Privacy Policy - Giovannifederico.NET Educational Platform

La presente informativa sul trattamento dei dati personali è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e delle ulteriori disposizioni italiane ed europee applicabili. Il testo è stato aggiornato tenendo conto dell'assetto effettivo della piattaforma alla data sotto indicata, comprese le aree /app, /admin, /exams, /supervision, /join-research, /admin/consent, i servizi PWA/service worker, gli strumenti di notifica e i moduli di sicurezza e monitoraggio associati alle prove digitali.

Ultimo aggiornamento: 2 maggio 2026

1. Titolare del trattamento e recapiti

Titolare del trattamento è Dott. Giovanni Federico, in relazione ai trattamenti effettuati tramite Giovannifederico.NET Educational Platform e ai servizi digitali ad essa collegati.

Email di contatto generale/privacy: app@giovannifederico.net
Recapito istituzionale utilizzato dalla piattaforma per funzioni didattiche/organizzative: giovanni.federico@unisob.na.it
Sito istituzionale/personale di riferimento: www.giovannifederico.net

Eventuali aggiornamenti relativi ai recapiti, ai soggetti autorizzati o all'assetto organizzativo saranno pubblicati nelle presenti pagine legali.

2. Ambito di applicazione dell'informativa

La presente informativa si applica ai trattamenti svolti nell'ambito dei seguenti moduli e servizi, in quanto attivati o resi disponibili nella piattaforma:

Student App, area docente e relativi moduli riservati: autenticazione, annunci, materiali, whiteboard, live lesson, chat individuali e di gruppo, sondaggi/poll didattici, reazioni, indicatori di digitazione/lettura, allegati, brain viewer e dataset neuroimaging, documentazione digitale, log attività, notifiche, PWA e service worker;
Digital Exams: accesso alle prove, gestione tentativi, raccolta risposte, salvataggio avanzamento, controlli di sicurezza, logging tecnico e anti-cheat, eventuale oculometria/eye-tracking e misure di blocco o terminazione della prova;
Supervision / tesi e tirocini: invio candidature, gestione dello stato della domanda, archivio e comunicazioni organizzative;
Join Research / Experimental Pool: raccolta candidature a studi sperimentali, preferenze, disponibilità, contatti e, se inseriti dall'interessato, eventuali dati appartenenti a categorie particolari;
Consenso informato digitale: gestione progetti, documenti, versioni, firme, PDF, audit log e conservazione delle evidenze di consenso;
Area amministrativa e strumenti di gestione utenti, sicurezza, backup, configurazioni, integrazioni con servizi esterni e monitoraggio applicativo.

