Data Processing Agreement ai sensi dell'art. 28 GDPR · Ultimo aggiornamento: 16 giugno 2026
Il presente Accordo sul Trattamento dei Dati ("DPA" o "Accordo") costituisce l'atto di nomina a Responsabile del trattamento ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") e forma parte integrante dei Termini e Condizioni di Servizio. Si applica ogni volta che l'Utente tratta, tramite la Piattaforma, dati personali di studenti, genitori o altri terzi.
📌 In caso di contrasto tra il presente DPA e i Termini, relativamente al trattamento dei dati personali degli interessati per conto dell'Utente prevale il presente DPA.
1. Parti e ruoli
Ai sensi del GDPR:
- L'Utente / Professore che inserisce nella Piattaforma dati personali di studenti agisce in qualità di Titolare del trattamento ("Titolare").
- Alessandro Zanetti (Tutoro) agisce in qualità di Responsabile del trattamento ("Responsabile"), trattando i dati esclusivamente per conto e su istruzione documentata del Titolare.
Alessandro Zanetti — Responsabile del trattamento
Indirizzo: Via Isonzo 49, 25038 Rovato (BS)
Email:
privacy@tutoro.it
L'accettazione dei Termini e del presente DPA in fase di registrazione costituisce conferimento della nomina a Responsabile del trattamento, senza necessità di ulteriore sottoscrizione cartacea.
2. Oggetto, natura, finalità e durata
- Oggetto: il trattamento dei dati personali necessario all'erogazione del Servizio descritto nei Termini.
- Natura e operazioni: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione (inclusa l'analisi e la generazione di contenuti didattici tramite intelligenza artificiale), comunicazione ai sub-responsabili e cancellazione.
- Finalità: consentire al Titolare di gestire la propria attività di tutoraggio — anagrafica e profilo didattico degli studenti, compiti e verifiche, calendario e lezioni, prenotazioni, pagamenti registrati, comunicazioni e portali studente/genitori.
- Durata: per tutto il periodo di attività dell'account; termina secondo l'art. 9.
3. Categorie di interessati e di dati
Interessati: studenti del Titolare e, ove minorenni, i loro genitori o tutori legali; eventuali altri contatti inseriti dal Titolare.
Categorie di dati personali:
- dati anagrafici e di contatto (nome, cognome, email, telefono, indirizzo);
- dati relativi al percorso didattico (materie, livello, compiti, verifiche, voti, note e osservazioni);
- dati relativi a lezioni, prenotazioni e calendario;
- pagamenti registrati dal Titolare (importi, ore, tariffe, stato);
- contenuti caricati dal Titolare o dallo studente (es. allegati e immagini dei compiti);
- messaggi della messaggistica interna professore–studente.
⚠️ Categorie particolari (art. 9 GDPR). La Piattaforma non è progettata per il trattamento di dati particolari (es. dati sulla salute). Il Titolare si impegna a non inserirli salvo idonea base giuridica, assumendone la responsabilità. Minori: molti interessati sono minorenni; il Titolare è responsabile della raccolta del consenso dei genitori/tutori.
4. Obblighi del Responsabile
- trattare i dati esclusivamente sulla base di istruzioni documentate del Titolare, salvo obblighi di legge;
- garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza;
- adottare le misure di sicurezza di cui all'art. 5;
- rispettare le condizioni per il ricorso a sub-responsabili (art. 6);
- assistere il Titolare nelle richieste di esercizio dei diritti degli interessati (artt. 15–22 GDPR);
- assistere il Titolare negli obblighi di sicurezza, notifica delle violazioni e DPIA (artt. 32–36 GDPR);
- mettere a disposizione le informazioni necessarie a dimostrare la conformità e consentire gli audit (art. 8);
- non utilizzare in alcun caso i dati degli studenti per finalità proprie, né per addestrare modelli di intelligenza artificiale.
5. Misure di sicurezza (art. 32 GDPR)
- cifratura dei dati in transito (TLS) e a riposo;
- controllo degli accessi basato su ruoli e isolamento dei dati tra account (Row Level Security);
- autenticazione sicura e gestione protetta delle credenziali;
- backup periodici e procedure di ripristino;
- registrazione degli accessi e monitoraggio degli eventi di sicurezza;
- limiti tecnici contro abusi e sovraccarico (rate limiting).
