoci all'indirizzo privacy@calibrate-system.com.

Utilizziamo il trattamento automatizzato nei seguenti modi:

• Calcolo del punteggio CDI: quando completi la valutazione del Cognitive Diagnostic Index, le tue risposte vengono elaborate da un algoritmo automatizzato che calcola il tuo punteggio CDI su quattro componenti (consapevolezza, azione, impegno e coerenza). Questo punteggio viene utilizzato per raccomandarti uno dei nostri tre programmi (AUDIT, RECODE o IRREVERSIBLE). La raccomandazione si basa esclusivamente sull'intervallo del tuo punteggio CDI.
• Rilevanza: la raccomandazione basata sul CDI è puramente informativa. Sei libero di scegliere qualsiasi programma indipendentemente dal livello raccomandato. La raccomandazione non limita il tuo accesso ad alcun servizio, e nessun programma viene negato in base al tuo punteggio.
• Garanzie: hai il diritto di richiedere una revisione umana di qualsiasi raccomandazione automatizzata, di esprimere il tuo punto di vista e di contestare l'esito. Per farlo, contattaci all'indirizzo support@calibrate-system.com.

Inviamo i seguenti tipi di comunicazioni email:

• Email transazionali: conferme dell'account, reimpostazione della password, ricevute di acquisto e avvisi di sicurezza. Queste vengono inviate in quanto necessarie per l'esecuzione del nostro contratto con te e non richiedono un consenso separato.
• Email di marketing: dopo che ci fornisci il tuo indirizzo email (ad esempio, durante la valutazione CDI), potremmo inviarti una serie di email informative e promozionali sui nostri programmi. Queste email vengono inviate solo con il tuo consenso o, ove consentito, sulla base del soft opt-in ai sensi dei Privacy and Electronic Communications Regulations 2003 (PECR).
• Cancellazione: ogni email di marketing contiene un link di cancellazione chiaro e funzionante. Una volta cancellato, interromperemo l'invio di email di marketing entro 10 giorni lavorativi. Le email transazionali relative al tuo account e ai tuoi acquisti continueranno.

Per i destinatari negli Stati Uniti: in conformità al CAN-SPAM Act del 2003, tutte le email commerciali identificano chiaramente il mittente come Calibrate Ltd, 128 City Road, London, EC1V 2NX, United Kingdom. Non utilizziamo oggetti ingannevoli né informazioni di intestazione false. Le richieste di opt-out vengono soddisfatte entro 10 giorni lavorativi. Non condividiamo né vendiamo indirizzi email a terzi per le loro finalità di marketing.

Adottiamo misure tecniche e organizzative appropriate per proteggere i tuoi dati personali, tra cui: trasmissione crittografata dei dati (HTTPS/TLS) per tutte le comunicazioni tra il tuo browser e i nostri server; archiviazione delle password crittografata tramite algoritmi di hashing standard del settore; accesso limitato al personale autorizzato sulla base del principio need-to-know; aggiornamenti di sicurezza regolari e valutazioni delle vulnerabilità; monitoraggio continuo dell'infrastruttura e alerting automatizzato; intestazioni Content Security Policy (CSP) e protezione CSRF su tutti gli endpoint di modifica; limitazione della frequenza delle richieste sugli endpoint di autenticazione e quelli sensibili.

Se sei residente in California o in un altro stato degli USA con legislazione sulla privacy (inclusi Colorado, Connecticut, Virginia, Utah, Texas, Oregon, Montana e altri), hai diritti aggiuntivi ai sensi della legge statale applicabile.

California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA)

Categorie di informazioni personali che raccogliamo: identificatori (nome, email, indirizzo IP); informazioni commerciali (cronologia acquisti, programmi acquistati); attività su internet o rete elettronica (cronologia di navigazione, interazioni con il nostro servizio); deduzioni tratte da quanto sopra (punteggio CDI, profilo comportamentale, raccomandazione del programma).

Informazioni personali sensibili: i tuoi dati di valutazione comportamentale, le risposte agli esercizi e i punteggi delle componenti CDI possono costituire informazioni personali sensibili ai sensi del CPRA. Trattiamo questi dati esclusivamente per fornirti il nostro servizio e non li utilizziamo per finalità diverse da quelle indicate in questa informativa. Non vendiamo informazioni personali sensibili.

