In accordance with Articles 13 and 20 of the GDPR (EU Regulation 2016/679), the following information is provided, consistent with the principle of transparency, in order to make the user aware of the characteristics and methods of data processing on www.paolapilates.com.

A) Identity and contact details

a.1 We hereby inform that the “Data Controller” is: Marcenaro Paola, Corso Lodi, 102, 20139 Milan (Italy), VAT NO. IT1722360086, Italian Tax Code MRCPLA96R56Z110L.

a.2 We provide the following contact details: e-mail address: info@paolapilates.com; PEC e- mail: paolapilates@pec.it

B) Types of data and purpose of processing

b.1 The data collected are First Name and Surname, E-mail, Country of residence which are

required to purchase subscriptions available on the platform. Additionally, by using the training

platform, it is possible to find out which videos were viewed, the viewing percentage, the

location, the operating system, the opening of e-mails, and the clicks on certain links.

b.2 Personal data (seat or residence) and tax data (tax code/VAT NO.) are also collected in the event that the customer requests an invoice to be issued.

b.3 In order to process payments, data such as credit card number and control code are also

processed through the available payment intermediaries (Stripe or Paypal) and are visible

exclusively to them.

b.4 The data in the user's profile, the content published and the content of the messages

exchanged within the platform are also processed via the Data Controller's social media

networks, in accordance with the platform's rules.

b.5 The computer systems and software procedures used to operate this website acquire, in the course of their normal operation, certain personal data whose transmission is implicit in the use of internet communication protocols.

While this information is not collected in order to be associated with identified data subjects, by its very nature it could, through processing and association with data held by third parties, enable users to be identified.

This type of data includes the IP addresses or domain names of the computers used by users to connect to the website, the URI (Uniform Resource Identifier) addresses of the resources requested, the time of the request, the method used to submit the request to the server, the size of the file obtained in response, the numerical code indicating the status of the response given by the server (successful, error, etc.) and other parameters relating to the user's operating system and IT environment.

This data is used for the sole purpose of collecting anonymous statistical information on the use of the website and to check its correct functioning, and is deleted immediately after processing.

b.6 For the correct functioning of the platform, navigation data are also processed through the logs and cookies on the site.

C) Legal basis of the processing

The legal basis of the processing is as following:

For the processing of data referred to under points b.1, b.3, b.4 and b.5, the legal basis is the performance of a contract to which the data subject is a party or the performance of pre- contractual measures taken at the data subject's request (Art. 6(b) GDPR).

For the processing of data referred to under point b.2, the legal basis is the fulfilment of a legal obligation of the Data Controller (Art. 6(c) GDPR).

For the processing of data referred to under point b.6, the legal basis is the consent given by the data subject for one or more specific purposes (Art. 6(a) GDPR).

D) Data recipients and possible categories of data recipients

The data are processed at the premises of the Data Controller.

In addition to the Data Controller, in some cases, other parties involved in the management of

the site (administrative, sales, marketing personnel, lawyers, system administrators) or external

parties (such as third-party technical service providers, hosting providers, IT companies,

communication agencies) may have access to the data, ad also being appointed, if necessary,

Data Processors by the Data Controller. The updated list of Data Processors can always be

requested to the Data Controller.

E) Data transfers to third countries

The platform for subscription courses is Uscreen, which is owned by a US company and which is based in the state of Maryland (USA). You can read the platform's privacy policy here: https://www.uscreen.tv/privacy-policy.

Using Instagram, Facebook or LinkedIn also carries the exact same risks.

After the Schrems II ruling in July 2020, the US are no longer considered a safe country for

data transmission due to less strict data protection laws compared to those in Europe.

Therefore, by registering on the aforementioned platform, the user, aware of the risks of a

weaker legal protection, consents in accordance with Article 49 (a) GDPR (Explicit Consent

to Transfer), only for the data uploaded on said platform.

