Privacy Policy
Versione 0.2 • Ultimo aggiornamento: 21 febbraio 2026
IL DIARIO DI BORDO
Piattaforma SaaS per Centri Educativi
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
Versione: 0.2 — Bozza Data: 21 febbraio 2026
DOCUMENTO DI LAVORO — Il presente documento è una bozza soggetta a revisione.
1. Titolare e Responsabile del Trattamento
1.1 Titolare del Trattamento
Il Titolare del Trattamento è l'organizzazione (cooperativa sociale, ONLUS, ente privato o pubblico) che ha sottoscritto le Condizioni Generali di Servizio de Il Diario di Bordo e che gestisce il centro educativo presso il quale sono iscritti i minori. L'identità e i dati di contatto del Titolare devono essere comunicati direttamente dal Titolare stesso nella propria informativa privacy rivolta ai genitori/tutori dei minori.
1.2 Responsabile del Trattamento
Il Responsabile del Trattamento dei dati è:
| Denominazione | [Ragione sociale da definire] |
| Sede legale | [Indirizzo da definire] |
| P.IVA | [Da definire] |
| Email privacy | privacy@ildiariodibordo.it |
| PEC | [Da definire] |
| Sito web | https://ildiariodibordo.it |
Il Responsabile opera per conto del Titolare ai sensi dell'Art. 28 del GDPR, sulla base di un Accordo per il Trattamento dei Dati Personali (DPA) disponibile all'indirizzo https://ildiariodibordo.it/legal/dpa.
1.3 Responsabile della Protezione dei Dati (DPO)
Alla data della presente informativa, non è stato nominato un Responsabile della Protezione dei Dati (DPO). Per ogni comunicazione relativa alla protezione dei dati personali è possibile contattare: privacy@ildiariodibordo.it.
2. Categorie di Interessati e Dati Trattati
2.1 Chi sono gli Interessati
La piattaforma Il Diario di Bordo tratta dati personali delle seguenti categorie di soggetti:
| Categoria | Descrizione | Accesso alla piattaforma |
|---|---|---|
| Minori (6-18 anni) | Iscritti ai centri educativi gestiti dal Titolare | Nessun accesso diretto |
| Genitori / Tutori legali | Responsabili legali dei minori iscritti | Nessun accesso diretto |
| Coordinatori | Responsabili operativi dei centri educativi | Accesso completo al proprio centro |
| Educatori | Operatori educativi dei centri | Accesso al diario del proprio centro |
| Responsabili legali | Rappresentanti legali delle organizzazioni clienti | Accesso a tutti i centri della propria organizzazione |
I minori e i loro genitori/tutori non hanno accesso diretto alla piattaforma. I loro dati sono inseriti e gestiti esclusivamente dagli operatori del centro educativo (coordinatori ed educatori) sotto la responsabilitĂ del Titolare.
2.2 Categorie di dati personali trattati
Dati dei minori
- Dati identificativi: nome, cognome, data di nascita, codice fiscale, indirizzo di residenza
- Dati familiari: nomi e recapiti dei genitori/tutori (telefono, email)
- Dati di attivitĂ educativa: presenze giornaliere, note comportamentali, attivitĂ svolte, compiti assegnati e completati
- Categorie particolari (Art. 9 GDPR): eventuali dati relativi alla salute, disabilitĂ o bisogni educativi speciali, solo se inseriti dal Titolare
Dati degli utenti adulti (operatori)
- Dati identificativi: nome, cognome, email, telefono
- Dati di autenticazione: password (hash bcrypt), credenziali 2FA (cifrate AES-256-GCM)
- Dati tecnici: indirizzo IP, geolocalizzazione approssimativa, user agent, device fingerprint
- Dati di attivitĂ : log di accesso, azioni sulla piattaforma, audit trail
Dati NON trattati
- Dati di pagamento (numeri di carte di credito): gestiti esclusivamente da Stripe. Il Responsabile non ha mai accesso a tali dati.
- Foto, video o immagini dei minori: non previsti dalla piattaforma.
- Dati biometrici: le passkey WebAuthn utilizzano chiavi crittografiche, non dati biometrici grezzi.
