La presente informativa sul trattamento dei dati personali è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e delle ulteriori disposizioni italiane ed europee applicabili. Il testo è stato aggiornato tenendo conto dell'assetto effettivo della piattaforma alla data sotto indicata, comprese le aree /app, /admin, /exams, /supervision, /join-research, /admin/consent, i servizi PWA/service worker, gli strumenti di notifica e i moduli di sicurezza e monitoraggio associati alle prove digitali.
1. Titolare del trattamento e recapiti
Titolare del trattamento è Dott. Giovanni Federico, in relazione ai trattamenti effettuati tramite Giovannifederico.NET Educational Platform e ai servizi digitali ad essa collegati.
- Email di contatto generale/privacy: app@giovannifederico.net
- Recapito istituzionale utilizzato dalla piattaforma per funzioni didattiche/organizzative: giovanni.federico@unisob.na.it
- Sito istituzionale/personale di riferimento: www.giovannifederico.net
Eventuali aggiornamenti relativi ai recapiti, ai soggetti autorizzati o all'assetto organizzativo saranno pubblicati nelle presenti pagine legali.
2. Ambito di applicazione dell'informativa
La presente informativa si applica ai trattamenti svolti nell'ambito dei seguenti moduli e servizi, in quanto attivati o resi disponibili nella piattaforma:
- Student App, area docente e relativi moduli riservati: autenticazione, annunci, materiali, whiteboard, live lesson, chat, brain viewer, documentazione digitale, log attività, notifiche, PWA e service worker;
- Digital Exams: accesso alle prove, gestione tentativi, raccolta risposte, salvataggio avanzamento, controlli di sicurezza, logging tecnico e anti-cheat, eventuale oculometria/eye-tracking e misure di blocco o terminazione della prova;
- Supervision / tesi e tirocini: invio candidature, gestione dello stato della domanda, archivio e comunicazioni organizzative;
- Join Research / Experimental Pool: raccolta candidature a studi sperimentali, preferenze, disponibilità, contatti e, se inseriti dall'interessato, eventuali dati appartenenti a categorie particolari;
- Consenso informato digitale: gestione progetti, documenti, versioni, firme, PDF, audit log e conservazione delle evidenze di consenso;
- Area amministrativa e strumenti di gestione utenti, sicurezza, backup, configurazioni, integrazioni con servizi esterni e monitoraggio applicativo.
3. Categorie di dati personali trattati
- Dati anagrafici e identificativi: nome, cognome, username, matricola o identificativo studente, eventuale corso/percorso, stato account, ruolo e privilegi.
- Dati di contatto: email, numero di telefono e altri recapiti eventualmente comunicati dall'utente o inseriti nei moduli.
- Dati di autenticazione e sicurezza: credenziali, hash e token di autenticazione, identificativi di sessione, cookie tecnici, marker anti-CSRF, log di accesso, IP, user agent, timestamp, eventi tecnici, segnalazioni di errore e dati di sicurezza applicativa.
- Dati didattici e di interazione: materiali consultati, annunci letti, messaggi, allegati, elementi condivisi nella whiteboard, aperture di risorse, preferenze dell'interfaccia, azioni svolte nelle aree riservate e relativi log.
- Dati documentali: file caricati da studenti o docenti, metadati dei documenti, richieste di cancellazione, log operativi e dati relativi ai flussi approvativi o amministrativi.
- Dati relativi agli esami digitali: tentativi, risposte, tempi di avvio e chiusura, risultati, correzioni, eventi di sicurezza, log anti-cheat, IP, browser, heartbeat, stato fullscreen, perdita di focus, eventi stampa/copia/taglio/context menu, blocchi, terminazioni e audit tecnici.
- Dati relativi alla webcam/oculometria, se il modulo è attivato per una specifica prova: accesso al flusso video del dispositivo, indicatori tecnici ricavati localmente dal browser per il tracciamento dello sguardo/volto e relativi esiti o segnali di anomalia. Alla data del presente aggiornamento, la piattaforma è configurata, in via ordinaria, per registrare principalmente eventi tecnici e risultati del monitoraggio, non una registrazione sistematica del video grezzo, salvo diversa esplicita comunicazione riferita alla singola prova.
