1) Titolare e contatti

Il Titolare del trattamento è Little Genius International S.r.l. SB (“LGI”), con sede in Via di Grotte Portella 28, 00044 Frascati (RM).

Per qualsiasi richiesta in materia di protezione dei dati (accesso, rettifica, cancellazione, opposizione, revoca del consenso, ecc.) puoi scrivere a privacy@littlegenius.it.

LGI non ha nominato un Responsabile della Protezione dei Dati (DPO), in quanto allo stato non ricorrono i presupposti di cui agli artt. 37–39 GDPR. Resta comunque attivo il canale privacy@littlegenius.it per ogni istanza o segnalazione, cui sarà dato riscontro nei tempi previsti dal GDPR. In caso di evoluzioni organizzative o normative, questa sezione verrà aggiornata.

 

2) Ambito di applicazione

Questa policy unificata si applica a tutti i trattamenti di dati personali effettuati da LGI sia online sia nell’attività scolastica. In particolare, copre il sito web e i servizi digitali collegati (moduli di contatto e di iscrizione a open day, gestione newsletter, cookie e altri tracciatori), nonché i processi tipici della scuola: iscrizioni, gestione didattica e amministrativa, mensa, sicurezza, comunicazioni scuola–famiglia e attività extra-curricolari. La policy coordina le informative specifiche eventualmente fornite in momenti diversi (ad es. durante l’iscrizione), garantendo coerenza e chiarezza sull’uso dei dati.

 

3) Categorie di dati

Nel contesto web, trattiamo soprattutto dati di navigazione e identificatori online, le tue preferenze cookie, le informazioni che inserisci nei form (richieste di contatto o partecipazione a iniziative), eventuali candidature e i log tecnici necessari al funzionamento e alla sicurezza dei servizi.

Nel contesto scuola, trattiamo i dati anagrafici e di contatto di studenti e famiglie, i dati amministrativi connessi alla gestione del rapporto scolastico, e — solo quando strettamente necessari — dati particolari ai sensi dell’art. 9 GDPR (ad esempio informazioni sanitarie per inclusione o mensa). Rientrano inoltre la documentazione didattica e, in ambito scolastico, immagini e video raccolti per finalità educative o istituzionali secondo le basi giuridiche indicate nella policy.

 

4) Finalità e basi giuridiche (artt. 6 e 9 GDPR)

• Gestione richieste via sito (contatti/open day): art. 6.1.b (misure precontrattuali) o 6.1.f (legittimo interesse di riscontro proporzionato).
• Newsletter/marketing: art. 6.1.a (consenso). Soft‑spam solo verso clienti già acquisiti per prodotti/servizi analoghi con opt‑out (art. 130, co. 4 Codice).
• Iscrizione e gestione rapporto scolastico: art. 6.1.b; adempimenti normativi: art. 6.1.c; compiti di interesse pubblico in ambito educativo ove applicabile: art. 6.1.e.
• Dati particolari (es. salute, inclusione): art. 9.2 b, g, h; in alternativa consenso esplicito quando richiesto.
• Sicurezza IT, prevenzione abusi e tutela dei diritti: art. 6.1.f (interesse legittimo proporzionato).

 

5) Cookie e tracciatori (Linee guida Garante 10/06/2021)

Banner con scelte equivalenti Accetta/Rifiuta/Personalizza; no consenso per semplice scroll; no cookie wall salvo casi leciti; attivazione dei tracciatori non tecnici solo dopo consenso. Analytics esenti solo se realmente tecnici/aggregati/first‑party con misure idonee.

 

6) Conservazione (art. 13(2)(a) GDPR)

Trattamento / Contesto	Durata / Criteri	Base giuridica
Form contatti/Open Day (sito)	12 mesi dalla chiusura della richiesta	Art. 6.1.b o 6.1.f
Newsletter/marketing	Fino a revoca dell’opt‑in; soft‑spam fino a opposizione	Art. 6.1.a; art. 130 co.4
Iscrizione/gestione scolastica	Durata del rapporto + termini di legge	Art. 6.1.b/c/e; art. 9.2 b,g,h
Documentazione didattica/valutazioni	Secondo obblighi scolastici e normativi	Art. 6.1.b/e/c; art. 9.2
Amministrazione/contabilità	10 anni (obblighi fiscali/civili)	Art. 6.1.c
Selezione/candidature HR	24 mesi (salvo consenso estensione)	Art. 6.1.b/6.1.f; 6.1.a
Log tecnici sicurezza IT	Max 12 mesi salvo eventi di sicurezza	Art. 6.1.f
Immagini/video extra‑curricolari/pubblicazioni	Per l’iniziativa o fino a revoca	Art. 6.1.a (consenso)

