Informativa Privacy

ai sensi degli artt. 13–14 del Regolamento (UE) 2016/679 (GDPR)

Ultimo aggiornamento: 11 febbraio 2026

1. Titolare del trattamento e contatti

Il Titolare del trattamento dei dati personali è l'organizzazione (Banca, Compagnia assicurativa, Intermediario o altro Ente) che ha attivato il servizio PassBlocks™ per i propri collaboratori o agenti ("Titolare").

PassBlocks™ è una piattaforma di cognitive training sviluppata e gestita da:

BitBlocks S.r.l.
Sede legale: Corso Angelo Bettini, 58 – 38068 Rovereto (TN)
P.IVA / C.F.: 02566350225
PEC: bitblocks@pec.it — Email: f.mobrici@bitblocks.it

BitBlocks S.r.l. opera in qualità di Sub-responsabile del trattamento (art. 28, par. 4, GDPR), per conto del Responsabile del trattamento (LYVE Formazione S.r.l.) su incarico del Titolare.

  Catena privacy: Titolare (Banca/Ente) → Responsabile (LYVE Formazione S.r.l.) → Sub-responsabile (BitBlocks S.r.l.)

2. Sub-responsabili ulteriori e fornitori tecnologici

Per l'erogazione del servizio, BitBlocks S.r.l. si avvale dei seguenti fornitori, tutti operanti su infrastrutture localizzate in Unione Europea:

Fornitore	Servizio	Localizzazione dati
Amazon Web Services EMEA SARL	Hosting cloud applicativo (AWS Amplify)	eu-south-1 (Milano, Italia)
Google Ireland Limited	Firebase Authentication, Cloud Firestore, Firebase Storage (database utenti e dati formativi)	multi-region UE (eur3)
Plus Five Five, Inc. (Resend)	Email transazionali e gestione deliverability (Amazon SES)	eu-west-1 (Irlanda)

Non sono utilizzati strumenti di analytics, tracciamento pubblicitario o profilazione commerciale (nessun Google Analytics, Facebook Pixel o strumenti analoghi).

3. Categorie di dati personali trattati

3.1. Dati identificativi e di contatto professionale

Nome, cognome, indirizzo email aziendale (o comunque riconducibile all'organizzazione del Titolare), eventuale codice fiscale, matricola/ID interno se fornito dal Titolare, unità organizzativa o gruppo formativo ove configurato dal Titolare.

3.2. Dati di autenticazione e account

Email (username), token di autenticazione gestiti da Google Firebase Authentication. Le credenziali di accesso sono protette tramite meccanismi sicuri di hashing forniti dal provider di autenticazione; BitBlocks non memorizza né ha accesso a password in chiaro. Possono essere trattati dati relativi a procedure di verifica dell'identità, inclusa la generazione di codici OTP via email.

3.3. Dati di utilizzo e performance formativa

Risposte ai quiz, livello di confidenza/certezza espresso dall'utente, progressi formativi, punteggi, metriche di apprendimento (Mastery, Fragile, Lacuna, Misconception), avanzamento moduli, timestamp delle sessioni, reportistica associata all'utenza, esiti e riepiloghi destinati al Titolare.

3.4. Dati tecnici e di sicurezza

Indirizzo IP, log di accesso, identificativi e caratteristiche tecniche del dispositivo/browser (user agent), parametri di sessione, eventi di sicurezza, log applicativi e infrastrutturali.

3.5. Comunicazioni di servizio

Dati necessari all'invio di comunicazioni connesse al servizio (indirizzo email, contenuto tecnico della comunicazione, esito di consegna e metadati di invio). Non sono previste attività di marketing diretto da parte di BitBlocks tramite PassBlocks™.

4. Fonte dei dati

I dati sono conferiti dal Titolare (es. anagrafica degli utenti tramite import CSV o inserimento manuale) e/o generati dall'utilizzo della piattaforma da parte dell'utente.

5. Finalità del trattamento

5.1. Erogazione del servizio e gestione operativa

Creazione e gestione account, autenticazione, accesso ai contenuti, erogazione percorsi di cognitive training, gestione delle sessioni e delle funzionalità della piattaforma.

5.2. Tracciamento formativo e reportistica

Rilevazione dei progressi, calcolo di metriche di apprendimento, produzione di report individuali e aggregati per il Titolare, monitoraggio completamenti e risultati, gestione audit formativi ove previsti dal Titolare.

5.3. Elaborazioni algoritmiche

La piattaforma utilizza algoritmi proprietari di cognitive training per personalizzare l'esperienza formativa. In particolare:

Clustering cognitivo: classificazione delle risposte in categorie diagnostiche (Mastery, Fragile, Lacuna, Misconception) basata sul confronto tra risposta selezionata e livello di confidenza espresso.
Coppie gemelle: generazione di item con formulazione simile ma risposta diversa, per allenare la discriminazione fine tra concetti affini.
Scoring e metriche: calcolo di indicatori di performance basati su algoritmi deterministici applicati ai dati di sessione.

