Protezione dei dati v1.3

MedieOK è un servizio di tutoring AI per studenti svizzero-italiani della scuola media. Titolari del trattamento sono Rico Schurter ed Emanuele Bellanca, soci di società semplice di diritto svizzero, responsabili in solido per la protezione dei dati ai sensi della nLPD (revFADP) e del GDPR.

Per ora non abbiamo un DPO esterno — siamo una società piccola e i titolari sono direttamente raggiungibili. Per qualsiasi richiesta privacy scrivi a privacy@medieok.ch.

Ai genitori che creano un account per i propri figli minorenni (11–15 anni), e indirettamente ai minori che utilizzano il servizio sotto la responsabilità del genitore. La base contrattuale è sempre con il genitore (Art. 19 al. 1 CC svizzero).

1) Trattiamo dati di minori, quindi siamo prudenti per default. 2) Il genitore firma e paga, il minore usa il servizio in pseudonimato. 3) Non chiediamo nome, cognome, email, foto, indirizzo del minore. 4) Hosting EU/CH, sub-processor con DPA. 5) L’AI è guidata e moderata in ogni passaggio. 6) Conserviamo poco e per poco tempo. 7) Diritti privacy facili da esercitare: una mail e li onoriamo.

Il sistema è progettato perché ogni servizio funzioni con identificatori pseudonimizzati. Lo studente è identificato da un username generato (es. studente-njd9bhdd), un nickname che sceglie lui al primo accesso, l’anno di corso (I/II/III/IV media), e un eventuale flag DSA/BES opt-in. Nessun nome reale, nessuna email, nessuna foto, nessun indirizzo. Vedi ADR-0006 + Privacy v1 §5.

Dati del genitore: nome, email, telefono, indirizzo (solo se necessario per fattura), dati di pagamento gestiti da Stripe. Dati dello studente: username pseudonimo, nickname (max 30 caratteri), anno di corso, flag DSA/BES opt-in, dati comportamentali dell’apprendimento (BKT). Dati tecnici: IP al login, user agent, log di errore. Tutti gli elenchi completi sono nella versione integrale.

Base giuridica: contratto col genitore (Art. 31 al. 1 lett. a revFADP), consenso parentale per il minore (Art. 19c CC + Art. 6 al. 7 lett. b revFADP), e legittimo interesse per la sicurezza tecnica (audit log, anti-abuse). Non usiamo i dati per marketing senza consenso esplicito separato.

1) Il modello base (Claude Sonnet 4.6 via AWS Bedrock EU) NON viene addestrato sui dati dei nostri utenti — è un impegno contrattuale. 2) La knowledge base curata cresce solo con contributi anonimizzati e approvati da un Validator umano, mai automaticamente. 3) Il profilo cognitivo individuale (BKT) si adatta al singolo studente ed è scopato a quello studente — non viene condiviso con altri. Vedi ADR-0005 nella versione integrale.

Oggi attivi (con DPA firmati e dati nello Spazio economico europeo):

• Supabase (Zurigo) — database e autenticazione
• Vercel (Frankfurt) — hosting applicazione
• Sentry (Germania) — monitoraggio errori
• Infomaniak (Svizzera) — email transazionali
• Upstash Redis (Frankfurt) — limitazione di frequenza (rate limiting)

In attivazione prima del lancio operativo (settembre 2026): AWS Bedrock (eu-central-2, Zurigo) per il modello AI principale, Azure OpenAI (EU Data Zone) come fallback, Stripe Switzerland per pagamenti, Cohere EU per embedding multilingue, ASPSMS per SMS parentali. Ciascun sub-processor sarà notificato in Privacy v1.3 prima dell'attivazione effettiva, con almeno 14 giorni di preavviso (Art. 19 nLPD).

Mai utilizzati per dati di minori: nessun sub-processor extra-UE/CH. Lista aggiornata con link ai DPA nella versione integrale su GitHub.

Per default i dati restano nello Spazio economico europeo o in Svizzera. Eventuali trasferimenti necessari verso Paesi extra-UE/CH avvengono solo con clausole contrattuali standard (SCC) e sono elencati nella versione integrale.

Audit log eventi privacy: 12 mesi. Contenuti chat del minore: 12 mesi. Dati di fatturazione: 10 anni (Art. 958f CO). Backup cifrati: 7 giorni rolling + nightly snapshot. Tabella retention completa nella versione integrale.

Il genitore vede gli aggregati dell’apprendimento (sessioni, durata, competenze raggiunte) ma non legge il contenuto delle conversazioni di tuo figlio o tua figlia col tutor — quello spazio è privato per favorire la confidenza didattica con l’AI. Eccezioni rare: allerte di sicurezza (segnali di autolesionismo, abuso), che fanno scattare un alert al genitore. Vedi ADR-0004 nella versione integrale.

Hai diritto di accedere, rettificare, cancellare, opporti al trattamento, revocare il consenso, e portare i tuoi dati altrove. Scrivi a privacy@medieok.ch: rispondiamo entro 30 giorni.

Quando il genitore lo decide, può attivare il flag DSA/BES per il figlio o la figlia. Opzionalmente può anche caricare un estratto della diagnosi (massimo 20'000 caratteri di testo libero). Sia il flag sia l'estratto sono trattati come dati sensibiliai sensi dell'art. 5 lett. c nLPD e dell'art. 6 al. 7 lett. b revFADP.

Il testo della diagnosi è cifrato lato server con master key dedicata conservata in Supabase Vault (Zurigo). La decifratura è possibile solo via funzione SECURITY DEFINER che controlla in cascata ownership dello studente, stato del consenso (non revocato), retention non scaduta. Anche i titolari di MedieOK non possono leggere il testo al di fuori di questi controlli automatici.

La retention è di 24 mesi dopo cessazione account, poi cancellazione automatica. Il consenso è opt-in con firma separata in fase di aggiunta del figlio ed è revocabile in qualsiasi momento scrivendo a privacy@medieok.ch. Alla revoca, il testo è reso inaccessibile entro 7 giorni e cancellato fisicamente entro 30 giorni.

Non è condiviso con alcun sub-processor AI: viene usato esclusivamente per adattare il rendering didattico lato client (font, spaziatura, audio, tempo di risposta esteso).

Per il testo completo del consenso DSA vedi /consenso-dsa.

TLS 1.3, cookie session HttpOnly + Secure + prefix __Host-, rate limiting su login e signup, password hashate con scrypt (Better-Auth), audit log append-only con hash-chain SHA-256. Backup cifrati con age, region locking EU/CH. Dettaglio nella versione integrale.

Niente fingerprinting cross-site. Niente ad-tech tracker. Niente vendita di dati a terzi. Niente uso dei dati dello studente per addestrare il modello base. Niente conservazione dei prompt all’AI oltre lo stretto necessario per il logging tecnico.

Usiamo cookie tecnici essenziali (session, CSRF, language preference). Niente cookie pubblicitari. Niente Google Analytics. La lista completa con scadenze è nella versione integrale.

Quando aggiorniamo questa policy in modo sostanziale, ti avvisiamo via email almeno 14 giorni prima. La versione corrente è sempre indicata in alto a questa pagina.

Per ogni dubbio scrivi a privacy@medieok.ch. Se non siamo sufficientemente reattivi puoi presentare reclamo all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT/EDÖB), Feldeggweg 1, 3003 Berna, www.edoeb.admin.ch.