Accordo sul Trattamento dei Dati (DPA)
Ultimo aggiornamento: 13 marzo 2026
Il presente Accordo sul Trattamento dei Dati Personali ("DPA" o "Accordo") ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") disciplina il trattamento dei dati personali effettuato da InfraService Srl per conto del Cliente nell'ambito della fornitura dei servizi ZeroFogli. Il presente DPA costituisce parte integrante dei Termini di Servizio.
1. Premesse e Definizioni
Ai fini del presente Accordo si intende per:
- "Titolare del Trattamento" o "Titolare": il Cliente che sottoscrive i servizi ZeroFogli e che determina le finalità e i mezzi del trattamento dei dati personali inseriti nella piattaforma.
- "Responsabile del Trattamento" o "Responsabile": InfraService Srl, che tratta i dati personali per conto del Titolare nell'ambito dell'erogazione dei servizi ZeroFogli.
- "Accordo Principale": i Termini di Servizio di ZeroFogli.
- "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4.1 GDPR).
- "Trattamento": qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali (art. 4.2 GDPR).
- "Interessati": le persone fisiche i cui dati personali sono trattati dal Responsabile per conto del Titolare.
- "Sub-responsabile": qualsiasi terzo incaricato dal Responsabile di effettuare specifiche attività di trattamento per conto del Titolare.
- "Violazione dei Dati" (Data Breach): una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali.
- "Autorità di Controllo": il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
2. Oggetto e Durata
Il presente Accordo disciplina le condizioni alle quali il Responsabile tratta i dati personali per conto del Titolare nell'ambito della fornitura dei servizi ZeroFogli, come descritti nell'Accordo Principale.
La durata del presente Accordo coincide con la durata del rapporto contrattuale tra il Titolare e il Responsabile. Alla cessazione del rapporto si applicano le disposizioni di cui alla Sezione 12.
3. Natura e Finalità del Trattamento
Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità, su istruzioni documentate del Titolare:
- Conservazione e hosting: archiviazione sicura dei dati inseriti dal Titolare nelle applicazioni ZeroFogli su server dedicati.
- Gestione e accesso: erogazione delle funzionalità applicative che consentono al Titolare e ai suoi utenti autorizzati di accedere, inserire, modificare e cancellare i dati.
- Backup e ripristino: esecuzione di backup periodici per garantire la continuità operativa e la protezione da perdite accidentali.
- Assistenza tecnica: interventi di manutenzione e supporto tecnico, esclusivamente su richiesta o previo consenso del Titolare.
Il Responsabile non tratta i dati per finalità proprie o diverse da quelle indicate nel presente Accordo.
4. Categorie di Dati Personali Trattati
Le categorie di dati personali trattati dipendono dall'utilizzo che il Titolare fa della piattaforma e possono includere:
- Dati anagrafici (nomi, cognomi, indirizzi, contatti telefonici ed email) dei clienti, utenti e collaboratori del Titolare.
- Dati operativi specifici dell'applicazione utilizzata (es. dati relativi a competizioni sportive, dati di cantiere, scadenze, inventari, ordini).
- Qualsiasi altro dato personale che il Titolare decida di inserire nella piattaforma.
Dati particolari (art. 9 GDPR): Il Responsabile non richiede né prevede il trattamento di categorie particolari di dati (dati sanitari, biometrici, relativi a condanne penali, ecc.). Qualora il Titolare inserisca tali dati nella piattaforma, ne assume la piena responsabilità e deve garantire la sussistenza di un'idonea base giuridica.
5. Categorie di Interessati
Gli interessati i cui dati sono trattati dal Responsabile possono includere:
- Clienti e utenti finali del Titolare.
- Dipendenti, collaboratori e consulenti del Titolare.
- Fornitori e partner commerciali del Titolare i cui dati vengono inseriti nella piattaforma.
- Qualsiasi altra persona fisica i cui dati vengano inseriti dal Titolare.
6. Obblighi del Responsabile (Art. 28.3 GDPR)
Il Responsabile si impegna a:
- Trattare i dati solo su istruzioni documentate del Titolare, anche in caso di trasferimento verso Paesi terzi, salvo che il diritto dell'Unione o dello Stato membro lo imponga.
