DPA
Versione 0.4 • Ultimo aggiornamento: 19 maggio 2026
DPA
Versione 0.4 • Ultimo aggiornamento: 19 maggio 2026
Data Processing Agreement
IL DIARIO DI BORDO
Piattaforma SaaS per Centri Educativi
ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
Data Processing Agreement (DPA) ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR)
Versione: 0.4 — Bozza Data: 19 maggio 2026
DOCUMENTO DI LAVORO — Il presente documento è una bozza soggetta a revisione.
Modifiche rispetto alla v0.3 (08 maggio 2026):
- Art. 7.1 — Corretta la retention dei dati dei minori post-cessazione: da "1 anno" a 10 anni dalla chiusura definitiva dell'accesso, in conformità alla normativa italiana applicabile alle cartelle socio-educative (D.Lgs. 147/2017 e normativa regionale di riferimento). Aggiunto chiarimento sul punto di decorrenza dei "30 giorni" per gli account utenti (decorrono dalla chiusura definitiva dell'accesso, giorno ~120 dalla richiesta di cancellazione).
- Art. 7.3 — Aggiornata la descrizione del grace period con il nuovo ciclo di vita a due fasi: grace period (30 giorni) + fase export (90 giorni) = finestra self-service totale di 120 giorni.
- Art. 7.4 — Invariato.
Premesse e Parti
Parti del presente Accordo
Il presente Accordo per il Trattamento dei Dati Personali (di seguito "DPA" o "Accordo") è stipulato tra:
Il Titolare del Trattamento (di seguito "Titolare" o "Cliente"): l'organizzazione (cooperativa sociale, ONLUS, ente privato o pubblico) che sottoscrive le Condizioni Generali di Servizio de Il Diario di Bordo e che determina le finalità e i mezzi del trattamento dei dati personali dei minori e degli operatori del proprio centro educativo.
Il Responsabile del Trattamento (di seguito "Responsabile" o "Fornitore"): [Ragione sociale da definire], con sede legale in [indirizzo da definire], P.IVA [da definire], PEC [da definire], nella persona del legale rappresentante, titolare della piattaforma "Il Diario di Bordo" accessibile all'indirizzo https://ildiariodibordo.it.
(congiuntamente "le Parti").
Premesse
a) Il Titolare gestisce uno o più centri educativi per minori di età compresa tra 6 e 18 anni e necessita di una piattaforma informatica per la gestione quotidiana delle attività educative, delle presenze, delle note comportamentali e delle informazioni relative ai minori affidati.
b) Il Responsabile fornisce la piattaforma SaaS "Il Diario di Bordo", che consente la registrazione e la gestione di tali dati in modalità cloud, operando in qualità di Responsabile del Trattamento ai sensi dell'Art. 28 del GDPR.
c) Il trattamento dei dati personali oggetto del presente Accordo riguarda anche categorie particolari di dati di cui all'Art. 9 del GDPR (dati relativi a minori con disabilità o bisogni educativi speciali), per i quali il Titolare è tenuto a raccogliere il consenso esplicito dei genitori o tutori legali.
d) Il presente DPA costituisce parte integrante e sostanziale delle Condizioni Generali di Servizio (di seguito "ToS") e disciplina gli obblighi reciproci delle Parti in materia di protezione dei dati personali.
Tutto ciò premesso, le Parti convengono quanto segue:
Art. 1 — Definizioni
Ai fini del presente Accordo, i seguenti termini avranno il significato di seguito indicato, fatta salva ogni diversa definizione contenuta nel GDPR:
"GDPR": il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
"Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("Interessato"), trattata nell'ambito del Servizio.
"Categorie Particolari di Dati": i dati personali di cui all'Art. 9 del GDPR, inclusi, nel contesto del Servizio, dati relativi alla salute e a eventuali disabilità dei minori.
"Servizio": la piattaforma SaaS "Il Diario di Bordo" e tutti i servizi correlati forniti dal Responsabile al Titolare in base alle ToS.
"Sub-responsabile": qualsiasi terza parte incaricata dal Responsabile di trattare Dati Personali per conto del Titolare nell'ambito della fornitura del Servizio.
"Violazione dei Dati Personali" (Data Breach): una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.
"Interessato": la persona fisica cui si riferiscono i Dati Personali. Nel contesto del Servizio, gli Interessati sono i minori iscritti al centro educativo, i loro genitori/tutori legali, e gli operatori adulti (coordinatori, educatori).
"Istruzioni Documentate": le istruzioni fornite dal Titolare al Responsabile in forma scritta o elettronica, incluse quelle contenute nel presente DPA, nelle ToS e nella configurazione del Servizio.
"Chiusura definitiva dell'accesso": la data in cui termina la fase export e l'accesso alla piattaforma viene definitivamente chiuso per tutti gli Utenti del centro (giorno ~120 dalla richiesta di cancellazione dell'abbonamento). Da questa data decorrono i periodi di retention indicati all'Art. 7.1, salvo ove diversamente specificato.
Art. 2 — Oggetto e Durata del Trattamento
2.1 Oggetto
Il presente Accordo disciplina le condizioni alle quali il Responsabile tratta i Dati Personali per conto del Titolare nell'ambito della fornitura del Servizio. I dettagli del trattamento sono specificati nell'Allegato A (Dettagli del Trattamento).
2.2 Durata
Il presente DPA ha efficacia dalla data di accettazione delle ToS da parte del Titolare e resta in vigore per tutta la durata del rapporto contrattuale. Gli obblighi di riservatezza e protezione dei dati sopravvivono alla cessazione del rapporto, fino alla completa cancellazione o restituzione dei Dati Personali.
