INFORMATIVA SULLA PRIVACY (ai sensi del Regolamento (UE) 2016/679 — “GDPR” — e del D.lgs. 101/2018)

La presente informativa descrive le modalità di raccolta e trattamento dei dati personali operato da DNA‑Academy S.a.s. — scuola nautica (di seguito “Titolare” o “DNA‑Academy”) nei confronti degli utenti che interagiscono con il sito web www.dnaacademy.it e, limitatamente alle attività didattiche, durante corsi e uscite in mare.

1. TITOLARE DEL TRATTAMENTO DNA‑Academy S.a.s. — scuola nautica P.IVA: 01720280534 Sede legale: Via Gabriele D’Annunzio, 16 – 58100 Grosseto (GR) E‑mail: info@dna-academy.it

2. AMBITO DI APPLICAZIONE La presente informativa si applica ai dati personali forniti volontariamente dall’interessato tramite il form di contatto presente sul sito, ai dati raccolti in occasione dell’iscrizione e partecipazione a corsi e uscite in mare, nonché al materiale fotografico e/o video realizzato durante le attività didattiche e gli eventi organizzati dal Titolare.

3. TIPI DI DATI TRATTATI Il Titolare tratta le seguenti categorie di dati personali: Dati di contatto forniti tramite il form (nome, cognome, e‑mail, telefono, contenuto del messaggio); Dati anagrafici e fiscali necessari per l’iscrizione a corsi e per l’emissione di fatture (nome, cognome, indirizzo, codice fiscale/p.iva, dati di fatturazione); Dati contrattuali relativi ai servizi acquistati o prenotati (tipologia di corso, date, attestazioni); • Dati tecnici necessari alla sicurezza e funzionamento del sito (es. indirizzo IP, log di accesso, dati di navigazione raccolti tramite cookie tecnici); • Materiale fotografico e video (immagini, riprese) realizzato durante corsi, esercitazioni e uscite in mare, quando l’interessato presta il proprio consenso o è altrimenti previsto dalla legge; • Eventuali dati sensibili/particolari (ad es. informazioni sullo stato di salute) se forniti dall’interessato per motivi di sicurezza o per l’adeguamento delle attività didattiche; tali dati saranno raccolti e trattati soltanto nei casi strettamente necessari e secondo specifico consenso o altra base giuridica prevista dal GDPR.

4. FINALITÀ DEL TRATTAMENTO E BASI GIURIDICHE I dati personali sono trattati per le seguenti finalità, con le relative basi giuridiche: A. Rispondere a richieste attraverso il form di contatto (finalità: comunicazione e customer care). Base giuridica: consenso dell’interessato e/o interesse legittimo del Titolare a rispondere alle richieste. (art. 6.1.a e 6.1.f GDPR)

B. Gestione delle iscrizioni a corsi, organizzazione delle attività didattiche e comunicazioni operative (finalità: esecuzione di misure precontrattuali e/o esecuzione di contratto). Base giuridica: esecuzione di un contratto o misure precontrattuali (art. 6.1.b GDPR).

C. Fatturazione, obblighi contabili e fiscali (finalità: adempimenti di legge). Base giuridica: obbligo legale (art. 6.1.c GDPR) e interesse pubblico/adempimenti normativi.

D. Realizzazione, conservazione e pubblicazione di materiale fotografico e video per finalità documentali, didattiche e promozionali (sito web, social network, brochure, materiale promozionale). Base giuridica: consenso espresso dell’interessato (art. 6.1.a GDPR). In caso di trattamento di categorie particolari di dati (es. salute) si richiederà il consenso esplicito ai sensi dell’art. 9 GDPR.

E. Invio di comunicazioni promozionali e newsletter (solo previo consenso esplicito). Base giuridica: consenso (art. 6.1.a GDPR).

F. Sicurezza, prevenzione abusi e gestione degli incidenti (finalità: tutela degli interessi legittimi del Titolare e sicurezza delle infrastrutture). Base giuridica: interesse legittimo del Titolare (art. 6.1.f GDPR).

5. MODALITÀ DI TRATTAMENTO I trattamenti sono effettuati con strumenti cartacei e con strumenti elettronici/automatizzati mediante procedure organizzative, logiche e tecnologiche idonee a garantire la sicurezza, la riservatezza e la disponibilità dei dati. L’accesso ai dati è limitato al personale autorizzato e ai Responsabili del trattamento nominati dal Titolare.

6. LUOGO DI TRATTAMENTO E TRASFERIMENTI EXTRA‑UE Il trattamento ha luogo presso le sedi del Titolare e presso i soggetti che forniscono servizi di supporto (hosting, e‑mail, pagamenti, archiviazione fotografica). I dati non sono oggetto di diffusione. Qualora si rendesse necessario trasferire dati verso paesi terzi al di fuori dell’Unione Europea, ciò avverrà nel rispetto della normativa vigente (artt. 44‑49 GDPR), adottando idonee garanzie (decisione di adeguatezza, clausole contrattuali standard, ecc.). Informazioni più dettagliate sui trasferimenti possono essere richieste al Titolare.