 

7) Destinatari dei dati

Trattiamo i dati all’interno di Little Genius International solo tramite personale autorizzato e istruito, che opera sulla base di precise istruzioni e di un profilo di accesso coerente con le mansioni. Quando ci avvaliamo di soggetti esterni per fornire servizi alla scuola o al sito (ad esempio fornitori IT e cloud, piattaforme gestionali e di comunicazione, consulenti legali e contabili, compagnie assicurative e altri partner tecnici), li nominiamo Responsabili del trattamento ai sensi dell’art. 28 GDPR, vincolandoli con accordi che stabiliscono misure di sicurezza, limiti d’uso e controlli. Inoltre, i dati possono essere comunicati a enti e autorità pubbliche quando ciò è richiesto dalla legge o da ordini legittimi.

L’elenco delle principali categorie di destinatari/fornitori e le relative funzioni è disponibile su richiesta e può essere aggiornato in caso di nuove attivazioni o cessazioni di servizi.

 

8) Trasferimenti extra-SEE (Capo V GDPR)

Alcuni servizi di supporto potrebbero comportare trattamenti in Paesi non appartenenti allo Spazio Economico Europeo. In questi casi, effettuiamo i trasferimenti solo quando sono presenti garanzie adeguate previste dal GDPR, in particolare le Clausole Contrattuali Standard (SCC) di cui all’art. 46, integrate — ove necessario — da misure tecniche e organizzative supplementari. Prima di attivare il servizio, svolgiamo una Transfer Impact Assessment (TIA) per valutare il contesto normativo del Paese di destinazione e l’efficacia delle tutele adottate.

Quando un trasferimento non può basarsi su queste garanzie, e il servizio non è strettamente necessario, richiederemo il tuo consenso esplicito o eviteremo il trasferimento. Su richiesta mettiamo a disposizione una sintesi della TIA e l’indicazione delle principali categorie di fornitori/Paesi interessati.

 

9) Diritti degli interessati (Capo III GDPR)

Hai diritto di accedere ai tuoi dati, rettificarli se inesatti, ottenerne la cancellazione nei casi previsti (“diritto all’oblio”), limitare il trattamento, opporti per motivi legittimi (in particolare al marketing diretto, al quale puoi opporti in qualunque momento), nonché ricevere o trasmettere ad altro titolare i dati che ci hai fornito in formato strutturato e leggibile da dispositivo automatico (portabilità, se trattati con basi consenso o contratto e con mezzi automatizzati). Se il trattamento si basa sul consenso, puoi revocarlo in qualsiasi momento senza pregiudicare la liceità dei trattamenti già effettuati.

Per esercitare i diritti puoi scrivere a [privacy@littlegenius.it]: risponderemo entro 1 mese (prorogabile fino a 2 mesi nei casi complessi, dandone comunque riscontro entro 30 giorni). Potremmo chiederti informazioni necessarie a verificare la tua identità. Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali ([www.garanteprivacy.it](http://www.garanteprivacy.it)) qualora ritenga violati i tuoi diritti in materia di protezione dei dati.

 

10) Decisioni automatizzate e profilazione (art. 22)

LGI non effettua decisioni basate unicamente su trattamenti automatizzati, incluse profilazioni, che producano effetti giuridici o similmente significativi. Eventuali controlli automatizzati sono supportati da intervento umano.

 

11) Minori e immagini

I dati degli studenti sono trattati per adempiere al rapporto scolastico, agli obblighi di legge e, ove previsto, a compiti di interesse pubblico: per queste finalità non è richiesto il consenso dei genitori/tutori. Diverso è il caso delle pubblicazioni non necessarie (ad esempio foto o video sul sito, sui social o in materiale promozionale): in tali ipotesi procediamo solo con consenso specifico e revocabile. Per proteggere i minori, è vietato al personale scattare, archiviare o condividere immagini/video con dispositivi personali o su account privati: si utilizzano esclusivamente dispositivi e canali istituzionali, con salvataggio in spazi autorizzati e per il tempo strettamente necessario.