2.3 Natura e finalità del trattamento
Il trattamento ha ad oggetto la gestione informatizzata delle attività educative quotidiane del centro e comprende in particolare:
a) la registrazione e conservazione dell'anagrafica dei minori e dei loro familiari;
b) la registrazione delle presenze giornaliere;
c) la compilazione del diario educativo (note comportamentali, attività svolte, compiti);
d) la generazione di report periodici in formato PDF;
e) la gestione del calendario eventi e chiusure;
f) il backup dei dati su Google Drive del coordinatore (su richiesta);
g) l'invio di email transazionali relative al Servizio;
h) la gestione degli abbonamenti e della fatturazione tramite Stripe;
i) la geolocalizzazione degli indirizzi IP degli utenti operatori per finalità di sicurezza, audit log e rilevamento di accessi anomali.
Art. 3 — Obblighi del Responsabile del Trattamento
3.1 Trattamento su istruzione
Il Responsabile tratta i Dati Personali esclusivamente sulla base delle Istruzioni Documentate del Titolare, incluse quelle relative ai trasferimenti di Dati Personali verso paesi terzi, salvo che il diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile non imponga di procedere al trattamento. In tal caso, il Responsabile informa il Titolare di tale obbligo giuridico prima del trattamento, salvo che il diritto lo vieti per rilevanti motivi di interesse pubblico.
3.2 Riservatezza
Il Responsabile garantisce che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o siano sottoposte a un adeguato obbligo legale di riservatezza. L'accesso ai Dati Personali è limitato al personale strettamente necessario per l'esecuzione del Servizio, secondo il principio del "need-to-know".
3.3 Misure di sicurezza
Il Responsabile adotta tutte le misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'Art. 32 del GDPR, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Le misure di sicurezza adottate sono dettagliate nell'Allegato B (Misure Tecniche e Organizzative).
3.4 Assistenza al Titolare
Il Responsabile assiste il Titolare, nella misura in cui ciò sia possibile, mediante misure tecniche e organizzative adeguate, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti degli Interessati di cui al Capo III del GDPR (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione).
3.5 Assistenza per obblighi regolamentari
Il Responsabile assiste il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR (sicurezza del trattamento, notifica delle violazioni, valutazione d'impatto, consultazione preventiva), tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
3.6 Notifica delle istruzioni illecite
Qualora il Responsabile ritenga che un'istruzione del Titolare violi il GDPR o altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati, ne informa immediatamente il Titolare.
Art. 4 — Categorie Particolari di Dati (Art. 9 GDPR)
4.1 Possibile trattamento di dati sensibili
Le Parti riconoscono che, nell'ambito del Servizio, il Titolare potrebbe inserire nella piattaforma dati relativi alla salute o alla disabilità dei minori, che costituiscono categorie particolari di dati ai sensi dell'Art. 9 del GDPR.
4.2 Obblighi del Titolare per i dati Art. 9
Il Titolare è l'unico responsabile di:
a) raccogliere il consenso esplicito dei genitori o tutori legali dei minori per il trattamento dei dati di cui all'Art. 9, ai sensi dell'Art. 9, paragrafo 2, lettera a) del GDPR;
b) verificare che sussista un'adeguata base giuridica per il trattamento di tali dati;
c) conservare la prova documentale del consenso raccolto;
d) informare gli Interessati (genitori/tutori) circa il trattamento dei dati sensibili mediante la propria informativa privacy.
4.3 Misure aggiuntive del Responsabile
Il Responsabile adotta le seguenti misure aggiuntive per la protezione delle categorie particolari di dati:
a) autenticazione a due fattori (2FA) obbligatoria per tutti i coordinatori e responsabili che accedono al Servizio;
b) cifratura dei dati sensibili di autenticazione (TOTP secrets) con algoritmo AES-256-GCM;
c) sistema di audit log completo con tracciamento di ogni accesso e modifica ai dati;
d) isolamento logico dei dati tra diversi centri educativi (architettura multi-tenant);
e) accesso ai dati dei minori limitato ai soli operatori autorizzati dal Titolare tramite sistema di ruoli (coordinatore, educatore);
f) nessun accesso diretto ai dati dei singoli minori da parte del personale tecnico del Responsabile tramite il pannello di amministrazione (accesso limitato a statistiche aggregate).
4.4 Restrizione del trasferimento di dati Art. 9 verso sub-responsabili specifici
4.4.1 Resend (email transazionali)
Il Responsabile garantisce che nessun dato personale relativo alla salute o alla disabilità dei minori sarà incluso nel contenuto delle email transazionali inviate tramite il sub-responsabile Resend (Plus Five Five, Inc.). Le email transazionali contengono esclusivamente notifiche operative (reset password, inviti, conferme, avvisi di sicurezza relativi all'utente operatore destinatario) senza alcun dato sensibile Art. 9.
4.4.2 IPinfo (geolocalizzazione IP)
Il Responsabile garantisce che nessun dato personale relativo alla salute o alla disabilità dei minori sarà trasmesso al sub-responsabile IPinfo (IPinfo, LLC). Il flusso verso IPinfo trasporta esclusivamente l'indirizzo IP dell'utente operatore (coordinatore, educatore, responsabile, superadmin) al momento del login o di un evento di sicurezza, e riceve in risposta informazioni di geolocalizzazione approssimativa (paese, regione, città, coordinate a livello urbano).
