Informativa Privacy

Il Titolare del trattamento dei dati personali raccolti tramite il sito istituzionale e il Portale Erasmus+ è:

Istituto Statale di Istruzione Superiore Mosè Bianchi
Via Minerva 1 — 20900 Monza (MB)
Codice Fiscale: 85006410154 — C.M.: mbis06800p — C.U.U.: UFHPCC
Tel. 039235941
E-mail: mbis06800p@istruzione.it
PEC: mbis06800p@pec.istruzione.it
Legale rappresentante: Dott. Garlati Guido

Responsabile della Protezione dei Dati (DPO — RPD):
Oxfirm S.r.l. — Ing. Antonio Bove
Tel. 339 7775992
E-mail: privacy@oxfirm.it

La presente informativa si applica a due distinti ambienti digitali gestiti dall'Istituto:

• ·Sito istituzionale pubblico (iisbianchi.edu.it) — Accessibile a chiunque, senza autenticazione. Raccoglie dati minimi tramite form di contatto e navigazione.
• ·Portale Erasmus+ (area riservata) — Accessibile previa autenticazione a studenti, docenti e personale scolastico. Gestisce candidature, mobilità, questionari di autovalutazione PRE e POST mobilità e relative statistiche.

I soggetti i cui dati personali sono trattati tramite i sistemi dell'Istituto sono:

• ·Studenti, inclusi minorenni (di età inferiore ai 18 anni)
• ·Famiglie e genitori/tutori legali di studenti minorenni
• ·Docenti e personale tecnico-amministrativo
• ·Collaboratori e fornitori
• ·Privati cittadini che utilizzano i form di contatto pubblici

Trattamento di dati di minori

Il Portale Erasmus+ tratta dati personali di studenti minorenni. Per gli studenti di età inferiore ai 14 anni, il consenso al trattamento dei dati deve essere prestato o autorizzato dal genitore o dal tutore legale (art. 8 GDPR; art. 2-quinquies D.Lgs. 196/2003). L'Istituto adotta misure tecniche e organizzative specifiche per garantire la protezione dei dati di questa categoria di interessati.

4.1 Sito istituzionale — area pubblica

• ·Erogazione dei servizi istituzionali — Iscrizioni, orientamento, comunicazioni — art. 6 par. 1 lett. e) GDPR (esecuzione di un compito di interesse pubblico).
• ·Risposta a richieste di contatto — Art. 6 par. 1 lett. b) GDPR (misure precontrattuali su richiesta dell'interessato).
• ·Sicurezza informatica e log di sistema — Art. 6 par. 1 lett. c) GDPR (obbligo legale) e legittimo interesse del Titolare.

4.2 Portale Erasmus+ — area riservata

• ·Gestione delle candidature e selezione partecipanti — Art. 6 par. 1 lett. e) GDPR.
• ·Questionari PRE e POST mobilità — Autovalutazione competenze linguistiche, interculturali, professionali — art. 6 par. 1 lett. e) GDPR.
• ·Rilevazione di svantaggio economico e/o BES — Ai fini della selezione inclusiva e dei report Indire/EACEA — art. 6 par. 1 lett. e) GDPR. Il conferimento è facoltativo.
• ·Statistiche e report per l'accreditamento Erasmus+ — Indire, EACEA — art. 6 par. 1 lett. c) GDPR (obbligo normativo, Reg. UE 2021/817).
• ·Tracciamento livelli OLS — Art. 6 par. 1 lett. c) GDPR (obbligo linee guida Erasmus+).

5.1 Dati comuni

• ·Dati anagrafici: nome, cognome, data di nascita
• ·Dati di contatto: indirizzo e-mail
• ·Dati di accesso: credenziali di autenticazione (gestite tramite Supabase Auth)
• ·Dati di navigazione: indirizzi IP, log di accesso, timestamp

5.2 Dati specifici del Portale Erasmus+

• ·Dati di carriera scolastica: indirizzo di studi, anno di corso
• ·Dati relativi alle mobilità: paese di destinazione, date, stato della candidatura
• ·Risposte ai questionari PRE e POST mobilità (scala Likert e risposte aperte)
• ·Livelli linguistici OLS: lingua, livello PRE e POST valutazione
• ·Dati facoltativi: situazione di svantaggio economico (ISEE), presenza di BES/DSA/disabilità

L'Istituto si avvale dei seguenti fornitori esterni, nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR:

• ·Supabase Inc. — Infrastruttura di autenticazione e database del Portale Erasmus+. Server di elaborazione: Unione Europea (Frankfurt, AWS eu-central-1). Garanzie: Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.
• ·Banca dati ministeriale SIDI (MIM) — Sistema informativo dell'istruzione per la gestione delle carriere degli studenti.
• ·Software di segreteria e Registro Elettronico — Gestione amministrativa e conservazione del fascicolo alunno.
• ·Oxfirm S.r.l. — Responsabile della Protezione dei Dati (DPO/RPD).

