← tutoro.it
← Torna a Tutoro
🛡️ Documento legale

Accordo sul Trattamento dei Dati (DPA)

Data Processing Agreement ai sensi dell'art. 28 GDPR · Ultimo aggiornamento: 16 giugno 2026

Il presente Accordo sul Trattamento dei Dati ("DPA" o "Accordo") costituisce l'atto di nomina a Responsabile del trattamento ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") e forma parte integrante dei Termini e Condizioni di Servizio. Si applica ogni volta che l'Utente tratta, tramite la Piattaforma, dati personali di studenti, genitori o altri terzi.

📌 In caso di contrasto tra il presente DPA e i Termini, relativamente al trattamento dei dati personali degli interessati per conto dell'Utente prevale il presente DPA.

1. Parti e ruoli

Ai sensi del GDPR:

  • L'Utente / Professore che inserisce nella Piattaforma dati personali di studenti agisce in qualità di Titolare del trattamento ("Titolare").
  • Alessandro Zanetti (Tutoro) agisce in qualità di Responsabile del trattamento ("Responsabile"), trattando i dati esclusivamente per conto e su istruzione documentata del Titolare.
Alessandro Zanetti — Responsabile del trattamento
Indirizzo: Via Isonzo 49, 25038 Rovato (BS)
Email: privacy@tutoro.it

L'accettazione dei Termini e del presente DPA in fase di registrazione costituisce conferimento della nomina a Responsabile del trattamento, senza necessità di ulteriore sottoscrizione cartacea.


2. Oggetto, natura, finalità e durata

  • Oggetto: il trattamento dei dati personali necessario all'erogazione del Servizio descritto nei Termini.
  • Natura e operazioni: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione (inclusa l'analisi e la generazione di contenuti didattici tramite intelligenza artificiale), comunicazione ai sub-responsabili e cancellazione.
  • Finalità: consentire al Titolare di gestire la propria attività di tutoraggio — anagrafica e profilo didattico degli studenti, compiti e verifiche, calendario e lezioni, prenotazioni, pagamenti registrati, comunicazioni e portali studente/genitori.
  • Durata: per tutto il periodo di attività dell'account; termina secondo l'art. 9.

3. Categorie di interessati e di dati

Interessati: studenti del Titolare e, ove minorenni, i loro genitori o tutori legali; eventuali altri contatti inseriti dal Titolare.

Categorie di dati personali:

  • dati anagrafici e di contatto (nome, cognome, email, telefono, indirizzo);
  • dati relativi al percorso didattico (materie, livello, compiti, verifiche, voti, note e osservazioni);
  • dati relativi a lezioni, prenotazioni e calendario;
  • pagamenti registrati dal Titolare (importi, ore, tariffe, stato);
  • contenuti caricati dal Titolare o dallo studente (es. allegati e immagini dei compiti);
  • messaggi della messaggistica interna professore–studente.
⚠️ Categorie particolari (art. 9 GDPR). La Piattaforma non è progettata per il trattamento di dati particolari (es. dati sulla salute). Il Titolare si impegna a non inserirli salvo idonea base giuridica, assumendone la responsabilità. Minori: molti interessati sono minorenni; il Titolare è responsabile della raccolta del consenso dei genitori/tutori.

4. Obblighi del Responsabile

  • trattare i dati esclusivamente sulla base di istruzioni documentate del Titolare, salvo obblighi di legge;
  • garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza;
  • adottare le misure di sicurezza di cui all'art. 5;
  • rispettare le condizioni per il ricorso a sub-responsabili (art. 6);
  • assistere il Titolare nelle richieste di esercizio dei diritti degli interessati (artt. 15–22 GDPR);
  • assistere il Titolare negli obblighi di sicurezza, notifica delle violazioni e DPIA (artt. 32–36 GDPR);
  • mettere a disposizione le informazioni necessarie a dimostrare la conformità e consentire gli audit (art. 8);
  • non utilizzare in alcun caso i dati degli studenti per finalità proprie, né per addestrare modelli di intelligenza artificiale.