I minori e i genitori/tutori non hanno accesso diretto alla piattaforma e i loro indirizzi IP non vengono mai trasmessi a IPinfo. La geolocalizzazione restituita è memorizzata in forma denormalizzata nel campo location dei modelli AccessLog e SecurityAuditLog ed è utilizzata esclusivamente per:
- visualizzazione nel pannello di amministrazione e nella pagina "Le mie sessioni" dell'utente;
- inclusione nelle email transazionali di sicurezza (avviso di accesso da nuovo dispositivo);
- alimentazione del rilevatore di anomalie (rilevamento di accessi da paesi mai visti);
- enforcement di restrizioni geografiche configurate dal Titolare a livello di tenant (geo-blocking 2FA).
Art. 5 — Sub-responsabili del Trattamento
5.1 Autorizzazione generale
Il Titolare autorizza in via generale il Responsabile a ricorrere a sub-responsabili del trattamento per l'esecuzione del Servizio, nel rispetto delle condizioni stabilite dal presente articolo.
5.2 Elenco dei sub-responsabili
Alla data del presente Accordo, il Responsabile si avvale dei seguenti sub-responsabili:
| Sub-responsabile | Servizio | Sede legale | Server | DPA | SCC |
|---|---|---|---|---|---|
| MongoDB Atlas (MongoDB, Inc.) | Database NoSQL — conservazione dati applicativi | USA | Francoforte, DE | 21/10/2024 | EU 2021/914 |
| Render (Render Services, Inc.) | Hosting backend — logica applicativa e API | USA | Francoforte, DE | 19/12/2024 | EU 2021/914 |
| Vercel (Vercel, Inc.) | Hosting frontend — interfaccia web statica | USA | Francoforte, DE | 31/03/2023 | EU 2021/914 |
| Stripe (Stripe Payments Europe, Ltd.) | Pagamenti — abbonamenti e fatturazione | Irlanda | EU | 18/11/2025 | EU 2021/914 |
| Resend (Plus Five Five, Inc.) | Email transazionali — notifiche, reset password, avvisi sicurezza | USA | AWS (USA) | 31/12/2025 | EU 2021/914 |
| IPinfo (IPinfo, LLC) | Geolocalizzazione IP — log accessi, email "nuovo dispositivo" e rilevamento anomalie | USA | Multi-region (cache locale presso il Responsabile, TTL 24h) | [da firmare prima del go-live] | EU 2021/914 |
Tutti i sub-responsabili dispongono di un Data Processing Agreement conforme al GDPR, di Standard Contractual Clauses (Decisione UE 2021/914), e — ove indicato — sono certificati nell'ambito del EU-US Data Privacy Framework. La legge applicabile alle SCC di tutti i provider è quella irlandese.
5.3 Restrizioni specifiche
Vercel: il DPA di Vercel vieta esplicitamente il trattamento di dati sensibili Art. 9 nei Customer Data. Tale restrizione non impatta il Servizio poiché Vercel ospita esclusivamente il frontend statico (pagine HTML, CSS, JavaScript) e non processa né conserva alcun dato personale. I Dati Personali transitano direttamente dal browser dell'utente al backend ospitato su Render.
Resend: il DPA di Resend dichiara che il trattamento di dati sensibili non è applicabile. Il Responsabile si impegna a non includere dati sensibili Art. 9 nel contenuto delle email transazionali, come previsto dall'Art. 4.4.1 del presente Accordo.
IPinfo: il flusso verso IPinfo è limitato al solo indirizzo IP dell'utente operatore. Non vengono trasmessi nominativi, identificativi di account, dati dei minori, o qualunque dato Art. 9, come previsto dall'Art. 4.4.2 del presente Accordo. Il Responsabile mantiene una cache locale dei risultati di geolocalizzazione (TTL 24 ore) per ridurre il numero di chiamate API e minimizzare i trasferimenti di IP verso il sub-responsabile.
5.4 Modifica dei sub-responsabili
Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili con un preavviso minimo di 30 (trenta) giorni, dando così al Titolare la possibilità di opporsi a tali modifiche. La notifica avviene tramite email all'indirizzo registrato nel Servizio e/o tramite comunicazione nella piattaforma.
5.5 Diritto di opposizione
Qualora il Titolare si opponga ragionevolmente alla nomina di un nuovo sub-responsabile, il Responsabile compie ogni ragionevole sforzo per mettere a disposizione del Titolare una soluzione alternativa. Se non è possibile fornire un'alternativa ragionevole, il Titolare ha il diritto di risolvere il Servizio con effetto dalla data di efficacia della nomina del nuovo sub-responsabile.
5.6 Obblighi verso i sub-responsabili
Il Responsabile impone a ciascun sub-responsabile, mediante contratto scritto, obblighi in materia di protezione dei dati sostanzialmente equivalenti a quelli previsti dal presente Accordo. Il Responsabile resta pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile.
Art. 6 — Gestione delle Violazioni dei Dati Personali
6.1 Notifica al Titolare
Il Responsabile notifica al Titolare ogni Violazione dei Dati Personali senza ingiustificato ritardo e, in ogni caso, entro 24 (ventiquattro) ore dal momento in cui ne viene a conoscenza, tramite comunicazione all'indirizzo email del Titolare registrato nel Servizio.
6.2 Contenuto della notifica
La notifica contiene almeno le seguenti informazioni, nella misura in cui siano disponibili al momento della comunicazione:
a) la natura della violazione, incluse, ove possibile, le categorie e il numero approssimativo di Interessati coinvolti e le categorie e il numero approssimativo di registrazioni di Dati Personali interessate;
b) il nome e i dati di contatto del Responsabile presso cui ottenere maggiori informazioni;
c) la descrizione delle probabili conseguenze della violazione;
d) la descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e, se del caso, per attenuarne i possibili effetti negativi.
