Privacy Policy

ACCURAT DATASCHOOL STUDENT PRIVACY NOTICE
PURSUANT TO ART. 13 GDPR, EUROPEAN REGULATION NO. 679/2016

This notice, pursuant to Art. 13 of the GDPR, describes the processing of personal data by Accurat srl in relation to the use of the Accurat Dataschool platform and the use of the courses.

Personal data will be processed in compliance with current legislation on personal data protection, according to the principles of lawfulness, fairness, and transparency, for the purposes and with the methods described in this notice.

1. Data Controller
The personal data of registered Users are processed as Data Controller by Accurat srl (hereinafter, “Accurat” or the “Controller”), with registered office in Milan (MI), 20121, via San Prospero 1, tax code and VAT number 07455930961. For any request regarding this notice, you can contact the Controller at the email address: [email protected]

The Data Controller has appointed a Data Protection Officer (DPO), who can be contacted for any matter relating to the processing of personal data at the following address: [email protected]

2. Source and Nature of Personal Data

The personal data processed are collected directly from the data subject at the time of registration on the platform and during the course payment process.

3. Data Collected, Purposes of Processing, Legal Basis, and Data Retention

Below is a list of why we process data (purposes of processing) and the legal rule that allows us to do so (legal basis). At the end of the retention period, personal data will be deleted from our systems or anonymized.

Purpose	Legal Basis	Personal Data	Retention
a) Platform registration and course enrollment and service management	Execution of pre-contractual and contractual measures (Art. 6.1.b GDPR)	Identification data (first name, last name) Contact data (email)	Until account cancellation or 24 months of inactivity
b) Payment management for course purchases	Execution of contract (Art. 6.1.b GDPR) Fulfillment of tax and accounting obligations (Art. 6.1.c GDPR)	Identification data (first name, last name, address, email) Tax data (tax code, VAT number, billing data)	10 years from the closing of the relationship or the issuance of the last invoice
c) Administrative and accounting purposes related to contract management (e.g., invoicing, reporting)	Fulfillment of legal obligations (Art. 6.1.c GDPR)	Identification data (first name, last name, address, email) Tax data (tax code, VAT number, billing data)	10 years from the closing of the relationship or the issuance of the last invoice
d) Access to courses on the platform and use of training content	Execution of contract (Art. 6.1.b GDPR)	Identification data (first name, last name, email) Platform access data (username, password) Data related to course usage (progress, certificates)	Until account cancellation or 24 months of inactivity
e) Issuance of course participation certificates	Execution of contract (Art. 6.1.b GDPR)	Identification data (first name, last name) Data related to course completion	Until account cancellation or 24 months of inactivity
f) Management of technical support requests and customer assistance (e.g., platform access issues, malfunctions)	Execution of contract (Art. 6.1.b GDPR)	Identification data (first name, last name) Contact data (email) Details of the support request	6 months from the resolution of the request
g) Analysis and improvement of the Accurat Dataschool platform (statistics, usage reports, course access analysis)	Legitimate interest of the Controller (Art. 6.1.f GDPR)	Usage data (access logs)	12 months from data collection
i) Dispute management and protection of the Controller's rights	Legitimate interest in establishing, exercising, or defending a right (Art. 6.1.f GDPR)	All data necessary for establishment or defense in court	For the entire duration of the dispute and further legal terms

4. Nature of Provision

The provision of personal data varies according to the purpose of the processing:

For contractual obligations (purposes a, b, d, e, f): Provision is necessary for platform registration, course purchase and access, certificate issuance, and technical assistance. Failure to provide would prevent the use of the service.
For legal obligations (purpose c): Provision is mandatory to comply with regulatory provisions regarding tax and accounting matters. Without such data, the Controller would not be able to comply with legal obligations. Failure to provide would prevent the use of the service.
For the legitimate interest of the Controller (purposes g, i, j): Data processing is necessary for platform improvement and legal protection in case of disputes. The user can object at any time.

5. Methods of Processing and Data Communication
Personal data will be processed in paper, computerized, and telematic form and entered into the relevant databases (customers, suppliers, administration, etc.) which may be accessed and therefore known by employees expressly designated by the Controller as authorized/designated for personal data processing, in compliance with the legal provisions necessary to guarantee, among other things, the confidentiality and security of the data as well as the accuracy, updating, and relevance of the data with respect to the stated purposes.

