Data Processing Agreement (DPA)
Tra:
Titolare del trattamento:
la scuola o istituto che utilizza la piattaforma InBuoneMani App (“Titolare”).
Responsabili del trattamento:
- Alessandro Pirovano, via Dante Alighieri 21, Cassano (MI), C.F. PRVLSN77M02L400E, P.IVA 08848470962
- Tommaso Ferrari, via Vittime dell’Annamaria 29, Caravaggio (BG), C.F. FRRTMS81T22L400Z, P.IVA 04026120164
Definizioni
- Dati Personali: informazioni che identificano o rendono identificabile una persona fisica.
- Servizio: InBuoneMani App.
- Interessati: bambini, genitori/tutori, personale scolastico.
- Trattamento: qualsiasi operazione sui Dati Personali.
Oggetto del trattamento
I Responsabili sono incaricati di trattare i Dati Personali per conto del Titolare esclusivamente per le seguenti finalità:
- Archiviazione e gestione elettronica dei dati degli utenti del servizio (bambini, genitori/tutori, personale scolastico);
- Sicurezza informatica e protezione dei dati memorizzati nel software;
- Manutenzione tecnica e assistenza sulla piattaforma.
Categorie di dati e interessati
| Categorie di dati | Esempi | Fonte |
|---|---|---|
| Dati identificativi | Nome, cognome, data di nascita | Caricati dal Titolare |
| Dati di contatto | Email, telefono | Caricati dal Titolare |
| Dati sanitari | Allergie, diete, condizioni particolari | Caricati dal Titolare |
| Immagini e video | Foto, video documentativi o didattici | Caricati dal Titolare |
| Documenti PDF | Documenti caricati per finalità documentative | Caricati dal Titolare |
| Dati tecnici di navigazione | IP, variabili di sessione, cookie, log di sistema | Raccolti dal sistema |
Obblighi del Responsabile
- Trattare i dati esclusivamente su istruzioni documentate del Titolare;
- Garantire misure tecniche e organizzative adeguate alla sicurezza (cifratura, backup, antivirus, firewall, accesso limitato, controlli periodici);
- Mantenere la riservatezza del personale autorizzato al trattamento;
- Non trasferire dati al di fuori dell’UE senza garanzie adeguate;
- Collaborare con il Titolare per l’esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione);
- Gestire i sub-responsabili solo previo consenso scritto del Titolare, garantendo che rispettino gli stessi obblighi contrattuali;
- Notificare al Titolare eventuali violazioni dei dati personali entro 72 ore.
I Responsabili collaborano con il Titolare per consentire l’esercizio dei diritti degli interessati (bambini, genitori/tutori, personale scolastico) come previsto dal GDPR. Tutte le richieste dei genitori devono essere indirizzate direttamente al Titolare.
Conservazione e cessazione
I dati saranno conservati secondo le politiche del Responsabile (vedi Allegato Tecnico) e cancellati o restituiti alla cessazione del contratto. Le misure di protezione dei dati includono backup e copie cifrate e protette. Eventuali dati archiviati in chiaro (anteprime, miniature) saranno eliminati contestualmente alla cessazione del servizio.
Media del diario (foto e video): conservati 6 mesi; successivamente eliminati dal sistema.
Dati del diario giornaliero (cibo, nanne, note, attività, ecc.): disponibili per l’intero anno scolastico in corso; alcuni dati potrebbero essere archiviati e non visibili dalla console.
Dati del registro elettronico (entrate e uscite dei bambini): disponibili per l’anno scolastico in corso e quello precedente; dopo questo periodo i dati saranno eliminati.
Altri dati: disponibili fino alla cessazione del contratto; una volta disattivato l’account, i dati non saranno più accessibili e verranno eliminati secondo le procedure tecniche e la pianificazione di manutenzione.
Trasferimenti extra-UE
Tutti i dati sono trattati e archiviati in UE (Serverplan UE, AWS Francoforte). Nessun trasferimento extra-UE è previsto.
Data Breach
Il Responsabile notificherà al Titolare eventuali violazioni di dati entro 24 ore dalla scoperta, fornendo informazioni sulla natura della violazione, categorie di interessati coinvolti, misure di mitigazione e possibili conseguenze.
Audit e verifiche
Il Titolare ha il diritto di richiedere informazioni, documentazione o ispezioni ragionevoli relative alle misure di sicurezza e al rispetto del GDPR da parte dei Responsabili. Tali verifiche saranno concordate con i Responsabili e condotte in modo da non interferire con le normali operazioni del servizio. Eventuali richieste straordinarie che richiedano risorse o tempo significativi potranno essere oggetto di accordo separato tra le parti, incluse eventuali condizioni economiche.
Responsabilità
I Responsabili (Alto Labs, rappresentati dai titolari P.IVA Alessandro Pirovano e Tommaso Ferrari) rispondono esclusivamente per il trattamento dei dati effettuato in violazione delle istruzioni scritte del Titolare o delle disposizioni del GDPR. La Scuola Titolare rimane l’unico soggetto responsabile nei confronti degli interessati per tutti gli obblighi derivanti dalla normativa sulla protezione dei dati personali. I Responsabili non assumono alcuna responsabilità per eventuali trattamenti effettuati dal Titolare o per dati forniti in maniera non conforme, manlevando Alto Labs, rappresentati dai titolari P.IVA Alessandro Pirovano e Tommaso Ferrari, da qualsiasi pretesa relativa a tali casi.
Allegati tecnici
Le specifiche tecniche relative a sicurezza, conservazione dei dati, log, backup e misure di protezione dei server sono disponibili e possono essere fornite su richiesta del Titolare o di soggetti autorizzati, come previsto dalle normative vigenti.
Accettazione
L’utilizzo della piattaforma da parte della Scuola costituisce accettazione del presente Data Processing Agreement ai sensi dell’art. 28 GDPR. La conferma viene registrata nel sistema con utente, data e versione del DPA. Ad ogni modifica sostanziale del DPA, agli utenti verrà richiesto di accettare nuovamente la versione aggiornata.
Le specifiche tecniche dettagliate relative a sicurezza, conservazione dei dati, backup e logging sono consultabili nell’ Allegato Tecnico.
Versione: V_1_2026 del 12/02/2026