GDPR · Reg. UE 2016/679

Informativa sulla Privacy

Informativa sul trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018.

Piattaforma: reCoding Sito: recoding.cloud Ultimo aggiornamento: Marzo 2026

Articolo 1

Titolare del Trattamento

Il Titolare del trattamento dei dati personali e:

reCoding
Sito web: recoding.cloud
Email: andrea.battellocchi@gmail.com
PEC: andrea.battellocchi@pec.it

Il Titolare puo essere contattato ai recapiti sopra indicati per qualsiasi questione inerente al trattamento dei dati personali, incluso l'esercizio dei diritti di cui agli Artt. 15-22 del GDPR.

Articolo 2

Base Giuridica e Finalita del Trattamento

Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche, ai sensi dell'Art. 6 del Regolamento (UE) 2016/679:

a) Esecuzione del contratto (Art. 6, par. 1, lett. b)

Il trattamento e necessario per l'esecuzione del contratto di servizio, in particolare per:

Creazione, gestione e mantenimento dell'account utente sulla piattaforma
Fornitura dei servizi della piattaforma: ambiente di sviluppo web, terminale, editor di codice, file manager, database MySQL per utente, hosting PHP
Erogazione dei servizi didattici: quiz interattivi, verifiche scritte con lockdown, training mode
Gestione delle comunicazioni tramite la chat integrata cifrata end-to-end
Gestione della condivisione file tra utenti con permessi granulari
Gestione degli abbonamenti e dei piani (Free, Premium, Pro) con relative quote disco
Fornitura di servizi accessori: portfolio tracker, player audio, galleria foto, editor immagini, convertitore md2pdf

b) Consenso (Art. 6, par. 1, lett. a)

Previo consenso esplicito dell'interessato, per:

Invio di comunicazioni informative o promozionali relative alla piattaforma e ai suoi servizi (newsletter, aggiornamenti di prodotto)
Utilizzo di cookie non tecnici (si veda la Cookie Policy)

Il consenso puo essere revocato in qualsiasi momento senza pregiudizio per la liceita del trattamento effettuato prima della revoca.

c) Legittimo interesse (Art. 6, par. 1, lett. f)

Il trattamento e necessario per il perseguimento del legittimo interesse del Titolare, in particolare per:

Sicurezza della piattaforma: logging delle sessioni, dei comandi eseguiti nel terminale e delle operazioni sui file, al fine di prevenire abusi, violazioni e utilizzo improprio delle risorse
Prevenzione abusi: rate limiting sugli endpoint sensibili (login, OTP, upload), protezione CSRF, protezione anti-traversal del filesystem
Isolamento e sandbox: gestione degli utenti Linux, sandbox bubblewrap, jail e permessi per garantire la sicurezza dell'infrastruttura
Monitoraggio infrastruttura: statistiche di utilizzo del server (CPU, RAM, disco), monitoraggio delle istanze code-server

d) Obbligo legale (Art. 6, par. 1, lett. c)

Il trattamento e necessario per adempiere ad obblighi di legge, in particolare:

Conservazione dei dati relativi alle transazioni di pagamento (abbonamenti PayPal) per la durata prevista dalla normativa fiscale e tributaria vigente
Adempimento di richieste dell'autorita giudiziaria o di pubblica sicurezza

Articolo 3

Tipologie di Dati Trattati

La piattaforma raccoglie e tratta le seguenti categorie di dati personali:

Categoria	Dati specifici	Obbligatorieta
Dati identificativi	Indirizzo email, nome, cognome, nickname, numero di telefono, avatar (immagine profilo)	Email: obbligatorio per la registrazione. Altri: facoltativi
Credenziali di accesso	Password (hashata con algoritmo scrypt e salt random a 16 byte), codici OTP monouso	Obbligatorio
Dati di navigazione e log	Indirizzo IP, log delle sessioni (login, logout), comandi eseguiti nel terminale, operazioni sui file (upload, download, creazione, eliminazione, rinomina)	Raccolta automatica
Dati didattici	Risultati dei quiz (punteggio, risposte, tempo), partecipazione alle verifiche scritte (join, consegna, heartbeat), sessioni di allenamento (training mode), file di consegna delle verifiche	Generati dall'utilizzo dei servizi didattici
Dati finanziari	Tipo di piano sottoscritto (Free/Premium/Pro), identificativo abbonamento PayPal, stato dell'abbonamento, date del periodo di fatturazione. I dati della carta di credito o del conto PayPal non sono mai trattati direttamente dalla piattaforma.	Solo per utenti con piano a pagamento
Dati di comunicazione	Messaggi della chat (cifrati end-to-end, il Titolare non ha accesso al contenuto in chiaro), file allegati condivisi nella chat, stato di lettura, chiavi crittografiche pubbliche	Generati dall'utilizzo della chat
Dati di profilo	Biografia, dati del portfolio (simboli finanziari, quantita, prezzi di acquisto di azioni e criptovalute)	Facoltativo
Dati di sicurezza	PIN di blocco desktop (cifrato con AES-256-CBC, chiave derivata dal secret di sessione), timeout di auto-blocco	Facoltativo
Credenziali database	Nome del database MySQL assegnato all'utente, username e password del database (generati automaticamente dal sistema al momento dell'approvazione)	Generati automaticamente
Dati tecnici	Identificativo utente Linux (linux_user, linux_uid), directory home, quota disco utilizzata, app installate, layout desktop	Generati automaticamente
File dell'utente	Tutti i file caricati, creati o modificati dall'utente all'interno del proprio spazio (home directory), inclusi documenti, codice sorgente, immagini e file audio	Generati dall'utilizzo della piattaforma