7. CATEGORIE DI DESTINATARI I dati potranno essere comunicati a: • Responsabili esterni nominati dal Titolare (es. provider hosting del sito, provider servizi e‑mail/newsletter, società di pagamento, piattaforme per la gestione delle iscrizioni, archiviazione fotografica/video); • Professionisti e consulenti (es. commercialista, consulenti legali) per obblighi di legge o per esigenze contrattuali; • Autorità pubbliche o soggetti competenti in caso di obbligo di legge o di richiesta dell’autorità giudiziaria.

L’elenco aggiornato dei Responsabili esterni e dei soggetti ai quali i dati possono essere comunicati è disponibile su richiesta scritta al Titolare.

8. PERIODI DI CONSERVAZIONE I dati personali sono conservati per il tempo necessario alle finalità per le quali sono stati raccolti e nel rispetto degli obblighi di legge. Indicativamente: • Dati del form di contatto: conservazione per finalità di risposta e customer care — fino a 12 mesi dall’ultimo contatto, salvo necessità di conservazione per contenzioso; • Iscrizioni a corsi e documentazione contrattuale: per tutta la durata del rapporto e, per finalità amministrative/fiscali, per 10 anni ai sensi della normativa fiscale e civilistica; • Dati per fini contabili/fatturazione: 10 anni (conservazione fiscale); • Newsletter e comunicazioni promozionali: fino a revoca del consenso da parte dell’interessato; • Dati di log e tecnici per la sicurezza: conservazione per un periodo limitato (es. 6 mesi), salvo esigenze probatorie o obblighi di legge; • Materiale fotografico e video: conservazione per finalità documentali, didattiche e promozionali fino a revoca del consenso; il Titolare provvederà alla cancellazione o anonimizzazione su richiesta, salvo copie di backup e obblighi legali che ne impongano la conservazione più lunga. Per finalità promozionali si suggerisce una conservazione indicativa di 5 anni salvo revoca.

9. CONSEGUENZE DEL MANCATO CONFERIMENTO DEI DATI Il conferimento dei dati contrassegnati come obbligatori è necessario per evadere le richieste: il mancato conferimento dei dati obbligatori nel form di contatto impedisce al Titolare di rispondere; il mancato conferimento dei dati richiesti per l’iscrizione a corsi potrebbe impedire l’iscrizione o la partecipazione.

10. DIRITTI DELL’INTERESSATO L’interessato può esercitare nei confronti del Titolare i diritti previsti dal GDPR, tra cui, in particolare: • Diritto di accesso (art. 15 GDPR): ottenere la conferma che sia o meno in corso un trattamento e copia dei dati; • Diritto di rettifica (art. 16 GDPR): ottenere la rettifica di dati inesatti o l’integrazione dei dati incompleti; • Diritto alla cancellazione (art. 17 GDPR), quando applicabile (diritto «all’oblio»); • Diritto alla limitazione del trattamento (art. 18 GDPR); • Diritto alla portabilità dei dati (art. 20 GDPR), quando il trattamento si basa sul consenso o su contratto e i dati sono trattati in modo automatizzato; • Diritto di opposizione (art. 21 GDPR) in particolare al trattamento per finalità di marketing diretto; • Diritto di revoca del consenso in qualsiasi momento (art. 7.3 GDPR) senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca; • Diritto di proporre reclamo all’Autorità di controllo (Garante per la protezione dei dati personali) ai sensi dell’art. 77 GDPR, se ritiene che il trattamento la riguardi violi il GDPR.

11. MODALITÀ DI ESERCIZIO DEI DIRITTI Per esercitare i diritti sopra indicati l’interessato può inviare una richiesta scritta a: E‑mail: info@dna-academy.it Indirizzo postale: DNA‑Academy S.a.s., Via Gabriele D’Annunzio, 16 – 58100 Grosseto (GR) La richiesta dovrà contenere, oltre all’indicazione del diritto che si intende esercitare, copia di un documento di identità valido per consentire l’identificazione dell’interessato. Il Titolare risponderà nel termine previsto dal GDPR (in genere entro 1 mese), salvo casi complessi in cui il termine potrà essere prorogato.

12. MISURE DI SICUREZZA Il Titolare adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui: controlli di accesso ai dati, autenticazione degli operatori autorizzati, backup periodici, aggiornamenti software, formazione del personale e misure di protezione fisica per i sistemi e gli archivi cartacei.

13. TRATTAMENTO DI DATI PARTICOLARI (ES. SALUTE) Se, per motivi legati alla sicurezza delle attività in mare o all’organizzazione dei corsi, si rende necessario raccogliere dati relativi alla salute, il trattamento di tali dati avverrà esclusivamente quando strettamente necessario e sulla base di specifico consenso esplicito dell’interessato o di altra base giuridica prevista dalla normativa (art. 9 GDPR). Tali informazioni saranno trattate con la massima riservatezza e accessibili soltanto al personale strettamente necessario.

14. FOTO E VIDEO — CONSENSO E USO Il materiale fotografico e video realizzato durante corsi e uscite potrà essere utilizzato per finalità istituzionali, didattiche e promozionali (sito web, pagine social, brochure, materiale promozionale, newsletter). L’acquisizione e l’uso di immagini e riprese si basano sul consenso libero, specifico, informato e revocabile dell’interessato.