3. FinalitĂ e Basi Giuridiche del Trattamento
| FinalitĂ | Descrizione | Base giuridica | Retention |
|---|---|---|---|
| Erogazione del Servizio | Registrazione presenze, diario educativo, report, gestione anagrafica minori | Art. 6.1.b — Esecuzione del contratto | Durata contratto + 1 anno |
| Gestione account e autenticazione | Registrazione utenti, login, 2FA, gestione sessioni, dispositivi attendibili | Art. 6.1.b — Esecuzione del contratto | Durata account + 30 giorni |
| Sicurezza informatica | Audit log, rilevamento anomalie, monitoraggio accessi, prevenzione abusi | Art. 6.1.f — Interesse legittimo | 3 anni |
| Fatturazione e obblighi fiscali | Gestione abbonamenti, emissione fatture, conservazione documenti contabili | Art. 6.1.c — Obbligo legale | 10 anni (Art. 2220 c.c.) |
| Email transazionali | Notifiche operative: reset password, inviti, conferme, avvisi di scadenza | Art. 6.1.b — Esecuzione del contratto | Durata del contratto |
| Backup su Google Drive | Export dati su Google Drive del coordinatore (su richiesta) | Art. 6.1.a — Consenso | A discrezione del Titolare |
| Trattamento dati Art. 9 | Dati su salute/disabilità dei minori, se inseriti dal Titolare | Art. 9.2.a — Consenso esplicito | Durata contratto + 1 anno |
Nota sul consenso per i dati Art. 9 — La raccolta del consenso esplicito dei genitori/tutori per il trattamento di categorie particolari di dati (salute, disabilità ) è responsabilità esclusiva del Titolare (l'organizzazione che gestisce il centro educativo). Il Responsabile non raccoglie direttamente tale consenso, ma tratta i dati sulla base delle istruzioni documentate del Titolare.
4. Destinatari e Sub-responsabili del Trattamento
4.1 Sub-responsabili
Per l'erogazione del Servizio, il Responsabile si avvale dei seguenti fornitori di servizi (sub-responsabili), ciascuno vincolato da un proprio Accordo per il Trattamento dei Dati (DPA) conforme al GDPR:
| Provider | Servizio | Server | Dati trattati | Garanzie |
|---|---|---|---|---|
| MongoDB Atlas | Database — conservazione dati applicativi | Francoforte, DE | Tutti i dati della piattaforma | DPA + SCC + DPF, AES-256 at-rest |
| Render | Backend — logica applicativa e API | Francoforte, DE | Dati in transito | DPA + SCC + DPF, SOC 2, ISO 27001 |
| Vercel | Frontend — interfaccia web statica | Francoforte, DE | Nessun dato personale | DPA + SCC + DPF, SOC 2, ISO 27001 |
| Stripe | Pagamenti — abbonamenti e fatturazione | EU (Irlanda) | Dati fatturazione, carte (diretto) | DPA + SCC + DPF, PCI DSS Level 1 |
| Resend | Email transazionali | AWS (USA) | Email, nome (no dati Art. 9) | DPA + SCC + DPF |
4.2 Altri destinatari
I dati personali potranno inoltre essere comunicati a:
- AutoritĂ giudiziarie o amministrative, nei casi previsti dalla legge;
- Consulenti professionali (legali, fiscali) del Responsabile, vincolati alla riservatezza;
- Google (Google Ireland Limited), esclusivamente per la funzionalitĂ di backup su Google Drive, attivabile su richiesta del coordinatore.
4.3 Trasferimenti internazionali
Il trattamento principale avviene su infrastrutture localizzate nell'Unione Europea (Francoforte, Irlanda). Alcuni sub-responsabili hanno sede negli Stati Uniti e potrebbero accedere ai dati per finalitĂ operative. Tali trasferimenti sono legittimati da:
- EU-US Data Privacy Framework (DPF) — tutti i sub-responsabili sono certificati;
- Standard Contractual Clauses (SCC) ai sensi della Decisione UE 2021/914, come garanzia sussidiaria;
- Misure supplementari: cifratura TLS in transito, cifratura AES-256 at-rest, clausole anti-sorveglianza (Stripe).
5. Periodi di Conservazione dei Dati
| Categoria di dati | Retention | Motivazione |
|---|---|---|
| Dati dei minori (post-cessazione) | 1 anno | Per eventuale rinnovo o migrazione. Al termine: cancellazione definitiva (hard delete). |
| Account utenti (post-cancellazione) | 30 giorni | Per eventuale riattivazione. Al termine: cancellazione definitiva. |
| Audit log di sicurezza | 3 anni | Interesse legittimo per sicurezza informatica e compliance. |
| Dati di fatturazione | 10 anni | Obbligo fiscale italiano (Art. 2220 c.c., D.P.R. 600/1973). |
| Backup Google Drive | A discrezione del Titolare | I file di backup nel Google Drive del coordinatore sono sotto la responsabilitĂ esclusiva del Titolare. |
Grace period alla cancellazione — Alla cancellazione dell'abbonamento, il Servizio entra in modalità di sola lettura per 30 giorni, durante i quali il Titolare può esportare i propri dati. Al termine, i dati vengono posti in stato di soft-delete e successivamente cancellati definitivamente secondo i periodi sopra indicati.
