Informativa privacy
Ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 ("GDPR") e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018. Ultimo aggiornamento: luglio 2026.
1. Ruoli e titolarità del trattamento
Nell'utilizzo della piattaforma per le votazioni degli organi collegiali, l'istituto scolastico è il Titolare del trattamento dei dati dei partecipanti (docenti, personale, membri degli organi). Votify agisce come Responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base dell'accordo di nomina (DPA) sottoscritto con ciascun istituto in fase di attivazione. Per i dati raccolti tramite questo sito (richieste di contatto, dati di fatturazione dell'istituto), Votify è Titolare autonomo.
2. Quali dati trattiamo e perché
| Dato | Finalità | Base giuridica | Conservazione |
|---|---|---|---|
| Email istituzionale della scuola | Accesso amministratore (magic link), comunicazioni di servizio | Contratto | Durata del contratto |
| Nome, cognome, email, ruolo dei partecipanti; codice fiscale solo se necessario al verbale | Composizione dell'elenco degli aventi diritto, inviti e codici di conferma | Compito di interesse pubblico dell'istituto (Titolare) | Voto segreto: eliminati alla chiusura della seduta. Voto palese: confluiscono nel verbale nominale dell'istituto |
| Preferenza espressa (solo voto palese) | Verbale nominale richiesto dalla trasparenza deliberativa | Compito di interesse pubblico dell'istituto | Nel verbale, conservato dall'istituto |
| Dati di fatturazione dell'istituto | Gestione dell'abbonamento | Contratto / obblighi di legge | Termini di legge (10 anni doc. contabili) |
Nel voto segreto la preferenza espressa non è un dato personale: l'architettura della piattaforma (zero-knowledge) impedisce per costruzione di associare il voto alla persona. Identità e preferenza non vengono mai registrate insieme; i conteggi sono esclusivamente aggregati.
3. Minimizzazione e cancellazione automatica
- Raccogliamo solo i dati strettamente necessari alla seduta (art. 5.1.c GDPR).
- I dati personali dei partecipanti sono cifrati nel database (AES-256-GCM) e mai esposti in chiaro nei sistemi intermedi.
- I codici di conferma (OTP) sono conservati solo come hash e scadono in 5 minuti.
- Alla chiusura di una votazione segreta i dati dei partecipanti vengono eliminati (wiping); restano soltanto i conteggi aggregati e il certificato firmato, che non contengono dati personali.
- Il certificato resta scaricabile dall'istituto per una finestra limitata, poi viene rimosso dai nostri sistemi: la conservazione a lungo termine spetta all'istituto, che può verificarne l'autenticità in ogni momento.
4. Sicurezza (art. 32 GDPR)
- Cifratura in transito (TLS) e a riposo; cifratura applicativa delle colonne contenenti dati personali.
- Accesso amministratore senza password (magic link monouso): nessuna password da rubare.
- Doppio fattore implicito per il voto: possesso del link di invito + codice OTP sulla casella istituzionale.
- Protezioni contro abusi e attacchi: limiti di frequenza sulle richieste, token monouso, barriere atomiche contro il doppio voto.
- I log applicativi non registrano l'indirizzo IP dei votanti né consentono di correlare gli accessi alle preferenze espresse.
5. Dove sono i dati (data residency)
I sistemi di produzione (database, cache, invio email) sono ospitati presso fornitori con data center nell'Unione Europea. I pagamenti sono gestiti da Stripe: i dati delle carte non transitano mai dai sistemi Votify. L'elenco aggiornato dei sub-responsabili è allegato al DPA.
6. Diritti degli interessati (artt. 15-22 GDPR)
Per i trattamenti legati alle votazioni, i partecipanti possono esercitare i propri diritti (accesso, rettifica, cancellazione, limitazione, opposizione) rivolgendosi al proprio istituto, Titolare del trattamento; Votify assiste l'istituto come Responsabile. Per il voto segreto la cancellazione è automatica: al termine della seduta non esiste più alcun dato personale da cancellare. Per i trattamenti di cui Votify è Titolare: privacy@votify.it. Resta salvo il diritto di reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
7. Cookie policy
Votify utilizza esclusivamente cookie tecnici, per i quali non è richiesto il consenso (art. 122 Codice Privacy; Linee guida Garante 10/6/2021):
| Cookie | Tipo | Finalità | Durata |
|---|---|---|---|
votify_admin | Tecnico, HttpOnly, SameSite=Strict | Sessione dell'amministratore nella dashboard | Max 10 ore |
Nessun cookie di profilazione, nessun tracciamento di terze parti, nessun cookie per i votanti: la cabina elettorale non conserva nulla sul dispositivo. Il banner informativo memorizza la sola presa visione nel localStorage del browser (nessun dato personale).
8. Contatti
Votify — privacy@votify.it ·
info@votify.it
Per gli istituti: il modello di DPA (art. 28), il registro dei trattamenti e il template di
informativa per i docenti sono forniti in fase di attivazione.
VOTIFY