Informativa Privacy e Cookie Policy

Piattaforma LMS Moodle di La Villa S.p.A.

Ultimo aggiornamento: 25 maggio 2026

1. Premessa

La presente informativa è resa ai sensi degli artt. 12, 13 e, nei casi applicabili, 14 del Regolamento (UE) 2016/679 (“GDPR”), nonché del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 (“Codice Privacy”), e descrive le modalità con cui La Villa S.p.A. tratta i dati personali degli utenti che accedono e utilizzano la propria piattaforma LMS Moodle dedicata all’erogazione di corsi di formazione, inclusi i corsi in modalità asincrona (e-learning) e sincrona (videoconferenza). Gli obblighi informativi devono essere forniti in modo chiaro, accessibile e prima del trattamento dei dati.

La presente informativa riguarda la piattaforma LMS accessibile all’indirizzo https://www.lms-lavilla.it/ e i relativi servizi digitali connessi.

2. Titolare del trattamento

Il Titolare del trattamento è:

La Villa S.p.A.

Via Benedetto da Foiano 14, 50125 Firenze (FI), Italia
C.F./P. IVA: 05548060481
Telefono: 055229142
E-mail privacy: info@lavillaspa.it

3. Ambito di applicazione della piattaforma

La piattaforma è utilizzata per:

creare account nominativi per i partecipanti ai corsi;
consentire l’accesso autenticato ai contenuti formativi;
gestire iscrizioni, frequenza, avanzamento, verifiche e completamento dei corsi;
erogare formazione in videoconferenza tramite il software di videoconferenza BigBlueButton;
conservare le evidenze amministrative e formative connesse all’attività svolta.

La piattaforma Moodle e il sistema BigBlueButton sono installati su server VPS cloud ubicati in Italia, di proprietà di Aruba e gestiti da W.Training S.r.l.

4. Categorie di dati personali trattati

Il Titolare può trattare le seguenti categorie di dati personali:

a) Dati identificativi e anagrafici

nome;
cognome;
codice fiscale;
eventuale ruolo o funzione professionale, se pertinente al corso.

b) Dati di contatto

indirizzo e-mail.

c) Dati relativi all’account e all’autenticazione

username;
credenziali di accesso;
log di autenticazione;
informazioni tecniche indispensabili al funzionamento della piattaforma e alla sicurezza degli accessi.

d) Dati relativi alla fruizione formativa

corsi assegnati o frequentati;
stato di avanzamento;
data e orario di accesso;
tracciamento del completamento;
i risultati di test, quiz e verifiche finali;
attestazioni, registri ed evidenze di frequenza/completamento.

e) Dati trattati durante le sessioni sincrone

dati di collegamento alla videoconferenza;
presenza e orari di accesso/uscita dall’aula virtuale;
nome visualizzato ai partecipanti;
eventuali contenuti inviati in chat;
audio, video o (solo se attivata dall’utente) condivisione schermo.

Di regola, le sessioni sincrone non vengono registrate, salvo diversa esplicita indicazione preventiva in apposita informativa o avviso specifico.

5. Fonte dei dati personali

I dati personali possono essere raccolti:

direttamente presso l’interessato, ad esempio quando l’utente compila campi, accede alla piattaforma o utilizza i servizi formativi;
indirettamente, tramite il datore di lavoro.

Quando i dati non sono raccolti direttamente presso l’interessato, la presente informativa assolve anche agli obblighi informativi di cui all’art. 14 GDPR.

6. Finalità del trattamento e basi giuridiche

I dati personali sono trattati esclusivamente per finalità connesse all’erogazione della formazione e alla gestione della piattaforma, e in particolare per:

6.1 Creazione e gestione dell’account nominativo

I dati sono trattati per creare l’account personale, consentire l’autenticazione, gestire le credenziali, amministrare i profili utente e permettere l’accesso ai corsi.