6. Diritti degli Interessati
Ai sensi degli Artt. 15-22 del GDPR, gli Interessati hanno diritto di:
| Diritto | Descrizione |
|---|---|
| Accesso (Art. 15) | Ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali. |
| Rettifica (Art. 16) | Ottenere la correzione di dati inesatti o l'integrazione di dati incompleti. |
| Cancellazione (Art. 17) | Ottenere la cancellazione dei propri dati, salvo obblighi legali di conservazione. |
| Limitazione (Art. 18) | Ottenere la limitazione del trattamento in determinate circostanze. |
| PortabilitĂ (Art. 20) | Ricevere i propri dati in formato strutturato e leggibile (JSON) e trasmetterli a un altro titolare. |
| Opposizione (Art. 21) | Opporsi al trattamento basato sull'interesse legittimo. |
| Revoca del consenso | Revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceitĂ del trattamento precedente. |
Come esercitare i diritti
Per i dati dei minori: i genitori/tutori legali devono rivolgersi al Titolare del Trattamento (l'organizzazione che gestisce il centro educativo), che provvederĂ a dare seguito alla richiesta, avvalendosi se necessario dell'assistenza del Responsabile.
Per i dati degli operatori adulti: coordinatori ed educatori possono contattare il Responsabile all'indirizzo privacy@ildiariodibordo.it per esercitare i propri diritti.
Reclamo al Garante: ogni Interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) qualora ritenga che il trattamento dei propri dati violi il GDPR.
7. Misure di Sicurezza
Il Responsabile adotta misure tecniche e organizzative adeguate ai sensi dell'Art. 32 del GDPR. Le misure complete sono dettagliate nell'Allegato B del DPA. Di seguito una sintesi:
Cifratura
- In transito: TLS 1.2+ per tutte le comunicazioni
- At-rest: AES-256 su MongoDB Atlas
- Credenziali 2FA: AES-256-GCM con key derivation scrypt
- Password: hash bcrypt con salt
Controllo degli accessi
- Autenticazione a due fattori (2FA) obbligatoria per coordinatori e responsabili
- Metodi 2FA: TOTP (app authenticator), Email OTP, WebAuthn (passkey)
- Sistema di ruoli (RBAC) con 4 livelli di accesso
- Isolamento multi-tenant: i dati di un centro non sono accessibili da altri centri
Monitoraggio
- Audit log completo con tracciamento di ogni azione significativa
- Rilevamento anomalie (geolocalizzazione, tentativi falliti, dispositivi sconosciuti)
- Rate limiting su tutti gli endpoint sensibili
8. Cookie e Tecnologie di Tracciamento
La piattaforma utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del Servizio. Non vengono utilizzati cookie di profilazione, analytics o di terze parti.
| Cookie | FinalitĂ | Tipo | Durata | Consenso |
|---|---|---|---|---|
| ddb_trusted_device | Riconoscimento dispositivi attendibili per la 2FA degli educatori | Tecnico (httpOnly) | 14 giorni | Non richiesto |
La piattaforma utilizza inoltre il localStorage del browser per la memorizzazione dei token di sessione (JWT access e refresh token). Tali dati non costituiscono cookie e non sono accessibili da terze parti.
Non viene utilizzato alcun servizio di analytics (Google Analytics, Facebook Pixel, o simili). Non vengono effettuate attivitĂ di profilazione o tracciamento comportamentale degli utenti.
Per maggiori dettagli, si rimanda alla Cookie Policy disponibile all'indirizzo https://ildiariodibordo.it/legal/cookie.
9. Trattamento dei Dati dei Minori
La piattaforma è progettata specificamente per la gestione di dati relativi a minori di età compresa tra 6 e 18 anni. Si precisa quanto segue:
-
Nessun accesso diretto: i minori non hanno accesso alla piattaforma e non interagiscono direttamente con essa. I loro dati sono inseriti e gestiti esclusivamente dal personale autorizzato dal Titolare.
-
Consenso genitoriale: il consenso al trattamento dei dati dei minori è raccolto dal Titolare presso i genitori/tutori legali. Per i dati Art. 9 (salute, disabilità ) è richiesto il consenso esplicito.
-
Minimizzazione: la piattaforma raccoglie esclusivamente i dati strettamente necessari alla gestione educativa. Non vengono raccolti foto, video, dati biometrici o dati di navigazione dei minori.
-
Sicurezza rafforzata: 2FA obbligatoria per chi accede ai dati dei minori (coordinatori), audit trail completo, isolamento multi-tenant.
10. Modifiche alla presente Informativa
Il Responsabile si riserva il diritto di aggiornare la presente Informativa per adeguarla a nuove disposizioni normative o a modifiche del Servizio. Le modifiche sostanziali saranno comunicate con almeno 30 giorni di preavviso tramite email e/o avviso nella piattaforma.
La versione aggiornata sarĂ sempre disponibile all'indirizzo: https://ildiariodibordo.it/privacy.
11. Contatti
Per qualsiasi domanda relativa al trattamento dei dati personali, è possibile contattare:
- Email: privacy@ildiariodibordo.it
- PEC: [da definire]
- Indirizzo: [da definire]
Garante per la Protezione dei Dati Personali: www.garanteprivacy.it — Piazza Venezia, 11 - 00187 Roma — email: protocollo@gpdp.it — PEC: protocollo@pec.gpdp.it