  Tali elaborazioni sono finalizzate esclusivamente al miglioramento dell'efficacia formativa e non costituiscono processi decisionali automatizzati con effetti giuridici ai sensi dell'art. 22 GDPR. Le decisioni sull'utilizzo dei risultati restano nella competenza del Titolare.

5.4. Sicurezza e continuità del servizio

Prevenzione abusi, troubleshooting, monitoraggio della sicurezza dell'infrastruttura, continuità operativa.

5.5. Adempimenti legali

Adempimento di obblighi previsti dalla normativa vigente, ivi inclusa la normativa sulla formazione obbligatoria degli intermediari finanziari e assicurativi.

6. Base giuridica del trattamento

Il trattamento è fondato su: esecuzione contrattuale (art. 6, par. 1, lett. b, GDPR) per l'erogazione del servizio; legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR) per tracciamento formativo, elaborazioni algoritmiche e sicurezza; obbligo di legge (art. 6, par. 1, lett. c, GDPR) quando applicabile.

7. Natura del conferimento e conseguenze del rifiuto

Il conferimento dei dati identificativi e di account è necessario per consentire l'accesso e l'utilizzo della piattaforma. Il mancato conferimento può impedire l'attivazione dell'utenza o la fruizione del servizio.

8. Periodo di conservazione

I periodi di conservazione sono definiti dal Titolare e disciplinati nelle istruzioni contrattuali. In assenza di istruzioni più restrittive: i dati di account e anagrafici sono conservati per la durata del contratto e/o fino a disattivazione dell'utenza; i dati di utilizzo e progressi formativi sono conservati per consentire la gestione e verifica dei percorsi formativi e la reportistica; i log tecnici e di sicurezza sono conservati per il tempo strettamente necessario a sicurezza, diagnosi e continuità operativa; i backup seguono policy di rotazione coerenti con la continuità operativa.

9. Trasferimento e localizzazione dei dati

I dati personali sono conservati ed elaborati su infrastrutture in Unione Europea: hosting applicativo su AWS Region Milano (eu-south-1, Italia); database utenti e dati formativi su Google Cloud Firestore (multi-region UE eur3); email transazionali su Resend/Amazon SES (eu-west-1, Irlanda).

Eventuali trasferimenti verso Paesi terzi, se necessari in via residuale, avverranno nel rispetto degli artt. 44 e ss. GDPR, mediante garanzie adeguate (es. Clausole Contrattuali Standard).

10. Misure tecniche e organizzative di sicurezza

BitBlocks S.r.l. adotta misure adeguate al rischio ai sensi dell'art. 32 GDPR, tra cui:

Crittografia dei dati in transito (TLS) e a riposo (encryption at rest fornita dai provider cloud)
Protezione delle credenziali con meccanismi sicuri di hashing e procedure di verifica dell'identità (OTP via email)
Controllo degli accessi basato su ruoli e principio del minimo privilegio
Segregazione logica dei dati ove prevista dall'architettura
Dominio email autenticato (SPF, DKIM, DMARC)
Logging e audit trail per operazioni critiche
Backup con policy di rotazione e procedure di ripristino
Localizzazione dei dati all'interno dell'Unione Europea

11. Processi decisionali automatizzati

La piattaforma calcola punteggi, metriche di apprendimento e indicatori di performance formativa attraverso algoritmi proprietari di clustering cognitivo e scoring dinamico. Tali elaborazioni:

Sono di natura esclusivamente formativa e diagnostica
Non costituiscono processi decisionali automatizzati con effetti giuridici o analogamente significativi sull'interessato ai sensi dell'art. 22 GDPR
Non determinano profilazione a fini commerciali, pubblicitari o di scoring creditizio
Producono metriche e report che il Titolare può utilizzare nell'ambito della propria organizzazione formativa

L'interessato ha il diritto di richiedere l'intervento umano, di esprimere la propria opinione e di contestare i risultati delle elaborazioni, rivolgendosi al proprio Titolare.

12. Diritti dell'interessato

Ai sensi degli artt. 15–22 del GDPR, l'interessato ha diritto di: accedere ai propri dati personali; ottenere la rettifica dei dati inesatti; ottenere la cancellazione dei dati, nei limiti previsti dalla legge; limitare il trattamento o opporsi allo stesso; richiedere la portabilità dei dati; proporre reclamo al Garante per la Protezione dei Dati Personali.

Per esercitare tali diritti, l'interessato può rivolgersi al proprio Titolare del trattamento oppure contattare BitBlocks S.r.l. all'indirizzo privacy@bitblocks.it.

È inoltre riconosciuto il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

13. Modifiche alla presente informativa

BitBlocks S.r.l. si riserva di aggiornare la presente informativa per adeguarla a modifiche normative, organizzative o tecnologiche. Eventuali modifiche sostanziali saranno comunicate tramite la piattaforma. La data dell'ultimo aggiornamento è riportata in testa al documento.