Per il DPO della tua scuola

Tutto ciò che serve al Responsabile della Protezione dei Dati per valutare SinergiaScuola AI: ruoli, misure di sicurezza, fornitori e documenti pronti.

✓ Conforme GDPR · Regolamento UE 2016/679

👥Ruoli (art. 28 GDPR)

L'istituto scolastico è il titolare del trattamento dei dati dei propri docenti e del personale. SinergiaScuola AI agisce come responsabile del trattamento, solo su istruzione dell'istituto, e mette a disposizione un accordo di nomina (DPA) pronto da firmare.

🔐Cosa trattiamo (il minimo indispensabile)

I dati personali dei docenti restano sul foglio Google della scuola. Nel nostro database non viene conservato alcun dato personale in chiaro: solo dati cifrati (AES-256) o hash non reversibili. L'accesso al foglio avviene solo in modo transitorio, per generare l'orario e inviare le notifiche.

Dato	Dove	Come
Nome/email docenti	Foglio Google della scuola	Mai conservati da noi; letti in modo transitorio
Identificativo docente	Nostro database	Solo hash non reversibile (SHA-256)
Email/nome dirigente, token, SMTP	Nostro database	Cifrati AES-256-GCM
Orari, struttura, sostituzioni	Nostro database + foglio	Dati organizzativi (nessun nome in chiaro)

🛡️Misure di sicurezza (art. 32)

Misura	Dettaglio
Cifratura a riposo	AES-256-GCM su token OAuth, credenziali SMTP, email/nome dirigente
Pseudonimizzazione	Email docenti solo come hash SHA-256; nome/email docenti non memorizzati
Cifratura in transito	HTTPS/TLS 1.2+, HSTS
Autenticazione	Google OAuth 2.0 — nessuna password raccolta
Isolamento multi-tenant	Ogni query filtrata per `istituto_id`
Controllo accessi	Ruoli (dirigente / incaricato / docente) + deleghe granulari
Tracciabilità	Audit log delle operazioni sensibili con timestamp
Sessioni	Cookie HttpOnly, Secure, SameSite
Minimizzazione	Accesso al foglio solo transitorio; nessuna conservazione dei dati personali dei docenti

🌐Sub-responsabili e ubicazione dati

Fornitore	Servizio	Dati / Ubicazione
Google	Autenticazione e foglio dell'istituto	Drive dell'istituto
Neon	Database PostgreSQL	Solo dati cifrati/hash · UE o garanzie adeguate
Render	Hosting applicazione	Elaborazione transitoria · UE o garanzie adeguate

Eventuali trasferimenti extra-UE avvengono solo con garanzie adeguate ai sensi del Capo V del GDPR (Data Privacy Framework UE-USA o clausole contrattuali standard).

⚖️Diritti, violazioni, conservazione

Diritti degli interessati: i docenti li esercitano verso la scuola (titolare); SinergiaScuola assiste.
Violazioni dei dati: notifica al titolare senza ingiustificato ritardo.
Cancellazione: su richiesta, entro 30 giorni, di database e foglio Google.

📄Documenti

📑

Accordo di nomina a Responsabile (DPA — art. 28)
Modello pronto da firmare — richiedilo a info@sinergiascuola.it

🔒

Informativa sulla Privacy
Consulta l'informativa completa →

✉️Contatti

Per richieste, documenti o chiarimenti: info@sinergiascuola.it — risposta entro 30 giorni.

← Torna alla home