Questa pagina raccoglie, in un unico posto, tutto ciò che il DPO di un istituto scolastico ha bisogno di valutare prima di autorizzare l’adozione di SinergiaScuola.
I dati personali dei docenti (nome, cognome, indirizzo email) non transitano mai sui server di SinergiaScuola e non vengono mai conservati nel nostro database. Restano esclusivamente nel foglio Google dell’istituto, gestito dall’istituto stesso con la propria DPA Google Workspace.
SinergiaScuola accede al foglio Google solo in modo transitorio (in memoria RAM, per il tempo necessario al calcolo), tramite le API Google autorizzate dall’istituto. Nessun dato personale viene copiato, cachato o conservato al di fuori del Drive dell’istituto.
Questo approccio — definito zero-data architecture — riduce al minimo la superficie di rischio e semplifica drasticamente gli adempimenti GDPR per l’istituto.
| Dato | Dove si trova | Come | Stato |
|---|---|---|---|
| Nome e cognome docente | Foglio Google dell’istituto (Drive) | Accesso API transitorio (RAM) | NON conservato su SS |
| Email docente | Foglio Google dell’istituto (Drive) | Accesso API transitorio (RAM) | NON conservata su SS |
| Hash email (SHA-256) | Database SinergiaScuola | Hash non reversibile — non riconducibile alla persona | Pseudonimizzato |
| Disponibilità e vincoli orario | Database SinergiaScuola | Collegato a hash, non al nome | Pseudonimizzato |
| Data e ora assenza | Database SinergiaScuola | Solo data/ora — mai il motivo | Pseudonimizzato |
| Email/nome dirigente (admin) | Database SinergiaScuola | Cifrati AES-256-GCM | Cifrato |
| Dati salute, sindacato, opinioni politiche | — | Non raccolti | NON TRATTATI |
| Motivo dell’assenza | — | Non raccolto (solo data/ora) | NON TRATTATO |
SinergiaScuola non raccoglie né tratta alcun dato relativo agli studenti. Il sistema gestisce orari e sostituzioni dei docenti: le classi sono identificate solo per nome (es. “2A”), senza alcun riferimento ai singoli alunni.
istituto_id (protezione contro IDOR e accessi incrociati).| Fornitore | Servizio | Dati / Ubicazione | Base giuridica trasf. |
|---|---|---|---|
| Google LLC (USA) | Autenticazione OAuth + foglio istituto (Drive/Sheets) | Dati nel Drive dell’istituto (account Google dell’istituto) | DPA Google Workspace già in essere con l’istituto |
| Neon Inc. (USA) | Database PostgreSQL | Solo hash e dati cifrati — USA | SCC Commissione europea (decisione 2021/914) |
| Render Services Inc. (USA) | Hosting dell’applicazione | Elaborazione in memoria, transitoria — USA | SCC Commissione europea (decisione 2021/914) |
I fornitori Neon e Render hanno incorporato le Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea (decisione 2021/914) nelle rispettive Data Processing Agreements pubbliche. Le SCC garantiscono un livello di protezione equivalente a quello previsto dal GDPR.
Il documento di nomina a Responsabile del trattamento (art. 28 GDPR) è pre-compilato e pronto per la firma. Include:
Scrivere a sinergiascuola@gmail.com con oggetto “Richiesta DPA art. 28 GDPR” indicando il nome dell’istituto. Verremo inviati entro 24 ore in formato PDF e DOCX editabile.
⚠️ Il modello è predisposto da SinergiaScuola in bozza. Prima dell’uso reale è consigliabile una validazione da parte del legale o del DPO dell’istituto. I campi in parentesi quadre vanno compilati con i dati dell’istituto.
Secondo l’art. 35 GDPR, la DPIA (Valutazione d’Impatto) è obbligatoria quando il trattamento è “suscettibile di presentare un rischio elevato”. Nel caso di SinergiaScuola:
Non sussistono le condizioni che rendono obbligatoria la DPIA ai sensi dell’art. 35 GDPR. Il trattamento rientra nelle attività ordinarie di gestione del personale scolastico.
Per qualsiasi richiesta relativa alla protezione dei dati (esercizio dei diritti degli interessati, audit, chiarimenti sul trattamento, richiesta DPA firmato):
Tutta la documentazione necessaria è disponibile su richiesta. Se il DPO ha domande specifiche sull’architettura o sulle misure tecniche, possiamo organizzare una call dedicata.
Contatta il team →