6.3 Obblighi del Titolare
Si ricorda che la notifica all'autorità di controllo competente (Garante per la Protezione dei Dati Personali) ai sensi dell'Art. 33 del GDPR, entro 72 ore dalla presa di conoscenza della violazione, è responsabilità esclusiva del Titolare. Il Responsabile non effettua notifiche dirette al Garante per conto del Titolare, ma coopera pienamente fornendo tutte le informazioni necessarie.
6.4 Cooperazione
Il Responsabile collabora con il Titolare per indagare sulla violazione, adottare misure correttive e fornire le informazioni necessarie per consentire al Titolare di adempiere ai propri obblighi di notifica verso il Garante e gli Interessati.
6.5 Tempi di notifica dei sub-responsabili
I sub-responsabili del Responsabile si sono impegnati contrattualmente a notificare le violazioni nei seguenti termini:
| Sub-responsabile | Termine notifica breach | Fonte |
|---|---|---|
| MongoDB Atlas | Senza ingiustificato ritardo | DPA Sez. Data Breach |
| Render | Senza ingiustificato ritardo | DPA Sez. 6 |
| Vercel | Senza ingiustificato ritardo | DPA Schedule 1, Sez. 5 |
| Stripe | Entro 48 ore | DPA Sez. 3.1(f) |
| Resend | Senza ingiustificato ritardo | DPA Sez. 8.6 |
| IPinfo | Senza ingiustificato ritardo | DPA — Sezione Data Breach (da verificare alla firma) |
Art. 7 — Conservazione e Cancellazione dei Dati
7.1 Retention differenziata
Il Responsabile applica una politica di conservazione differenziata dei Dati Personali, proporzionata alla natura dei dati e alle finalità del trattamento, in conformità al principio di minimizzazione (Art. 5.1.c GDPR).
Salvo ove diversamente indicato, i periodi di retention decorrono dalla chiusura definitiva dell'accesso (giorno ~120 dalla richiesta di cancellazione dell'abbonamento), come definita all'Art. 1.
| Categoria di dati | Retention dalla chiusura dell'accesso | Base giuridica / Motivazione |
|---|---|---|
| Dati di fatturazione | 10 anni | Obbligo fiscale italiano (Art. 2220 c.c., Art. 22 D.P.R. 600/1973). I dati di fatturazione non sono mai cancellati dal job di cleanup automatico. |
| Dati dei minori post-cessazione (anagrafiche, presenze, diari educativi, note comportamentali) | 10 anni | Obbligo di conservazione della documentazione socio-educativa ai sensi della normativa italiana applicabile alle cartelle dei minori presi in carico da centri diurni e strutture educative (D.Lgs. 147/2017 e normativa regionale di riferimento). Trascorso tale termine, cancellazione definitiva. |
Audit log di sicurezza dettagliati (SecurityAuditLog) | 2 anni | Interesse legittimo per sicurezza informatica e compliance (Art. 6.1.f GDPR). Include eventi 2FA, rilevamento attività sospette, geo-blocking. |
Log accessi operativi (AccessLog) | 90 giorni dalla chiusura dell'accesso | Tracciamento eventi di routine (login/logout/2FA). Retention contenuta per minimizzazione. |
Alert di sicurezza correlati (SecurityAlert) | 1 anno | Pattern sospetti correlati (brute force, credential stuffing, ecc.). Conservati per analisi forense post-incidente. |
| Account utenti post-cessazione (educatori, coordinatori) | 30 giorni dalla chiusura dell'accesso | Periodo minimo per eventuale reclamo o richiesta dati. Corrisponde al giorno ~150 dalla richiesta di cancellazione dell'abbonamento. Al termine, cancellazione definitiva. |
Nota sul computo dei "30 giorni" per gli account utenti: il periodo di 30 giorni decorre dalla chiusura definitiva dell'accesso (giorno ~120 dalla richiesta di cancellazione), non dalla richiesta stessa. Gli account educatori e coordinatori rimangono tecnicamente presenti nel sistema fino al giorno ~150 per garantire la tracciabilità delle operazioni effettuate durante la fase export.
7.2 Cancellazione alla cessazione del Servizio
Alla cessazione del rapporto contrattuale, su scelta del Titolare, il Responsabile provvede a:
a) restituire tutti i Dati Personali al Titolare in formato leggibile (JSON), anche tramite la funzionalità di backup su Google Drive; oppure
b) cancellare tutti i Dati Personali e le copie esistenti, salvo che il diritto dell'Unione o dello Stato membro non preveda la conservazione dei dati.
La conservazione decennale dei dati dei minori (Art. 7.1) è un obbligo di legge che si applica indipendentemente dalla scelta del Titolare di cui alle lettere a) e b). Il Responsabile non può procedere alla cancellazione anticipata dei dati dei minori qualora vi si opponga un obbligo normativo.
7.3 Ciclo di vita post-cancellazione
Alla cancellazione dell'abbonamento da parte del Titolare, il Servizio attraversa le seguenti fasi in sequenza:
Fase 1 — Grace period (30 giorni): il Servizio entra in modalità di sola lettura. Il Titolare può consultare e esportare i propri dati tramite la funzionalità di backup su Google Drive, ma non può inserire nuove informazioni. Gli educatori non possono accedere; coordinatori e responsabili mantengono accesso in sola lettura.