Articolo 4

Trattamento dei Dati di Minori

Ai sensi dell'Art. 8 del GDPR e dell'Art. 2-quinquies del D.Lgs. 196/2003 (come introdotto dal D.Lgs. 101/2018), la piattaforma adotta le seguenti disposizioni in materia di trattamento dei dati personali di minori:

a) Eta minima

L'eta minima per la registrazione e l'utilizzo autonomo della piattaforma e di 14 anni, in conformita con la soglia stabilita dalla normativa italiana (Art. 2-quinquies, comma 1, D.Lgs. 196/2003).

b) Utenti di eta compresa tra 14 e 17 anni

La registrazione alla piattaforma per utenti minorenni (14-17 anni) e consentita, in quanto i servizi offerti hanno prevalente finalita didattica e formativa
Si raccomanda che l'iscrizione avvenga con il consenso e la supervisione di un genitore o tutore legale
L'istituto scolastico che utilizza la piattaforma nell'ambito di convenzioni scolastiche puo agire quale responsabile del trattamento per i dati degli allievi minorenni

c) Tutele specifiche per i minori

Non viene effettuata alcuna profilazione dei minori a fini commerciali o di marketing
I dati dei minori non vengono ceduti a terzi per finalita promozionali
Il genitore o tutore legale puo in qualsiasi momento richiedere l'accesso, la rettifica o la cancellazione dei dati del minore, esercitando i diritti di cui agli Artt. 15-22 del GDPR, contattando il Titolare ai recapiti indicati nell'Art. 1
In caso di utilizzo nell'ambito di convenzioni scolastiche, l'informativa specifica viene fornita dall'istituto scolastico

d) Utenti sotto i 14 anni

La piattaforma non e destinata a soggetti di eta inferiore ai 14 anni. Il Titolare non raccoglie consapevolmente dati personali di minori sotto i 14 anni. Qualora il Titolare venisse a conoscenza di aver raccolto dati di un soggetto di eta inferiore ai 14 anni senza il consenso del genitore o tutore, procedera alla cancellazione tempestiva di tali dati.

Articolo 5

Modalita del Trattamento e Misure di Sicurezza

Il trattamento dei dati e effettuato con strumenti elettronici, mediante procedure e modalita idonee a garantire la sicurezza e la riservatezza dei dati stessi, in conformita con l'Art. 32 del GDPR (sicurezza del trattamento).

Misure di sicurezza tecniche

Crittografia delle password: le password sono hashate con algoritmo scrypt con salt random a 16 byte. Il confronto avviene tramite timingSafeEqual per prevenire attacchi di tipo timing
Crittografia end-to-end della chat: i messaggi della chat sono cifrati lato client prima della trasmissione; il server non ha accesso al contenuto in chiaro
Cifratura PIN: il PIN di blocco desktop e cifrato con algoritmo AES-256-CBC, con chiave derivata dal secret di sessione del server
Sandbox e isolamento: ogni utente opera all'interno di un ambiente isolato tramite sandbox Bubblewrap (Linux) con namespace PID/IPC, filesystem read-only e home utente dedicata scrivibile. Utenti Linux reali con uid/gid unici
Protezione CSRF: validazione Origin/Referer su tutte le richieste mutative, con whitelist di origini consentite
Rate limiting: limitazione del numero di richieste sugli endpoint sensibili (login, verifica OTP, upload file, upload chat) per prevenire attacchi brute-force e DDoS
Query parametrizzate: tutte le query al database MySQL utilizzano parametri preparati (prepared statements), prevenendo attacchi SQL injection
Protezione anti-traversal: le operazioni sui file sono soggette a risoluzione del percorso reale (realpath) e verifica anti-symlink per impedire l'accesso a directory non autorizzate
Trasporto sicuro: tutte le comunicazioni avvengono tramite HTTPS (TLS/SSL) e WebSocket Secure (WSS), gestiti dal reverse proxy Nginx
Sessioni sicure: sessioni Express con cookie HttpOnly, persistite su MySQL per sopravvivere ai riavvii del server, con scadenza a 24 ore
Autenticazione a due fattori: accesso con password + codice OTP a 6 cifre inviato via email, monouso e con scadenza a 5 minuti
Sanitizzazione input: nomi dei file sanitizzati tramite funzione dedicata; contenuti HTML escapati per prevenire attacchi XSS