6. Data Recipients
Personal data may be communicated to third parties exclusively for the provision of services, fulfillment of legal obligations, and protection of the Controller's rights. In particular:

IT service providers and platforms: Thinkific Labs Inc. (course management).
Legal, tax, and accounting consultants: for administrative and litigation management.
Authorities and supervisory bodies: in case of regulatory obligations.

The complete list of External Processors with further identification data is available from the Controller.

7. Transfer of Personal Data to Third Countries
The personal data collected may be transferred and stored in countries outside the European Economic Area (EEA), in particular:

Thinkific Labs Inc.: The Dataschool platform is managed by Thinkific, headquartered in Canada. Data is stored in data centers located in the United States. (https://www.thinkific.com/privacy-policy/). The transfer takes place in accordance with the Standard Contractual Clauses (SCC) of the European Commission and supplementary security measures.

All data transfers to third countries occur in accordance with Chapter V of the GDPR (Arts. 44-50), using appropriate legal instruments to ensure an adequate level of protection, including:

Adequacy decisions of the European Commission (Art. 45 GDPR) when applicable.
Standard Contractual Clauses (SCC) approved by the European Commission (Art. 46 GDPR) for transfers to countries without an adequacy decision.
Supplementary security measures, where necessary, to ensure the protection of transferred data.

Here is the highlighted text translated into American English:

8. Data Subject Rights (Articles 15 to 22 of the GDPR Regulation)
Pursuant to Articles 15-22 of Regulation (EU) 2016/679 (GDPR), the data subject has the right to exercise the following rights in relation to their personal data:

Right to object (Art. 21 GDPR): object at any time to the processing of personal data based on a legitimate interest of the Data Controller, unless there are compelling legitimate grounds for continuing the processing.
Right not to be subject to a decision based solely on automated processing (Art. 22 GDPR): including profiling, except in cases provided for by the GDPR. Right of access (Art. 15 GDPR): obtain confirmation as to whether or not personal data concerning them is being processed and receive a copy of such data.
Right to rectification (Art. 16 GDPR): request the correction or updating of inaccurate or incomplete data.
Right to erasure ("right to be forgotten") (Art. 17 GDPR): obtain the erasure of personal data in cases provided for by law.
Right to restriction of processing (Art. 18 GDPR): request the restriction of the use of data in cases provided for by law.
Right to data portability (Art. 20 GDPR): receive their data in a structured, commonly used, and machine-readable format and, where technically feasible, request their transfer to another controller.
Right to withdraw consent (Art. 7, para. 3 GDPR): in cases where processing is based on consent, the data subject may withdraw it at any time without affecting the lawfulness of processing based on consent before its withdrawal.

The data subject also has the right to lodge a complaint with the Garante per la protezione dei dati personali (Italian Data Protection Authority) or another competent supervisory authority in the European Union (Art. 77 GDPR). If they believe that their rights have been violated as a result of processing that does not comply with the regulations, they may also bring legal proceedings before the competent judicial authority, as provided for in Art. 79 GDPR.

To exercise their rights, the data subject can contact the Data Controller by sending an email to [email protected]

INFORMATIVA PRIVACY STUDENTI ACCURAT DATASCHOOL

AI SENSI DELL’ART. 13 GDPR, REGOLAMENTO EUROPEO N. 679/2016

La presente informativa, ai sensi dell’art. 13 del GDPR, descrive il trattamento dei dati personali da parte di Accurat srl in relazione all’uso della piattaforma Accurat Dataschool e alla fruizione dei corsi.

I dati personali saranno trattati nel rispetto della normativa vigente in materia di protezione dei dati personali, secondo i principi di liceità, correttezza e trasparenza, per le finalità e con le modalità descritte nella presente informativa.

1. Titolare del Trattamento
I dati personali degli Utenti registrati sono trattati in qualità di Titolare del trattamento da Accurat srl (di seguito, “Accurat” o “Titolare”),con sede legale in Milano (MI), 20121, via San Prospero 1, c.f. e partita IVA n. 07455930961. Per qualsiasi richiesta in relazione a questa informativa, è possibile contattare il Titolare all’indirizzo email: [email protected]

Il Titolare del trattamento ha provveduto a nominare un Responsabile della Protezione dei Dati (DPO, Data Protection Officer), contattabile per qualsiasi questione relativa al trattamento dei dati personali al seguente indirizzo: [email protected]

2. Fonte e natura dei dati personali
I dati personali trattati sono raccolti direttamente presso l’interessato al momento della registrazione alla piattaforma e durante il processo di pagamento dei corsi.

