Torna alla home
DPA

Data Processing Agreement (Accordo art. 28 GDPR)

Ultimo aggiornamento: 14 maggio 2026

Il presente Accordo sul Trattamento dei Dati ("DPA") integra le Condizioni Generali di Servizio di RegisPro e disciplina il trattamento dei dati personali svolto da RegisPro in qualita' di responsabile del trattamentoai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"), per conto del Titolare del trattamento (di seguito "Titolare" o "Cliente").

1. Definizioni e ruoli

Le definizioni utilizzate in questo DPA assumono il significato attribuito loro dall'art. 4 GDPR. In particolare:

  • Titolare: la scuola (dirigente scolastico) o il docente professionista che adotta RegisPro per il trattamento di dati di studenti e/o personale scolastico.
  • Responsabile: Simone Frosini (P.IVA 07077510480), titolare della Piattaforma RegisPro.
  • Interessati: docenti, studenti (anche minori), genitori esercenti la responsabilita' genitoriale, personale scolastico, terzi destinatari di comunicazioni.

2. Oggetto, durata, natura e finalita' del trattamento (art. 28 par. 3)

ElementoDescrizione
OggettoHosting, conservazione, elaborazione e visualizzazione dei dati personali inseriti dal Titolare nella Piattaforma RegisPro per finalita' di gestione del registro elettronico, comunicazione scuola-famiglia e attivita' didattiche correlate.
DurataPer tutta la durata del contratto di Servizio e per i 30 giorni successivi alla cessazione, periodo nel quale il Titolare puo' esportare i propri dati. Al termine, i dati sono cancellati o restituiti a scelta del Titolare (art. 28 par. 3 lett. g GDPR).
NaturaRaccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione e cancellazione di dati personali.
Finalita'Erogazione del Servizio espressamente richiesto dal Titolare nelle modalita' descritte nelle Condizioni Generali e nella documentazione tecnica di RegisPro.
Categorie di datiDati identificativi, di contatto, professionali, didattici (voti, presenze, note disciplinari, comunicazioni), e' possibile il trattamento di categorie particolari di dati ai sensi dell'art. 9 GDPR (es. dati sanitari relativi a BES/DSA/L.104, dati relativi all'origine etnica nelle note didattiche) qualora inseriti dal Titolare per finalita' di interesse pubblico rilevante (art. 2-sexies Codice Privacy).
Categorie di interessatiStudenti minorenni e maggiorenni, genitori esercenti la responsabilita' genitoriale, docenti, personale scolastico, terzi destinatari di comunicazioni.

3. Obblighi del Responsabile (art. 28 par. 3)

RegisPro si impegna a:

  1. Trattare i dati solo su istruzioni documentate del Titolare, come desumibili dalle funzioni della Piattaforma e dalla documentazione tecnica. Eventuali nuove istruzioni vanno comunicate via email a privacy@regispro.it. Se un'istruzione violasse il GDPR, RegisPro lo segnalera' immediatamente.
  2. Assicurare la riservatezzada parte delle persone autorizzate al trattamento (lett. b), attraverso impegni scritti di confidenzialita'.
  3. Adottare misure di sicurezza adeguateai sensi dell'art. 32 GDPR (lett. c): cifratura in transito (TLS 1.3), cifratura at-rest dei volumi DB Supabase, Row Level Security (RLS) per ogni tabella contenente dati di studenti, autenticazione MFA opzionale per docenti, controllo accessi role-based, backup automatico giornaliero con conservazione 7 giorni, segregazione di rete, monitoring di sicurezza Sentry, log accessi (tabella activity_log).
  4. Non ricorrere ad altri responsabili senza autorizzazionedel Titolare (lett. d). L'elenco aggiornato dei sub-responsabili e' disponibile alla pagina Sub-responsabili. Le modifiche sostanziali sono comunicate via email almeno 30 giorni prima; il Titolare puo' opporsi entro tale termine.
  5. Assistere il Titolare nel rispondere alle richieste di esercizio dei diritti degli interessati (lett. e) entro 5 giorni lavorativi dalla ricezione di una richiesta, fornendo export dei dati in formato CSV/JSON.
  6. Assistere il Titolare nel rispetto degli obblighi di sicurezza, notifica violazioni, DPIA e consultazione preventiva (lett. f). RegisPro mette a disposizione: registro art. 30 par. 2 disponibile su richiesta, modello DPIA per registro elettronico, runbook di gestione data breach.
  7. Cancellare o restituire i dati al termine del contratto (lett. g): a scelta del Titolare entro 30 giorni dalla cessazione, salvo obblighi di conservazione di legge documentati al Titolare.
  8. Rendere disponibili al Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi (lett. h) e consentire e contribuire ad audit, anche tramite ispezioni svolte dal Titolare o da un soggetto da esso incaricato.

