Skip to main content

Privacy Policy

v1.0: Giugno 2026

1. Premessa

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che accedono e utilizzano la piattaforma web «Armonia Mentale» (di seguito «Piattaforma»), un servizio digitale dedicato al supporto del benessere degli studenti, erogato dall’Accademia di Belle Arti di Bari.

L’informativa è resa ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito «GDPR») e si applica a tutti gli utenti (suddivisi nei relativi ruoli e permessi) della Piattaforma: studenti, docenti, consulenti e personale amministrativo.

Titolare del Trattamento

Accademia di Belle Arti di Bari, nella persona del Presidente pro tempore e Legale Rappresentante Dott. Rocky Malatesta.

Telefono: 0805566471

Email: aba@accademiabelleartiba.it

Responsabile della Protezione dei Dati (DPO)

Domenico Sisto — C.F. SSTDNC61B11A662I

Telefono: 3703715710

Email: news626@libero.it

PEC: news626@pec.libero.it

Soggetti coinvolti nella gestione della piattaforma

Sig. M. Mondelli : — nominato Responsabile interno del trattamento in qualità di IT manager dell’Accademia di Belle Arti di Bari e di figura con accesso alle infrastrutture web server su cui viene ospitata e pubblicata la piattaforma.

2. Categorie di Dati Trattati

2.1 Dati identificativi e di contatto

  • Nome, cognome, indirizzo email istituzionale e/o personale (indirizzo personale fornito all’Istituzione ed utilizzato a fini istituzionali)

  • Numero di telefono

  • Data di nascita, città di residenza

  • Corso di studi e anno accademico

  • Organizzazione di appartenenza (i.e. Istituzione)

  • Avatar (immagine profilo, se caricata volontariamente)

2.2 Dati di autenticazione

  • Credenziali di accesso (email e password cifrata con algoritmo bcrypt, mai memorizzata in chiaro)

  • Token di autenticazione a due fattori (TOTP), cifrati a riposo

  • Codici di recupero monouso per il 2FA – se utilizzati ed attivati da utente

  • Dati provenienti da Google OAuth (nome, email, ID Google) nel caso in cui l’accesso avvenga tramite account Google istituzionale (fornito)

2.3 Dati relativi al benessere (Categoria Speciale ex Art. 9 GDPR)

La Piattaforma raccoglie, attraverso questionari di assessment, informazioni che possono rivelare lo stato di benessere dell’utente. Tali dati includono:

  • Risposte ai questionari di benessere

  • Punteggi calcolati (score normalizzati)

  • Indicatori di rischio (superamento soglia configurata)

  • Feedback e note del consulente rilasciate allo studente

Questi dati sono trattati con le garanzie rafforzate previste dall’Art. 9, par. 2, lett. a) del GDPR (consenso esplicito) e lett. h) (finalità di assistenza sanitaria o sociale).

2.4 Dati di navigazione e tecnici

  • Indirizzo IP (per rate limiting e sicurezza)

  • User-Agent del browser (registrato nella prova di consenso)

  • Cookie di sessione (necessari al funzionamento)

  • Timestamp di login, logout e azioni significative (audit log)

3. Finalità e Base Giuridica del Trattamento

Finalità

Base Giuridica

Dati Coinvolti

Erogazione del servizio di assessment del benessere

Consenso esplicito (Art. 9, par. 2, lett. a) + Interesse pubblico in ambito sanitario/sociale (lett. h)

Risposte questionari, score, indicatori di rischio, feedback consulente

Gestione dell’account utente e autenticazione

Esecuzione del contratto (Art. 6, par. 1, lett. b)

Dati identificativi, credenziali, dati OAuth, profilo studente

Sicurezza della Piattaforma (prevenzione accessi non autorizzati)

Legittimo interesse (Art. 6, par. 1, lett. f)

IP, User-Agent, log di autenticazione, rate limiting

Comunicazioni di servizio (email transazionali, notifiche)

Esecuzione del contratto (Art. 6, par. 1, lett. b)

Email, nome, preferenze notifica

Adempimenti legali (conservazione proof-of-consent)

Obbligo legale (Art. 6, par. 1, lett. c)

Registro accettazione consensi, IP, User-Agent, timestamp

Audit e tracciabilità delle operazioni

Legittimo interesse (Art. 6, par. 1, lett. f)

Azioni dell’utente (senza contenuto risposte né dati personali)

4. Modalità di Trattamento e Misure di Sicurezza

I dati sono trattati con strumenti elettronici e conservati su server accessibili esclusivamente attraverso la rete interna dell’infrastruttura applicativa o tramite accesso previa autorizzazione esplicita del titolare del trattamento. Le principali misure di sicurezza includono:

4.1 Protezione dei dati in transito

  • Tutte le comunicazioni avvengono esclusivamente tramite protocollo HTTPS (TLS)

  • I cookie di sessione sono impostati con flag HttpOnly, Secure e SameSite=Lax

  • Protezione CSRF attiva su tutte le richieste di modifica

4.2 Protezione dei dati a riposo

  • Le password sono cifrate con algoritmo bcrypt (hashing irreversibile)

  • I secret per l’autenticazione a due fattori e le credenziali OAuth sono cifrati nel database

  • Il database è accessibile solo dalla rete interna del server (nessuna porta esposta)