I tuoi diritti ai sensi delle leggi statali USA sulla privacy:

• Diritto di conoscere: puoi richiedere che ti comunichiamo le categorie e i dati specifici che abbiamo raccolto su di te, le categorie di fonti, le finalità aziendali della raccolta e le categorie di terzi con cui condividiamo i tuoi dati.
• Diritto alla cancellazione: puoi richiedere che cancelliamo le informazioni personali che abbiamo raccolto su di te, fatte salve alcune eccezioni (come gli obblighi legali di conservazione).
• Diritto alla correzione: puoi richiedere che correggiamo informazioni personali inesatte.
• Diritto di opt-out dalla vendita o condivisione: non vendiamo le tue informazioni personali. Non condividiamo le tue informazioni personali per la pubblicità comportamentale cross-contesto salvo con il tuo consenso esplicito (tramite il consenso ai cookie per il tracciamento Meta Pixel).
• Diritto alla non discriminazione: non ti discrimineremo per l'esercizio di uno qualsiasi dei tuoi diritti sulla privacy.
• Diritto di limitare l'uso delle informazioni personali sensibili: puoi richiedere di limitare il nostro uso delle informazioni personali sensibili a quanto necessario per fornire il nostro servizio.

Non vendere o condividere: Calibrate non vende informazioni personali come definito dal CCPA/CPRA. Quando acconsenti ai cookie di marketing, il Meta Pixel può raccogliere dati che potrebbero essere considerati "condivisione" per la pubblicità comportamentale cross-contesto ai sensi della legge californiana. Puoi rifiutare questa condivisione declinando i cookie di marketing tramite le nostre impostazioni sui cookie o attivando il segnale Global Privacy Control (GPC) nel tuo browser. Riconosciamo e rispettiamo i segnali GPC come valide richieste di opt-out.

California "Shine the Light" (Civil Code Section 1798.83): Calibrate non comunica informazioni personali a terzi per le loro finalità di marketing diretto.

Per esercitare i tuoi diritti sulla privacy negli Stati Uniti, contattaci all'indirizzo privacy@calibrate-system.com. Verificheremo la tua identità prima di elaborare la richiesta. Puoi anche designare un agente autorizzato a presentare richieste per tuo conto. Risponderemo entro 45 giorni (o 90 giorni se ragionevolmente necessario, con preavviso).

Se ritieni che i tuoi diritti sulla privacy siano stati violati, puoi presentare un reclamo alla Federal Trade Commission (FTC) su www.ftc.gov/complaint o al procuratore generale del tuo stato.

Il nostro servizio non è rivolto a persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente dati personali da minori di 18 anni. Se sei un genitore o tutore e ritieni che tuo figlio ci abbia fornito dati personali, contattaci all'indirizzo privacy@calibrate-system.com e provvederemo tempestivamente alla cancellazione di tali informazioni.

Potremmo aggiornare questa informativa sulla privacy di tanto in tanto per riflettere modifiche alle nostre pratiche, alla tecnologia, ai requisiti legali o per altre ragioni operative. In caso di modifiche significative, ti informeremo via email (all'indirizzo associato al tuo account) o tramite un avviso ben visibile sul nostro sito web almeno 30 giorni prima dell'entrata in vigore delle modifiche. La data di "Ultimo aggiornamento" in cima a questa informativa indica la revisione più recente. Ti consigliamo di consultare periodicamente questa pagina.

Per qualsiasi domanda su questa informativa sulla privacy, per esercitare i tuoi diritti in materia di protezione dei dati o per presentare un reclamo, puoi contattarci a:

Richieste sulla protezione dei dati: privacy@calibrate-system.com

Assistenza generale: support@calibrate-system.com

Questioni legali: legal@calibrate-system.com

Sede legale: Calibrate Ltd, 128 City Road, London, United Kingdom, EC1V 2NX

Hai inoltre il diritto di presentare un reclamo all'Information Commissioner's Office (ICO), l'autorità di controllo del Regno Unito per la protezione dei dati: ico.org.uk — telefono: 0303 123 1113.

I residenti negli Stati Uniti possono anche presentare un reclamo alla Federal Trade Commission (FTC) su www.ftc.gov/complaint o al procuratore generale del proprio stato.