Informativa sul trattamento dei dati personali
ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: 11 marzo 2026
1. Titolare del trattamento
Nautils
Email: privacy@nautils.it
2. Premessa
Nautils e un servizio digitale che trasforma materiale scolastico in contenuti di studio interattivi, personalizzabili in base al profilo cognitivo del bambino. Il servizio e rivolto a genitori e tutori legali di minori in eta scolare.
Poiche il servizio puo trattare dati relativi alla salute di minori (relazioni diagnostiche), la presente informativa e redatta con particolare attenzione alla chiarezza e completezza, nel rispetto dei principi di trasparenza (Art. 12 GDPR), minimizzazione (Art. 5.1.c) e protezione rafforzata dei minori (Art. 8 GDPR, Art. 2-quinquies D.Lgs. 196/2003).
3. Categorie di dati trattati
3.1 Dati identificativi e di contatto
- Nome e cognome del genitore/tutore
- Indirizzo email
- Nome del bambino/a, classe frequentata
3.2 Dati di utilizzo del servizio
- Fotografie di pagine di libri scolastici caricate dall'utente
- Materiale didattico elaborato dal sistema
- Dati di progresso (sessioni di studio, punteggi, risultati quiz)
- Dati tecnici (indirizzo IP, tipo di dispositivo, browser, log di accesso)
3.3 Dati relativi alla salute (categoria speciale — Art. 9 GDPR)
Trattati SOLO previo consenso esplicito separato.
- Relazione psicodiagnostica (diagnosi ADHD, plusdotazione, profili cognitivi)
- Punteggi a test neuropsicologici (WISC-IV/V, scale Conners, BIA, BRIEF)
- Profilo delle overexcitabilities (framework di Dabrowski)
- Tipologia ADHD e profilo attentivo
- Profilo cognitivo derivato (elaborazione automatizzata dei dati sopra indicati)
4. Finalita e basi giuridiche del trattamento
4.1 Fornitura del servizio base
Dati: 3.1 e 3.2 | Base giuridica: esecuzione del contratto (Art. 6.1.b GDPR)
Finalita: creazione account, elaborazione del materiale didattico, archiviazione, gestione del rapporto contrattuale. Il conferimento e necessario per l'utilizzo del servizio.
4.2 Personalizzazione basata su profilo cognitivo
Dati: 3.3 (dati relativi alla salute) | Base giuridica: consenso esplicito (Art. 9.2.a GDPR)
Finalita: personalizzazione del materiale didattico in base al profilo neurocognitivo del bambino. Il conferimento e facoltativo. Il servizio e pienamente utilizzabile con un profilo generico non personalizzato.
4.3 Conservazione della relazione diagnostica
Base giuridica: consenso esplicito separato (Art. 9.2.a GDPR). In assenza di consenso, il documento viene elaborato e immediatamente cancellato. Max 24 mesi di conservazione.
4.4 Comunicazioni relative al servizio
Base giuridica: legittimo interesse (Art. 6.1.f GDPR) — comunicazioni strettamente funzionali al servizio.
4.5 Marketing diretto
Base giuridica: consenso (Art. 6.1.a GDPR). Facoltativo e revocabile in qualsiasi momento.
5. Modalita di raccolta del consenso
5.1 Consenso base (registrazione)
Alla creazione dell'account, l'utente presta il consenso al trattamento dei dati tramite accettazione esplicita (checkbox non pre-selezionata) dell'informativa completa.
5.2 Consenso per dati sanitari
Quando l'utente carica una relazione diagnostica, viene presentata un'informativa specifica con checkbox separate non pre-selezionate per il trattamento e per la conservazione del documento. Il consenso e revocabile in qualsiasi momento.
6. Misure di sicurezza
- Crittografia AES-256-GCM per relazioni diagnostiche
- Comunicazioni su canale HTTPS/TLS 1.3
- Profilo cognitivo crittografato a livello di colonna nel database
- Segregazione degli accessi a livello di database (RLS)
- Audit log per ogni accesso a dati di categoria speciale
- Minimizzazione: nessun dato sanitario grezzo inviato ai servizi AI
7. Destinatari dei dati
| Responsabile | Servizio | Dati trattati | Sede |
|---|---|---|---|
| Supabase Inc. | Database e storage | Tutti i dati (crittografati) | UE (Irlanda) |
| Anthropic PBC | Elaborazione AI | Solo testo e profilo derivato | USA (SCCs) |
| Stripe Inc. | Pagamenti | Dati fatturazione | USA/UE (SCCs) |
| Vercel Inc. | Hosting | Dati tecnici | UE (edge) |
I dati personali non sono venduti, ceduti o comunicati a terzi per finalita proprie.
8. Periodo di conservazione
| Categoria | Durata |
|---|---|
| Dati identificativi | Durata rapporto + 12 mesi |
| Relazione diagnostica (PDF) | Max 24 mesi |
| Profilo cognitivo derivato | Durata rapporto |
| Elaborazioni generate | Durata rapporto |
| Log di audit | 36 mesi |
| Dati di fatturazione | 10 anni (obbligo fiscale) |
9. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR, l'utente ha diritto di:
- Accesso (Art. 15): ottenere copia dei dati personali
- Rettifica (Art. 16): correggere dati inesatti
- Cancellazione (Art. 17): diritto all'oblio
- Limitazione (Art. 18): limitare il trattamento
- Portabilita (Art. 20): ricevere i dati in formato strutturato
- Opposizione (Art. 21): opporsi al trattamento
- Revoca del consenso (Art. 7.3): in qualsiasi momento
I diritti possono essere esercitati dalla sezione Privacy nelle impostazioni dell'account o scrivendo a privacy@nautils.it. Risposta entro 30 giorni.
10. Trattamento dati di minori
Nautils e rivolto a genitori e tutori legali di minori in eta scolare (6-14 anni). Il servizio NON e direttamente accessibile ai minori. Il consenso per il trattamento dei dati del minore e prestato dal titolare della responsabilita genitoriale (Art. 8 GDPR, Art. 2-quinquies D.Lgs. 196/2003).
11. Profilazione automatizzata
Il servizio effettua un trattamento automatizzato del profilo cognitivo per determinare la strategia didattica piu adatta. Questo trattamento non produce effetti giuridici, e basato sul consenso esplicito e puo essere disattivato in qualsiasi momento.
12. Cookie
Per la policy completa sui cookie, consulta la Cookie Policy.
13. Reclami
L'interessato puo proporre reclamo al Garante per la Protezione dei Dati Personali:
- Sito: www.garanteprivacy.it
- Email: garante@gpdp.it
- Tel: (+39) 06 69677.1
- Piazza Venezia 11, 00187 Roma