5. Misure di sicurezza (art. 32 GDPR)

  • cifratura dei dati in transito (TLS) e a riposo;
  • controllo degli accessi basato su ruoli e isolamento dei dati tra account (Row Level Security);
  • autenticazione sicura e gestione protetta delle credenziali;
  • backup periodici e procedure di ripristino;
  • registrazione degli accessi e monitoraggio degli eventi di sicurezza;
  • limiti tecnici contro abusi e sovraccarico (rate limiting).

6. Sub-responsabili (sub-processors)

Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili elencati all'art. 7. Il Responsabile impone a ciascuno, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e risponde nei confronti del Titolare del loro operato.

Variazioni dell'elenco: in caso di aggiunta o sostituzione di un sub-responsabile, il Responsabile ne informa il Titolare con un preavviso di almeno 30 giorni, via email e/o mediante aggiornamento di questa pagina. Entro tale termine il Titolare può opporsi per giustificati motivi; in caso di opposizione non risolvibile, potrà recedere dal Servizio e ottenere la cancellazione o restituzione dei dati (art. 9).


7. Elenco dei sub-responsabili

Sub-responsabileServizioSede / Garanzie
Supabase, Inc.Database, autenticazione e archiviazione fileUE (region EU) · USA — SCC
Vercel, Inc.Hosting e infrastruttura applicativa, CDNUSA / UE — SCC
Paddle.com Market LtdPagamenti (Merchant of Record) e fatturazioneRegno Unito — adeguatezza UE
OpenRouter, Inc.Gateway di instradamento richieste AIUSA — SCC
Mistral AI SASModelli di intelligenza artificialeFrancia (UE)
Google Ireland LtdLogin OAuth, Google Calendar (opzionale), AI vision (Gemini)UE / USA — SCC
Resend, Inc.Invio email transazionaliUSA — SCC
🤖 I provider AI trattano i dati solo per generare la risposta richiesta e non li utilizzano per addestrare i propri modelli. I trasferimenti extra-UE avvengono con decisione di adeguatezza o Clausole Contrattuali Standard (SCC) della Commissione Europea.

8. Diritti degli interessati e audit

Il Responsabile assiste il Titolare nel dar seguito alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). La Piattaforma offre funzioni self-service di esportazione dati (JSON) e cancellazione. Le richieste di studenti e genitori vanno indirizzate in primo luogo al Titolare.

Il Responsabile mette a disposizione, su richiesta scritta e ragionevole, le informazioni necessarie a dimostrare la conformità e consente audit tramite documentazione o ispezioni concordate con ragionevole preavviso, senza pregiudizio per la sicurezza degli altri utenti.


9. Restituzione e cancellazione dei dati

Alla cessazione del Servizio, a scelta del Titolare, il Responsabile restituisce i dati in formato strutturato (esportazione) oppure li cancella con le copie esistenti.

Salvo diversa istruzione, alla cancellazione dell'account i dati vengono eliminati entro 30 giorni, fatti salvi gli obblighi di conservazione di legge (es. dati fiscali). I file della Libreria Materiali su Supabase seguono il periodo di grazia di 30 giorni previsto dai Termini; i file su Google Drive restano nel Drive dell'Utente. I backup sono sovrascritti secondo i normali cicli di rotazione.


10. Violazioni dei dati (data breach)

In caso di violazione dei dati trattati per conto del Titolare, il Responsabile lo informa senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza dell'evento, fornendo le informazioni di cui all'art. 33, par. 3 GDPR in suo possesso:

  • natura della violazione e, ove possibile, categorie e numero approssimativo di interessati e dati coinvolti;
  • probabili conseguenze della violazione;
  • misure adottate o proposte per porvi rimedio e attenuarne gli effetti.

La valutazione e l'eventuale notifica al Garante e la comunicazione agli interessati competono al Titolare, con l'assistenza del Responsabile.


11. Trasferimenti extra-UE

Eventuali trasferimenti di dati verso Paesi terzi avvengono in presenza di una decisione di adeguatezza della Commissione Europea o delle Clausole Contrattuali Standard (SCC), con le misure supplementari necessarie.


12. Contatti

Alessandro Zanetti (Tutoro)
Email: privacy@tutoro.it
Indirizzo: Via Isonzo 49, 25038 Rovato (BS)