Accordo sul trattamento dei dati personali

Tra le Parti

Premesse

• Il Titolare utilizza la piattaforma SinergiaScuola per la generazione e gestione degli orari scolastici, delle sostituzioni e delle attività connesse.
• Nell'erogazione del servizio, il Responsabile tratta per conto del Titolare alcuni dati personali (descritti nell'Allegato A).
• Con il presente accordo le Parti disciplinano tale trattamento ai sensi dell'art. 28 GDPR.

1. Oggetto e durata

Il Titolare nomina il Responsabile per il trattamento dei dati personali necessari all'uso della piattaforma. La nomina ha durata pari a quella del contratto di servizio e cessa con la sua conclusione, fatti salvi gli obblighi di cui all'art. 9.

2. Natura, finalità e tipi di dati

Natura, finalità del trattamento, categorie di dati personali e categorie di interessati sono dettagliati nell'Allegato A.

3. Obblighi del Responsabile (art. 28, par. 3)

Il Responsabile si impegna a:

1. trattare i dati solo su istruzione documentata del Titolare (incluso il presente accordo);
2. garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza;
3. adottare le misure di sicurezza di cui all'art. 32 GDPR (vedi art. 4);
4. rispettare le condizioni per ricorrere a sub-responsabili (vedi art. 5);
5. assistere il Titolare nel dare seguito alle richieste degli interessati (artt. 12-23);
6. assistere il Titolare in materia di sicurezza, violazioni dei dati e valutazioni d'impatto (artt. 32-36);
7. al termine del servizio, cancellare o restituire i dati (vedi art. 9);
8. mettere a disposizione del Titolare le informazioni necessarie a dimostrare la conformità e consentire verifiche/audit.

4. Misure di sicurezza (art. 32)

Il Responsabile adotta, tra le altre, le seguenti misure tecniche e organizzative:

• cifratura AES-256-GCM dei dati riservati memorizzati (token OAuth, credenziali SMTP, nome/email dell'amministratore);
• le email dei docenti sono conservate solo come hash non reversibile (SHA-256); i dati personali dei docenti (nome, email) restano esclusivamente nel foglio Google dell'istituto, mai nei server del Responsabile;
• le comunicazioni verso i docenti avvengono tramite notifiche push; l'eventuale invio di email ai docenti, se attivato, parte dall'account Google dell'istituto, non dai server del Responsabile;
• comunicazioni cifrate in transito (HTTPS/TLS, HSTS);
• autenticazione tramite Google OAuth 2.0 (nessuna password raccolta);
• isolamento dei dati per istituto;
• audit log delle operazioni sensibili;
• cookie di sessione con flag HttpOnly, Secure, SameSite.

5. Sub-responsabili

Il Titolare autorizza il Responsabile a ricorrere ai sub-responsabili elencati nell'Allegato B. Il Responsabile impone loro, per contratto, gli stessi obblighi di protezione dati e comunica al Titolare eventuali modifiche, consentendo di opporsi per motivi legittimi.

6. Trasferimenti extra-UE

Eventuali trasferimenti di dati al di fuori dell'Unione Europea avvengono solo verso soggetti che garantiscono garanzie adeguate ai sensi del Capo V del GDPR (es. decisione di adeguatezza / Data Privacy Framework UE-USA o clausole contrattuali standard).

7. Assistenza al Titolare

Il Responsabile assiste il Titolare, tenuto conto della natura del trattamento e delle informazioni disponibili, nell'adempimento degli obblighi relativi a: diritti degli interessati, sicurezza, notifica delle violazioni (artt. 33-34) e valutazione d'impatto (artt. 35-36).

8. Violazioni dei dati (data breach)

In caso di violazione di dati personali, il Responsabile informa il Titolare senza ingiustificato ritardo dopo esserne venuto a conoscenza, fornendo le informazioni utili agli adempimenti del Titolare.

9. Termine del trattamento

Al termine del servizio, a scelta del Titolare, il Responsabile cancella o restituisce tutti i dati personali e cancella le copie esistenti, salvo obblighi di conservazione di legge. La cancellazione completa avviene entro 30 giorni dalla richiesta e riguarda sia il database sia il foglio Google.

10. Audit

Il Responsabile mette a disposizione le informazioni necessarie a dimostrare la conformità e contribuisce alle attività di revisione/ispezione condotte dal Titolare o da un soggetto da esso incaricato.

11. Legge applicabile

Il presente accordo è regolato dal diritto italiano e dal GDPR.

Allegato A — Dettagli del trattamento

• Finalità: generazione e gestione orari, sostituzioni, gestione permessi/recuperi.
• Categorie di interessati: dirigente/amministratore, docenti e personale dell'istituto.
• Categorie di dati: dati identificativi e di contatto (nel foglio Google dell'istituto), hash dell'email, materie, disponibilità/vincoli, dati relativi ad assenze e sostituzioni.

Allegato B — Elenco dei sub-responsabili

Luogo e data: ______________________