- Garantire la riservatezza: assicurare che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza.
- Adottare misure di sicurezza adeguate ai sensi dell'art. 32 del GDPR, come dettagliate nella Sezione 8 e nella Privacy Policy di ZeroFogli.
- Rispettare le condizioni per il ricorso a sub-responsabili di cui alla Sezione 7 del presente Accordo.
- Assistere il Titolare nel dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR), mediante misure tecniche e organizzative adeguate.
- Assistere il Titolare nel garantire il rispetto degli obblighi relativi alla sicurezza del trattamento, alla notifica delle violazioni, alla valutazione d'impatto e alla consultazione preventiva (artt. 32-36 GDPR).
- Cancellare o restituire tutti i dati personali al termine della prestazione, secondo quanto previsto nella Sezione 12.
- Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente Accordo e consentire le attività di verifica, comprese le ispezioni, di cui alla Sezione 10.
7. Sub-responsabili
Il Titolare autorizza il Responsabile a ricorrere ai seguenti sub-responsabili, precedentemente approvati (autorizzazione generale ai sensi dell'art. 28.2 GDPR):
| Sub-responsabile | Sede | Servizio | Dati Trattati | Trasferimento Extra-UE |
|---|---|---|---|---|
| Aruba S.p.A. | Italia (UE) | Hosting VPS, servizio email SMTP | Tutti i dati presenti sui server | N/A (datacenter in Italia) |
| Stripe, Inc. | USA | Elaborazione pagamenti | Dati di pagamento (nome, email, dati carta) | SCCs + DPA Stripe |
| Cloudflare, Inc. | USA | CDN, protezione DDoS, DNS | Indirizzo IP, header HTTP | EU-US Data Privacy Framework + SCCs |
7.1 Procedura per nuovi sub-responsabili
In caso di aggiunta o sostituzione di un sub-responsabile, il Responsabile informerà il Titolare con un preavviso di almeno 30 giorni tramite comunicazione email, indicando il nome del sub-responsabile, la sede, il servizio prestato e le categorie di dati trattati.
Il Titolare ha il diritto di opporsi alla nomina del nuovo sub-responsabile entro 15 giorni dalla ricezione della comunicazione, fornendo motivazioni ragionevoli e documentate. In caso di opposizione, le parti si impegnano a trovare una soluzione ragionevole. Se non si raggiunge un accordo entro 30 giorni dall'opposizione, il Titolare potrà recedere dal contratto senza penali.
Il Responsabile garantisce che ogni sub-responsabile sia vincolato da obblighi contrattuali equivalenti a quelli del presente Accordo.
8. Misure di Sicurezza (Art. 32 GDPR)
Il Responsabile adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:
- Crittografia in transito: tutte le comunicazioni sono protette tramite protocollo TLS 1.2+ (HTTPS) con certificati gestiti tramite Let's Encrypt.
- Crittografia at rest: i backup dei database sono crittografati. Le password sono protette con hashing bcrypt.
- Isolamento infrastrutturale: ogni istanza applicativa client opera su VPS dedicati con isolamento a livello di rete e di sistema operativo.
- Controllo degli accessi ai server: accesso esclusivamente tramite chiavi SSH. L'autenticazione con password e l'accesso root diretto sono disabilitati.
- Aggiornamenti di sicurezza: aggiornamenti automatici del sistema operativo (unattended-upgrades). Dipendenze software monitorate e aggiornate regolarmente.
- Backup: backup automatici giornalieri dei database con retention di 30 giorni, conservati in location separate dal server di produzione.
- Principio del minimo privilegio: l'accesso ai sistemi e ai dati è limitato al personale strettamente necessario.
- Logging e monitoraggio: gli accessi ai sistemi e le operazioni sui dati sono registrati in log di audit.
- Firewall e protezione di rete: firewall con policy deny-all, protezione DDoS tramite Cloudflare.
Per maggiori dettagli sulle misure di sicurezza, consulta la sezione dedicata nella Privacy Policy.
9. Notifica Violazione dei Dati (Art. 33-34 GDPR)
In caso di violazione dei dati personali (data breach), il Responsabile si impegna a:
- Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione.
- Fornire le seguenti informazioni:
- Descrizione della natura della violazione, incluse le categorie e il numero approssimativo di interessati coinvolti.
