INFORMATIVA SULLA PRIVACY

Utenti Registrati - Piattaforma Leem2

---

Data ultimo aggiornamento: Gennaio 2025

---

1. TITOLARE E RESPONSABILE DEL TRATTAMENTO

Titolare del Trattamento

Il Titolare del Trattamento dei dati personali è la scuola che utilizza questo servizio. Per conoscere i dati di contatto specifici del Titolare, si prega di consultare il sito web della scuola, contattare direttamente l'istituto o fare riferimento alle comunicazioni istituzionali della scuola.

La scuola determina le finalità e le modalità del trattamento dei dati personali del personale scolastico autorizzato che accede alla piattaforma.

Responsabile del Trattamento

Ragione sociale: AR Solutions SRL
Sede legale: Via Filippino degli Organi, 9, 20100 Milano
Partita IVA: 12365010961
Email: carlo@arsolutions.it
Telefono: 3483767476

AR Solutions SRL agisce come Responsabile del Trattamento ai sensi dell'art. 28 GDPR, trattando i dati personali per conto del Titolare (la scuola) nell'ambito della fornitura del servizio SaaS.

---

2. OGGETTO DELL'INFORMATIVA

La presente informativa descrive come vengono trattati i dati personali del personale scolastico autorizzato (docenti, personale di segreteria e amministrazione) che accede alla piattaforma Leem2 per utilizzare i servizi di chatbot interno, gestione documenti e altre funzionalità amministrative.

Il trattamento dei dati è effettuato dal Responsabile (AR Solutions SRL) per conto del Titolare (la scuola), ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR).

---

3. TIPOLOGIE DI DATI TRATTATI

3.1 Dati di autenticazione

• Indirizzo email: Fornito dalla scuola per l'accesso al servizio
• Credenziali Google OAuth: Gestite direttamente da Google (non conservate nella piattaforma)
• Informazioni di sessione: Cookie di sessione con durata di 7 giorni

3.2 Dati delle conversazioni

• Messaggi inviati dagli utenti nei chatbot (interno e pubblico)
• Risposte generate dal sistema
• Metadati delle conversazioni (timestamp, thread_id, ecc.)
• Classificazione dei messaggi (es. flag "danger_in_message", "has_been_answered")

3.3 Dati di utilizzo della piattaforma

• Attività svolte nella piattaforma (accessi, operazioni effettuate)
• Documenti caricati nella knowledge base
• Configurazioni e preferenze dell'utente
• Storico delle attività amministrative

3.4 Dati di log e monitoraggio

• Log delle attività di sistema (accessi, errori, chiamate API)
• Log delle attività di backend e frontend
• Indirizzi email associati alle attività (per audit e troubleshooting)
• Durata di conservazione: 12 mesi

3.5 Cookie tecnici

Il servizio utilizza esclusivamente cookie tecnici necessari per il funzionamento:
- Cookie di sessione per mantenere l'autenticazione OAuth
- Durata: 7 giorni
- Nessun cookie di profilazione o tracciamento

---

4. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

4.1 Finalità per conto del Titolare (Responsabile del Trattamento)

I dati vengono trattati per le seguenti finalità:

1. Erogazione del servizio chatbot interno e pubblico
2. Gestione delle conversazioni con studenti, genitori e personale scolastico
3. Elaborazione delle richieste tramite tecnologia RAG (Retrieval-Augmented Generation)
4. Generazione automatica di circolari e documenti amministrativi

5. Base giuridica: Esecuzione del contratto (art. 6, par. 1, lett. b GDPR)

6. Gestione della knowledge base

7. Caricamento, indicizzazione e gestione dei documenti forniti dalla scuola
8. Aggiornamento della base di conoscenza RAG

9. Base giuridica: Esecuzione del contratto (art. 6, par. 1, lett. b GDPR)

10. Autenticazione e gestione accessi

11. Gestione degli accessi tramite Google OAuth per il personale autorizzato
12. Controllo delle autorizzazioni basato sugli indirizzi email forniti dalla scuola

13. Base giuridica: Esecuzione del contratto (art. 6, par. 1, lett. b GDPR)

14. Monitoraggio qualità del servizio per la scuola

15. Analisi delle conversazioni per identificare domande non soddisfatte
16. Estrazione delle domande più frequenti dal chatbot pubblico
17. Fornitura di report e suggerimenti alla scuola per migliorare la comunicazione

