Informativa sulla Privacy
Ultimo aggiornamento: 31/01/2026
1 Titolare del Trattamento
Il Titolare del trattamento dei dati personali ai sensi dell'art. 4, par. 7, del Regolamento (UE) 2016/679 (di seguito "GDPR") è:
Quickly
E-mail: info@quickly.nucleuscms.net
2 Categorie di Dati Personali Raccolti
Dati di registrazione
Nome, cognome, indirizzo e-mail, password (hash), ruolo (docente, scuola, studente).
Dati relativi ai minori e dati sensibili (categorie particolari)
Tipologia BES/DSA/ADHD dello studente, informazioni sul disturbo specifico dell'apprendimento e sulle esigenze educative speciali. Questi dati sono trattati esclusivamente per personalizzare l'esperienza didattica e sono considerati dati relativi alla salute ai sensi dell'art. 9 del GDPR.
Dati educativi
Progressi di apprendimento, risultati dei quiz, lezioni completate, tempo di studio, interazioni con i materiali didattici.
Dati di pagamento
Informazioni relative all'abbonamento e alla fatturazione. I dati della carta di credito/debito sono gestiti esclusivamente da Stripe, Inc. e non vengono mai memorizzati sui nostri server.
Dati tecnici
Indirizzo IP, tipo di browser, sistema operativo, dati di navigazione, cookie tecnici, preferenze di tema (chiaro/scuro/accessibile) e lingua.
3 Finalità e Basi Giuridiche del Trattamento
| Finalità | Base Giuridica |
|---|---|
| Erogazione del servizio educativo e personalizzazione BES | Esecuzione del contratto (Art. 6(1)(b) GDPR) |
| Trattamento dati sulla salute (tipologia BES/DSA/ADHD) | Consenso esplicito (Art. 9(2)(a) GDPR) |
| Gestione dell'account e dell'abbonamento | Esecuzione del contratto (Art. 6(1)(b) GDPR) |
| Elaborazione dei pagamenti tramite Stripe | Esecuzione del contratto (Art. 6(1)(b) GDPR) |
| Generazione di contenuti personalizzati tramite IA proprietaria | Consenso (Art. 6(1)(a) GDPR) |
| Sicurezza e prevenzione degli abusi | Legittimo interesse (Art. 6(1)(f) GDPR) |
| Adempimenti fiscali e contabili | Obbligo legale (Art. 6(1)(c) GDPR) |
4 Trattamento dei Dati dei Minori
Tutela rafforzata per i minori
Quickly è una piattaforma educativa destinata anche a minori. Il trattamento dei dati dei minori avviene nel rispetto dell'art. 8 del GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003.
- L'iscrizione di uno studente minore richiede il consenso del genitore, tutore legale o dell'istituto scolastico.
- I dati dei minori sono trattati con le massime misure di sicurezza e non vengono mai condivisi per finalità di marketing.
- Il genitore o tutore legale può esercitare in qualsiasi momento i diritti previsti dal GDPR per conto del minore.
- I dati relativi alle tipologie BES/DSA/ADHD sono trattati con le garanzie previste per i dati relativi alla salute.
5 Destinatari dei Dati
I dati personali possono essere comunicati ai seguenti soggetti:
- Fornitore AI proprietaria – per la generazione di contenuti didattici personalizzati
- Stripe, Inc. – per l'elaborazione dei pagamenti e la gestione degli abbonamenti
- Docenti e istituti scolastici – limitatamente ai dati necessari per l'erogazione del servizio educativo
- Provider di hosting – per l'erogazione dell'infrastruttura tecnica
I dati non vengono venduti, ceduti o condivisi con terzi per finalità di marketing o profilazione commerciale.
6 Intelligenza Artificiale (AI Proprietaria)
Quickly utilizza un servizio di AI proprietaria per generare contenuti didattici personalizzati (lezioni, quiz, mappe mentali, flashcard, storie sociali, ecc.).
- I dati inviati all'API di AI proprietaria sono limitati al contesto della lezione e alla tipologia BES dello studente
- I dati inviati all'API non vengono utilizzati dal fornitore per addestrare i propri modelli
- Il trasferimento dei dati verso il fornitore di AI è regolato dal EU-U.S. Data Privacy Framework e da Clausole Contrattuali Standard (SCC) ai sensi dell'art. 46 del GDPR
- Le risposte generate dall'IA sono supervisionate da logiche di controllo qualità e sicurezza dei contenuti
Trasparenza algoritmica: Nessuna decisione avente effetti giuridici o significativi sull'interessato viene presa in modo integralmente automatizzato ai sensi dell'art. 22 del GDPR. L'IA è uno strumento di supporto didattico e i suoi output possono sempre essere rivisti.
7 Elaborazione dei Pagamenti (Stripe)
I pagamenti sulla piattaforma Quickly sono gestiti da Stripe, Inc., che opera come Responsabile del trattamento ai sensi dell'art. 28 del GDPR.