3. Categorie di dati personali trattati

Dati anagrafici e identificativi: nome, cognome, username, matricola o identificativo studente, eventuale corso/percorso, stato account, ruolo e privilegi.
Dati di contatto: email, numero di telefono e altri recapiti eventualmente comunicati dall'utente o inseriti nei moduli.
Dati di autenticazione e sicurezza: credenziali, hash e token di autenticazione, identificativi di sessione, cookie tecnici, marker anti-CSRF, log di accesso, IP, user agent, timestamp, eventi tecnici, segnalazioni di errore e dati di sicurezza applicativa.
Dati didattici e di interazione: materiali consultati, annunci letti, messaggi, allegati, reazioni, voti/risposte a poll, indicatori di lettura, digitazione e presenza online, elementi condivisi nella whiteboard, aperture di risorse, preferenze dell'interfaccia, azioni svolte nelle aree riservate e relativi log.
Dati relativi ad allegati chat e documenti: file caricati da studenti o docenti, nome originale del file, nome tecnico assegnato, estensione, MIME type, dimensione, hash o metadati di integrità, token di upload/download, chunk temporanei, messaggi di accompagnamento, tipo documento, richieste di cancellazione o sostituzione, archiviazione, log operativi e dati relativi ai flussi approvativi o amministrativi.
Dati relativi agli esami digitali: tentativi, risposte, tempi di avvio e chiusura, avanzamento, autosave, ultima domanda visitata, flag di revisione, risultati, correzioni, audit delle risposte, eventi di sicurezza, log anti-cheat, IP, browser, heartbeat, stato fullscreen, perdita di focus, resize finestra, drift timer, eventi stampa/copia/taglio/incolla/context menu, blocchi, terminazioni e audit tecnici.
Dati relativi alla webcam/oculometria, se il modulo è attivato per una specifica prova: accesso al flusso video del dispositivo, calibrazione, punti di sguardo stimati, indicatori tecnici ricavati localmente dal browser per il tracciamento dello sguardo/volto e relativi esiti o segnali di anomalia. Alla data del presente aggiornamento, la piattaforma è configurata, in via ordinaria, per registrare principalmente eventi tecnici e risultati del monitoraggio, non una registrazione sistematica del video grezzo, salvo diversa esplicita comunicazione riferita alla singola prova.
Dati relativi a candidature e ricerca: dati di profilo, disponibilità, interessi, percorso di studi, note, preferenze sperimentali e, se volontariamente inseriti, dati sulla salute o altri dati appartenenti a categorie particolari ai sensi dell'art. 9 GDPR.
Dati relativi ai consensi informati: dati identificativi del firmatario, firme, dati inseriti nei form, versione del documento, PDF generati, audit trail, operazioni di raccolta/modifica/consultazione.
Dati relativi alle notifiche: preferenze notifiche, endpoint di sottoscrizione web push, chiavi tecniche del browser, metadati del device/browser e cronologia essenziale degli eventi notificati.
Dati relativi a dataset scientifici e Brain Viewer: file NIfTI, atlanti, LUT, metadati di dataset, titolo, descrizione, autore/caricatore, stato di anonimizzazione dichiarato, hash, dimensione, log di accesso e token tecnici di visualizzazione o download. Tali dataset possono avere natura sanitaria o scientifica sensibile se non correttamente anonimizzati.

4. Fonte dei dati

I dati possono provenire:

direttamente dall'interessato, tramite form, upload, login, utilizzo delle funzionalità o attivazione volontaria di notifiche/browser permissions;
dall'uso tecnico della piattaforma, che genera sessioni, log, marker di sicurezza, stati di avanzamento, preferenze lato browser e metadati operativi;
da docenti, amministratori o soggetti autorizzati, quando gestiscono contenuti didattici, esiti, candidature, consensi, account, ruoli o annotazioni operative;
da integrazioni esterne effettivamente abilitate nella piattaforma, come servizi di posta, provider di hosting, Google Drive/OAuth, CDN, font remoti, librerie esterne, push service del browser o altri servizi richiamati da specifici moduli.

