Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018, l’Istituto di Istruzione Superiore Statale Cigna Baruffi Garelli di Mondovì, in qualità di Titolare del trattamento, informa gli utenti del sito www.cigna-baruffi-garelli.edu.it circa le modalità e le finalità del trattamento dei dati personali raccolti durante la navigazione.
La presente informativa è resa esclusivamente per il sito sopra indicato e non per altri siti web eventualmente raggiungibili tramite link in esso contenuti, per i quali si rimanda alle rispettive informative privacy.
1. Titolare del trattamento
Istituto di Istruzione Superiore Statale Cigna Baruffi Garelli
Via di Curazza 15 — 12084 Mondovì (CN)
Tel. 0174/42601
Email: cnis02900p@istruzione.it
PEC: cnis02900p@pec.istruzione.it
Codice fiscale: 84004970046
Codice meccanografico: CNIS02900P
Legale rappresentante: il Dirigente Scolastico pro tempore, Prof. Giuseppe Cappotto
2. Responsabile della Protezione dei Dati (DPO)
Il Responsabile della Protezione dei Dati (Data Protection Officer), nominato ai sensi dell’art. 37 del GDPR, è:
VARGIU SCUOLA SRL — referente Dott. Ing. Antonio Vargiu
Tel. 070/271526
Email: dpo@vargiuscuola.it
L’utente può contattare il DPO per qualsiasi questione relativa al trattamento dei propri dati personali e per l’esercizio dei diritti previsti dal GDPR.
3. Categorie di dati trattati
3.1 Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione internet.
In questa categoria rientrano: gli indirizzi IP dei dispositivi utilizzati dagli utenti, gli indirizzi URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione della risposta ottenuta, il codice di stato HTTP, il tipo di browser e il sistema operativo dell’utente (user agent), e altri parametri relativi all’ambiente informatico.
Questi dati sono utilizzati al solo fine di garantire il corretto funzionamento del sito, ricavare informazioni statistiche anonime sull’uso del sito e monitorare la sicurezza dei sistemi informatici. I log del server web vengono conservati per un periodo massimo di 90 giorni, trascorsi i quali vengono cancellati automaticamente, salvo che la loro ulteriore conservazione non sia necessaria per l’accertamento di reati o la tutela di diritti in sede giudiziaria.
3.2 Dati forniti volontariamente dall’utente
L’invio facoltativo, esplicito e volontario di messaggi tramite i recapiti email indicati sul sito, ovvero la compilazione di eventuali moduli di contatto, comporta l’acquisizione dell’indirizzo email del mittente (necessario per rispondere) e degli ulteriori dati personali eventualmente contenuti nella comunicazione.
3.3 Cookie
Il sito utilizza esclusivamente cookie tecnici di prima parte, necessari al corretto funzionamento del sito. Non vengono utilizzati cookie di profilazione né cookie analitici.
Per informazioni dettagliate sui cookie installati, sulle modalità di gestione e sui diritti dell’utente, si rimanda alla Cookie Policy.
4. Autenticazione tramite Google OAuth
Il sito offre al personale scolastico la possibilità di accedere all’area riservata tramite autenticazione con l’account Google istituzionale (@cigna-baruffi-garelli.edu.it), mediante il protocollo OAuth 2.0 di Google.
Durante il processo di autenticazione vengono scambiati con Google LLC i seguenti dati: indirizzo email istituzionale, nome e cognome associati all’account, token di autenticazione. Google agisce in qualità di fornitore del servizio di identità e tratta tali dati secondo la propria Privacy Policy e il Data Processing Amendment (DPA) per Google Workspace for Education.
Tale trattamento comporta un trasferimento di dati verso Google LLC (USA), la cui legittimità si fonda sulle Clausole Contrattuali Standard (SCC) e sul DPA sottoscritto con Google nell’ambito del contratto Google Workspace for Education.