Fase 2 — Fase export (90 giorni successivi al grace period): al termine del grace period, il Servizio entra in modalità export. I coordinatori e i responsabili mantengono l'accesso in sola lettura esclusivamente per esportare i dati tramite la funzionalità di backup. Sarà inviata una notifica email con la data di scadenza e il link diretto alla funzionalità di backup. Reminder automatici saranno inviati a 30, 7, 3 e 1 giorno dalla scadenza.
Fase 3 — Chiusura definitiva dell'accesso (dal giorno 120): al termine della fase export, l'accesso alla piattaforma è chiuso per tutti gli Utenti del centro. I dati vengono conservati nel sistema secondo i periodi di retention indicati all'Art. 7.1.
La finestra di accesso self-service totale è di 120 giorni dalla richiesta di cancellazione dell'abbonamento. Dopo tale termine, l'accesso ai propri dati è possibile esclusivamente tramite richiesta scritta al Responsabile all'indirizzo privacy@ildiariodibordo.it, per tutta la durata del periodo di retention legale (10 anni per i dati dei minori).
7.4 Backup su Google Drive
Il Servizio offre la possibilità di eseguire backup dei dati su Google Drive del coordinatore del centro. I file di backup vengono caricati in formato JSON non cifrato. La custodia, la sicurezza e la gestione dei file di backup nel Google Drive del coordinatore sono di esclusiva responsabilità del Titolare. Il Responsabile non ha accesso al Google Drive del coordinatore dopo il caricamento del file.
Art. 8 — Trasferimenti Internazionali di Dati
8.1 Localizzazione dei dati
Il Responsabile garantisce che il trattamento principale dei Dati Personali avviene su infrastrutture localizzate nell'Unione Europea:
- Database: MongoDB Atlas, region Francoforte (eu-central-1)
- Backend: Render, region Francoforte (eu-central-1)
- Frontend: Vercel, region Francoforte
- Pagamenti: Stripe Payments Europe, Limited (Irlanda)
8.2 Trasferimenti verso paesi terzi
Alcuni sub-responsabili hanno sede legale negli Stati Uniti e potrebbero accedere ai Dati Personali per finalità operative (manutenzione, supporto, monitoraggio). In particolare:
- MongoDB, Render, Vercel, Resend: il trattamento operativo principale avviene in EU, ma la sede legale è USA;
- IPinfo: l'API di geolocalizzazione è servita da edge location multi-region, e il trasferimento dell'indirizzo IP al sub-responsabile è da considerarsi un trasferimento verso paese terzo.
Tali trasferimenti sono legittimati dalle seguenti garanzie, in ordine di priorità:
a) Decisione di adeguatezza nell'ambito del EU-US Data Privacy Framework (DPF), per i sub-responsabili certificati;
b) Standard Contractual Clauses (SCC) ai sensi della Decisione di Esecuzione (UE) 2021/914, incorporate nei DPA di ciascun sub-responsabile, come garanzia sussidiaria in caso di invalidazione del DPF;
c) UK Addendum per i trasferimenti soggetti al UK GDPR;
d) adattamenti per la Svizzera (FADP/nFADP) ove applicabile.
8.3 Misure supplementari
In aggiunta alle SCC, il Responsabile e i suoi sub-responsabili adottano le seguenti misure supplementari ai sensi delle Raccomandazioni 01/2020 dell'EDPB:
- Cifratura in transito: TLS 1.2 o superiore per tutte le comunicazioni. Stripe adotta inoltre mTLS per le comunicazioni interne. Le chiamate verso IPinfo avvengono esclusivamente in HTTPS.
- Cifratura at-rest: AES-256 (MongoDB Atlas, Vercel). Stripe adotta tokenizzazione in vault separato per i dati delle carte.
- Clausole anti-sorveglianza: Stripe include clausole supplementari specifiche relative alla resistenza a richieste di accesso governative ai sensi della FISA Section 702.
- Notifica di richieste governative: tutti i sub-responsabili si impegnano, nella misura consentita dalla legge, a notificare il cliente di eventuali richieste di accesso ai dati da parte di autorità governative e a reindirizzare tali richieste al Titolare.
- Minimizzazione del trasferimento verso IPinfo: il Responsabile mantiene una cache locale dei risultati di geolocalizzazione con TTL 24 ore, riducendo significativamente il numero di IP trasferiti al sub-responsabile.
Art. 9 — Audit e Verifica di Conformità
9.1 Diritto di audit
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'Art. 28 del GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.
9.2 Modalità di audit
L'audit può essere condotto nelle seguenti modalità, a scelta del Titolare:
a) esame della documentazione e delle certificazioni di sicurezza messe a disposizione dal Responsabile e dai sub-responsabili (report SOC 2, certificazioni ISO 27001, questionari di sicurezza);
b) audit da remoto mediante questionario di sicurezza predisposto dal Responsabile;
c) audit in loco da parte di un terzo indipendente designato dal Titolare, previo preavviso di almeno 30 (trenta) giorni, da svolgersi durante l'orario lavorativo e con frequenza massima di una volta per anno solare.