On the other hand, all data processed outside third-party platforms will be processed only at the Data Controller's premises and/or in servers located within the European Union or anyway belonging to companies subject to European law, without any kind of transfer outside the EU or to any international organisations.

If lessons are conducted in synchronous mode (with the simultaneous presence of teacher and trainees), we will use the Zoom platform, whose privacy policy can be found here: https://explore.zoom.us/it/privacy/

F) Data retention period

The personal data referred to under points b.1, b.2, b.3, will be stored for a period of 10 years

or, in any event, for as long as required by mandatory civil or tax regulations in force.

The personal data referred to under point b.4, will be stored for as long as it is necessary to respond to requests and in any event for a maximum of 1 year.

For the data mentioned under points b.5. and b.6, please refer to our Cookie Policy for all details.

G) Data rights

In accordance with the EU Regulation, you have the right to:

• request access to your personal data (i.e. to know whether and what personal data we

hold about you);

• request the correction of inaccurate data or the integration of incomplete data (if any

of your data has changed);

• request the deletion of personal data (in case of the occurrence of one of the

conditions set out in Article 17(1) of the GDPR and in compliance with the exceptions

provided for in paragraph 3 of the same Article);

• request the limitation of the processing of your personal data, if one of the cases

indicated in Article 18(1) of the GDPR occurs

• object to the processing;

• request and obtain your personal data in a structured, machine-readable format,

also in order to communicate such data to a different data controller (right to

portability);

• withdraw your consent at any time, limited to cases where the processing is

based on consent for one or more specific purposes and concerns common personal data

(for example, date and place of birth or place of residence). Processing based on consent

and carried out prior to the withdrawal of consent retains, however, its lawfulness;

• The above-mentioned rights with regard to personal data relating to deceased

individuals may be exercised by any person who has an interest of his own, or is acting

on behalf of the data subject, in his capacity as his representative, or for family reasons

worthy of protection, unless the data subject has expressly forbidden this in a written

declaration submitted to or communicated to the data controller.

• File a complaint to the control authority (Italian Data Protection Authority –

www.garanteprivacy.it).

The Data Controller is required to reply within one month from the date of receipt of the request, which may be extended by up to three months in case the request is particularly complex.

We would like to inform that when the processing of data is based on Article 6(1)(a) EU Regulation 2016/679 the data subject has the right to withdraw consent at any time without affecting the lawfulness of the processing based on the consent before the withdrawal.

As for the modalities of exercising the above-mentioned rights, the interested subject may write to: e-mail: info@paolapilates.com or PEC e-mail: paolapilates@pec.it

H) Complaints

The data subject is informed that a complaint may be lodged with the supervisory authority and may be addressed to the Italian Data Protection Authority, based in Rome, Piazza Venezia 11, e-mail: protocollo@gpdp.it.

For further details, please visit the institutional website of the Italian Data Protection Authority www.garanteprivacy.it.

I) Provision of data

The provision of data is compulsory because the transmission of data is a contractual obligation or a necessary requirement for the contract to be finalised.

Withholding of data will not allow the subject to proceed with the completion of the contract.

L) Minors

The Data Controller intends to process only data of individuals over the age of 18, as its services are not meant for minors. Minors, individuals under the age of 18 years, are urged not to enter information or use the services provided.

Anyone who believes that their child under the age

of 18 has entered personal information should contact info@paolapilates.com to request

the removal of the data and deactivate the account.

Milan, 24/02/2023

Ai sensi dell’art. 13 e 20  del GDPR (regolamento UE 2016/679), si forniscono, in coerenza del principio di trasparenza, le seguenti informazioni al fine di rendere consapevole l’utente delle caratteristiche e modalità del trattamento dei dati sul sito www.paolapilates.com.

A) Identità e dati di contatto

a.1 Si informa che la “Titolare” del trattamento è: Marcenaro Paola, Corso Lodi n. 102, 20139 Milano, P. IVA 1722360086, C.F. MRCPLA96R56Z110L.

a.2 Si riportano i seguenti dati di contatto: indirizzo email: info@paolapilates.com; PEC: paolapilates@pec.it.