18. Base giuridica: Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR)

19. Analisi aggregata delle funzionalità utilizzate

20. Statistiche aggregate sull'utilizzo delle funzionalità del servizio
21. Report di utilizzo per la scuola

22. Base giuridica: Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR)

23. Sicurezza e prevenzione abusi

24. Rilevamento di contenuti inappropriati o pericolosi
25. Protezione del sistema da accessi non autorizzati
26. Base giuridica: Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR)

4.2 Finalità autonome del Responsabile (Titolare autonomo)

AR Solutions SRL tratta i dati anche come Titolare autonomo per:

1. Miglioramento del prodotto generale
2. Analisi aggregata e anonimizzata delle funzionalità più utilizzate per ottimizzare il servizio
3. Sviluppo di nuove funzionalità basate su pattern di utilizzo generali
4. Miglioramento degli algoritmi e della tecnologia RAG
5. Base giuridica: Legittimo interesse del Responsabile (art. 6, par. 1, lett. f GDPR), previa valutazione del bilanciamento degli interessi

Nota: Per le finalità di cui al punto 4.2, i dati vengono utilizzati in forma aggregata e anonimizzata, senza possibilità di identificazione degli interessati.

---

5. MODALITÀ DEL TRATTAMENTO

Il trattamento dei dati personali viene effettuato mediante:
- Strumenti informatici e telematici
- Procedure automatizzate per l'elaborazione delle conversazioni e dei documenti
- Tecnologie di intelligenza artificiale (RAG) per la generazione delle risposte
- Autenticazione tramite Google OAuth
- Misure di sicurezza tecniche e organizzative per proteggere i dati

---

6. CONSERVAZIONE DEI DATI

6.1 Dati dell'account utente

I dati dell'account vengono conservati fino al termine del contratto tra la scuola e AR Solutions SRL, salvo:
- Richiesta di cancellazione anticipata da parte della scuola o dell'interessato
- Revoca dell'autorizzazione da parte della scuola

6.2 Conversazioni e documenti

• Conversazioni: conservate fino al termine del contratto o fino a rimozione da parte della scuola
• Documenti nella knowledge base: conservati fino a rimozione da parte della scuola o fine rapporto contrattuale

6.3 Dati di log

I log delle attività di sistema vengono conservati per 12 mesi dalla data di generazione, per finalità di audit e conformità normativa.

6.4 Backup

I backup vengono conservati per 7 giorni con sovrascrittura automatica.

6.5 Cancellazione

Al ricevimento di richiesta di cancellazione:
- I dati vengono immediatamente marcati come "cancellati" (soft delete)
- L'eliminazione fisica avviene entro il mese successivo tramite processo automatizzato
- I backup vengono sovrascritti entro 7 giorni

6.6 Fine rapporto contrattuale

Al termine del contratto tra la scuola e AR Solutions SRL, tutti i dati personali verranno cancellati o restituiti alla scuola secondo le modalità concordate nel contratto di servizio.

---

7. DESTINATARI DEI DATI

7.1 Sub-responsabili autorizzati

I dati possono essere comunicati a:

Google Cloud Platform (Google Ireland Limited)
- Servizi utilizzati: Google Cloud Run, Google Cloud SQL for PostgreSQL, Vertex AI, Gemini API, Google OAuth, Google Drive
- Finalità: Hosting, elaborazione dati, servizi di intelligenza artificiale, autenticazione, archiviazione documenti
- Localizzazione: Unione Europea (data residency EU)
- Google Drive: Configurato con data residency per dati a riposo (data at rest) e elaborazione (processing) nell'Unione Europea
- Garanzie: DPA conforme al GDPR, certificazioni ISO/IEC 27001, 27017, 27018, qualificazione ACN livello 2

Google (per autenticazione OAuth)
- Servizi utilizzati: Google OAuth
- Finalità: Autenticazione degli utenti
- Dati trattati: Email e profilo Google (gestiti direttamente da Google secondo la sua informativa privacy)

7.2 Altri destinatari

I dati non vengono comunicati ad altri destinatari oltre a quelli sopra indicati, salvo obblighi di legge o richieste delle autorità competenti.

---

8. TRASFERIMENTI DI DATI

Non sono previsti trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali al di fuori dell'Unione Europea. Tutti i servizi sono configurati per garantire la residenza dei dati nell'UE.

