Accordo sul Trattamento dei Dati

Data Processing Agreement (DPA)

Accordo ai sensi dell'art. 28 del Regolamento generale sulla protezione dei dati personali UE 2016/679 (di seguito "GDPR"), stipulato tra il Responsabile del Trattamento e il Titolare del Trattamento al momento della registrazione sulla piattaforma Covini.

Parti dell'Accordo

Responsabile del Trattamento

Covini di Pietro Tommasini
C.F.: TMMPTR99E18A944B
P.IVA: (in fase di registrazione)
Sede: Via Pastrengo 2/2, 40123, Bologna (BO)
Email: info@covini.it

Titolare del Trattamento

L'Istituto scolastico o centro educativo che sottoscrive il presente accordo accettando i termini durante la registrazione su covini.app, nella persona del proprio legale rappresentante.

Premesse

Il Titolare gestisce un centro educativo per minori e intende utilizzare la piattaforma software Covini per la gestione delle comunicazioni con le famiglie, la rilevazione delle presenze, la gestione dei pagamenti e altre attività amministrative e didattiche.

Nell'ambito di tale utilizzo, il Responsabile tratterà dati personali per conto del Titolare, inclusi dati di minori e dati sanitari ai sensi dell'art. 9 GDPR, rendendo necessaria la stipula del presente accordo ai sensi dell'art. 28 GDPR.

Art. 1 — Oggetto e Durata

1.1 Il presente accordo disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'utilizzo della piattaforma Covini, nel rispetto di quanto previsto dall'art. 28 GDPR.

1.2 L'accordo ha durata pari a quella del contratto di servizio sottoscritto tra le parti e si risolve automaticamente alla sua scadenza o risoluzione, fermo restando l'obbligo di conservazione dei dati nei termini previsti dalla normativa vigente.

Art. 2 — Natura, Finalità e Categorie di Dati Trattati

Il trattamento svolto nell'ambito delle finalità di seguito indicate riguarderà:

Categorie di interessati:

  • Genitori e tutori legali dei minori iscritti alla struttura.
  • Personale educativo, amministrativo e collaboratori della struttura.
  • Minori (indirettamente, tramite i dati inseriti dai genitori o tutori legali).
  • Delegati autorizzati al ritiro dei minori.

Categorie di dati trattati:

  • Dati anagrafici e di contatto (nome, cognome, data e luogo di nascita, codice fiscale, residenza, telefono, email).
  • Categorie particolari di dati personali ai sensi dell'art. 9 GDPR: dati sanitari (allergie, patologie, farmaci salvavita, certificati medici).
  • Dati multimediali: fotografie e contenuti audiovisivi dei minori.
  • Dati di presenza lavorativa del personale (data, orario, luogo di timbratura).
  • Dati di geolocalizzazione del personale, raccolti esclusivamente durante l'atto di timbratura e previo consenso esplicito.
  • Dati di navigazione: indirizzo IP, identificativi del dispositivo, log di sistema.
  • Dati di pagamento, gestiti interamente da Stripe — il Responsabile non archivia dati di carte di credito o IBAN.

Finalità del trattamento:

  • Gestione delle comunicazioni tra struttura e famiglie.
  • Rilevazione presenze dei bambini e gestione diari individuali e di classe.
  • Gestione eventi, laboratori e attività extracurricolari.
  • Gestione pagamenti e fatturazione.
  • Rilevazione presenze del personale per finalità connesse al rapporto di lavoro.
  • Invio di notifiche push relative alle attività della struttura.

Art. 3 — Obblighi del Responsabile

Ai sensi dell'art. 28 GDPR, il Responsabile del Trattamento si impegna a:

3.1 Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare e per le finalità indicate nel presente accordo, astenendosi dal trattare i dati per finalità proprie.

3.2 Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

3.3 Adottare tutte le misure di sicurezza richieste dall'art. 32 GDPR, tra cui: cifratura dei dati in transito (TLS/HTTPS), autenticazione sicura tramite Supabase Auth, controllo degli accessi basato sui ruoli (Row Level Security), backup automatici e monitoraggio degli accessi.

3.4 Non ricorrere a un altro responsabile del trattamento (sub-responsabile) senza previa autorizzazione scritta del Titolare. I sub-responsabili attualmente autorizzati sono: Supabase Inc. (database e autenticazione, server UE), Stripe Payments Europe Ltd. (gestione pagamenti), Expo/EAS (distribuzione app mobile), Resend (invio email transazionali).

3.5 Assistere il Titolare, nella misura del possibile, per adempiere all'obbligo di dare seguito alle richieste degli interessati per l'esercizio dei diritti di cui al Capo III del GDPR.

