Privacy, sicurezza e DNSH

• Titolare del trattamento: Orazia, con sede in Italia. Il contatto del titolare e del DPO, quando nominato, è disponibile a privacy@orazia.it.
• Base giuridica: esecuzione del contratto con l'istituto scolastico (art. 6.1.b GDPR) e, per i soli trattamenti opzionali, consenso esplicito (art. 6.1.a).
• Minori: nel contesto scolastico, il trattamento dei dati di studenti minori è effettuato dall'istituto come titolare autonomo, mentre Orazia opera in qualità di Responsabile del trattamento (art. 28 GDPR) su sua nomina.
• Finalità: erogare il servizio di analisi vocale, conservare le analisi e le trascrizioni nell'area personale dell'utente, migliorare la piattaforma in forma aggregata e anonima. Nessun dato viene utilizzato per profilazione pubblicitaria o rivenduto a terzi.
• Conservazione: le tracce audio e le trascrizioni sono conservate per la durata del contratto con l'istituto e comunque non oltre 12 mesi dall'ultimo utilizzo; l'utente può eliminare autonomamente le proprie analisi in qualsiasi momento.
• Diritti dell'interessato: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (artt. 15–22 GDPR). Si esercitano scrivendo a privacy@orazia.it.
• Trasferimenti extra-UE: le trascrizioni AI sono elaborate tramite servizi conformi alle Standard Contractual Clauses della Commissione UE (decisione 2021/914); nessun dato personale identificativo viene trasferito fuori dallo Spazio Economico Europeo senza adeguate garanzie.
• Sicurezza: cifratura in transito (TLS 1.2+) e a riposo, accessi basati su ruoli, logging degli eventi rilevanti, backup crittografati, test periodici di vulnerabilità. Le password sono salvate solo in forma di hash (bcrypt).
• Data breach: procedura di notifica al Garante entro 72 ore (art. 33 GDPR) e comunicazione agli interessati nei casi previsti (art. 34).

Orazia è un servizio software che non ha impatti materiali diretti su processi industriali. La valutazione DNSH viene comunque condotta per ciascuno dei sei obiettivi ambientali previsti dalla Tassonomia UE:

1. Mitigazione dei cambiamenti climatici: l'infrastruttura cloud utilizzata privilegia fornitori con impegni di neutralità carbonica; i picchi di elaborazione AI sono programmati in modo da sfruttare energia da fonti rinnovabili ove possibile.
2. Adattamento ai cambiamenti climatici: i servizi sono distribuiti geograficamente per resilienza operativa; non esiste infrastruttura fisica proprietaria esposta a rischi climatici diretti.
3. Uso sostenibile delle risorse idriche e marine: non applicabile — il servizio non comporta prelievo o scarico di acqua.
4. Transizione verso un'economia circolare: preferiamo hardware a lungo ciclo di vita e fornitori cloud che adottano politiche di recupero e riciclo; le procedure interne privilegiano il digitale al cartaceo.
5. Prevenzione e riduzione dell'inquinamento: non applicabile in senso stretto — non vi sono emissioni dirette né rilascio di sostanze pericolose.
6. Protezione e ripristino della biodiversità: non applicabile — il servizio non prevede attività su terreni o aree protette.

La presente valutazione è condotta secondo la Comunicazione della Commissione UE 2021/C 58/01 e le linee guida nazionali per i progetti PNRR, ove applicabili.