5. Servizi di terze parti
Il sito si avvale dei seguenti servizi di terze parti:
| Servizio | Fornitore | Dati trattati | Finalità | Trasferimento extra UE |
|---|---|---|---|---|
| Google Fonts | Google LLC (USA) | Indirizzo IP, user agent | Caricamento dei font tipografici | Sì (USA) — SCC |
| Google OAuth 2.0 | Google LLC (USA) | Email istituzionale, nome, token | Autenticazione area riservata | Sì (USA) — DPA + SCC |
Nota su Google Fonts: il caricamento dei font da Google Fonts CDN comporta la trasmissione dell’indirizzo IP dell’utente ai server di Google LLC. È in corso la valutazione per l’hosting locale dei font, al fine di eliminare tale connessione esterna.
5.1 Pulsanti di condivisione social
Le pagine del sito contengono link di condivisione verso piattaforme esterne (Facebook, Twitter/X, LinkedIn). Si tratta di semplici link ipertestuali che non installano cookie né trasmettono dati a terzi durante la navigazione. Cliccando su tali link, l’utente viene rediretto sulla piattaforma terza, il cui trattamento dei dati è regolato dalla rispettiva informativa privacy:
- Facebook / Meta: Informativa sulla privacy
- Twitter / X: Privacy Policy
- LinkedIn: Informativa sulla privacy
6. Base giuridica del trattamento
I dati personali raccolti tramite il sito vengono trattati sulla base delle seguenti basi giuridiche:
| Trattamento | Base giuridica | Riferimento GDPR |
|---|---|---|
| Dati di navigazione e log server | Interesse legittimo del Titolare (sicurezza del sito e dei sistemi informatici) | Art. 6, par. 1, lett. f) |
| Cookie tecnici | Esenzione dal consenso per cookie strettamente necessari | Art. 122, comma 1, D.Lgs. 196/2003 |
| Risposte a email / moduli di contatto | Esecuzione di misure precontrattuali o adempimento di un obbligo legale | Art. 6, par. 1, lett. b) e c) |
| Autenticazione Google OAuth | Esecuzione di un compito di interesse pubblico (gestione del sito scolastico e dell’area riservata) | Art. 6, par. 1, lett. e) |
| Google Fonts | Interesse legittimo del Titolare (corretta visualizzazione del sito) | Art. 6, par. 1, lett. f) |
| Pubblicazioni obbligatorie (Amministrazione Trasparente, Albo) | Obbligo legale | Art. 6, par. 1, lett. c) — D.Lgs. 33/2013 |
7. Finalità del trattamento
I dati personali sono trattati per le seguenti finalità:
- Garantire il corretto funzionamento del sito web e la sicurezza dei sistemi informatici.
- Consentire l’autenticazione del personale scolastico nell’area riservata.
- Rispondere alle richieste di informazioni inviate dall’utente tramite email o moduli di contatto.
- Adempiere agli obblighi di pubblicazione previsti dalla normativa sulla trasparenza (D.Lgs. 33/2013) e dall’Albo online.
- Corretta visualizzazione dei contenuti del sito (caricamento font).
I dati non vengono trattati per finalità di profilazione, marketing diretto, invio di comunicazioni commerciali o cessione a terzi per scopi propri.
8. Modalità del trattamento
Il trattamento dei dati personali avviene mediante strumenti informatici, con modalità strettamente necessarie a conseguire le finalità sopra indicate e nel rispetto delle misure di sicurezza tecniche e organizzative previste dall’art. 32 del GDPR, tra cui:
- Protezione del sito tramite protocollo HTTPS/TLS.
- Accesso all’area di amministrazione del sito limitato a personale autorizzato, con credenziali individuali.
- Aggiornamento periodico del CMS (WordPress), dei plugin e del sistema operativo del server.
- Backup periodici dei dati.
- Gestione dei cookie tramite il plugin DB Cookie Manager con banner di consenso conforme alle Linee Guida del Garante.
9. Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) del GDPR).
| Categoria di dati | Periodo di conservazione |
|---|---|
| Log del server web (dati di navigazione) | 90 giorni, salvo necessità di conservazione per accertamento di reati |
| Cookie tecnici | Secondo la durata indicata nella Cookie Policy |
| Email ricevute tramite i recapiti del sito | Durata necessaria alla gestione della richiesta e comunque non oltre 2 anni dalla conclusione della pratica |
| Dati di autenticazione OAuth | Durata della sessione di autenticazione |
| Pubblicazioni obbligatorie (Amm. Trasparente) | Termini previsti dal D.Lgs. 33/2013 (5 anni dalla pubblicazione, salvo eccezioni) |
10. Trasferimento dei dati verso paesi terzi
La gestione e la conservazione dei dati personali avvengono su server ubicati all’interno dell’Unione Europea, presso l’hosting provider del sito.
Alcuni servizi di terze parti utilizzati dal sito (Google Fonts, Google OAuth) possono comportare il trasferimento di dati verso server di Google LLC situati negli Stati Uniti d’America. Tali trasferimenti avvengono nel rispetto del Capo V del GDPR (artt. 44-49), sulla base delle seguenti garanzie:
- Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea ai sensi dell’art. 46, par. 2, lett. c) del GDPR.
- Data Processing Amendment (DPA) di Google per Google Workspace for Education, che include impegni specifici sulla protezione dei dati degli utenti in ambito educativo.
- EU-U.S. Data Privacy Framework, ove applicabile, ai sensi della decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
11. Comunicazione e diffusione dei dati
I dati personali raccolti tramite il sito non vengono diffusi, venduti o ceduti a terzi per finalità proprie. I dati potranno essere comunicati a:
- Personale autorizzato dell’istituto (docenti, personale ATA, collaboratori), nella loro qualità di autorizzati al trattamento ai sensi dell’art. 29 del GDPR, limitatamente a quanto necessario per lo svolgimento delle proprie mansioni.
- Responsabili esterni del trattamento (art. 28 GDPR): hosting provider, fornitori di servizi IT, Google LLC (per i servizi indicati nella sezione 5), con i quali sono stati sottoscritti specifici accordi per il trattamento dei dati.
- Autorità pubbliche, ove richiesto dalla legge o da provvedimenti delle autorità competenti.
12. Diritti dell’interessato
Ai sensi degli artt. 15-22 del GDPR, l’utente ha il diritto di:
- Accesso (art. 15): ottenere la conferma dell’esistenza di un trattamento dei propri dati personali e accedere ai dati stessi, nonché ricevere copia dei dati oggetto di trattamento.
- Rettifica (art. 16): ottenere senza ingiustificato ritardo la rettifica di dati personali inesatti che lo riguardano o l’integrazione di dati incompleti.
- Cancellazione (art. 17): ottenere la cancellazione dei propri dati personali, ove sussistano le condizioni previste dalla norma (diritto all’oblio).
- Limitazione del trattamento (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla norma (ad esempio, contestazione dell’esattezza dei dati o trattamento illecito).
- Portabilità dei dati (art. 20): ricevere i dati personali forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare del trattamento.
- Opposizione (art. 21): opporsi in qualsiasi momento al trattamento dei propri dati personali per motivi connessi alla propria situazione particolare, qualora il trattamento sia basato sull’interesse legittimo.
- Revoca del consenso (art. 7, par. 3): revocare il consenso prestato in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca.
Per l’esercizio dei diritti sopra elencati, l’utente può inviare una richiesta:
- Al Titolare del trattamento: email cnis02900p@istruzione.it — PEC cnis02900p@pec.istruzione.it
- Al DPO: email dpo@vargiuscuola.it
Il Titolare si impegna a fornire riscontro entro 30 giorni dal ricevimento della richiesta, prorogabili di ulteriori 60 giorni in caso di complessità o numero elevato di richieste, previa comunicazione motivata all’interessato (art. 12, par. 3, GDPR).
13. Reclamo all’Autorità Garante
Qualora l’utente ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR, ha il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali:
Garante per la Protezione dei Dati Personali
Piazza Venezia 11 — 00187 Roma
Sito web: www.garanteprivacy.it
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Centralino: (+39) 06.696771
14. Aggiornamenti
La presente informativa può essere soggetta a modifiche e aggiornamenti in relazione a variazioni normative, organizzative o tecnologiche. L’utente è invitato a consultare periodicamente questa pagina. La data dell’ultimo aggiornamento è indicata di seguito.