6. Sub-responsabili (sub-processors)
Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili elencati all'art. 7. Il Responsabile impone a ciascuno, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e risponde nei confronti del Titolare del loro operato.
Variazioni dell'elenco: in caso di aggiunta o sostituzione di un sub-responsabile, il Responsabile ne informa il Titolare con un preavviso di almeno 30 giorni, via email e/o mediante aggiornamento di questa pagina. Entro tale termine il Titolare può opporsi per giustificati motivi; in caso di opposizione non risolvibile, potrà recedere dal Servizio e ottenere la cancellazione o restituzione dei dati (art. 9).
7. Elenco dei sub-responsabili
| Sub-responsabile | Servizio | Sede / Garanzie |
| Supabase, Inc. | Database, autenticazione e archiviazione file | UE (region EU) · USA — SCC |
| Vercel, Inc. | Hosting e infrastruttura applicativa, CDN | USA / UE — SCC |
| Paddle.com Market Ltd | Pagamenti (Merchant of Record) e fatturazione | Regno Unito — adeguatezza UE |
| OpenRouter, Inc. | Gateway di instradamento richieste AI | USA — SCC |
| Mistral AI SAS | Modelli di intelligenza artificiale | Francia (UE) |
| Google Ireland Ltd | Login OAuth, Google Calendar (opzionale), AI vision (Gemini) | UE / USA — SCC |
| Resend, Inc. | Invio email transazionali | USA — SCC |
🤖 I provider AI trattano i dati solo per generare la risposta richiesta e non li utilizzano per addestrare i propri modelli. I trasferimenti extra-UE avvengono con decisione di adeguatezza o Clausole Contrattuali Standard (SCC) della Commissione Europea.
8. Diritti degli interessati e audit
Il Responsabile assiste il Titolare nel dar seguito alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). La Piattaforma offre funzioni self-service di esportazione dati (JSON) e cancellazione. Le richieste di studenti e genitori vanno indirizzate in primo luogo al Titolare.
Il Responsabile mette a disposizione, su richiesta scritta e ragionevole, le informazioni necessarie a dimostrare la conformità e consente audit tramite documentazione o ispezioni concordate con ragionevole preavviso, senza pregiudizio per la sicurezza degli altri utenti.
9. Restituzione e cancellazione dei dati
Alla cessazione del Servizio, a scelta del Titolare, il Responsabile restituisce i dati in formato strutturato (esportazione) oppure li cancella con le copie esistenti.
Salvo diversa istruzione, alla cancellazione dell'account i dati vengono eliminati entro 30 giorni, fatti salvi gli obblighi di conservazione di legge (es. dati fiscali). I file della Libreria Materiali su Supabase seguono il periodo di grazia di 30 giorni previsto dai Termini; i file su Google Drive restano nel Drive dell'Utente. I backup sono sovrascritti secondo i normali cicli di rotazione.
10. Violazioni dei dati (data breach)
In caso di violazione dei dati trattati per conto del Titolare, il Responsabile lo informa senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza dell'evento, fornendo le informazioni di cui all'art. 33, par. 3 GDPR in suo possesso:
- natura della violazione e, ove possibile, categorie e numero approssimativo di interessati e dati coinvolti;
- probabili conseguenze della violazione;
- misure adottate o proposte per porvi rimedio e attenuarne gli effetti.
La valutazione e l'eventuale notifica al Garante e la comunicazione agli interessati competono al Titolare, con l'assistenza del Responsabile.
11. Trasferimenti extra-UE
Eventuali trasferimenti di dati verso Paesi terzi avvengono in presenza di una decisione di adeguatezza della Commissione Europea o delle Clausole Contrattuali Standard (SCC), con le misure supplementari necessarie.
12. Contatti
Alessandro Zanetti (Tutoro)
Email:
privacy@tutoro.it
Indirizzo: Via Isonzo 49, 25038 Rovato (BS)