Informativa Privacy e Cookie

1. Ambito di applicazione

La presente informativa descrive le modalità con cui Start3k di Giorni Daniele tratta i dati personali degli utenti nell’ambito dei siti, servizi web e applicazioni collegati al blocco applicativo:

QRA / Qradmin, sistema di autenticazione, gestione profili e Single Sign-On;
Collabora, portale applicativo con accesso autenticato;
Qmeet, portale e servizio di videoconferenza, anche tramite istanza Jitsi dedicata;
eventuale app mobile Android/iOS collegata ai servizi, utilizzata anche per la ricezione di notifiche push tecniche.

La presente informativa si applica agli utenti che accedono ai servizi, utilizzano le funzionalità disponibili, effettuano il login, partecipano a riunioni, ricevono notifiche o interagiscono con i sistemi sopra indicati.

2. Titolare del trattamento

Il Titolare del trattamento è:

Start3k
Sede legale: Via Torcicoda 17 F, Firenze
Email: start3k@start3k.it

Il Titolare può essere contattato per qualsiasi richiesta relativa al trattamento dei dati personali, inclusi l’esercizio dei diritti dell’interessato, la richiesta di rettifica, cancellazione o limitazione del trattamento.

3. Responsabile della Protezione dei Dati / DPO

Per ogni richiesta privacy è possibile contattare direttamente il Titolare agli indirizzi indicati nella sezione precedente.

4. Dati personali trattati

A seconda del servizio utilizzato e delle funzionalità attive, possono essere trattate le seguenti categorie di dati personali.

4.1 Dati identificativi e di contatto

nome;
cognome;
indirizzo email;
numero di telefono;
username o identificativo utente;
eventuale azienda, ente, gruppo o organizzazione di appartenenza, se presente nel profilo.

4.2 Dati di autenticazione e autorizzazione

credenziali di accesso, conservate secondo modalità tecniche di sicurezza;
sessioni applicative;
token tecnici di autenticazione o autorizzazione;
cookie di sessione;
cookie CSRF;
ruoli, permessi e profili di accesso;
data e ora di accesso;
stato dell’account.

4.3 Dati di profilo e dati applicativi

QRA non svolge solo funzione di login, ma gestisce anche dati di profilo e può ricevere, salvare o aggiornare dati provenienti da Collabora e Qmeet.

Collabora e Qmeet possono conservare copie locali di alcuni dati utente, anche per garantire continuità del servizio nel caso in cui QRA non sia temporaneamente raggiungibile.

4.4 Dati tecnici e log

Durante l’uso dei servizi possono essere trattati dati tecnici necessari al funzionamento, alla sicurezza e alla manutenzione dei sistemi, tra cui:

indirizzo IP;
user agent e informazioni sul browser/dispositivo;
data e ora delle richieste;
URL richiesti;
esito delle operazioni;
log applicativi;
log web server;
errori tecnici o eventi di sicurezza.

4.5 Dati relativi a Qmeet e videoconferenze

In relazione a Qmeet e all’istanza Jitsi dedicata, possono essere trattati dati relativi a:

creazione e partecipazione a riunioni;
nome o identificativo della stanza/meeting;
partecipanti;
orari di accesso e uscita;
messaggi di chat, se utilizzati;
file condivisi, se previsti;
storico meeting, se attivo;
eventuali registrazioni audio/video, se abilitate o richieste nell’ambito del servizio.

I servizi non sono progettati con la finalità primaria di raccogliere categorie particolari di dati personali. Tuttavia, durante videoconferenze, chat, file condivisi o registrazioni, gli utenti potrebbero comunicare volontariamente informazioni personali o contenuti ulteriori. Gli utenti sono invitati a non condividere dati non necessari rispetto alla finalità del servizio.

4.6 Dati relativi alle notifiche push dell’app mobile

L’app mobile utilizza Firebase Cloud Messaging, servizio fornito da Google/Firebase, per l’invio di notifiche push tecniche e operative.

Il servizio può comportare il trattamento di:

token FCM;
identificativi tecnici dell’istanza dell’app o del dispositivo;
ID utente interno;
email, numero di telefono o altro identificativo associato all’account;
dati tecnici necessari alla consegna della notifica.

Le notifiche push sono utilizzate per finalità tecniche e operative, non per finalità promozionali, pubblicitarie o di profilazione.

Alla data della presente bozza:

viene utilizzato Firebase Cloud Messaging;
non viene utilizzato Firebase Crashlytics;
non viene utilizzato Firebase Analytics;
non viene utilizzato Firebase Performance Monitoring;
non viene effettuato tracciamento dell’apertura o del click sulle notifiche;
l’invio avviene a singolo token e non tramite segmenti marketing;
il token FCM viene generato dopo il consenso/autorizzazione alle notifiche;
il token viene salvato nel database del Titolare e associato all’utente;
il token viene cancellato o disassociato al logout.

Eventuali dati diagnostici raccolti direttamente dai sistemi Google/Android, Google Play, Apple o dal sistema operativo sono trattati secondo le impostazioni dell’utente e le condizioni dei relativi servizi, e non tramite Firebase Crashlytics integrato nell’app.