3. Dati raccolti, finalità del trattamento, base giuridica e conservazione dei dati
Si elenca di seguito perché trattiamo dati (finalità del trattamento) e qual è la norma di legge che permette di farlo (base giuridica). Al termine del periodo di conservazione, i dati personali saranno cancellati dai nostri sistemi o resi anonimi.

Finalità	Base giuridica	Dati personali	Conservazione
a) Registrazione alla piattaforma e iscrizione ai corsi e gestione del servizio	Esecuzione di misure pre-contrattuali e contrattuali (art. 6.1.b GDPR)	Dati identificativi (nome, cognome) Dati di contatto (email)	Fino a cancellazione dell'account o inattività per 24 mesi
b) Gestione del pagamento per l’acquisto dei corsi	Esecuzione del contratto (art. 6.1.b GDPR) Adempimento di obblighi fiscali e contabili (art. 6.1.c GDPR)	Dati identificativi (nome, cognome, indirizzo, email) Dati fiscali (codice fiscale, P. IVA, dati fatturazione)	10 anni dalla chiusura del rapporto o dall'emissione dell'ultima fattura
c) Finalità amministrative e contabili legate alla gestione del rapporto contrattuale (es. fatturazione, rendicontazione)	Esecuzione di obblighi di legge (art. 6.1.c GDPR)	Dati identificativi (nome, cognome, indirizzo, email) Dati fiscali (codice fiscale, P. IVA, dati fatturazione)	10 anni dalla chiusura del rapporto o dall'emissione dell'ultima fattura
d) Accesso ai corsi sulla piattaforma e fruizione del contenuto formativo	Esecuzione del contratto (art. 6.1.b GDPR)	Dati identificativi (nome, cognome, email) Dati di accesso alla piattaforma (username, password) Dati relativi alla fruizione del corso (progresso, certificati)	Fino a cancellazione dell’account o inattività per 24 mesi
e) Emissione di attestati di partecipazione ai corsi	Esecuzione del contratto (art. 6.1.b GDPR)	Dati identificativi (nome, cognome) Dati relativi al completamento del corso	Fino a cancellazione dell’account o inattività per 24 mesi
f) Gestione di richieste di supporto tecnico e assistenza clienti (es. problemi di accesso alla piattaforma, malfunzionamenti)	Esecuzione del contratto (art. 6.1.b GDPR)	Dati identificativi (nome, cognome) Dati di contatto (email) Dettagli della richiesta di supporto	6 mesi dalla risoluzione della richiesta
g) Analisi e miglioramento della piattaforma Accurat Dataschool (statistiche, report di utilizzo, analisi di accesso ai corsi)	Legittimo interesse del Titolare (art. 6.1.f GDPR)	Dati di utilizzo (log di accesso)	12 mesi dalla raccolta dei dati
i) Gestione del contenzioso e tutela dei diritti del Titolare	Legittimo interesse di accertare, esercitare o difendere un diritto (art. 6.1.f GDPR)	Tutti i dati necessari per l'accertamento o difesa in giudizio	Per tutta la durata del contenzioso e ulteriori termini di legge

4. Natura del conferimento
Il conferimento dei dati personali varia in base alla finalità del trattamento:

Per obblighi contrattuali (finalità a, b, d, e, f): il conferimento è necessario per la registrazione alla piattaforma, l’acquisto e l’accesso ai corsi, l’emissione degli attestati e l’assistenza tecnica. Il mancato conferimento impedirebbe la fruizione del servizio.
Per obblighi di legge (finalità c): il conferimento è obbligatorio per adempiere a disposizioni normative in materia fiscale e contabile. Senza tali dati, il Titolare non potrebbe adempiere agli obblighi di legge. Il mancato conferimento impedirebbe la fruizione del servizio.
Per legittimo interesse del Titolare (finalità g, i, j): il trattamento dei dati è necessario per il miglioramento della piattaforma, e la tutela legale in caso di contenzioso. L’utente può opporsi in qualsiasi momento.