5. Finalità, basi giuridiche, natura del conferimento e criteri di conservazione

Finalità del trattamento	Dati normalmente coinvolti	Base giuridica	Natura del conferimento	Criterio di conservazione
Creazione, gestione e utilizzo di account, aree riservate, sessioni, autenticazione e recupero accessi.	Dati identificativi, email, credenziali, cookie tecnici, sessioni, token, log di autenticazione.	Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR per sicurezza e difesa del sistema.	Necessario per accedere ai servizi riservati.	Per la durata dell'account e, successivamente, per il tempo strettamente necessario a disattivazione tecnica, sicurezza, gestione richieste e tutela del Titolare.
Erogazione di servizi didattici e organizzativi: annunci, materiali, whiteboard, live lesson, chat, documentazione e moduli interattivi.	Dati di contatto, contenuti immessi, messaggi, allegati, reazioni, sondaggi/poll, log attività, preferenze tecniche e stati di lettura/interazione.	Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR.	Necessario per usare le funzioni richieste; eventuali dati ulteriori sono facoltativi se non espressamente richiesti.	Per il tempo utile alla gestione didattica/organizzativa del servizio e fino a rimozione, archiviazione o diversa decisione amministrativa del Titolare.
Gestione tecnica di chat, allegati, messaggi vocali/audio, sondaggi e notifiche correlate.	Contenuti dei messaggi, allegati, audio eventualmente registrati e caricati dall'utente, metadati file, conversioni tecniche audio, ricevute di lettura, typing, reazioni, voti poll, token di download, log di invio e recapito.	Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR.	Necessario per usare la chat e ricevere assistenza didattica; l'invio di allegati/audio è facoltativo.	Per il tempo necessario alla gestione della conversazione e dell'attività didattica; upload temporanei e chunk incompleti sono soggetti a pulizia tecnica periodica.
Gestione di upload e archivi documentali studente-docente.	File caricati, metadati dei file, tipo documento, messaggi di accompagnamento, sostituzioni docente, archiviazione, richieste di eliminazione, log operativi, eventuali notifiche email collegate.	Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR.	Necessario se l'utente sceglie di usare il servizio di documentazione digitale.	Fino a cancellazione, archiviazione o esaurimento delle finalità didattiche e amministrative, fatti salvi backup e tempi tecnici di replica/ripristino.
Gestione di esami digitali, integrità della prova, prevenzione abusi, verifica e contestazione di anomalie.	Tentativi, risposte, autosave, audit risposte, tempi, esiti, log di sicurezza, metadati browser/dispositivo, IP, eventi anti-cheat, dati fullscreen/focus/resize, eventuale eye-tracking e relativi esiti tecnici.	Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR.	Necessario per sostenere la prova e per garantire sicurezza, regolarità e verificabilità dell'esame.	Per il tempo necessario a correzione, verbalizzazione, audit, gestione contestazioni, accountability e tutela del Titolare o dell'organizzazione didattica.
Invio di notifiche in-app e notifiche push web/PWA.	Preferenze notifiche, endpoint push, chiavi tecniche, identificativi browser/sessione, cronologia essenziale eventi.	Notifiche in-app: art. 6, par. 1, lett. b e f GDPR. Notifiche push browser: attivazione volontaria dell'utente e permesso del browser/dispositivo, ai sensi dell'art. 6, par. 1, lett. a GDPR ove il trattamento si basi su un consenso/permesso specifico.	Le notifiche in-app sono funzionali al servizio; le notifiche push sono opzionali e possono essere disattivate in qualsiasi momento.	Fino a revoca/disiscrizione, scadenza tecnica della sottoscrizione, cancellazione account o pulizia dei record non più validi.
Gestione candidature per tesi, tirocini e percorsi supervisionati.	Dati anagrafici, contatti, matricola, email, percorso, interessi, disponibilità, note, stato candidatura e log collegati.	Art. 6, par. 1, lett. b GDPR; art. 6, par. 1, lett. f GDPR.	Necessario se l'interessato invia la candidatura.	Per il tempo necessario alla valutazione della candidatura, alla gestione amministrativa del percorso e agli adempimenti collegati.
Gestione del pool sperimentale e della partecipazione a studi di ricerca.	Dati identificativi, contatti, disponibilità, preferenze sperimentali, note, eventuali dati particolari volontariamente conferiti.	Art. 6, par. 1, lett. a GDPR; art. 9, par. 2, lett. a GDPR, ove siano trattati dati appartenenti a categorie particolari.	Facoltativo; il mancato conferimento impedisce l'iscrizione al pool o la valutazione per specifici studi.	Fino a revoca del consenso, richiesta di cancellazione, archiviazione del profilo o diversa esigenza documentata del progetto di ricerca.
Raccolta, gestione e conservazione dei consensi informati digitali.	Dati identificativi, firme manoscritte digitalizzate, campi compilati, documenti, versioni, metadati di raccolta, IP, user agent, PDF, audit log e log operativi.	Art. 6, par. 1, lett. c GDPR ove vi siano obblighi applicabili; art. 6, par. 1, lett. f GDPR; art. 9, par. 2, lett. a GDPR se il consenso riguarda categorie particolari di dati.	Necessario per la raccolta e la prova del consenso nel relativo contesto.	Per il periodo richiesto dalla finalità documentale, dalle esigenze di accountability, dalla disciplina di ricerca applicabile o da eventuali obblighi di conservazione.
Gestione di dataset scientifici, Brain Viewer e materiali neuroimaging o analoghi.	File dataset, metadati, stato anonimizzazione, hash, dimensione, autore/caricatore, log accesso, token tecnici di visualizzazione/download.	Art. 6, par. 1, lett. b e f GDPR; art. 9, par. 2 GDPR solo ove ricorra una condizione specifica applicabile per dati particolari non anonimi.	Necessario se il modulo viene usato; il caricamento di dataset non anonimizzati deve essere evitato salvo base giuridica specifica e istruzioni autorizzate.	Per il tempo necessario alla finalità didattica/scientifica e fino ad archiviazione, rimozione o sostituzione del dataset, salvi backup e audit tecnici.
Sicurezza infrastrutturale, logging, prevenzione attacchi, backup, monitoraggio, troubleshooting e continuità operativa.	IP, user agent, timestamp, URI, log applicativi, log di errore, metadati di sicurezza, backup, log di integrità.	Art. 6, par. 1, lett. f GDPR.	Necessario al funzionamento sicuro della piattaforma.	Per un periodo proporzionato alle esigenze di sicurezza, audit, ripristino e difesa del sistema, con minimizzazione e rotazione periodica ove tecnicamente prevista.