Misure di sicurezza organizzative

Accesso ai dati limitato al personale autorizzato del Titolare
Sistema di approvazione manuale: ogni registrazione deve essere approvata dall'amministratore prima dell'attivazione dell'account
Logging completo delle operazioni con livelli di severita (info, warn, error) per audit e tracciabilita
Ruoli utente differenziati (user, docente, admin) con accesso alle funzionalita in base al principio del privilegio minimo

Articolo 6

Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalita per cui sono raccolti, nel rispetto del principio di limitazione della conservazione (Art. 5, par. 1, lett. e) del GDPR).

Categoria di dati	Periodo di conservazione
Dati dell'account (email, profilo, credenziali)	Per tutta la durata dell'account attivo. In caso di cancellazione dell'account, i dati vengono eliminati entro 30 giorni dalla richiesta, salvo obblighi di legge
File dell'utente (home directory)	Per tutta la durata dell'account attivo. Cancellati insieme all'account e all'utente Linux corrispondente
Log delle sessioni e dei comandi	12 mesi dalla data di registrazione dell'evento, per finalita di sicurezza e audit
Codici OTP	5 minuti dalla generazione (scadenza automatica). I codici utilizzati o scaduti vengono eliminati
Dati didattici (quiz, verifiche, training)	Per tutta la durata dell'account. I file di consegna delle verifiche possono essere archiviati dal docente per il tempo necessario alla valutazione
Messaggi chat	Per tutta la durata dell'account. I messaggi cifrati E2E vengono eliminati alla cancellazione dell'account
Dati finanziari (abbonamenti PayPal)	Per la durata dell'abbonamento e successivamente per 10 anni, in conformita con gli obblighi di conservazione fiscale previsti dalla normativa italiana
Dati del portfolio	Per tutta la durata dell'account. Cancellati con l'account
Sessioni di navigazione	24 ore (scadenza del cookie di sessione)
Database MySQL dell'utente	Per tutta la durata dell'account. Eliminato alla cancellazione dell'account

Al termine del periodo di conservazione, i dati vengono cancellati in modo definitivo o resi anonimi in modo irreversibile.

Articolo 7

Destinatari dei Dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

PayPal (Europe) S.a r.l. et Cie, S.C.A. — per l'elaborazione dei pagamenti relativi agli abbonamenti Premium e Pro. PayPal agisce quale titolare autonomo del trattamento per i dati di pagamento. Si rimanda all'Informativa Privacy di PayPal
Provider SMTP (servizio email) — per l'invio dei codici OTP, delle notifiche di registrazione, del recupero PIN e del reset password, tramite protocollo SMTP sicuro (Nodemailer). Il provider email agisce quale responsabile del trattamento
Docenti della piattaforma — nell'ambito delle verifiche scritte e dei quiz, i docenti hanno accesso ai risultati, ai file di consegna e ai dati di partecipazione degli allievi associati alle proprie attivita didattiche
Altri utenti della piattaforma — limitatamente ai dati condivisi volontariamente dall'utente: nickname, avatar, stato online (nella chat), file condivisi tramite il sistema di condivisione
Istituti scolastici — nell'ambito di eventuali convenzioni scolastiche attive, per i dati strettamente necessari alla gestione delle attivita didattiche

I dati personali non vengono venduti, ceduti o comunicati a terzi per finalita di marketing diretto da parte di soggetti esterni.

Articolo 8

Trasferimenti di Dati Extra-UE

I dati personali sono trattati e conservati su server situati all'interno dell'Unione Europea.

Non vengono effettuati trasferimenti sistematici di dati personali verso Paesi terzi al di fuori dello Spazio Economico Europeo (SEE), con la seguente eccezione:

PayPal: nell'ambito dell'elaborazione dei pagamenti, i dati delle transazioni possono essere trasferiti verso gli Stati Uniti d'America da parte di PayPal. Tale trasferimento avviene sulla base del Data Privacy Framework UE-USA (decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e delle Clausole Contrattuali Standard (SCC) adottate da PayPal. Per maggiori informazioni, si consulti l'Informativa Privacy di PayPal.