4.3 Pseudonimizzazione dei questionari iniziali

I questionari di assessment iniziale, che raccolgono dati che potrebbero essere valutati particolarmente sensibili, sono pseudonimizzati:

  • Il campo identificativo dell’utente (user_id) è impostato a NULL nella sessione

  • L’associazione utente-sessione avviene tramite un token anonimo generato con algoritmo HMAC

  • Le notifiche utilizzano un campo separato, senza collegamento diretto ai dati delle risposte

  • Nessuna query può collegare direttamente l’identità dell’utente alle risposte del questionario iniziale

4.4 Audit log GDPR-safe

Il sistema di tracciamento registra le azioni significative (login, compilazione questionari, modifiche) senza mai includere:

  • Il contenuto delle risposte ai questionari (dati di categoria speciale)

  • I valori dei dati anagrafici dello studente (cognome, data di nascita, telefono, città)

Vengono registrati esclusivamente gli eventi e metadati neutri (es. «questionario completato», numero di campi compilati, punteggio numerico).

4.5 Controllo degli accessi

  • Sistema di permessi granulare: ogni utente accede solo ai dati strettamente necessari al proprio ruolo

  • Lo studente non vede mai punteggi grezzi, soglie di rischio, pesi delle domande o indicatori clinici

  • Il personale docente e consulente accede alle sessioni degli studenti solo con permesso esplicito

  • Il super-admin ha accesso completo ma ogni sua azione è registrata nell’audit log

5. Comunicazione e Diffusione dei Dati

I dati non vengono diffusi né comunicati a terzi, ad eccezione dei seguenti casi:

  • Google Ireland Limited: esclusivamente per gli utenti che accedono tramite Google OAuth, limitatamente ai dati necessari all’autenticazione (nome, email, ID)

  • Google LLC (Gemini API): per il funzionamento del chatbot AI, i contenuti della knowledge base (FAQ, pagine web) vengono inviati al servizio di intelligenza artificiale. Le conversazioni degli utenti con il chatbot vengono trasmesse per generare le risposte. Nessun dato personale dello studente, risposta a questionari o dato viene mai inviato a servizi AI esterni

  • Autorità competenti: su richiesta legittima dell’autorità giudiziaria o amministrativa

Non è previsto alcun trasferimento sistematico di dati verso Paesi terzi. L’eventuale trattamento da parte di Google avviene nell’ambito delle Clausole Contrattuali Standard approvate dalla Commissione Europea.

6. Periodo di Conservazione

Tipologia di Dato

Periodo di Conservazione

Criterio

Dati dell’account (profilo, credenziali)

Per tutta la durata dell’iscrizione + 30 giorni dalla cancellazione

Esecuzione contrattuale + periodo tecnico per soft-delete

Risposte ai questionari di assessment

Per tutta la durata dell’iscrizione dello studente

Finalità di supporto continuativo al benessere

Proof-of-consent (accettazione consensi privacy)

Conservazione permanente (mai eliminato)

Obbligo legale GDPR (prova dell’avvenuta accettazione)

Audit log

Configurabile dall’admin (default: 365 giorni)

Legittimo interesse per sicurezza e tracciabilità

Notifiche

Configurabile dall’admin (default: 90 giorni)

Pulizia automatica programmata

Sessioni server e token scaduti

Pulizia automatica giornaliera

Necessità tecnica


7. Diritti dell’Interessato

In conformità agli Artt. 15-22 del GDPR, l’utente ha diritto di:

  • Accesso (Art. 15): ottenere conferma dell’esistenza dei propri dati e copia degli stessi

  • Rettifica (Art. 16): correggere dati inesatti o incompleti tramite la sezione Account della Piattaforma

  • Cancellazione (Art. 17): richiedere la cancellazione dei dati, esercitabile anche tramite la funzione «Elimina Account» della Piattaforma

  • Limitazione (Art. 18): ottenere la limitazione del trattamento in determinate circostanze

  • Portabilità (Art. 20): ricevere i dati in formato strutturato e leggibile da dispositivo automatico

  • Opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse

  • Revoca del consenso (Art. 7, par. 3): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca

Per esercitare i propri diritti, l’utente può rivolgersi al Titolare o al DPO ai recapiti indicati. L’utente ha inoltre il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

8. Consensi Privacy nella Piattaforma

La Piattaforma implementa un sistema di consensi versionato e trasparente:

  • Al momento della registrazione o del primo accesso tramite Google OAuth, l’utente deve accettare tutti i consensi obbligatori (Termini di Servizio, Informativa Privacy)

  • Ogni consenso registra: identità dell’utente, versione del testo accettato, data e ora, indirizzo IP e User-Agent

  • I record di accettazione non vengono mai eliminati, costituendo la prova legale dell’avvenuto consenso

  • I consensi facoltativi (es. marketing, ove presenti) possono essere accettati o rifiutati liberamente senza conseguenze sull’accesso al servizio

9. Trattamento dei Dati dei Minori

La Piattaforma è destinata a studenti di istituti di alta formazione artistica e musicale (AFAM) esclusivamente maggiorenni.

10. Modifiche all’Informativa

Il Titolare si riserva di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli utenti tramite la Piattaforma. La data dell’ultimo aggiornamento è riportata in copertina. In caso di modifiche sostanziali le modifiche saranno comunicate tramite la Piattaforma o email. L’utilizzo continuativo della Piattaforma dopo la comunicazione delle modifiche costituisce accettazione delle stesse.