I tempi sopra indicati sono espressi secondo criteri di necessità, pertinenza, minimizzazione, audit e tutela giuridica. Alcune evidenze possono permanere più a lungo nei backup o nei log di sicurezza, nei limiti strettamente coerenti con la finalità per cui sono mantenute.

Per l'accesso alle aree riservate la piattaforma può inoltre richiedere una presa visione esplicita dell'informativa tecnica su cookie e strumenti necessari, registrata localmente nel browser. Tale presa visione ha funzione informativa e di accountability tecnica e non trasforma in trattamento facoltativo strumenti che restano indispensabili per l'autenticazione, la sicurezza e il funzionamento del servizio.

6. Modalità del trattamento e misure di sicurezza

Il trattamento avviene con strumenti elettronici, telematici e organizzativi coerenti con la natura del servizio. La piattaforma utilizza, a seconda del modulo, misure quali sessioni protette, cookie tecnici HttpOnly/SameSite, token CSRF, controlli di accesso per ruolo e privilegio, segregazione delle aree amministrative, logging di sicurezza, validazioni server-side, limiti operativi, service worker per la PWA, storage browser strettamente funzionale, gestione backup, filtri antiabuso, controlli di integrità delle prove digitali e meccanismi di revisione amministrativa.

Non sono svolte attività di marketing comportamentale o vendita di dati personali. L'uso di strumenti automatici di monitoraggio tecnico nelle prove digitali è finalizzato alla sicurezza, alla regolarità e alla verificabilità della prova, non alla profilazione commerciale dell'interessato.

7. Processi decisionali automatizzati e controlli di sicurezza

La piattaforma non adotta, allo stato, decisioni integralmente automatizzate ai sensi dell'art. 22 GDPR con effetti giuridici o analogamente significativi fondate esclusivamente su un trattamento automatizzato. Restano tuttavia possibili, nei moduli di esame, automatismi tecnici di blocco, avviso o terminazione della sessione in presenza di specifiche condizioni di sicurezza o di violazioni comportamentali preconfigurate.

Tali eventi hanno funzione di presidio tecnico e di alert operativo; i relativi log possono essere riesaminati da docente, amministratore o soggetto autorizzato nel contesto didattico, disciplinare o organizzativo competente. L'interessato può chiedere una verifica umana delle anomalie o degli esiti contestati, nei limiti delle procedure didattiche, amministrative e di sicurezza applicabili.

7-bis. Chat, upload e contenuti caricati dagli utenti

Gli utenti sono invitati a non inserire in chat, allegati o documenti dati personali eccedenti, dati di terzi non necessari, dati sanitari, giudiziari o comunque appartenenti a categorie particolari, salvo che ciò sia strettamente necessario al modulo o alla finalità didattica/di ricerca e sia coperto da idonea base giuridica o consenso specifico.

Gli allegati possono essere trattati con controlli tecnici su estensione, dimensione, MIME type, integrità, token di accesso e, per alcuni file audio, conversione tecnica di formato tramite strumenti server-side. Tali operazioni servono a rendere il file fruibile, sicuro e compatibile con la piattaforma, non a profilare l'utente.

7-ter. Sistemi AI e automazioni

Alla data del presente aggiornamento non risulta configurato un invio automatico generalizzato dei contenuti di chat, allegati, documenti o prove d'esame a servizi esterni di intelligenza artificiale generativa per finalità di profilazione, marketing o valutazione automatizzata dello studente. Eventuali future funzioni di sintesi, correzione assistita, trascrizione, tutoraggio o analisi tramite servizi AI saranno attivate solo previa informativa aggiornata e, quando richiesto, idonea base giuridica o consenso specifico.