3.6 Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

3.7 Su scelta del Titolare, cancellare o restituire tutti i dati personali al termine del contratto, cancellando le copie esistenti salvo che la normativa preveda la conservazione dei dati.

3.8 Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente articolo e consentire e contribuire alle attività di revisione e audit.

Art. 4 — Obblighi del Titolare

4.1 Fornire istruzioni documentate, specifiche e lecite al Responsabile in merito al trattamento dei dati, nel rispetto della normativa applicabile.

4.2 Informare correttamente gli interessati (genitori, personale) circa il trattamento dei loro dati ai sensi degli artt. 12 e 13 GDPR, anche con riferimento all'utilizzo della piattaforma Covini.

4.3 Ottenere i consensi necessari per il trattamento di categorie particolari di dati ai sensi dell'art. 9 GDPR (dati sanitari, fotografie dei minori) prima di inserirli nella piattaforma.

4.4 Essere l'unico responsabile della veridicità, liceità e correttezza dei dati caricati sulla piattaforma.

4.5 Informare correttamente il proprio personale circa la raccolta dei dati di geolocalizzazione durante le timbrature, nel rispetto dell'art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori) e delle normative applicabili in materia di controllo a distanza dei lavoratori.

4.6 Notificare tempestivamente al Responsabile qualsiasi modifica alle istruzioni di trattamento che possa avere impatto sulle misure di sicurezza adottate.

Art. 5 — Trasferimento dei Dati

5.1 I dati sono conservati principalmente su server situati nell'Unione Europea (Supabase EU region), nel rispetto del principio di minimizzazione dei trasferimenti extra-UE.

5.2 Alcuni fornitori tecnici (Stripe, Expo) potrebbero trasferire dati negli Stati Uniti. Tale trasferimento avviene nel rispetto del Data Privacy Framework EU-USA e delle Clausole Contrattuali Standard (SCC) di cui alla Decisione di esecuzione (UE) 2021/914 della Commissione europea, garantendo un livello di protezione adeguato ai sensi dell'art. 46 GDPR.

Art. 6 — Violazioni dei Dati Personali (Data Breach)

6.1 Il Responsabile notificherà al Titolare qualsiasi violazione dei dati personali ai sensi dell'art. 33 GDPR entro 48 ore dalla scoperta, fornendo tutte le informazioni necessarie per adempiere all'obbligo di notifica all'Autorità di controllo competente (Garante per la Protezione dei Dati Personali).

6.2 La notifica conterrà almeno: la descrizione della natura della violazione, le categorie e il numero approssimativo di interessati e di registrazioni di dati personali in questione, le probabili conseguenze della violazione e le misure adottate o proposte.

Art. 7 — Diritti degli Interessati

7.1 Il Responsabile assiste il Titolare nell'evadere le richieste degli interessati relative all'esercizio dei diritti di cui agli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

7.2 La piattaforma Covini fornisce agli utenti funzionalità native per: esportare i propri dati personali in formato JSON (art. 20 GDPR — diritto alla portabilità) ed eliminare definitivamente il proprio account e tutti i dati associati (art. 17 GDPR — diritto alla cancellazione), tramite apposita funzione nella sezione Profilo dell'app.

Art. 8 — Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione di cui all'art. 5, par. 1, lett. e) GDPR:

Categoria di datiPeriodo di conservazione
Dati account utenteFino alla cancellazione dell'account
Dati bambini e diariFino alla cancellazione dell'account del genitore
Foto e contenuti multimedialiFino alla cancellazione dell'account
Dati sanitari e certificatiFino alla cancellazione dell'account
Timbrature del personale5 anni (prescrizione controversie di lavoro)
Fatture e dati di pagamento10 anni (obbligo fiscale italiano)
Log dei consensi10 anni (compliance GDPR)
Dati delle strutture clienti10 anni dalla fine del rapporto

Art. 9 — Audit e Ispezioni

9.1 Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.

Art. 10 — Legge Applicabile e Foro Competente

Il presente accordo è regolato dalla legge italiana e dal Regolamento UE 2016/679. Per qualsiasi controversia riguardante l'esecuzione o l'interpretazione del presente accordo sarà competente esclusivamente il Foro di Bologna.

Modalità di Accettazione

Il presente DPA viene accettato digitalmente dall'Istituto scolastico al momento della registrazione su covini.app, tramite apposita checkbox nella procedura di iscrizione. L'accettazione viene registrata con timestamp, indirizzo email del legale rappresentante e versione del documento, nel rispetto dei requisiti di forma previsti dall'art. 28, par. 9 GDPR. Per una copia del presente accordo o per qualsiasi richiesta, scrivere a info@covini.it.