- Nome e dati di contatto del referente privacy del Responsabile.
- Descrizione delle probabili conseguenze della violazione.
- Descrizione delle misure adottate o proposte per porre rimedio alla violazione e attenuarne i possibili effetti negativi.
- Assistere il Titolare nell'adempimento degli obblighi di notifica all'Autorità di Controllo (entro 72 ore, art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR).
- Documentare tutte le violazioni in un registro interno, includendo le circostanze, gli effetti e le misure correttive adottate.
10. Diritti di Verifica e Audit
Il Titolare ha il diritto di verificare il rispetto degli obblighi del presente Accordo attraverso:
- Richieste di informazioni scritte: il Titolare può richiedere al Responsabile informazioni documentate sulle misure di sicurezza adottate e sul trattamento dei dati.
- Audit e ispezioni: il Titolare può svolgere (o incaricare un revisore terzo indipendente) audit sul trattamento dei dati, con un preavviso ragionevole di almeno 15 giorni lavorativi.
Il Responsabile si impegna a collaborare pienamente e a fornire accesso alle informazioni necessarie. Gli audit devono svolgersi durante il normale orario lavorativo, senza interferire con le attività operative del Responsabile e nel rispetto degli obblighi di riservatezza verso altri clienti.
I costi dell'audit sono a carico del Titolare, salvo che l'audit riveli una non conformità sostanziale da parte del Responsabile.
11. Trasferimenti Internazionali
I dati personali sono trattati prevalentemente su server ubicati in Italia (Aruba S.p.A., datacenter italiano) e quindi all'interno dell'Unione Europea.
Eventuali trasferimenti verso Paesi terzi avvengono esclusivamente tramite i sub-responsabili autorizzati elencati nella Sezione 7 e nel rispetto del Capo V del GDPR, sulla base di:
- Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework per gli USA).
- Clausole Contrattuali Standard (SCCs) approvate dalla Commissione Europea.
Il Responsabile non trasferisce dati verso Paesi terzi se non in conformità con le garanzie sopra indicate.
12. Restituzione e Cancellazione dei Dati
Alla cessazione del rapporto contrattuale, il Responsabile, su scelta del Titolare espressa per iscritto:
- Restituisce tutti i dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV, JSON o altro formato concordato), oppure
- Cancella irrevocabilmente tutti i dati personali, incluse le copie esistenti.
La restituzione o cancellazione avviene entro 30 giorni dalla cessazione del contratto, salvo che il diritto dell'Unione o dello Stato membro preveda la conservazione dei dati per un periodo ulteriore.
Il Responsabile certifica per iscritto l'avvenuta cancellazione su richiesta del Titolare.
I backup contenenti dati del Titolare vengono sovrascritti secondo il normale ciclo di retention (30 giorni).
13. Riservatezza
Il Responsabile si impegna a mantenere riservate tutte le informazioni di cui viene a conoscenza nell'esecuzione del presente Accordo, inclusi i dati personali trattati per conto del Titolare.
L'obbligo di riservatezza si estende a tutti i dipendenti e collaboratori del Responsabile che accedono ai dati e sopravvive alla cessazione del rapporto contrattuale.
14. Responsabilità
Ciascuna parte è responsabile per i danni derivanti dal trattamento effettuato in violazione del GDPR, nei limiti e secondo quanto previsto dall'art. 82 del GDPR.
Il Responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle istruzioni del Titolare.
Per quanto riguarda la limitazione di responsabilità contrattuale, si applicano le disposizioni dell'Accordo Principale (Termini di Servizio, Sezione 11).
15. Legge Applicabile e Foro Competente
Il presente Accordo è regolato dalla legge italiana e dal Regolamento (UE) 2016/679 (GDPR).
Per qualsiasi controversia derivante dal presente Accordo, si applicano le disposizioni sulla giurisdizione previste dall'Accordo Principale. Per i rapporti B2B, il foro competente in via esclusiva è il Tribunale di Monza.
16. Contatti
Per qualsiasi richiesta relativa al presente DPA o al trattamento dei dati personali:
InfraService Srl — Responsabile del Trattamento
Email: info@infraservice.it
PEC: infraservice@pec.it
Sito web: zerofogli.it