B) Dati trattati e finalità

b.1 I dati raccolti sono il Nome e Cognome, E-mail, Paese di residenza per l’acquisto degli abbonamenti disponibili sulla piattaforma. Inoltre, mediante l’uso della piattaforma dei corsi, è possibile sapere quali video sono stati visionati, la percentuale di visualizzazione, la localizzazione, il sistema operativo, l'apertura delle email, il click su link determinati.

b.2 Sono anche raccolti i dati anagrafici (sede o residenza) e fiscali (Codice fiscale /Partita IVA) nel caso in cui il cliente faccia apposita richiesta di emissione della fattura.

b.3 Per processare i pagamenti sono trattati anche, per mezzo degli intermediari di pagamento disponibili (Stripe o Paypal) e visibili integralmente solo a loro, come il numero della carta di credito e il codice di controllo.

b.4 Tramite i canali social della Titolare del trattamento sono anche trattati i dati del profilo dell’utente, i contenuti pubblicati e il contenuto dei messaggi scambiati all’interno della piattaforma, secondo le regole della stessa.

b.5 I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet.

Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti.

In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.

Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione.

b.6 Per il corretto funzionamento della piattaforma sono anche trattati i dati di navigazione attraverso i Log e i cookies presenti sul sito.

C) Base giuridica del trattamento

La base giuridica del trattamento è:

Per i trattamenti dei dati di cui alla lettera b.1, b.3, b.4 e b.5 la base giuridica del trattamento è l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso (Art. 6, lett. b) GDPR).

Per i trattamenti dei dati di cui alla lettera b.2, la base giuridica del trattamento è l'adempimento di un obbligo di legge del titolare (Art. 6, lett, c) GDPR).

Per i trattamenti dei dati di cui alla lettera b.6 la base giuridica del trattamento è il consenso prestato dall’interessato per una o più specifiche finalità (Art. 6, lett. a) GDPR).

D) Destinatari ed eventuali categorie di destinatari dei dati personali

I Dati sono trattati presso le sedi operative della Titolare.

Oltre alla Titolare, in alcuni casi, potrebbero avere accesso ai Dati altri soggetti coinvolti nell’organizzazione del sito (personale amministrativo, commerciale, marketing, legali, amministratori di sistema) ovvero soggetti esterni (come fornitori di servizi tecnici terzi, hosting provider, società informatiche, agenzie di comunicazione) nominati anche, se necessario, Responsabili del Trattamento da parte del Titolare. L’elenco aggiornato dei Responsabili potrà sempre essere richiesto alla Titolare del Trattamento.

E) Trasferimento dei dati in Paesi terzi

La piattaforma per usufruire dei corsi in abbonamento è Uscreen, appartenente ad una società statunitense, con sede nello Stato del Maryland (USA). Qui è possibile leggere l’informativa privacy della piattaforma: https://www.uscreen.tv/privacy-policy. 

Dopo la sentenza Schrems II del luglio 2020, gli Stati Uniti non sono più considerati un Paese sicuro per il trasferimento dei dati, per effetto di leggi sul trattamento dei dati personali meno stringenti rispetto a quelle europee. 

Pertanto, iscrivendosi alla suddetta piattaforma, l’utente, consapevole dei rischi di una tutela giuridica meno forte, acconsente ai sensi dell’art. 49 lett. a) GDPR (Consenso esplicito al trasferimento), solo per i dati caricati su detta piattaforma.

Anche l’uso di Instagram, Facebook  o Linkedin comporta gli stessi identici rischi.

Invece tutti i dati trattati al di fuori di piattaforme terze, saranno trattati unicamente presso la sede della Titolare e/o in server ubicati all’interno dell’Unione Europea o comunque appartenenti a società sottoposte al diritto europeo, senza alcun tipo di trasferimento extra UE o presso organizzazioni internazionali.