- Dati relativi a candidature e ricerca: dati di profilo, disponibilità, interessi, percorso di studi, note, preferenze sperimentali e, se volontariamente inseriti, dati sulla salute o altri dati appartenenti a categorie particolari ai sensi dell'art. 9 GDPR.
- Dati relativi ai consensi informati: dati identificativi del firmatario, firme, dati inseriti nei form, versione del documento, PDF generati, audit trail, operazioni di raccolta/modifica/consultazione.
- Dati relativi alle notifiche: preferenze notifiche, endpoint di sottoscrizione web push, chiavi tecniche del browser, metadati del device/browser e cronologia essenziale degli eventi notificati.
4. Fonte dei dati
I dati possono provenire:
- direttamente dall'interessato, tramite form, upload, login, utilizzo delle funzionalità o attivazione volontaria di notifiche/browser permissions;
- dall'uso tecnico della piattaforma, che genera sessioni, log, marker di sicurezza, stati di avanzamento, preferenze lato browser e metadati operativi;
- da docenti, amministratori o soggetti autorizzati, quando gestiscono contenuti didattici, esiti, candidature, consensi, account, ruoli o annotazioni operative;
- da integrazioni esterne effettivamente abilitate nella piattaforma, come servizi di posta, provider di hosting, Google Drive/OAuth, CDN, font remoti, librerie esterne, push service del browser o altri servizi richiamati da specifici moduli.
5. Finalità, basi giuridiche, natura del conferimento e criteri di conservazione
| Finalità del trattamento | Dati normalmente coinvolti | Base giuridica | Natura del conferimento | Criterio di conservazione |
|---|---|---|---|---|
| Creazione, gestione e utilizzo di account, aree riservate, sessioni, autenticazione e recupero accessi. | Dati identificativi, email, credenziali, cookie tecnici, sessioni, token, log di autenticazione. | Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR per sicurezza e difesa del sistema. | Necessario per accedere ai servizi riservati. | Per la durata dell'account e, successivamente, per il tempo strettamente necessario a disattivazione tecnica, sicurezza, gestione richieste e tutela del Titolare. |
| Erogazione di servizi didattici e organizzativi: annunci, materiali, whiteboard, live lesson, chat, documentazione e moduli interattivi. | Dati di contatto, contenuti immessi, allegati, log attività, preferenze tecniche e stati di lettura/interazione. | Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR. | Necessario per usare le funzioni richieste; eventuali dati ulteriori sono facoltativi se non espressamente richiesti. | Per il tempo utile alla gestione didattica/organizzativa del servizio e fino a rimozione, archiviazione o diversa decisione amministrativa del Titolare. |
| Gestione di upload e archivi documentali studente-docente. | File caricati, metadati dei file, tipo documento, log operativi, richieste di eliminazione, eventuali notifiche collegate. | Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR. | Necessario se l'utente sceglie di usare il servizio di documentazione digitale. | Fino a cancellazione, archiviazione o esaurimento delle finalità didattiche e amministrative, fatti salvi backup e tempi tecnici di replica/ripristino. |
| Gestione di esami digitali, integrità della prova, prevenzione abusi, verifica e contestazione di anomalie. | Tentativi, risposte, tempi, esiti, log di sicurezza, metadati del browser/dispositivo, IP, eventi anti-cheat, dati fullscreen/focus, eventuale eye-tracking e relativi esiti tecnici. | Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR. | Necessario per sostenere la prova e per garantire sicurezza, regolarità e verificabilità dell'esame. | Per il tempo necessario a correzione, verbalizzazione, audit, gestione contestazioni, accountability e tutela del Titolare o dell'organizzazione didattica. |