5. Finalità del trattamento e basi giuridiche

I dati personali sono trattati per le seguenti finalità.

Finalità	Dati trattati	Base giuridica
Creazione, gestione e mantenimento dell’account utente	dati identificativi, email, telefono, username, profilo	esecuzione del servizio richiesto dall’utente
Autenticazione, login locale e Single Sign-On tramite QRA	credenziali, sessioni, token, cookie tecnici, ruoli	esecuzione del servizio; misure di sicurezza
Gestione dei profili utente e sincronizzazione tra QRA, Collabora e Qmeet	dati di profilo, dati applicativi, copie locali	esecuzione del servizio; legittimo interesse alla continuità operativa
Erogazione dei servizi Collabora e Qmeet	dati account, dati applicativi, dati meeting	esecuzione del servizio
Videoconferenze, chat, file, storico e registrazioni Qmeet	dati meeting, contenuti, metadati, eventuali registrazioni	esecuzione del servizio; eventuale consenso o accordo specifico ove richiesto
Invio di notifiche push tecniche tramite app mobile	token FCM, identificativi tecnici, ID utente	esecuzione del servizio; autorizzazione dell’utente alle notifiche
Sicurezza informatica, prevenzione abusi e protezione dei sistemi	IP, log, eventi tecnici, tentativi di accesso	legittimo interesse del Titolare alla sicurezza dei sistemi
Manutenzione tecnica, assistenza e risoluzione problemi	log, dati tecnici, informazioni account necessarie	esecuzione del servizio; legittimo interesse tecnico-organizzativo
Adempimento di obblighi di legge	dati necessari secondo la normativa applicabile	obbligo legale

6. Modalità del trattamento

Il trattamento dei dati avviene con strumenti informatici e telematici, secondo logiche strettamente connesse alle finalità indicate nella presente informativa.

Il Titolare adotta misure tecniche e organizzative volte a proteggere i dati da accesso non autorizzato, perdita, alterazione, divulgazione o uso improprio.

L’accesso ai dati è limitato a soggetti autorizzati, collaboratori tecnici e personale incaricato, nei limiti necessari allo svolgimento delle rispettive mansioni.

7. Hosting, infrastruttura e localizzazione dei dati

I servizi sono ospitati su infrastruttura OVHcloud.

Sulla base delle informazioni attualmente disponibili:

la componente Jitsi dedicata a Qmeet è ospitata a Francoforte, Germania;
le altre componenti VPS risultano ospitate a Gravelines, Francia.

Germania e Francia si trovano all’interno dell’Unione Europea.

localizzazione effettiva di database e backup;
eventuali snapshot o backup esterni;
eventuali servizi accessori OVHcloud utilizzati;
tempi di conservazione dei backup.

8. Fornitori e destinatari dei dati

I dati personali possono essere trattati da:

personale e collaboratori autorizzati da Start3k;
fornitori tecnici e infrastrutturali necessari all’erogazione dei servizi;
soggetti che forniscono assistenza tecnica, manutenzione, hosting o servizi collegati;
autorità pubbliche, nei casi previsti dalla legge.

Alla data della presente bozza, i principali fornitori/servizi tecnici individuati sono:

Fornitore / servizio	Finalità	Dati potenzialmente trattati
OVHcloud	hosting VPS, infrastruttura server	dati ospitati su server, log tecnici, backup, dati applicativi
Google / Firebase Cloud Messaging	notifiche push tecniche su app mobile	token FCM, identificativi tecnici dell’app/dispositivo, ID utente associato
Istanza Jitsi dedicata	videoconferenza Qmeet	dati meeting, metadati, eventuali contenuti audio/video/chat/file

Quando necessario, i fornitori sono trattati come responsabili del trattamento o destinatari secondo il ruolo effettivamente svolto.

9. Trasferimenti verso Paesi extra UE

Le componenti principali ospitate su OVHcloud risultano localizzate in Francia e Germania.

L’utilizzo di Google/Firebase per Firebase Cloud Messaging può comportare il trattamento di dati da parte di Google secondo i termini applicabili ai servizi Firebase e le garanzie previste per eventuali trasferimenti internazionali.

Il Titolare si riserva di aggiornare la presente sezione in caso di modifica dei fornitori, delle localizzazioni dei dati o dei servizi utilizzati.

10. Tempi di conservazione

I dati personali sono conservati per il tempo necessario al raggiungimento delle finalità per cui sono raccolti e trattati.

Categoria di dati	Tempo di conservazione
Dati account e profilo	per la durata dell’account o del rapporto con l’utente, salvo richiesta di cancellazione o obblighi ulteriori
Dati copiati localmente da Collabora/Qmeet per continuità operativa	per il tempo necessario alla continuità del servizio e alla sincronizzazione con QRA
Token FCM	fino a logout, revoca/disattivazione, cancellazione account o sostituzione del token; da implementare rimozione/disassociazione alla disattivazione notifiche
Cookie di sessione	per la durata della sessione o secondo configurazione applicativa
Cookie CSRF	secondo configurazione applicativa
Cookie lingua	secondo configurazione applicativa
Log applicativi e web server	DA DEFINIRE
Backup	DA DEFINIRE
Chat, file, storico meeting e registrazioni Qmeet	DA DEFINIRE in base alla configurazione del servizio e agli accordi con gli utenti/clienti

Quando i dati non sono più necessari, il Titolare provvede alla cancellazione, anonimizzazione o limitazione del trattamento, salvo eventuali obblighi di conservazione previsti dalla legge o necessità di tutela dei propri diritti.