Nel caso in cui si tengano lezione in modalità sincrona (con la presenza simultanea dell’insegnante e degli allievi) sarà utilizzata la piattaforma Zoom la cui informativa privacy è consultabile qui: https://explore.zoom.us/it/privacy/

F) Periodo di conservazione dei dati

I dati personali di cui alle lettere b.1, b.2, b.3,  saranno conservati per un periodo di tempo di 10 anni o, comunque, per quel diverso periodo di tempo richiesto da norme imperative civilistiche o fiscali vigenti.

I dati personali di cui alle lettere b.4,  saranno conservati per il tempo necessario a rispondere alle richieste e comunque per un periodo massimo di 1 anno.

Per i dati di cui alla lettera b.5. e  b.6 si rinvia per ogni dettaglio alla nostra Cookie Policy.

G) Diritti sui dati

In base al Regolamento Europeo, avete il diritto di chiedere:

• l’accesso ai vostri dati personali (quindi di sapere se e quali dati personali sono in nostro possesso);

• la rettifica dei dati inesatti o l’integrazione di quelli incompleti (nel caso qualche vostro dato abbia subito delle modifiche);

• la cancellazione dei dati personali (al verificarsi di una delle condizioni indicate all’art. 17, par. 1 del GDPR e nel rispetto delle eccezioni previste nel paragrafo 3 dello stesso articolo);

• la limitazione del trattamento dei dati personali, al ricorrere di una delle ipotesi indicate nell’art. 18, par. 1 del GDPR;

• opposizione al trattamento;

• richiedere ed ottenere i vostri dati personali in un formato strutturato e leggibile da dispositivo automatico, anche al fine di comunicare tali dati ad un altro titolare del trattamento (diritto alla portabilità);

• revocare il consenso in qualsiasi momento, limitatamente alle ipotesi in cui il trattamento sia basato sul consenso per una o più specifiche finalità e riguardi dati personali comuni (ad esempio data e luogo di nascita o luogo di residenza). Il trattamento basato sul consenso ed effettuato antecedentemente alla revoca dello stesso conserva, comunque, la sua liceità fino al momento della revoca;

• i diritti sopra elencati, riferiti ai dati personali concernenti persone decedute, possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione, a meno che l’interessato non lo abbia espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.

• Proporre reclamo all'autorità di controllo (Autorità Garante per la protezione dei dati personali – www.garanteprivacy.it).

La Titolare è tenuta a rispondere entro un mese dalla data di ricezione della richiesta, termine che può essere esteso fino a tre mesi nel caso di particolare complessità dell’istanza.

Si informa che quando il trattamento dei dati è basato sull’articolo 6, paragrafo 1, lettera a) Regolamento UE 2016/679  Lei ha diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.

In merito alle modalità di esercizio dei sopracitati diritti, l’interessato può scrivere a: email: info@paolapilates.com o PEC: paolapilates@pec.it

H) Reclamo

Si informa l’interessato che ha diritto di proporre reclamo all’autorità di controllo e può rivolgersi al Garante per la protezione dei dati personali, con sede a Roma in Piazza Venezia n. 11, email: protocollo@gpdp.it.

Per ulteriori approfondimenti, consultare v. il sito istituzionale del Garante privacy www.garanteprivacy.it.

I) Conferimento dei dati

Il conferimento dei dati è obbligatorio in quanto la comunicazione dei dati è un obbligo contrattuale o un requisito necessario per la conclusione del contratto.

Il mancato conferimento dei dati non consentirà all’interessato di procedere al perfezionamento del contratto.

L) Minori d’età

La Titolare del trattamento intende trattare solo dati di persone maggiori d’età in quanto i propri servizi non sono rivolti a minori. I minori di anni 18 sono tenuti a non inserire informazioni e a non utilizzare i servizi erogati. si. Chiunque ritenga che un proprio figlio minore di anni 18 abbia inserito informazioni personali, contatti l’indirizzo info@paolapilates.com per chiedere la rimozione di tali dati e disattivare l’account.

Milano, 24 febbraio 2023