CampusKids

Accordo di Responsabile del Trattamento

Data Processing Agreement (DPA) — ai sensi dell'Art. 28 GDPR (Reg. UE 2016/679)
Versione 1.0 — vigente dal 1° giugno 2026

1. Parti del contratto

Il presente Accordo di Responsabile del Trattamento ("DPA") è stipulato tra:

  • Responsabile del trattamento: Siteco di Fabio Ingala & C. Sas, con sede legale in Viale Tica, 74 - 96100 Siracusa (SR), P.IVA 01055370892, email privacy@campuskids.it ("CampusKids")
  • Titolare del trattamento: l'associazione o ente che ha accettato i Termini di Servizio di CampusKids al momento della registrazione ("Associazione")

Il DPA entra in vigore al momento dell'accettazione dei Termini di Servizio e rimane valido per tutta la durata del contratto.

2. Oggetto e natura del trattamento

CampusKids fornisce la piattaforma digitale per la gestione di campus estivi. Nell'erogazione del servizio, tratta i seguenti dati personali per conto dell'Associazione:

  • Dati anagrafici dei bambini iscritti (nome, cognome, data di nascita, codice fiscale)
  • Dati di contatto dei genitori/tutori (nome, cognome, email, telefono)
  • Dati sanitari e allergie dei bambini (categorie speciali ex Art. 9 GDPR)
  • Informazioni su disabilità e Legge 104/1992
  • Dati economici (indicatore ISEE, fasce di reddito)
  • Dati di presenze e operatività quotidiana
  • Documentazione fotografica (se consenso rilasciato)
  • Dati di pagamento (elaborati tramite Stripe — sub-responsabile)
  • Comunicazioni email con le famiglie

La finalità del trattamento è esclusivamente l'erogazione del servizio SaaS contrattualizzato. CampusKids non tratta i dati per finalità proprie.

3. Obblighi di CampusKids (responsabile)

CampusKids si impegna a:

  • Trattare i dati personali solo su istruzione documentata dell'Associazione
  • Garantire la riservatezza dei dati attraverso obblighi contrattuali con il proprio personale
  • Adottare le misure tecniche e organizzative di sicurezza descritte all'Art. 7
  • Assistere l'Associazione nel garantire i diritti degli interessati (artt. 15-22 GDPR)
  • Notificare all'Associazione qualsiasi violazione dei dati personali entro 48 ore dalla scoperta
  • Mettere a disposizione tutte le informazioni necessarie a dimostrare il rispetto degli obblighi
  • Cancellare o restituire tutti i dati personali al termine del contratto (entro 30 giorni)
  • Non trasferire i dati verso paesi terzi senza adeguate garanzie

4. Obblighi dell'Associazione (titolare)

L'Associazione si impegna a:

  • Raccogliere il consenso o avere altra base giuridica per il trattamento
  • Informare gli interessati (genitori/tutori) sul trattamento dei dati tramite propria informativa
  • Nominare, se obbligatorio, un Responsabile della Protezione dei Dati (DPO)
  • Notificare tempestivamente a CampusKids qualsiasi richiesta di esercizio dei diritti

5. Sub-responsabili del trattamento

L'Associazione autorizza CampusKids a ricorrere ai seguenti sub-responsabili. CampusKids garantisce che ciascun sub-responsabile sia vincolato da obblighi equivalenti a quelli del presente DPA.

FornitoreFinalitàPaeseGaranzie
OVH SASHosting server e storageFrancia (EU)ISO 27001, GDPR compliant
Resend Inc.Invio email transazionaliUSA (DPA firmato)Standard Contractual Clauses
Stripe Inc.Elaborazione pagamentiUSA/IE (DPA firmato)PCI DSS Level 1, SCC

6. Conservazione e cancellazione dei dati

I dati personali sono conservati per la durata del contratto e:

  • Dati contabili e di pagamento: 10 anni (obbligo Art. 148 TUIR)
  • Dati anagrafici dei bambini: fino a 10 anni dall'ultimo accesso al servizio
  • Dati sanitari: fino a 10 anni (conservazione obbligatoria per documentazione sanitaria)
  • Log di accesso e audit: 2 anni
  • Comunicazioni email: 2 anni

Al termine del contratto, su richiesta dell'Associazione, CampusKids provvede alla cancellazione o restituzione di tutti i dati entro 30 giorni.

7. Misure di sicurezza tecniche e organizzative

  • Crittografia TLS 1.3 per tutti i dati in transito
  • Crittografia a riposo per dati sensibili (chiave AES-256)
  • Autenticazione a due fattori (2FA TOTP) disponibile per tutti gli utenti
  • Controllo degli accessi basato su ruoli (RBAC: superadmin, admin, frontdesk, operatore, genitore)
  • Audit log completo di tutti gli accessi a dati sensibili
  • Backup giornaliero automatico con ritenzione 30 giorni
  • Rate limiting su tutti gli endpoint di autenticazione
  • Monitoraggio degli errori e degli accessi sospetti
  • Infrastruttura in cloud privato (VPS OVH, datacenter EU)

8. Violazioni dei dati (Data Breach)

In caso di violazione dei dati personali, CampusKids notifica all'Associazione entro 48 ore dalla scoperta, fornendo:

  • Natura della violazione e categorie di dati coinvolti
  • Numero approssimativo di interessati coinvolti
  • Misure adottate per contenere e rimediare
  • Riferimento del responsabile interno da contattare

L'Associazione rimane responsabile della notifica all'Autorità di controllo (Garante Privacy) entro 72 ore se la violazione è suscettibile di presentare rischi per i diritti degli interessati (Art. 33 GDPR).

Per segnalare una violazione o un incidente di sicurezza: security@campuskids.it

9. Contatti

Per qualsiasi richiesta relativa al presente DPA:

Il presente DPA è parte integrante dei Termini di Servizio di CampusKids. Accettando i Termini di Servizio, l'Associazione accetta le condizioni del presente DPA.