12) Sicurezza (art. 32 GDPR)

Applichiamo misure tecniche e organizzative proporzionate ai rischi, aggiornate e verificate nel tempo. In pratica, questo significa: controllo degli accessi con credenziali individuali e MFA dove opportuno; cifratura dei dati a riposo e/o in transito quando adeguata; segmentazione e registrazione dei log; procedure per l’uso corretto degli strumenti; formazione periodica del personale; valutazioni sui fornitori (DPA, misure di sicurezza, sub-processor) e verifiche periodiche sull’efficacia dei controlli. In caso di cambiamenti tecnologici o normativi, adeguiamo tempestivamente le misure.

13) Violazioni dei dati (artt. 33–34 GDPR)

Se si verifica un data breach (smarrimento, accesso non autorizzato, divulgazione o indisponibilità dei dati), attiviamo subito la procedura di gestione incidenti:

1. Valutiamo il rischio per i diritti e le libertà degli interessati;
2. Se dovuto, notifichiamo al Garante entro 72 ore dal momento in cui ne veniamo a conoscenza, descrivendo natura della violazione, categorie e volume dei dati, misure adottate e azioni correttive;
3. Se il rischio è elevato, informiamo senza ritardo gli interessati con indicazioni chiare su cosa è accaduto e su come proteggersi;
4. Documentiamo l’evento e le decisioni prese nel registro interno degli incidenti per consentire verifiche e miglioramenti continui.

 

14) Aggiornamenti

Questa policy è soggetta a revisione periodica. La versione corrente è marcata come “Aggiornamento: Ottobre 2025” ed è valida sia per il sito sia come Policy Generale della Scuola.

 

 

 

Little Genius International — Scheda Fornitori/Paesi (Cloud)

Versione: 20/10/2025 — Uso interno / Allegato alla Policy Privacy unificata

Questa scheda riepiloga i principali fornitori cloud utilizzati da LGI, con informazioni su ruolo privacy, finalità, aree di trattamento, strumenti di trasferimento extra-SEE e note operative.

 

Fornitore / Servizio	Ruolo (GDPR)	Finalità principali	Dati trattati (macro)	Aree/Paesi di trattamento	Trasferimenti extra‑SEE	Sub‑processor / Info	Note/TIA
K12NET (SIS)	Responsabile (art. 28)	Gestione scolastica (SIS): iscrizioni, carriera, comunicazioni scuola‑famiglia	Dati anagrafici, scolastici, contatti; eventuali allegati; log accessi	Extra UE – Turchia	Se extra‑SEE: SCC + misure supplementari; altrimenti UE/SEE	Richiedere elenco sub‑processor e data center nel DPA/appendice tecnica	Eseguire TIA e verificare SSO/Office 365/Google; cifratura at‑rest/in‑transit
Google (Workspace/Cloud)	Responsabile (art. 28)	Email/Drive/Collab; eventuale analytics del sito	Contatti, documenti, metadati e log; identificatori online (se GA)	UE disponibile (opzione Data Regions: EU/US/No preference)	SCC + misure; controlli di residenza dati (Data Regions)	Lista sub‑processor pubblica e aggiornata; Trust/Privacy Center	Impostare Data Regions=EU ove possibile; GA solo previa base di consenso; TIA aggiornata
Microsoft (M365/Azure)	Responsabile (art. 28)	Produttività/posta/archiviazione; gestione identità	Email, file, metadati, log; identità utenti	EU Data Boundary completata (UE/EFTA) per dati cliente	SCC laddove rilevante; misure supplementari; EU Model Clauses	Trust Center e documentazione su sub‑processor/servizi	Mappare workload nell’EU Data Boundary; TIA; residenza dati EU
TeamSystem (Cloud)	Responsabile (art. 28)	ERP/contabilità/amministrazione	Dati amministrativi e contabili; anagrafiche; documenti	Data center localizzati nell’UE (dichiarazione TeamSystem)	In via ordinaria nessun trasferimento extra‑SEE; se presente: SCC	DPA TeamSystem e info su sicurezza/sub‑processor disponibili in FAQ/DPA	Verificare DPA di servizio; controlli di sicurezza e cifratura; accessi profilati

 

Note operative

• Per ogni fornitore mantenere DPA firmato, lista sub‑processor aggiornata e TIA (Transfer Impact Assessment).
• Prediligere regioni UE ove disponibili (es. Google Data Regions, Microsoft EU Data Boundary).
• Abilitare MFA/SSO, cifratura a riposo e in transito; gestire ruoli e principi di minimo privilegio.
• Revisione annuale e ad ogni cambio di servizio o sub‑processor.