9.3 Certificazioni dei sub-responsabili
Il Responsabile rende disponibili su richiesta le seguenti certificazioni dei sub-responsabili:
| Sub-responsabile | Certificazioni | Note |
|---|---|---|
| MongoDB Atlas | SOC 2, ISO 27001, EU-US DPF | AES-256 at-rest su tutti i tier |
| Render | SOC 2 Type II, ISO 27001:2022, HIPAA | Audit da BARR Advisory |
| Vercel | SOC 2 Type 2, ISO 27001:2022, PCI DSS, HIPAA, TISAX | SecurityScorecard A+ |
| Stripe | PCI DSS Level 1, SOC 1 + SOC 2 | DPO dedicato: dpo@stripe.com |
| Resend | Via provider infrastrutturali (AWS) | Nessuna certificazione autonoma |
| IPinfo | SOC 2 Type II, GDPR-compliant DPA | Stato DPF da verificare al momento della firma del DPA con il provider |
9.4 Costi
I costi relativi alle attività di audit sono a carico del Titolare, incluso il rimborso ragionevole delle spese sostenute dal Responsabile per facilitare l'audit in loco.
Art. 10 — Obblighi del Titolare
10.1 Liceità del trattamento
Il Titolare garantisce che il trattamento dei Dati Personali mediante il Servizio avviene in conformità al GDPR e alla normativa italiana in materia di protezione dei dati. In particolare, il Titolare è responsabile di:
a) determinare le finalità e i mezzi del trattamento dei Dati Personali;
b) garantire la sussistenza di un'adeguata base giuridica per il trattamento;
c) raccogliere e conservare il consenso esplicito dei genitori/tutori per il trattamento dei dati sensibili Art. 9;
d) fornire agli Interessati un'informativa completa ai sensi degli Artt. 13 e 14 del GDPR, includendo il riferimento alla geolocalizzazione IP degli operatori per finalità di sicurezza;
e) dare seguito alle richieste di esercizio dei diritti degli Interessati;
f) effettuare, ove necessario, la notifica delle violazioni dei dati al Garante entro 72 ore;
g) effettuare, ove necessario, la valutazione d'impatto sulla protezione dei dati (DPIA);
h) nominare e istruire adeguatamente i propri incaricati del trattamento (coordinatori, educatori) che accedono al Servizio.
10.2 Accuratezza dei dati
Il Titolare è responsabile dell'accuratezza, della qualità e della liceità dei Dati Personali inseriti nel Servizio, nonché dei mezzi con cui ha acquisito tali dati.
Art. 11 — Responsabilità e Limitazioni
11.1 Livello di servizio
Il Responsabile si impegna a mantenere il Servizio operativo e accessibile con la massima diligenza (best effort), senza tuttavia fornire garanzie specifiche di uptime o disponibilità (SLA). Il Responsabile non è responsabile per interruzioni del Servizio dovute a cause di forza maggiore, manutenzione programmata, o malfunzionamenti dei sub-responsabili.
11.2 Limitazione di responsabilità
Fatte salve le responsabilità che per legge non possono essere limitate o escluse, la responsabilità complessiva del Responsabile nei confronti del Titolare per tutti i danni derivanti dal presente Accordo o ad esso connessi non potrà in nessun caso superare l'importo totale corrisposto dal Titolare al Responsabile nei 12 (dodici) mesi precedenti l'evento che ha dato origine alla responsabilità.
11.3 Esclusione di responsabilità
Il Responsabile non è responsabile per danni derivanti da:
a) utilizzo del Servizio in violazione delle ToS o del presente DPA da parte del Titolare;
b) inserimento di dati errati, incompleti o illeciti da parte del Titolare o dei suoi incaricati;
c) mancata raccolta del consenso dei genitori/tutori per il trattamento di dati Art. 9;
d) inadeguata custodia dei file di backup nel Google Drive del coordinatore;
e) accesso non autorizzato derivante dalla compromissione delle credenziali del Titolare o dei suoi incaricati;
f) mancato export dei dati da parte del Titolare entro il termine della fase export (giorno 120 dalla cancellazione).
Art. 12 — Responsabile della Protezione dei Dati (DPO)
Alla data del presente Accordo, il Responsabile non ha nominato un Responsabile della Protezione dei Dati (DPO).
Il Responsabile valuterà la nomina di un DPO in conformità all'Art. 37 del GDPR, tenendo conto della scala del trattamento e della natura dei dati trattati (dati di minori).
Per qualsiasi comunicazione relativa alla protezione dei dati personali, il Titolare può contattare il Responsabile all'indirizzo: privacy@ildiariodibordo.it.
Art. 13 — Disposizioni Finali
13.1 Prevalenza
In caso di conflitto tra le disposizioni del presente DPA e le ToS, prevalgono le disposizioni del presente DPA limitatamente alla materia della protezione dei dati personali.
13.2 Modifiche
Il Responsabile può modificare il presente DPA per adeguarlo a nuove disposizioni normative o a modifiche del Servizio. Le modifiche sostanziali saranno comunicate al Titolare con almeno 30 (trenta) giorni di preavviso. L'uso continuato del Servizio dopo tale periodo costituisce accettazione delle modifiche.
13.3 Legge applicabile e foro competente
Il presente Accordo è regolato dalla legge italiana. Per qualsiasi controversia derivante dal presente Accordo è competente in via esclusiva il foro di [da definire — sede legale del Responsabile].
13.4 Integrità dell'Accordo
Il presente DPA, unitamente ai suoi Allegati e alle ToS, costituisce l'intero accordo tra le Parti in materia di protezione dei dati personali e sostituisce ogni precedente intesa, scritta o verbale, relativa alla stessa materia.
13.5 Accettazione
Il presente DPA è accettato dal Titolare al momento dell'accettazione delle Condizioni Generali di Servizio (ToS) tramite la piattaforma. La versione attuale del DPA è sempre consultabile all'indirizzo: https://ildiariodibordo.it/legal/dpa.