---

9. DIRITTI DEGLI INTERESSATI

Ai sensi del GDPR, gli interessati hanno diritto di:

9.1 Diritti riconosciuti

• Accesso (art. 15 GDPR): Ottenere conferma dell'esistenza dei propri dati e accedervi
• Rettifica (art. 16 GDPR): Correggere dati inesatti o incompleti
• Cancellazione (art. 17 GDPR): Richiedere la cancellazione dei propri dati ("diritto all'oblio")
• Limitazione (art. 18 GDPR): Limitare il trattamento in determinate circostanze
• Portabilità (art. 20 GDPR): Ricevere i propri dati in formato strutturato e trasferirli ad altro titolare
• Opposizione (art. 21 GDPR): Opporsi al trattamento basato su legittimo interesse

9.2 Come esercitare i diritti

Per esercitare i propri diritti, gli interessati devono rivolgersi al Titolare del Trattamento (la scuola). Le richieste possono essere inviate:
- Direttamente alla scuola utilizzando i canali di contatto ufficiali dell'istituto
- Al Responsabile del Trattamento (AR Solutions SRL) che provvederà a inoltrarle al Titolare

Per i diritti di cancellazione e portabilità, le richieste possono essere inviate direttamente al Responsabile del Trattamento all'indirizzo email: carlo@arsolutions.it

Le richieste verranno gestite secondo i seguenti tempi:
- Richiesta di cancellazione: entro 30 giorni dal ricevimento
- Possono essere eliminati i dati personali di un collaboratore specifico o di tutta la scuola
- Il processo di cancellazione verrà portato a termine entro 30 giorni
- Verrà effettuata una registrazione dei log di cancellazione per finalità di audit e conformità
- Richiesta di portabilità: entro 30 giorni dal ricevimento
- Altre richieste: entro 1 mese dal ricevimento (prorogabile di ulteriori 2 mesi in casi complessi)

9.3 Diritto di reclamo

Gli interessati hanno diritto di presentare reclamo all'Autorità di controllo competente:
- Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121 - 00186 Roma
Tel: 06 696771
Email: garante@gpdp.it
Web: www.garanteprivacy.it

---

10. NATURA DEL CONFERIMENTO DEI DATI

Il conferimento dei dati personali è necessario per:
- Accedere alla piattaforma e utilizzare i servizi
- Eseguire le funzionalità amministrative richieste

Il mancato conferimento comporterà l'impossibilità di utilizzare il servizio.

---

11. MISURE DI SICUREZZA

Il Responsabile adotta misure tecniche e organizzative appropriate per proteggere i dati personali:

• Infrastruttura sicura: Hosting su Google Cloud Platform con certificazioni ISO e qualificazione ACN
• Autenticazione: Accesso tramite Google OAuth con scope limitati
• Crittografia: Dati trasmessi tramite protocollo HTTPS
• Separazione logica: Dati separati per tenant (multi-tenant architecture)
• Accesso controllato: Accesso ai dati basato su ruoli e autorizzazioni fornite dalla scuola
• Credenziali sicure: Chiavi di accesso gestite tramite variabili d'ambiente
• Monitoraggio: Logging completo delle attività per 12 mesi
• Backup sicuri: Backup conservati per 7 giorni con sovrascrittura automatica

---

12. GESTIONE DELL'ACCOUNT

12.1 Autorizzazioni

L'accesso alla piattaforma è consentito solo agli indirizzi email forniti dalla scuola. La scuola è responsabile di:
- Fornire gli elenchi degli utenti autorizzati
- Comunicare eventuali modifiche agli elenchi
- Revocare l'accesso quando necessario

12.2 Ruoli e permessi

I permessi degli utenti sono gestiti dalla scuola attraverso la configurazione della piattaforma. Le funzionalità accessibili dipendono dal ruolo assegnato (amministratore, collaboratore, ecc.).

---

13. MODIFICHE ALL'INFORMATIVA

La presente informativa può essere modificata per riflettere cambiamenti nelle modalità di trattamento o nelle normative applicabili. Le modifiche significative saranno comunicate agli utenti tramite:
- Avviso sulla piattaforma al prossimo accesso
- Email di notifica agli indirizzi registrati

Si consiglia di consultare periodicamente questa pagina per essere informati su eventuali aggiornamenti.

---

14. CONTATTI

Per domande, chiarimenti o per esercitare i propri diritti relativi al trattamento dei dati personali:

Titolare del Trattamento (scuola):
Si prega di contattare direttamente la scuola utilizzando i canali di contatto ufficiali dell'istituto (sito web, email istituzionale, segreteria) o fare riferimento alle comunicazioni istituzionali della scuola.

Responsabile del Trattamento (AR Solutions SRL):
Email: carlo@arsolutions.it
Telefono: 3483767476

Il Responsabile è disponibile per supportare il Titolare nella gestione delle richieste degli interessati e per fornire informazioni tecniche sul trattamento dei dati.

---

Documento redatto in conformità al Regolamento (UE) 2016/679 (GDPR) e alla normativa italiana sulla protezione dei dati personali (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018).