DPA — Data Processing Agreement

← Torna all'applicazione

Ultima revisione: 1 marzo 2026 | Versione: 1.0
Il presente DPA è parte integrante del contratto di utilizzo di 231 Agile e regolamenta il trattamento dei dati personali da parte di Agile Technology S.r.l. in qualità di Responsabile del Trattamento.

1. Parti dell'Accordo

Titolare del Trattamento (Controller): il Cliente che ha sottoscritto il contratto di utilizzo di 231 Agile.

Responsabile del Trattamento (Processor): Agile Technology S.r.l., con sede in [Indirizzo], P.IVA [da completare], email: [email protected]

2. Oggetto e Durata

Il Responsabile tratta i dati personali per conto del Titolare per la fornitura del servizio 231 Agile. La durata del trattamento coincide con quella del contratto di servizio.

3. Natura e Finalità del Trattamento

Il trattamento riguarda la gestione della piattaforma SaaS 231 Agile, che include:

Archiviazione e gestione dei dati degli utenti del Cliente
Elaborazione dei dati aziendali per la gestione della compliance D.Lgs. 231/2001
Gestione delle segnalazioni whistleblowing (D.Lgs. 24/2023)
Generazione di report e audit trail
Funzionalità AI opzionali (su attivazione esplicita del Cliente)

4. Tipologie di Dati e Interessati

Categoria di Dati	Interessati	Finalità
Dati identificativi (nome, email, CF)	Dipendenti e collaboratori del Cliente	Gestione accesso piattaforma
Dati aziendali (P.IVA, ATECO, sede)	Rappresentanti legali	Compliance 231
Documenti compliance	Vari	MOG, procedure, verbali OdV
Segnalazioni whistleblowing	Segnalanti (anonimi), soggetti segnalati	Gestione whistleblowing D.Lgs. 24/2023
Log di accesso e audit trail	Utenti della piattaforma	Sicurezza, non ripudio

5. Obblighi del Responsabile del Trattamento

Agile Technology S.r.l. si impegna a:

Trattare i dati esclusivamente su istruzioni documentate del Titolare
Garantire la riservatezza dei dati trattati
Adottare tutte le misure tecniche e organizzative adeguate (art. 32 GDPR)
Non ricorrere a sub-responsabili senza autorizzazione scritta del Titolare
Assistere il Titolare nel rispondere alle richieste degli interessati (artt. 15-22 GDPR)
Supportare il Titolare negli adempimenti di cui agli artt. 32-36 GDPR (sicurezza, DPIA, notifiche violazioni)
Notificare eventuali violazioni dei dati (data breach) entro 24 ore dalla scoperta
Cancellare o restituire tutti i dati al termine del servizio, su scelta del Titolare
Mettere a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi

6. Misure di Sicurezza

Misura	Dettaglio
Cifratura in transito	TLS 1.2+ (HTTPS obbligatorio)
Cifratura a riposo	Password: bcrypt cost 12 \| Chiavi API: AES-256-CBC
Controllo accessi	Autenticazione JWT + API Key multi-tenant
Isolamento dati	Tenant ID su tutte le query, DB separati per servizio
Audit trail	Hash chain SHA-256, immutabile, 10 anni retention
Backup	Giornaliero automatico, 3 livelli (daily/weekly/monthly)
Monitoring	Controllo container ogni 5 minuti, alert email
Rate limiting	Blocco automatico dopo 5 tentativi login falliti
Aggiornamenti	Patch di sicurezza applicate entro 72 ore dalla release

7. Sub-Responsabili del Trattamento

Il Cliente autorizza il ricorso ai seguenti sub-responsabili:

Sub-Responsabile	Paese	Finalità	Garanzie
Hetzner Online GmbH	DE (UE)	Hosting infrastruttura	DPA, GDPR compliant
OpenAI (opzionale)	USA	Embedding testi per AI RAG	Standard Contractual Clauses
Anthropic (opzionale)	USA	Generazione risposte AI	Standard Contractual Clauses
Google Workspace (relay email)	UE	Relay email transazionali	DPA, GDPR compliant

I sub-responsabili OpenAI e Anthropic vengono attivati solo se il Cliente configura le proprie API key nella piattaforma. In assenza di configurazione, nessun dato viene inviato a tali fornitori.

8. Trasferimenti Extra-UE

I dati sono archiviati su infrastruttura EU (Hetzner, Germania). In caso di utilizzo di servizi AI (OpenAI/Anthropic), i soli testi delle query vengono trasmessi a fornitori USA con garanzia di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.

9. Data Breach

In caso di violazione dei dati personali, Agile Technology S.r.l.:

Notifica il Titolare entro 24 ore dalla scoperta
Fornisce una descrizione dettagliata della violazione entro 72 ore
Adotta misure immediate di contenimento
Supporta il Titolare nella valutazione dell'obbligo di notifica al Garante (art. 33 GDPR)

10. Termine e Restituzione Dati

Al termine del contratto, entro 30 giorni dalla richiesta, il Titolare potrà:

Esportare tutti i propri dati in formato JSON/CSV
Richiedere la cancellazione definitiva certificata

Trascorsi 30 giorni dal termine senza richiesta di esportazione, i dati vengono cancellati in modo sicuro (sovrascrittura conforme NIST 800-88).

11. Legge Applicabile

Il presente DPA è regolato dalla legge italiana e dal Regolamento UE 2016/679 (GDPR).

12. Contatti DPO

Per questioni relative al trattamento dei dati: [email protected]