Informativa per studenti e genitori

Questa pagina spiega — in modo semplice — come vengono trattati i dati personali quando un'insegnante o una scuola usa RegisPro per tenere il registro elettronico, scrivere voti, comunicare con la famiglia o caricare materiale didattico. E' scritta ai sensi dell'art. 14 del GDPR e dell'art. 2-quinquies del Codice Privacy italiano, perche' i dati di chi non ha ancora 14 anni hanno bisogno di una tutela rafforzata.

1. Chi tratta i dati di tuo figlio o tuo

I dati degli studenti vengono trattati principalmente da chi sceglie di usare RegisPro per fare lezione:

• La scuola(rappresentata dal Dirigente Scolastico), se ha adottato ufficialmente RegisPro come strumento del registro elettronico. In questo caso la scuola e' Titolare del trattamento.
• Il singolo docente, quando svolge lezioni private o professionali. In questo caso il docente e' il Titolare.

In entrambi i casi RegisPro(Simone Frosini, P.IVA 07077510480) e' il Responsabile del trattamento: fornisce solo gli strumenti tecnici, su istruzione del Titolare. Non legge ne' usa i contenuti del registro per finalita' proprie.

2. Quali dati vengono trattati

I dati raccolti dal docente sulla piattaforma sono in genere:

• Nome e cognome dello studente, classe di appartenenza, eventuale email scolastica.
• Voti, valutazioni, note disciplinari, presenze, compiti assegnati.
• File didattici (PDF, immagini, documenti) caricati dal docente in relazione alla lezione.
• Comunicazioni della scuola/del docente verso la famiglia.
• Categorie particolari di dati(art. 9 GDPR): solo se la scuola/il docente le inserisce per finalita' istituzionali — per esempio informazioni relative a BES (Bisogni Educativi Speciali), DSA (Disturbi Specifici dell'Apprendimento) o L. 104/1992. In questi casi RegisPro applica misure rafforzate (RLS, segregazione, log dettagliato degli accessi).

3. Perche' vengono trattati

Per gestire l'attivita' didattica e amministrativa connessa alla funzione di istruzione. La base giuridica e':

• Compito di interesse pubblico(art. 6 par. 1 lett. e e art. 9 par. 2 lett. g GDPR + art. 2-sexies Codice Privacy) quando il Titolare e' una scuola pubblica o paritaria. Non e' richiesto il consenso dei genitori per le finalita' didattiche ordinarie (cfr. Garante Privacy, Provv. 26 marzo 2020 n. 64).
• Esecuzione del contratto tra il genitore committente e il docente professionista (art. 6 par. 1 lett. b GDPR) nel caso di lezioni private.
• Consenso esplicitodegli esercenti la responsabilita' genitoriale (art. 9 par. 2 lett. a GDPR) per eventuali finalita' ulteriori non coperte dalle precedenti (es. pubblicazione di foto su social, attivita' promozionali).

4. Consenso dei minori e responsabilita' genitoriale

L'Italia ha fissato a 14 annil'eta' in cui il minore puo' esprimere autonomamente un consenso al trattamento dei propri dati per servizi online (art. 2-quinquies D.Lgs. 196/2003). Sotto questa eta', quando il trattamento richiede consenso, e' l'esercente la responsabilita' genitoriale a doverlo prestare.

Tieni presente che non tuttii trattamenti hanno bisogno di consenso: per le finalita' didattiche tipiche del registro elettronico la base e' il compito di interesse pubblico, non il consenso.

5. Dove si trovano i dati e per quanto tempo

• I dati sono ospitati su data center Supabase nell'Unione Europea (Stoccolma, Svezia).
• Backup giornalieri, conservati per 7 giorni in cifratura at-rest.
• I contenuti del registro restano disponibili per tutto l'anno scolastico e — secondo le indicazioni del Ministero dell'Istruzione e del Merito — fino alla cessazione del rapporto educativo. Decorso questo termine, il Titolare puo' richiedere la cancellazione o l'archiviazione.
• L'account del docente puo' essere cancellato in qualsiasi momento, con effetto entro 30 giorni.