Allegato A — Dettagli del Trattamento
| Oggetto del trattamento | Gestione informatizzata delle attività educative quotidiane per centri diurni per minori |
| Natura del trattamento | Raccolta, registrazione, conservazione, organizzazione, consultazione, estrazione, uso, comunicazione per trasmissione, cancellazione dei dati personali mediante la piattaforma SaaS |
| Finalità del trattamento | Fornitura del Servizio al Titolare per la gestione delle presenze, delle attività educative, del diario comportamentale, dei report, della fatturazione e della sicurezza degli accessi |
| Durata del trattamento | Per tutta la durata del rapporto contrattuale, con le retention differenziate indicate all'Art. 7.1 dopo la chiusura definitiva dell'accesso |
| Frequenza del trasferimento | Continua, per tutta la durata del Servizio |
Categorie di Interessati
| Categoria | Descrizione | Accesso alla piattaforma |
|---|---|---|
| Minori (6-18 anni) | Iscritti ai centri educativi del Titolare | Nessun accesso diretto |
| Genitori / Tutori legali | Responsabili legali dei minori iscritti | Nessun accesso diretto |
| Coordinatori | Responsabili operativi dei centri educativi | Accesso completo al proprio centro |
| Educatori | Operatori educativi dei centri | Lettura/scrittura diario del proprio centro |
| Responsabili (legali rappresentanti) | Rappresentanti legali delle organizzazioni | Accesso a tutti i centri della propria organizzazione |
Categorie di Dati Personali
| Dato | Categoria GDPR | Interessato |
|---|---|---|
| Nome, cognome, data di nascita, codice fiscale | Dati identificativi | Minori, Adulti |
| Indirizzo di residenza | Dati identificativi | Minori |
| Telefono, email | Dati di contatto | Genitori, Adulti |
| Nomi genitori/tutori e recapiti | Dati familiari | Genitori/Tutori dei minori |
| Presenze giornaliere | Dati di attività | Minori |
| Note comportamentali, attività, compiti | Dati valutativi | Minori |
| Dati su disabilità / bisogni speciali | Categorie particolari Art. 9 | Minori (ove inseriti dal Titolare) |
| Indirizzo IP, geolocalizzazione (paese/regione/città/coordinate approssimative), user agent, device fingerprint | Dati tecnici / Audit | Solo Adulti (operatori della piattaforma) |
| Credenziali 2FA (TOTP, passkey) | Dati di sicurezza (cifrati AES-256) | Adulti |
Flussi di trattamento verso sub-responsabili
| Dato trasferito | Sub-responsabile destinatario | Finalità |
|---|---|---|
| Tutti i dati applicativi | MongoDB Atlas | Conservazione database |
| Tutti i dati applicativi | Render | Elaborazione applicativa |
| Email transazionali (no dati Art. 9) | Resend | Invio email |
| Dati di pagamento e fatturazione | Stripe | Pagamenti |
| Solo indirizzo IP dell'utente operatore | IPinfo | Geolocalizzazione per audit di sicurezza |
Dati NON trattati dal Responsabile
- Dati di pagamento (numeri di carte di credito): gestiti esclusivamente da Stripe. Il Responsabile non ha accesso a tali dati.
- Foto, video o immagini dei minori: non previsti dalla piattaforma.
- IP e geolocalizzazione dei minori e dei genitori: questi soggetti non hanno accesso alla piattaforma e i loro dati di connessione non vengono mai raccolti né trasmessi a IPinfo.
Allegato B — Misure Tecniche e Organizzative
Il Responsabile adotta le seguenti misure ai sensi dell'Art. 32 del GDPR:
B.1 Cifratura
| Misura | Implementazione |
|---|---|
| Cifratura in transito | TLS 1.2+ per tutte le comunicazioni. HTTPS obbligatorio. MongoDB Atlas richiede TLS per tutte le connessioni. Le chiamate API verso IPinfo avvengono esclusivamente in HTTPS. |
| Cifratura at-rest (database) | AES-256 su MongoDB Atlas. Disponibile su tutti i tier incluso Free (M0). |
| Cifratura credenziali 2FA | TOTP secrets cifrati con AES-256-GCM, key derivation tramite scrypt (N=16384, r=8, p=1) |
| Cifratura token OAuth | Token Google Drive cifrati con AES-256-GCM nel database |
| Password utenti | Hash con bcrypt (salt round configurabile) |
B.2 Controllo degli accessi
| Misura | Implementazione |
|---|---|
| Autenticazione a due fattori (2FA) | Obbligatoria per coordinatori e responsabili. Metodi: TOTP (app authenticator), Email OTP, WebAuthn (passkey). |
| Dispositivi attendibili (educatori) | Cookie httpOnly con scadenza 14 giorni. Gestione centralizzata dei dispositivi attendibili. |
| Sistema di ruoli (RBAC) | Quattro ruoli con permessi crescenti: educatore, coordinatore, responsabile, superadmin. Isolamento multi-tenant. |
| Gestione sessioni | JWT con token versioning, timeout di inattività, timeout assoluto di sessione, invalidazione remota. |
| Rate limiting | Attivo su tutti gli endpoint sensibili (login, 2FA, reset password, API). |
B.3 Monitoraggio e audit
| Misura | Implementazione |
|---|---|
| Audit log di sicurezza | Registrazione di ogni azione significativa: login, logout, modifiche dati, accessi falliti, attività sospette. Include IP, geolocalizzazione (paese/regione/città), user agent, device fingerprint. Retention differenziata per tipologia (vedi Art. 7.1). |