- I dati della carta di credito/debito vengono inseriti direttamente nei form sicuri di Stripe e non transitano né vengono memorizzati sui server di Quickly.
- Stripe è certificato come fornitore di servizi PCI DSS Livello 1, il più alto livello di certificazione nel settore dei pagamenti.
- Quickly memorizza unicamente: l'identificativo del cliente Stripe, lo stato dell'abbonamento, lo storico delle transazioni e i dati di fatturazione.
- Il trasferimento dei dati verso Stripe, Inc. (USA) è regolato dal EU-U.S. Data Privacy Framework e da Clausole Contrattuali Standard (SCC).
8 Cookie e localStorage
Quickly utilizza cookie e tecnologie di archiviazione locale per il funzionamento della piattaforma.
Cookie tecnici (strettamente necessari)
| Cookie | Finalità | Durata |
|---|---|---|
| XSRF-TOKEN | Protezione CSRF (sicurezza) | Sessione |
| quickly_session | Gestione della sessione utente | 2 ore |
| remember_web_* | Funzione "Ricordami" (opzionale) | 30 giorni |
Questi cookie non richiedono consenso in quanto strettamente necessari al funzionamento del servizio (Art. 122 del D.Lgs. 196/2003 e Linee Guida del Garante Privacy del 10 giugno 2021).
localStorage
| Chiave | Finalità | Durata |
|---|---|---|
| theme | Preferenza tema chiaro/scuro dell'interfaccia | Persistente (fino a cancellazione manuale) |
9 Periodo di Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:
| Tipologia di dati | Periodo di conservazione |
|---|---|
| Dati dell'account e profilo | Per tutta la durata dell'account + 30 giorni dopo la cancellazione |
| Dati educativi e di apprendimento | Per tutta la durata dell'account + 30 giorni dopo la cancellazione |
| Dati BES/DSA/ADHD | Per tutta la durata dell'account; cancellazione immediata su richiesta |
| Dati di pagamento e fatturazione | 10 anni dalla transazione (obbligo fiscale ex art. 2220 c.c.) |
| Log di interazione con l'IA | 12 mesi (poi anonimizzati per analisi aggregate) |
| Dati tecnici e di navigazione | 90 giorni |
Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro o irreversibilmente anonimizzati.
10 Diritti dell'Interessato
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:
Diritto di accesso (Art. 15)
Ottenere conferma del trattamento e copia dei propri dati personali.
Diritto di rettifica (Art. 16)
Ottenere la correzione dei dati inesatti o l'integrazione di quelli incompleti.
Diritto alla cancellazione (Art. 17)
Ottenere la cancellazione dei propri dati ("diritto all'oblio"), salvo obblighi di legge.
Diritto di limitazione (Art. 18)
Ottenere la limitazione del trattamento nei casi previsti dal GDPR.
Diritto alla portabilità (Art. 20)
Ricevere i propri dati in formato strutturato e trasmetterli a un altro titolare.
Diritto di opposizione (Art. 21)
Opporsi al trattamento basato sul legittimo interesse, inclusa la profilazione.
Per esercitare i propri diritti, l'interessato può inviare una richiesta a: privacy@quickly.nucleuscms.net.
Il Titolare risponderà entro 30 giorni dal ricevimento della richiesta.
11 Trasferimento dei Dati verso Paesi Terzi
Alcuni dati possono essere trasferiti verso Paesi al di fuori dell'Unione Europea, in particolare:
- Fornitore AI proprietaria — per il servizio di AI proprietaria. Garanzie: EU-U.S. Data Privacy Framework, Clausole Contrattuali Standard (SCC).
- Stripe, Inc. (USA) — per l'elaborazione dei pagamenti. Garanzie: EU-U.S. Data Privacy Framework, Clausole Contrattuali Standard (SCC), certificazione PCI DSS.
In ogni caso, il Titolare garantisce che i trasferimenti avvengono nel rispetto delle condizioni previste dal Capo V del GDPR (artt. 44-49).
12 Sicurezza dei Dati
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 del GDPR per proteggere i dati personali, tra cui:
- Crittografia dei dati in transito (TLS 1.2+) e a riposo
- Hashing sicuro delle password (bcrypt)
- Controllo degli accessi basato sui ruoli (RBAC)
- Backup regolari e procedure di disaster recovery
- Monitoraggio e logging delle attività di accesso ai dati
13 Reclamo all'Autorità di Controllo
L'interessato che ritenga che il trattamento dei propri dati violi il GDPR ha il diritto di proporre reclamo all'Autorità di controllo competente ai sensi dell'art. 77 del GDPR.
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma (RM)
Sito web: www.garanteprivacy.it
E-mail: garante@gpdp.it
14 Modifiche all'Informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate tramite pubblicazione della versione aggiornata su questa pagina con indicazione della data di ultimo aggiornamento, e tramite notifica via e-mail in caso di modifiche sostanziali.
Questa informativa è resa ai sensi del Regolamento (UE) 2016/679 (GDPR) e del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003 e s.m.i.).