11. Cancellazione account e richieste degli utenti

Alla data della presente bozza, gli utenti non dispongono di una funzione autonoma per cancellare direttamente il proprio account.

L’utente può comunque richiedere la cancellazione, rettifica, limitazione o aggiornamento dei propri dati contattando il Titolare agli indirizzi indicati nella presente informativa.

12. Diritti degli interessati

Nei limiti e alle condizioni previste dalla normativa applicabile, l’utente può esercitare i seguenti diritti:

diritto di accesso ai dati personali;
diritto di rettifica dei dati inesatti;
diritto alla cancellazione dei dati;
diritto alla limitazione del trattamento;
diritto di opposizione al trattamento;
diritto alla portabilità dei dati, ove applicabile;
diritto di revocare il consenso, quando il trattamento si basa sul consenso;
diritto di proporre reclamo all’autorità di controllo competente.

Le richieste possono essere inviate a:

Email: start3k@start3k.it
PEC: start3k@pec.it

L’utente ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali.

13. Cookie e strumenti tecnici

I siti QRA, Collabora e Qmeet utilizzano cookie tecnici necessari al funzionamento dei servizi, alla gestione della sessione autenticata, alla protezione delle richieste e alla memorizzazione della lingua selezionata.

Alla data della presente bozza non risultano utilizzati:

cookie analytics;
pixel di tracciamento;
strumenti di profilazione;
Google Analytics;
Google Tag Manager;
embed YouTube;
Google Maps.

Pertanto, sulla base delle informazioni attualmente disponibili, i siti utilizzano esclusivamente cookie tecnici che non richiedono il consenso preventivo dell’utente. Tali cookie sono comunque descritti nella presente informativa.

13.1 Cookie tecnici individuati

Nome cookie	Servizio	Finalità	Categoria	Consenso
`qradmin_sessionid`	QRA / Qradmin	gestione sessione autenticata	tecnico / autenticazione	non richiesto
`qradmin_csrftoken`	QRA / Qradmin	protezione CSRF	tecnico / sicurezza	non richiesto
`collabora_sessionid`	Collabora	gestione sessione autenticata	tecnico / autenticazione	non richiesto
`collabora_csrftoken`	Collabora	protezione CSRF	tecnico / sicurezza	non richiesto
`qmeet_sessionid`	Qmeet	gestione sessione autenticata	tecnico / autenticazione	non richiesto
`qmeet_csrftoken`	Qmeet	protezione CSRF	tecnico / sicurezza	non richiesto
`django_language`	servizi Django	memorizzazione lingua selezionata	tecnico / preferenza	non richiesto

13.2 Local storage, session storage e strumenti analoghi

Alla data della presente bozza non risulta l’utilizzo di localStorage per finalità di tracciamento.

13.3 Google Fonts

Se i font sono caricati da server Google, il browser dell’utente può effettuare richieste verso domini Google per ottenere i file dei caratteri. Per ridurre la condivisione di dati con terze parti, si consiglia di valutare il self-hosting dei font.

14. Notifiche push tramite Firebase Cloud Messaging

L’app mobile collegata ai servizi può utilizzare Firebase Cloud Messaging per l’invio di notifiche push tecniche e operative.

Le notifiche possono riguardare, ad esempio, comunicazioni funzionali al servizio, avvisi operativi o informazioni necessarie all’utilizzo dell’app e dei servizi collegati.

Le notifiche non sono utilizzate per finalità pubblicitarie, promozionali o di profilazione.

Il token FCM viene generato dopo l’autorizzazione alle notifiche da parte dell’utente e viene associato all’account per consentire l’invio della notifica al dispositivo corretto.

L’utente può disattivare le notifiche tramite le impostazioni del dispositivo o dell’app, se disponibili.

15. Sicurezza e continuità del servizio

QRA, Collabora e Qmeet possono utilizzare meccanismi tecnici di replica o copia locale di alcuni dati per garantire la continuità del servizio anche in caso di temporanea indisponibilità del sistema QRA.

Tali copie sono trattate per finalità tecniche e operative, connesse all’erogazione dei servizi e alla continuità applicativa.

16. Data breach e sicurezza organizzativa

In caso di violazione dei dati personali, il Titolare valuterà l’evento secondo la normativa applicabile e, ove necessario, provvederà alle comunicazioni previste nei confronti dell’autorità di controllo e degli interessati.

17. Modifiche alla presente informativa

Il Titolare si riserva di aggiornare la presente informativa in caso di modifiche normative, tecniche, organizzative o relative ai servizi utilizzati.

La versione aggiornata sarà resa disponibile tramite i siti e/o i canali applicativi del Titolare.