7-quater. Dataset scientifici e neuroimaging

I moduli Brain Viewer e dataset scientifici devono essere usati con dati anonimi o adeguatamente anonimizzati quando la finalità è didattica o dimostrativa. Il solo flag tecnico di anonimizzazione non sostituisce una valutazione sostanziale del rischio di re-identificazione, che resta a carico di chi carica o autorizza il dataset. Dataset contenenti dati sanitari, neuroimmagini identificabili o metadati riconducibili a una persona fisica richiedono una base giuridica specifica, istruzioni autorizzate, minimizzazione e controlli di accesso proporzionati.

8. Destinatari, autorizzati e responsabili del trattamento

I dati possono essere conosciuti o trattati, nei limiti delle rispettive competenze, da:

Titolare e soggetti autorizzati alla gestione dei servizi, della didattica, dell'assistenza o dell'amministrazione della piattaforma;
docenti, tutor, collaboratori o amministratori con privilegi tecnici coerenti con il modulo utilizzato;
fornitori di hosting, infrastruttura server, database, sistemi di backup, email/SMTP, manutenzione o sicurezza, designati ove necessario quali responsabili del trattamento;
provider esterni effettivamente richiamati da uno specifico modulo, quali servizi Google/Google Drive/OAuth, provider CDN/librerie/font, servizi web push del browser, servizi di networking o API tecniche necessari alla funzione utilizzata;
soggetti cui la comunicazione sia imposta o consentita dalla legge, da ordini dell'autorità o da esigenze di difesa in giudizio.

9. Trasferimenti verso Paesi terzi o organizzazioni internazionali

Alcuni moduli della piattaforma possono determinare, per loro natura tecnica, comunicazioni verso provider situati o organizzati anche al di fuori dello Spazio Economico Europeo, ad esempio in caso di utilizzo di Google APIs/Drive/OAuth, font o librerie caricate da domini terzi, servizi web push legati al browser/dispositivo, CDN o altre risorse esterne.

In tali ipotesi il trattamento avviene, ove applicabile, sulla base dei presupposti degli artt. 44 e ss. GDPR, quali decisioni di adeguatezza, clausole contrattuali standard, misure supplementari o altri meccanismi ammessi dal diritto applicabile. L'effettiva ricorrenza del trasferimento dipende dal modulo visitato, dal browser utilizzato, dalle impostazioni tecniche e dai servizi esterni concretamente attivati.

10. Diritti dell'interessato

L'interessato può esercitare, nei casi e nei limiti previsti dagli artt. 15-22 GDPR, i seguenti diritti:

accesso ai dati personali;
rettifica dei dati inesatti o aggiornamento dei dati incompleti;
cancellazione, quando ne ricorrano i presupposti;
limitazione del trattamento;
opposizione al trattamento fondato sul legittimo interesse, per motivi connessi alla situazione particolare dell'interessato;
portabilità dei dati, ove tecnicamente possibile e giuridicamente applicabile;
revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

Per l'esercizio dei diritti è possibile scrivere ai recapiti indicati nella presente informativa, specificando il servizio o il modulo interessato (ad esempio Student App, Digital Exams, Supervision, Join Research, Consenso informato digitale).

Per prove d'esame, audit anti-cheat, consensi informati, dataset di ricerca e documenti amministrativi, alcune richieste di cancellazione o limitazione possono essere differite o limitate quando la conservazione sia necessaria per obblighi di legge, verifica degli esiti, accountability, difesa di diritti o integrità della documentazione didattica/scientifica.

11. Reclamo all'Autorità di controllo

L'interessato che ritenga il trattamento non conforme alla normativa ha il diritto di proporre reclamo al Garante per la protezione dei dati personali o di adire le competenti sedi giudiziarie, secondo quanto previsto dagli artt. 77, 78 e 79 GDPR.

12. Rapporti con la Cookie Policy e aggiornamenti futuri

Per il dettaglio su cookie, localStorage, sessionStorage, service worker, Cache API, notifiche browser e altri strumenti di memorizzazione o tracciamento tecnico, consulta la Cookie Policy.

La presente informativa potrà essere aggiornata in caso di modifiche normative, tecniche, organizzative o funzionali della piattaforma. In caso di revisioni rilevanti, la nuova versione sarà pubblicata in questa pagina con aggiornamento della data riportata in alto e potrà essere richiesta una nuova presa visione nelle aree riservate.