Base giuridica:

art. 6, par. 1, lett. b) GDPR, quando il trattamento è necessario all’erogazione del servizio richiesto all’interessato;
art. 6, par. 1, lett. f) GDPR, per il legittimo interesse del Titolare a organizzare correttamente l’accesso nominativo alla piattaforma e a garantire la corretta associazione tra account, utente e percorso formativo.

6.2 Erogazione dei corsi in modalità e-learning e videoconferenza

I dati sono trattati per consentire la fruizione dei contenuti didattici, la partecipazione alle sessioni sincrone, la gestione dell’aula virtuale, la comunicazione con docenti/tutor e il corretto svolgimento del percorso.

Base giuridica:

art. 6, par. 1, lett. b) GDPR;
art. 6, par. 1, lett. f) GDPR.

6.3 Tracciamento della frequenza, dell’avanzamento e del completamento dei corsi

I dati sono trattati per verificare la partecipazione, registrare la frequenza, documentare il completamento del percorso, generare report, registri e attestazioni, nonché conservare le evidenze formative.

Base giuridica:

art. 6, par. 1, lett. b) GDPR;
art. 6, par. 1, lett. f) GDPR;
art. 6, par. 1, lett. c) GDPR, ove il trattamento sia necessario per adempiere a obblighi normativi applicabili alla formazione in materia di salute e sicurezza sul lavoro, alla rendicontazione di attività finanziate o ad altri obblighi documentali previsti dalla legge o da disposizioni amministrative.

6.4 Gestione tecnica e sicurezza della piattaforma

I dati tecnici, i log e le informazioni di sessione sono trattati per garantire continuità del servizio, sicurezza informatica, prevenzione di accessi abusivi, integrità dei sistemi e tutela del Titolare.

Base giuridica:

art. 6, par. 1, lett. f) GDPR.

6.5 Adempimento di obblighi di legge e gestione di richieste dell’autorità o degli interessati

I dati possono essere trattati per adempiere a obblighi legali, fiscali, amministrativi, per riscontrare richieste di esercizio dei diritti privacy o per gestire contestazioni.

Base giuridica:

art. 6, par. 1, lett. c) GDPR;
art. 6, par. 1, lett. f) GDPR.

7. Natura del conferimento dei dati

Il conferimento dei dati contrassegnati come necessari o comunque indispensabili alla creazione dell’account e alla fruizione del servizio è obbligatorio. In mancanza, il Titolare non potrà:

creare l’account nominativo;
consentire l’accesso alla piattaforma;
erogare i corsi;
registrare la partecipazione;
documentare correttamente il completamento delle attività formative.

Il mancato conferimento di dati opzionali non impedisce, di regola, l’utilizzo della piattaforma, salvo che quei dati siano strettamente necessari per una specifica attività formativa.

8. Modalità del trattamento

Il trattamento è effettuato con strumenti elettronici e informatici, secondo principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, integrità e riservatezza. Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati da accessi non autorizzati, perdita, distruzione, uso illecito o divulgazione indebita. I principi di trasparenza e le informazioni obbligatorie discendono dagli artt. 12 e 13 GDPR.

9. Destinatari dei dati personali

I dati personali possono essere comunicati, nei limiti strettamente pertinenti alle finalità sopra indicate, ai seguenti soggetti:

personale autorizzato di La Villa S.p.A., appositamente istruito;
personale autorizzato di W.Training S.r.l., quale azienda fornitrice della piattaforma LMS Moodle (responsabile del trattamento), operante in attività di amministrazione, gestione tecnica o supporto alla piattaforma LMS e ai servizi connessi, debitamente autorizzato e istruito;
Aruba S.p.A., quale fornitore dell’infrastruttura VPS/cloud e dei relativi servizi connessi (responsabile del trattamento), nei limiti del servizio erogato;
altri fornitori di servizi tecnici e infrastrutturali nominati, ove necessario, responsabili del trattamento ai sensi dell’art. 28 GDPR;
docenti, tutor, amministratori di piattaforma e collaboratori coinvolti nell’organizzazione e nell’erogazione dei corsi, nei limiti delle rispettive mansioni;
autorità pubbliche, enti ispettivi, organismi di controllo, enti finanziatori o soggetti legittimati, ove la comunicazione sia prevista da norme di legge, regolamenti o provvedimenti vincolanti.