Qualora in futuro si rendessero necessari ulteriori trasferimenti extra-UE, il Titolare garantira l'adozione di garanzie adeguate ai sensi degli Artt. 44-49 del GDPR (decisione di adeguatezza, clausole contrattuali standard, o altre garanzie previste dalla normativa).

Articolo 9

Diritti dell'Interessato

Ai sensi degli Artt. 15-22 del Regolamento (UE) 2016/679, l'interessato ha il diritto di:

Diritto di accesso (Art. 15): ottenere conferma che sia o meno in corso un trattamento dei propri dati personali e, in tal caso, ottenere l'accesso ai dati e alle informazioni relative al trattamento
Diritto di rettifica (Art. 16): ottenere la rettifica dei dati personali inesatti che lo riguardano, nonche l'integrazione dei dati personali incompleti. L'utente puo modificare autonomamente i propri dati di profilo (nome, cognome, telefono, nickname, bio, avatar) dalla pagina Profilo della piattaforma
Diritto alla cancellazione (Art. 17): ottenere la cancellazione dei propri dati personali, nei casi previsti dalla normativa. La cancellazione dell'account comporta l'eliminazione dell'utente Linux, del database MySQL dedicato, del pool PHP-FPM, di tutti i file nella home directory e di tutti i dati associati
Diritto di limitazione del trattamento (Art. 18): ottenere la limitazione del trattamento nei casi previsti dalla normativa (contestazione dell'esattezza dei dati, trattamento illecito, necessita per l'esercizio di un diritto in sede giudiziaria, opposizione in attesa di verifica)
Diritto alla portabilita dei dati (Art. 20): ricevere i dati personali forniti al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonche il diritto di trasmettere tali dati a un altro titolare. L'utente puo scaricare i propri file tramite il File Manager della piattaforma
Diritto di opposizione (Art. 21): opporsi in qualsiasi momento al trattamento dei dati personali basato sul legittimo interesse del Titolare, per motivi connessi alla propria situazione particolare
Diritto alla revoca del consenso (Art. 7, par. 3): revocare in qualsiasi momento il consenso prestato, senza che cio pregiudichi la liceita del trattamento basato sul consenso prestato prima della revoca

Come esercitare i diritti: l'interessato puo esercitare i propri diritti inviando una comunicazione scritta al Titolare del trattamento ai recapiti indicati nell'Art. 1 della presente informativa (email o PEC). Il Titolare rispondera entro un mese dal ricevimento della richiesta, salvo proroga di ulteriori due mesi nei casi di particolare complessita (Art. 12, par. 3, GDPR). L'esercizio dei diritti e gratuito, salvo richieste manifestamente infondate o eccessive (Art. 12, par. 5, GDPR).

Articolo 10

Cookie e Tecnologie di Tracciamento

La piattaforma utilizza cookie tecnici necessari per il funzionamento del servizio, in particolare:

Cookie di sessione: necessario per l'autenticazione e il mantenimento della sessione utente (Express session, scadenza 24 ore)
Dati in localStorage: preferenze di interfaccia (sfondo desktop, layout icone, impostazioni del player audio) memorizzate localmente nel browser dell'utente

Per informazioni complete sull'utilizzo dei cookie e delle tecnologie di tracciamento, si rimanda alla Cookie Policy disponibile su questa piattaforma.

Articolo 11

Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare, integrare o aggiornare la presente Informativa sulla Privacy in qualsiasi momento, in conformita con le disposizioni del GDPR e della normativa applicabile.

Le modifiche sostanziali saranno comunicate agli utenti tramite avviso sulla piattaforma o via email. Si invita l'utente a consultare periodicamente questa pagina per prendere visione della versione piu aggiornata dell'informativa.

La data dell'ultimo aggiornamento e sempre indicata in cima al presente documento.

Articolo 12

Diritto di Reclamo all'Autorita di Controllo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del Regolamento (UE) 2016/679 ha il diritto di proporre reclamo all'autorita di controllo competente, ai sensi dell'Art. 77 del GDPR.

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma
Sito web: www.garanteprivacy.it
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Centralino: (+39) 06 696771

Articolo 13

Contatti

Per qualsiasi domanda, richiesta di informazioni o esercizio dei diritti relativi al trattamento dei dati personali, e possibile contattare il Titolare del trattamento ai seguenti recapiti:

reCoding
Sito web: recoding.cloud
Email: andrea.battellocchi@gmail.com
PEC: andrea.battellocchi@pec.it

Il Titolare si impegna a fornire riscontro alle richieste degli interessati entro i termini previsti dal GDPR.