Privacy Policy

Ultimo aggiornamento: 2025-11-14 14:52:57

Informativa Privacy (artt. 13–14 GDPR)

La presente informativa descrive il trattamento dei dati personali effettuato tramite DirectoryLink, piattaforma per la sincronizzazione e la gestione di identità e directory.

1) Titolare del trattamento

Titolare: [DENOMINAZIONE ENTE] – [INDIRIZZO] – [P.IVA/C.F.]
Contatti privacy: [EMAIL PRIVACY] – [TELEFONO]
DPO (se nominato): [NOME DPO] – [EMAIL DPO]

2) Finalità e basi giuridiche

  1. Provisioning/gestione account (creazione, modifica, revoca utenze; gruppi; OU; home directory): esecuzione di un compito di interesse pubblico / esecuzione di un contratto / obblighi legali.
  2. Sicurezza e auditing (log tecnici, controllo accessi, tracciamento operazioni amministrative): legittimo interesse del Titolare alla sicurezza dei sistemi (bilanciato con i diritti degli interessati).
  3. Supporto e manutenzione (ticket, diagnostica, errori): legittimo interesse / adempimenti contrattuali.
  4. Comunicazioni operative (es. notifiche di reset password): adempimento contrattuale / interesse pubblico nel contesto scolastico.

3) Categorie di dati trattati

  • Dati anagrafici: nome, cognome, eventuale identificativo interno, classe/struttura di afferenza.
  • Dati di contatto: email istituzionale, eventuale telefono interno.
  • Dati di account: username, gruppi, ruoli, OU, stato utente, identificativi tecnici (es. UID/GID RFC2307).
  • Log tecnici: orari di sincronizzazione, esito operazioni, indirizzi IP dei server, identificativi job/queue.
  • Metadati di file-server: percorsi home, ACL assegnate (non i contenuti dei file).
  • Dati particolari: non trattati di regola. Qualsiasi trattamento di categorie particolari ex art. 9 GDPR è escluso o strettamente limitato a eccezionali basi di legge/istruzioni formali.

4) Minori

Nel contesto scolastico sono trattati dati di studenti minorenni per finalità amministrative e didattiche. Il trattamento avviene su base normativa e istruzioni dell’Ente scolastico; eventuali comunicazioni verso i minori sono limitate a quelle strettamente necessarie (es. onboarding credenziali) e, ove applicabile, indirizzate ai referenti legali.

5) Fonte dei dati

Dati provenienti da sistemi sorgente (es. Google Workspace), da Active Directory/Samba, da procedure amministrative interne o da inserimento manuale da parte di personale autorizzato.

6) Natura del conferimento

I dati contrassegnati come necessari sono richiesti per l’erogazione dei servizi digitali; in mancanza, non è possibile creare o mantenere l’account.

7) Conservazione

  • Account e metadati directory: per tutta la durata del rapporto/mandato; quindi disattivazione e cancellazione secondo policy interne (es. disattivazione immediata e cancellazione entro [N] mesi).
  • Log tecnici: conservati per sicurezza e audit per massimo [N] mesi, salvo esigenze di indagine su incidenti.
  • Backup: cifrati e conservati per [N] giorni/mesi con rotazione.

8) Destinatari e responsabili

Accesso interno limitato a personale autorizzato (es. amministratori di sistema e incaricati IT). Fornitori esterni (es. servizi di posta, housing/hosting, assistenza applicativa) operano come Responsabili del trattamento ex art. 28 GDPR su istruzioni scritte. L’elenco aggiornato dei responsabili è disponibile su richiesta.

9) Trasferimenti extra-SEE

Qualora si utilizzino servizi con infrastrutture extra-SEE, il trasferimento avviene nel rispetto del Capo V GDPR (es. Decisioni di Adeguatezza UE, Standard Contractual Clauses e misure supplementari).

10) Sicurezza (art. 32 GDPR)

  • Cifratura dei dati in transito (TLS) e, ove applicabile, a riposo.
  • Controllo accessi basato su ruoli, principio del minimo privilegio, autenticazione a più fattori per ruoli sensibili.
  • Audit log delle operazioni amministrative critiche.
  • Hardening dei server, segmentazione di rete, limitazione delle superfici d’attacco.
  • Backup regolari, test di ripristino, procedure di Disaster Recovery.
  • Gestione vulnerabilità e aggiornamenti di sicurezza.

Eventuali violazioni dei dati personali sono gestite con procedure di data breach (valutazione rischio, notifiche ex artt. 33–34, mitigazioni).

11) Diritti degli interessati

Gli interessati possono esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione (artt. 15–22 GDPR) scrivendo a [EMAIL PRIVACY]. È possibile proporre reclamo all’Autorità Garante.

12) Cookie e telemetria

Per i cookie e le tecnologie similari si veda la Cookie Policy.

13) Decisioni automatizzate

Non vengono effettuate decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici significativi sull’interessato.

14) Aggiornamenti

La presente informativa può essere aggiornata. Versione: [VERSIONE] – Data: [DATA].