Nel contesto delle sessioni sincrone, alcuni dati sono visibili anche agli altri partecipanti e ai docenti della stessa aula virtuale, in particolare nome e cognome, audio, video, chat e, se attivati dall’utente, altri contenuti condivisi.

10. Trasferimento dei dati verso Paesi terzi

I dati personali trattati tramite la piattaforma Moodle e il sistema BigBlueButton, secondo l’assetto descritto dal Titolare, sono ospitati su infrastrutture situate in Italia. Allo stato, il Titolare non prevede trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo.

Qualora in futuro si rendesse necessario effettuare trasferimenti extra SEE, questi avverranno nel rispetto degli artt. 44 e ss. GDPR, adottando le garanzie richieste dalla normativa applicabile.

11. Periodo di conservazione dei dati

I dati personali sono conservati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti, nel rispetto del principio di limitazione della conservazione.

In particolare:

dati anagrafici, dati dell’account e dati relativi ai corsi/completamenti: per tutta la durata di attivazione dell’account e, successivamente, per un periodo di 10 anni dalla chiusura del corso o dalla cessazione del rapporto amministrativo connesso, salvo termini più lunghi imposti da legge, da obblighi di rendicontazione, da norme sulla formazione sicurezza o da esigenze di tutela in giudizio;
log tecnici e di sicurezza: di regola per un periodo non superiore a 6 mesi, salvo ulteriore conservazione necessaria per accertare illeciti, garantire la sicurezza dei sistemi o adempiere a richieste dell’autorità;
dati relativi alla partecipazione alle videoconferenze: per il tempo necessario alla gestione dell’aula virtuale e, per le sole evidenze amministrative di frequenza, secondo i termini sopra indicati;
eventuali registrazioni audio/video, se attivate in casi specifici e previa idonea informazione: per il diverso periodo indicato nell’avviso o nell’informativa dedicata.

12. Assenza di profilazione e di decisioni automatizzate

Il Titolare non utilizza i dati personali trattati tramite la piattaforma LMS per finalità di marketing, profilazione commerciale o pubblicità comportamentale.

Non sono adottati processi decisionali interamente automatizzati che producano effetti giuridici o analogamente significativi sull’interessato ai sensi dell’art. 22 GDPR.

13. Diritti degli interessati

L’interessato può esercitare in qualunque momento, nei casi previsti dalla normativa, i diritti di cui agli artt. 15 e seguenti del GDPR, tra cui:

diritto di accesso ai dati personali;
diritto di rettifica dei dati inesatti o incompleti;
diritto alla cancellazione, nei casi previsti dall’art. 17 GDPR, se questo non contrasta con i termini di conservazione di cui al precedente punto 11;
diritto di limitazione del trattamento;
diritto di opposizione, quando il trattamento si fonda sul legittimo interesse;
diritto alla portabilità dei dati, nei casi previsti dall’art. 20 GDPR;
diritto di proporre reclamo al Garante per la protezione dei dati personali;
diritto di agire in sede giudiziaria, se ne ricorrono i presupposti.

Il Titolare fornisce riscontro tempestivo alle richieste senza ingiustificato ritardo e, comunque, di regola entro un mese dal ricevimento della richiesta, salvo i casi di proroga previsti dal GDPR.

Per esercitare i propri diritti, l’interessato può scrivere a:

La Villa S.p.A.
Via Benedetto da Foiano 14, 50125 Firenze (FI)
E-mail: info@lavillaspa.it

L’interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR.