4. Notifica di violazione (art. 33 par. 2)

RegisPro notifica al Titolare ogni violazione dei dati personali entro 24 ore dalla conoscenza, con:

  • natura della violazione e categorie/numero approssimativo di interessati e di record interessati;
  • punti di contatto interni (DPO o referente privacy RegisPro);
  • probabili conseguenze e misure adottate o proposte per attenuarne gli effetti;
  • elementi utili al Titolare per la notifica ex art. 33 GDPR al Garante entro 72 ore.

5. Trasferimenti extra-UE

RegisPro non trasferisce dati personali al di fuori dello SEE se non attraverso i sub-responsabili indicati nella pagina Sub-responsabili, sempre con una delle seguenti garanzie ex Capo V GDPR:

  • decisione di adeguatezza UE (es. EU-U.S. Data Privacy Framework, Decisione 2023/1795);
  • Clausole Contrattuali Standard 2021/914 della Commissione Europea, integrate da Transfer Impact Assessment (TIA);
  • misure supplementari tecniche e organizzative (cifratura, pseudonimizzazione) ove necessario.

6. Sub-responsabili (art. 28 par. 2 e 4)

Il Titolare autorizza in via generale RegisPro a ricorrere ai sub-responsabili elencati alla pagina Sub-responsabili. Eventuali modifiche sono notificate al Titolare via email all'indirizzo associato all'account con almeno 30 giorni di preavviso; entro questo termine il Titolare puo' opporsi motivatamente. In caso di opposizione, le parti negoziano in buona fede una soluzione alternativa; in mancanza, il Titolare puo' recedere senza oneri.

7. Responsabilita' e indennizzo

Si applicano gli artt. 82-83 GDPR. RegisPro risponde del danno cagionato dal trattamento solo se non ha adempiuto agli obblighi del GDPR a esso specificamente diretti o ha agito in modo difforme rispetto alle legittime istruzioni del Titolare. La responsabilita' di RegisPro nei confronti del Titolare per inadempimenti contrattuali e' limitata, nei limiti consentiti dalla legge, all'importo corrisposto dal Titolare nei 12 mesi precedenti all'evento, fermi i casi di dolo o colpa grave.

8. Legge applicabile e foro

Il presente DPA e' regolato dalla legge italiana. Per qualsiasi controversia e' competente in via esclusiva il Foro di Firenze, fatto salvo il foro inderogabile del consumatore ove applicabile.

9. Sottoscrizione

Il presente DPA si intende sottoscritto dal Titolare al momento dell'accettazione delle Condizioni Generali di Servizio o, in alternativa, mediante sottoscrizione del modulo PDF allegato e invio a privacy@regispro.it. Su richiesta, RegisPro fornisce copia controfirmata.

10. Allegato I — Modulo di richiesta sottoscrizione

Per la sottoscrizione formale del DPA (raccomandata per istituzioni scolastiche e docenti professionisti):

  1. Inviare email a privacy@regispro.it con oggetto "Richiesta DPA art. 28 GDPR".
  2. Indicare: denominazione del Titolare, codice fiscale/P.IVA, sede legale, nominativo del legale rappresentante, recapiti del DPO se nominato.
  3. RegisPro inviera' il DPA in formato PDF firmato digitalmente entro 5 giorni lavorativi.

11. Riferimenti normativi