| Invio di notifiche in-app e notifiche push web/PWA. | Preferenze notifiche, endpoint push, chiavi tecniche, identificativi browser/sessione, cronologia essenziale eventi. | Notifiche in-app: art. 6, par. 1, lett. b e f GDPR. Notifiche push browser: attivazione volontaria dell'utente e permesso del browser/dispositivo, ai sensi dell'art. 6, par. 1, lett. a GDPR ove il trattamento si basi su un consenso/permesso specifico. | Le notifiche in-app sono funzionali al servizio; le notifiche push sono opzionali e possono essere disattivate in qualsiasi momento. | Fino a revoca/disiscrizione, scadenza tecnica della sottoscrizione, cancellazione account o pulizia dei record non più validi. |
| Gestione candidature per tesi, tirocini e percorsi supervisionati. | Dati anagrafici, contatti, matricola, email, percorso, interessi, disponibilità, note, stato candidatura e log collegati. | Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR. | Necessario se l'interessato invia la candidatura. | Per il tempo necessario alla valutazione della candidatura, alla gestione amministrativa del percorso e agli adempimenti collegati. |
| Gestione del pool sperimentale e della partecipazione a studi di ricerca. | Dati identificativi, contatti, disponibilità, preferenze sperimentali, note, eventuali dati particolari volontariamente conferiti. | Art. 6, par. 1, lett. a GDPR; art. 9, par. 2, lett. a GDPR, ove siano trattati dati appartenenti a categorie particolari. | Facoltativo; il mancato conferimento impedisce l'iscrizione al pool o la valutazione per specifici studi. | Fino a revoca del consenso, richiesta di cancellazione, archiviazione del profilo o diversa esigenza documentata del progetto di ricerca. |
| Raccolta, gestione e conservazione dei consensi informati digitali. | Dati identificativi, firme, documenti, versioni, metadati di raccolta, PDF, audit log e log operativi. | Art. 6, par. 1, lett. c GDPR ove vi siano obblighi applicabili; art. 6, par. 1, lett. f GDPR; art. 9, par. 2, lett. a GDPR se il consenso riguarda categorie particolari di dati. | Necessario per la raccolta e la prova del consenso nel relativo contesto. | Per il periodo richiesto dalla finalità documentale, dalle esigenze di accountability, dalla disciplina di ricerca applicabile o da eventuali obblighi di conservazione. |
| Sicurezza infrastrutturale, logging, prevenzione attacchi, backup, monitoraggio, troubleshooting e continuità operativa. | IP, user agent, timestamp, URI, log applicativi, log di errore, metadati di sicurezza, backup, log di integrità. | Art. 6, par. 1, lett. f GDPR. | Necessario al funzionamento sicuro della piattaforma. | Per un periodo proporzionato alle esigenze di sicurezza, audit, ripristino e difesa del sistema, con minimizzazione e rotazione periodica ove tecnicamente prevista. |
I tempi sopra indicati sono espressi secondo criteri di necessità, pertinenza, minimizzazione, audit e tutela giuridica. Alcune evidenze possono permanere più a lungo nei backup o nei log di sicurezza, nei limiti strettamente coerenti con la finalità per cui sono mantenute.
Per l'accesso alle aree riservate la piattaforma può inoltre richiedere una presa visione esplicita dell'informativa tecnica su cookie e strumenti necessari, registrata localmente nel browser. Tale presa visione ha funzione informativa e di accountability tecnica e non trasforma in trattamento facoltativo strumenti che restano indispensabili per l'autenticazione, la sicurezza e il funzionamento del servizio.
6. Modalità del trattamento e misure di sicurezza
Il trattamento avviene con strumenti elettronici, telematici e organizzativi coerenti con la natura del servizio. La piattaforma utilizza, a seconda del modulo,
misure quali sessioni protette, cookie tecnici HttpOnly/SameSite, token CSRF, controlli di accesso per ruolo e privilegio,
segregazione delle aree amministrative, logging di sicurezza, validazioni server-side, limiti operativi, service worker per la PWA, storage browser strettamente funzionale,
gestione backup, filtri antiabuso, controlli di integrità delle prove digitali e meccanismi di revisione amministrativa.
Non sono svolte attività di marketing comportamentale o vendita di dati personali. L'uso di strumenti automatici di monitoraggio tecnico nelle prove digitali è finalizzato alla sicurezza, alla regolarità e alla verificabilità della prova, non alla profilazione commerciale dell'interessato.