5. Modalità del trattamento e Comunicazione dei dati

I dati personali verranno trattati in forma cartacea, informatizzata e telematica ed inseriti nelle pertinenti banche dati (clienti, fornitori, amministrazione, ecc.) cui potranno accedere, e quindi venirne a conoscenza, gli addetti espressamente designati dal Titolare quali autorizzati/designati al trattamento dei dati personali, nel rispetto delle disposizioni di legge necessarie a garantire, tra l'altro, la riservatezza e la sicurezza dei dati nonché l’esattezza, l’aggiornamento e la pertinenza dei dati nel rispetto alle finalità dichiarate.

6. Destinatari dei dati
I dati personali potranno essere comunicati a terzi esclusivamente per l’erogazione dei servizi, l’adempimento di obblighi di legge e la tutela dei diritti del Titolare. In particolare:

Fornitori di servizi IT e piattaforme: Thinkific Labs Inc. (gestione corsi).
Consulenti legali, fiscali e contabili: per la gestione amministrativa e contenziosi.
Autorità e organi di vigilanza: in caso di obblighi normativi.

L'elenco completo dei Responsabili Esterni con ulteriori dati utili alla identificazione è disponibile presso il Titolare.

7. Trasferimento di dati personali verso Paesi terzi
I dati personali raccolti possono essere trasferiti e conservati in Paesi al di fuori dello Spazio Economico Europeo (SEE), in particolare:

Thinkific Labs Inc.: La piattaforma Dataschool è gestita da Thinkific, con sede in Canada. I dati sono conservati in centri dati situati negli Stati Uniti. (https://www.thinkific.com/privacy-policy/). Il trasferimento avviene in conformità alle Clausole Contrattuali Standard (SCC) della Commissione Europea e misure supplementari di sicurezza.

Tutti i trasferimenti di dati verso Paesi terzi avvengono in conformità con il Capo V del GDPR (artt. 44-50), utilizzando strumenti giuridici appropriati per garantire un adeguato livello di protezione, tra cui:

Decisioni di adeguatezza della Commissione Europea (art. 45 GDPR) quando applicabili.
Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (art. 46 GDPR) per i trasferimenti verso Paesi privi di decisione di adeguatezza.
Misure supplementari di sicurezza, ove necessario, per garantire la tutela dei dati trasferiti.

8. Diritti degli Interessati (artt. da 15 a 22 del Regolamento GDPR)
Ai sensi degli articoli 15-22 del Regolamento (UE) 2016/679 (GDPR), l’interessato ha il diritto di esercitare i seguenti diritti in relazione ai propri dati personali:

Diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento al trattamento dei dati personali basato su un legittimo interesse del Titolare, salvo l’esistenza di motivi legittimi cogenti per proseguire il trattamento.
Diritto di non essere sottoposto a una decisione basata unicamente su trattamento automatizzato (art. 22 GDPR): inclusa la profilazione, salvo nei casi previsti dal GDPR. Diritto di accesso (art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento dei propri dati personali e ricevere copia di tali dati.
Diritto di rettifica (art. 16 GDPR): richiedere la correzione o l’aggiornamento dei dati inesatti o incompleti.
Diritto alla cancellazione ("diritto all'oblio") (art. 17 GDPR): ottenere la cancellazione dei dati personali nei casi previsti dalla normativa.
Diritto alla limitazione del trattamento (art. 18 GDPR): richiedere la limitazione dell’uso dei dati nei casi previsti dalla normativa.
Diritto alla portabilità dei dati (art. 20 GDPR): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e, ove tecnicamente possibile, richiederne il trasferimento a un altro titolare.
Diritto di revoca del consenso (art. 7, par. 3 GDPR): nei casi in cui il trattamento si basi sul consenso, l’interessato può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente alla revoca.

L’interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali o a un’altra autorità di controllo competente nell’Unione Europea (art. 77 GDPR).
Qualora ritenga che i propri diritti siano stati violati a seguito di un trattamento non conforme alla normativa, può altresì adire l’autorità giudiziaria competente, secondo quanto previsto dall’art. 79 GDPR.

Per esercitare i propri diritti, l’interessato può contattare il Titolare del trattamento inviando una mail all’indirizzo [email protected]