6. A chi vengono comunicati

I dati non vengono diffusi pubblicamente. Possono essere visti solo da:

• il docente o gli insegnanti autorizzati dalla scuola;
• i genitori, limitatamente ai dati che li riguardano (es. comunicazioni di classe, voti dei propri figli);
• fornitori tecnici elencati alla pagina Sub-responsabili, solo per finalita' tecniche;
• autorita' pubbliche, se richiesto dalla legge.

7. I tuoi diritti (o quelli di chi rappresenti)

In qualsiasi momento puoi esercitare i diritti previsti dagli artt. 15-22 del GDPR per i dati che ti riguardano (o per quelli di tuo figlio se sei esercente la responsabilita' genitoriale):

• Sapere quali dati abbiamo (accesso, art. 15).
• Correggere dati sbagliati (rettifica, art. 16).
• Cancellare dati non piu' necessari (oblio, art. 17).
• Limitare temporaneamente l'uso (limitazione, art. 18).
• Ottenere una copia portabile (portabilita', art. 20).
• Opporti al trattamento per legittimo interesse (art. 21).
• Revocare consensi prestati (art. 7 par. 3).

Per esercitare i diritti su dati di un minore, scrivi a privacy@regispro.it oppure usa il modulo guidato alla pagina Esercita i tuoi diritti. Indica sempre il nome dello studente e quello del docente o della scuola. RegisPro inoltra la richiesta al Titolare entro 5 giorni lavorativi e risponde nei tempi di legge (30 giorni).

8. Reclamo

Se ritieni che il trattamento violi la legge puoi proporre reclamo al Garante per la Protezione dei Dati Personali: Piazza Venezia 11, 00187 Roma — email garante@gpdp.it.

9. Sicurezza

RegisPro applica misure tecniche e organizzative adeguate (art. 32 GDPR): cifratura HTTPS/TLS in transito, cifratura at-rest dei database, autenticazione robusta (MFA opzionale), Row Level Security che impedisce a un docente di vedere studenti di altri colleghi, log di sicurezza, backup, monitoraggio errori senza esposizione di contenuti sensibili (mascheramento integrale dei testi nelle session replay Sentry).

10. Domande frequenti

Posso vedere i dati che il docente ha inserito su mio figlio?

Si'. Scrivi all'insegnante o alla scuola: come Titolari sono i primi responsabili. Se preferisci passare direttamente da RegisPro, usa la pagina Esercita i tuoi dirittie RegisPro indirizzera' la richiesta al Titolare giusto.

I dati di mio figlio possono uscire dall'Italia?

Il database e' in Svezia (UE). Alcuni servizi tecnici (es. la rete Vercel, Google OAuth) possono trasferire dati negli USA: avviene nei limiti del EU-U.S. Data Privacy Framework (Decisione UE 2023/1795) o tramite Clausole Contrattuali Standard. Vedi la pagina Sub-responsabili.

Mio figlio ha meno di 14 anni: deve dare il consenso?

Per le funzioni didattiche del registro elettronico, di norma non serve consensone' del minore ne' del genitore, perche' la base giuridica e' il compito di interesse pubblico. Il consenso serve solo se il docente attiva funzioni non strettamente didattiche (per esempio pubblicazione di foto di classe): in quel caso e' il genitore a dare il consenso fino ai 14 anni.

Posso chiedere che mio figlio venga cancellato dal registro?

Se la finalita' e' ancora attiva (es. anno scolastico in corso), la scuola/il docente potrebbe rifiutare la cancellazione per obbligo normativo. Al termine del rapporto formativo, la cancellazione e' un diritto pieno (art. 17 GDPR).

11. Contatti

• Email privacy RegisPro: privacy@regispro.it
• Indirizzo: Via Guglielmo Tesi 122, 50013 Campi Bisenzio (FI), Italia
• Garante Privacy: www.garanteprivacy.it