7. Processi decisionali automatizzati e controlli di sicurezza
La piattaforma non adotta, allo stato, decisioni integralmente automatizzate ai sensi dell'art. 22 GDPR con effetti giuridici o analogamente significativi fondate esclusivamente su un trattamento automatizzato. Restano tuttavia possibili, nei moduli di esame, automatismi tecnici di blocco, avviso o terminazione della sessione in presenza di specifiche condizioni di sicurezza o di violazioni comportamentali preconfigurate.
Tali eventi hanno funzione di presidio tecnico e di alert operativo; i relativi log possono essere riesaminati da docente, amministratore o soggetto autorizzato nel contesto didattico, disciplinare o organizzativo competente.
8. Destinatari, autorizzati e responsabili del trattamento
I dati possono essere conosciuti o trattati, nei limiti delle rispettive competenze, da:
- Titolare e soggetti autorizzati alla gestione dei servizi, della didattica, dell'assistenza o dell'amministrazione della piattaforma;
- docenti, tutor, collaboratori o amministratori con privilegi tecnici coerenti con il modulo utilizzato;
- fornitori di hosting, infrastruttura server, database, sistemi di backup, email/SMTP, manutenzione o sicurezza, designati ove necessario quali responsabili del trattamento;
- provider esterni effettivamente richiamati da uno specifico modulo, quali servizi Google/Google Drive/OAuth, provider CDN/librerie/font, servizi web push del browser, servizi di networking o API tecniche necessari alla funzione utilizzata;
- soggetti cui la comunicazione sia imposta o consentita dalla legge, da ordini dell'autorità o da esigenze di difesa in giudizio.
9. Trasferimenti verso Paesi terzi o organizzazioni internazionali
Alcuni moduli della piattaforma possono determinare, per loro natura tecnica, comunicazioni verso provider situati o organizzati anche al di fuori dello Spazio Economico Europeo, ad esempio in caso di utilizzo di Google APIs/Drive/OAuth, font o librerie caricate da domini terzi, servizi web push legati al browser/dispositivo, CDN o altre risorse esterne.
In tali ipotesi il trattamento avviene, ove applicabile, sulla base dei presupposti degli artt. 44 e ss. GDPR, quali decisioni di adeguatezza, clausole contrattuali standard, misure supplementari o altri meccanismi ammessi dal diritto applicabile. L'effettiva ricorrenza del trasferimento dipende dal modulo visitato, dal browser utilizzato, dalle impostazioni tecniche e dai servizi esterni concretamente attivati.
10. Diritti dell'interessato
L'interessato può esercitare, nei casi e nei limiti previsti dagli artt. 15-22 GDPR, i seguenti diritti:
- accesso ai dati personali;
- rettifica dei dati inesatti o aggiornamento dei dati incompleti;
- cancellazione, quando ne ricorrano i presupposti;
- limitazione del trattamento;
- opposizione al trattamento fondato sul legittimo interesse, per motivi connessi alla situazione particolare dell'interessato;
- portabilità dei dati, ove tecnicamente possibile e giuridicamente applicabile;
- revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Per l'esercizio dei diritti è possibile scrivere ai recapiti indicati nella presente informativa, specificando il servizio o il modulo interessato (ad esempio Student App, Digital Exams, Supervision, Join Research, Consenso informato digitale).
11. Reclamo all'Autorità di controllo
L'interessato che ritenga il trattamento non conforme alla normativa ha il diritto di proporre reclamo al Garante per la protezione dei dati personali o di adire le competenti sedi giudiziarie, secondo quanto previsto dagli artt. 77, 78 e 79 GDPR.
12. Rapporti con la Cookie Policy e aggiornamenti futuri
Per il dettaglio su cookie, localStorage, sessionStorage, service worker, Cache API, notifiche browser e altri strumenti di memorizzazione o tracciamento tecnico, consulta la Cookie Policy.
La presente informativa potrà essere aggiornata in caso di modifiche normative, tecniche, organizzative o funzionali della piattaforma. In caso di revisioni rilevanti, la nuova versione sarà pubblicata in questa pagina con aggiornamento della data riportata in alto.