I dati possono essere comunicati ad autorità pubbliche (ASL, Comune, Provincia, USR, organi giudiziari e tributari) nei limiti previsti dalla normativa vigente.

I dati personali sono elaborati su server ubicati nell'Unione Europea (AWS eu-central-1, Frankfurt). La capogruppo di Supabase Inc. ha sede negli Stati Uniti: il trasferimento è regolato dalle Clausole Contrattuali Standard (SCC) adottate con Decisione della Commissione Europea, che garantiscono un livello di protezione equivalente a quello previsto dal GDPR. Nessun altro trasferimento sistematico di dati verso Paesi terzi è previsto. Eventuali trasferimenti eccezionali avverranno solo nel rispetto degli artt. 44–49 GDPR.

Il Titolare adotta misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, tra cui:

• ·Trasmissione dati cifrata tramite protocollo HTTPS/TLS
• ·Autenticazione tramite token sicuri (gestiti da Supabase Auth)
• ·Accesso ai dati limitato al personale autorizzato, con separazione dei ruoli (studente, docente, staff, admin)
• ·Log degli accessi e delle modifiche per finalità di audit
• ·Nessun dato sensibile memorizzato in chiaro

I dati sono conservati per il tempo strettamente necessario alle finalità per le quali sono stati raccolti, nel rispetto della normativa archivistica scolastica (DPR 445/2000; D.Lgs. 42/2004):

• ·Dati di accesso e log di navigazione: 12 mesi.
• ·Dati del fascicolo alunno: Conservati a tempo illimitato dal conservatore del Registro Elettronico, in conformità alle Linee Guida AGID.
• ·Dati delle candidature e mobilità Erasmus+: 10 anni dalla conclusione del periodo di accreditamento (2024–2027), in conformità agli obblighi EACEA.
• ·Risposte ai questionari PRE/POST mobilità: 10 anni dalla conclusione del periodo di accreditamento.
• ·Dati di svantaggio economico/BES: Cancellati o anonimizzati al termine dell'anno scolastico di riferimento, salvo obbligo di rendicontazione Indire.

Ai sensi degli artt. 15–22 del GDPR 2016/679, ogni interessato ha diritto di:

• ·Accesso (art. 15): ottenere conferma che i propri dati siano trattati e riceverne copia
• ·Rettifica (art. 16): correggere dati inesatti o incompleti
• ·Cancellazione — «diritto all'oblio» (art. 17): nei limiti consentiti dalla legge
• ·Limitazione del trattamento (art. 18): in casi specifici previsti dalla norma
• ·Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da dispositivo automatico
• ·Opposizione (art. 21): per motivi legati alla propria situazione particolare
• ·Revoca del consenso (art. 7 par. 3): in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente
• ·Reclamo al Garante (art. 77): proporre reclamo all'Autorità Garante (www.garanteprivacy.it)

Per gli studenti minorenni, i diritti possono essere esercitati anche dal genitore o tutore legale. L'Istituto risponde entro 30 giorni dalla ricezione (art. 12 GDPR).

Le richieste possono essere inviate tramite uno dei seguenti canali:

• ·E-mail: mbis06800p@istruzione.it
• ·PEC: mbis06800p@pec.istruzione.it
• ·DPO — e-mail: privacy@oxfirm.it
• ·Posta ordinaria: Via Minerva 1, 20900 Monza (MB)

Il Titolare risponde entro 30 giorni dalla ricezione della richiesta. In caso di richieste complesse o numerose, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione all'interessato.

Il Titolare si riserva di aggiornare la presente informativa in qualsiasi momento per adeguarla a modifiche normative, tecnologiche o organizzative. La versione vigente è sempre disponibile sul sito istituzionale e sul Portale Erasmus+. In caso di modifiche sostanziali che riguardino i trattamenti già in corso, gli interessati saranno informati tramite comunicazione diretta o avviso sul portale.
Versione 2.0 — Maggio 2026