14. Cookie Policy

14.1 Cosa sono i cookie

I cookie sono stringhe di testo che i siti o i servizi web memorizzano sul dispositivo dell’utente per diverse finalità. La normativa italiana distingue, tra gli altri, i cookie tecnici, utilizzati per trasmettere una comunicazione su rete elettronica o nella misura strettamente necessaria a fornire un servizio esplicitamente richiesto dall’utente. Per i cookie tecnici non è richiesto il consenso preventivo, ma resta obbligatoria l’informativa.

14.2 Tipologie di cookie utilizzate da questa piattaforma

La piattaforma utilizza esclusivamente cookie tecnici di prima parte o comunque strettamente necessari al funzionamento del servizio. Non vengono utilizzati:

cookie di profilazione;
cookie pubblicitari;
cookie di remarketing;
cookie di terze parti per finalità commerciali;
strumenti di tracciamento finalizzati al marketing.

Di conseguenza, non è richiesto il consenso preventivo per l’installazione dei cookie tecnici utilizzati dalla piattaforma.

14.3 Cookie tecnici di Moodle

Moodle utilizza due cookie tecnici:

MoodleSession Cookie tecnico di sessione, essenziale per mantenere la continuità della navigazione autenticata e mantenere l’utente collegato durante l’uso del sito. Viene eliminato alla disconnessione o alla chiusura del browser.
MOODLEID o denominazione analoga Cookie tecnico/funzionale, non indispensabile, usato solo per ricordare lo username nel browser e precompilare il campo di accesso nelle visite successive. Il rifiuto di questo cookie non impedisce l’uso della piattaforma, ma richiede di digitare manualmente lo username a ogni accesso. La denominazione può variare e la sua presenza dipende dalla configurazione effettiva della piattaforma.

14.4 Cookie tecnici di BigBlueButton

Per l’accesso alle aule virtuali in videoconferenza, BigBlueButton utilizza meccanismi tecnici di sessione e autenticazione necessari a validare l’ingresso dell’utente nella riunione e a mantenere la sessione del collegamento. L’accesso alle riunioni è subordinato alla validazione del cookie di sessione. I componenti standard fanno riferimento a una sessione applicativa associata a JSESSIONID insieme al token di sessione di accesso. La denominazione concreta del cookie può variare in funzione della versione e della configurazione server.

14.5 Elenco dei cookie tecnici utilizzati

Nome cookie	Fornitore	Tipologia	Finalità	Durata
MoodleSession	Prima parte (piattaforma Moodle)	Tecnico di sessione	Mantiene la sessione autenticata e la continuità della navigazione	Fino alla chiusura della sessione/browser
MOODLEID o analogo (se abilitato)	Prima parte (piattaforma Moodle)	Tecnico/funzionale	Ricorda lo username sul dispositivo per agevolare i successivi accessi	Persistente, fino a cancellazione o scadenza configurata
Cookie tecnico di sessione BigBlueButton (nome variabile in base alla configurazione)	Prima parte (aula virtuale BBB)	Tecnico di sessione	Valida l’accesso alla riunione e mantiene la sessione della videoconferenza	Di sessione, fino a termine riunione/sessione browser

14.6 Base giuridica per l’uso dei cookie tecnici

La base giuridica del trattamento tramite cookie tecnici è la necessità di fornire il servizio richiesto dall’utente e di consentire il funzionamento della piattaforma e delle sessioni di videoconferenza. Per tali cookie non è richiesto il consenso.

14.7 Gestione dei cookie da parte dell’utente

L’utente può impostare il proprio browser in modo da rifiutare, cancellare o limitare i cookie. Tuttavia, la disabilitazione dei cookie tecnici essenziali può compromettere o impedire:

il login alla piattaforma;
la permanenza dell’utente nella sessione autenticata;
la corretta fruizione dei corsi;
l’accesso e la partecipazione alle videoconferenze.

15. Modifiche e aggiornamenti della policy

La presente informativa può essere aggiornata nel tempo, anche in considerazione di modifiche normative, tecniche o organizzative. La versione aggiornata sarà resa disponibile nella medesima area pubblica della piattaforma e riporterà la data di ultimo aggiornamento.