Conformità & acquisti

GDPR e nLPD svizzera nella comunicazione con le famiglie: cosa verificare prima di firmare

Se la vostra scuola sceglie uno strumento di comunicazione con le famiglie conforme al GDPR, la demo del prodotto è la parte facile. La parte difficile è la documentazione che chiederà il vostro responsabile della protezione dei dati — e la maggior parte degli strumenti di questa categoria è stata progettata per un mercato statunitense in cui quella documentazione è secondaria. Questa guida spiega cosa deve davvero dimostrare un software scolastico con dati ospitati nell'UE, perché la nLPD svizzera impone la propria asticella, e le domande esatte da porre a qualsiasi fornitore prima che un solo dato di una famiglia cambi di mano.

Perché la comunicazione con le famiglie è delicata sotto il GDPR

Una piattaforma di comunicazione con le famiglie tratta nomi, recapiti e informazioni sui minori — e i dati dei minori sono una categoria particolare che merita cura rafforzata. Sotto il GDPR (Regolamento UE 2016/679), la scuola è il titolare del trattamento e qualsiasi fornitore che tratta quei dati per conto della scuola è un responsabile del trattamento. Quel rapporto non è facoltativo né informale: il GDPR impone che sia disciplinato da un contratto scritto — il contratto di nomina a responsabile del trattamento (DPA).

La prima domanda d'acquisto non è quindi «cosa sa fare lo strumento?», ma «il fornitore firmerà un DPA, e cosa dice?». Un fornitore che tratta il DPA come una formalità, o lo offre solo nel piano enterprise, vi sta dicendo qualcosa.

Cosa significa davvero «dati ospitati nell'UE»

«Ospitato in Europa» è una formula usata con leggerezza. Per una scuola che ha bisogno che i dati restino nell'UE, contano le domande concrete:

  • Dove sono archiviati i dati? Il database con i record di famiglie e alunni deve risiedere su infrastruttura europea.
  • Dove gira l'IA? Se lo strumento riassume o traduce le e-mail con l'IA, l'inferenza stessa — non solo l'archiviazione — deve girare in Europa. Un modello ospitato negli USA invia il contenuto all'estero anche se il database resta.
  • C'è un trasferimento verso gli Stati Uniti? Molti strumenti instradano metadati operativi (fatturazione, monitoraggio) tramite fornitori extra-UE. Può essere accettabile sotto clausole contrattuali tipo, ma va dichiarato con chiarezza.
  • I dati della scuola servono ad addestrare l'IA? Deve essere un no contrattuale, per iscritto — non una frase dell'informativa che può cambiare il trimestre successivo.

La posizione di C’noté su ciascun punto è documentata nel dossier sulla fiducia: hosting in Francia, inferenza IA a Parigi, nessun dato della scuola mai usato per addestrare un modello, e una nota onesta sui pochi metadati operativi che possono transitare tramite fornitori extra-UE sotto clausole contrattuali tipo.

La nLPD svizzera: la seconda asticella

Le scuole che operano in Svizzera — comprese le scuole internazionali con famiglie di espatriati — rientrano anche nella Legge federale sulla protezione dei dati riveduta (la nLPD / LPD, in vigore da settembre 2023). È molto allineata al GDPR, ma resta una legge a sé con aspettative proprie. Uno strumento presentato come «conforme al GDPR» non ha automaticamente superato l'asticella svizzera. Un software scolastico conforme alla nLPD deve nominare esplicitamente la nLPD e allinearvi il proprio DPA.

È un angolo di mercato davvero poco servito: la maggior parte delle piattaforme di broadcast affermate è incentrata sugli USA e dice poco del diritto svizzero. Uno strumento creato in Svizzera, per scuole internazionali, parte da qui invece di aggiungerlo dopo.

Il contratto di responsabile del trattamento: una checklist

Quando chiedete il DPA a un fornitore di strumenti di comunicazione scolastica, ecco cosa un responsabile della protezione dei dati verificherà che contenga:

  • Ruoli — la scuola come titolare, il fornitore come responsabile.
  • Ambito e finalità — quali dati sono trattati, e solo per la finalità concordata.
  • Sub-responsabili — un elenco pubblicato e aggiornato dei terzi (hosting, inferenza IA) e una via per opporsi alle modifiche.
  • Ubicazione dei dati — hosting e inferenza nell'UE dichiarati, ogni trasferimento transfrontaliero coperto da clausole contrattuali tipo.
  • Notifica delle violazioni — una tempistica impegnata (lo standard GDPR è entro 72 ore).
  • Addestramento dell'IA — una garanzia esplicita che i vostri dati non vengono mai usati per addestrare modelli.
  • Cancellazione e restituzione — cosa accade ai dati alla fine del contratto.

C’noté fornisce il DPA, il diagramma dei flussi di dati e l'elenco aggiornato dei sub-responsabili prima di un pilota — non dopo l'ordine d'acquisto. Il dettaglio è sulla pagina sulla fiducia, scritto per chi deve firmare.

Una nota sull'accuratezza, che è anche una questione di conformità

Un'IA che riassume le e-mail di una scuola può anche inventare cose — e un assistente che inventa informazioni su un minore è un problema di qualità dei dati e di fiducia, non solo un difetto di funzionalità. Il giusto vincolo di progettazione: lo strumento ripete solo ciò che la scuola ha effettivamente scritto, collega ogni affermazione alla sua fonte e lo dice chiaramente quando non è sicuro invece di tirare a indovinare. Questo ancoraggio è parte di ciò che rende lo strumento difendibile davanti a un responsabile della protezione dei dati, non solo utile per una famiglia.

Da portare all'ufficio acquisti

Se state valutando C’noté per la vostra scuola, le risposte sulla conformità sono pensate per essere consegnate direttamente al vostro responsabile della protezione dei dati. La panoramica lato acquirente è nella pagina per le scuole, e il dossier di sicurezza completo — DPA, diagramma dei flussi di dati, elenco dei sub-responsabili — è disponibile prima che finisca la vostra demo tramite il dossier sulla fiducia.

Scopri C’noté per le scuole