| Geolocalizzazione precisa | Servizio IPinfo (HTTPS, cache locale 24h) per ottenere città/regione/coordinate approssimative dall'IP, utilizzato per audit log, email "nuovo dispositivo" e rilevamento anomalie. Solo IP degli utenti operatori (mai dei minori). |
| Email transazionali di sicurezza | Avviso automatico all'utente al primo login da un IP o dispositivo mai visto negli ultimi 90 giorni. Avviso al superadmin per eventi 2FA critici. |
| Rilevamento anomalie automatico | Job schedulato (ogni ora) che analizza i log e genera alert in caso di pattern sospetti: brute force, credential stuffing, login da nuovo paese, export massivo di dati, impersonation fuori orario, recovery 2FA seguito da export. Notifica via email al superadmin. |
| Dashboard sicurezza (Admin Panel) | Pannello di amministrazione con KPI di sicurezza in tempo reale: alert aperti per gravità, login falliti/riusciti, top IP sospetti, paesi distinti, timeline 7 giorni, gestione workflow degli alert (acknowledged/resolved/false_positive). Accessibile al superadmin. |
B.4 Isolamento dei dati
| Misura | Implementazione |
|---|---|
| Architettura multi-tenant | Ogni centro educativo opera come tenant isolato. I dati di un centro non sono accessibili da utenti di altri centri. |
| Middleware di isolamento | Ogni richiesta API viene filtrata attraverso un tenant resolver che verifica l'appartenenza dell'utente al tenant corrente. |
| Protezione anti-IDOR | Verifica della proprietà dei dati (ownership check) su tutte le operazioni sensibili, incluso l'accesso ai backup Google Drive. |
B.5 Continuità operativa
- Backup manuale e automatico schedulato su Google Drive del coordinatore (formato JSON, non cifrato — responsabilità del Titolare per la custodia).
- Frequenze di backup automatico configurabili: giornaliero, settimanale, bisettimanale o mensile, con orario personalizzabile (timezone Europe/Rome).
- Limite configurabile di backup conservati su Google Drive (pulizia automatica dei più vecchi).
- Infrastruttura cloud con ridondanza gestita dai provider (AWS per MongoDB Atlas, Render per il backend).
- Verifica integrità dei backup tramite checksum (firma digitale del contenuto).
Allegato C — Standard Contractual Clauses e Trasferimenti
Il presente allegato riassume i meccanismi di trasferimento adottati da ciascun sub-responsabile:
| Provider | DPA Data | SCC EU | UK | CH | DPF | Breach | Preavviso sub | Legge |
|---|---|---|---|---|---|---|---|---|
| MongoDB | 21/10/24 | ✓ | ✓ | ✓ | ✓ | ASAP | 30gg | IE |
| Render | 19/12/24 | ✓ | ✓ | ✓ | ✓ | ASAP | 10gg | IE |
| Vercel | 31/03/23 | ✓ | ✓ | ✓ | ✓ | ASAP | 5gg | IE |
| Stripe | 18/11/25 | ✓ | ✓ | ✓ | ✓ | 48h | 30gg | IE |
| Resend | 31/12/25 | ✓ | ✓ | ✓ | ✓ | ASAP | 14gg | IE |
| IPinfo | [da firmare] | ✓ | ✓ | ✓ | (verifica) | ASAP | 30gg | IE |
Legenda: SCC EU = Standard Contractual Clauses EU 2021/914 · UK = UK Addendum / IDTA · CH = Svizzera FADP · DPF = EU-US Data Privacy Framework · Breach = termine notifica data breach · ASAP = senza ingiustificato ritardo · IE = Irlanda.
Moduli SCC applicabili
Le Standard Contractual Clauses della Decisione UE 2021/914 prevedono diversi "Moduli" a seconda del rapporto tra le parti che trasferiscono i dati. Nel contesto del Servizio si applicano i seguenti moduli, già incorporati nei DPA di ciascun sub-responsabile:
Module 2 (Controller to Processor): applicabile alla maggior parte dei sub-responsabili (MongoDB, Render, Vercel, Resend per le email transazionali, IPinfo) per il trattamento dei dati che il Titolare (Controller) affida al Responsabile e ai suoi sub-responsabili (Processor). È il modulo principale e copre tutti i dati inseriti nella piattaforma e l'indirizzo IP trasferito a IPinfo.
Module 1 (Controller to Controller): applicabile a Stripe e Resend per i dati che questi provider trattano come titolari autonomi (controller indipendenti) per le proprie finalità (es. prevenzione frodi per Stripe, gestione account e analytics per Resend).
Tutti i moduli SCC indicati sono già incorporati nei DPA sottoscritti con i sub-responsabili. Il Titolare e il Responsabile non devono compiere alcuna azione aggiuntiva per la loro attivazione.
Firme
Accettazione digitale (modalità primaria)
Il presente Accordo è accettato dal Titolare al momento dell'accettazione delle Condizioni Generali di Servizio tramite la piattaforma Il Diario di Bordo. L'accettazione avviene mediante checkbox o firma digitale integrata nella piattaforma.
Il sistema registra automaticamente i seguenti dati per ciascuna accettazione:
- Identità dell'utente firmatario (nome, cognome, email, ruolo)
- Data e ora esatta dell'accettazione
- Versione del documento accettato
- Indirizzo IP e User Agent del dispositivo utilizzato
- Metodo di accettazione (checkbox o firma digitale)
- Tenant e Organizzazione di appartenenza
I dati di accettazione sono conservati nel database del Servizio (modello UserAcknowledgment) e sono consultabili dal Responsabile e dal Titolare. La versione attuale del DPA è sempre consultabile all'indirizzo: https://ildiariodibordo.it/legal/dpa.