Data Processing Agreement (DPA)
ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR")
Il presente accordo (di seguito, il "DPA") costituisce parte integrante dei Termini e Condizioni dei servizi e prodotti software "Power Agency" (di seguito, le "Condizioni"), ai sensi dell'art. 10.2 delle stesse, e disciplina il trattamento di dati personali effettuato da Power Agency di Vincenzo Amore, con sede in Via Giuseppe Parini 2, 20019 Settimo Milanese (MI), P.IVA 12497340963, C.F. MRAVCN95C27F839R, PEC poweragency@pec.it (di seguito, il "Fornitore" o il "Responsabile"), per conto del Cliente (di seguito, il "Cliente" o il "Titolare"), nell'ambito dell'erogazione dei Servizi SaaS.
1. Definizioni
I termini con iniziale maiuscola non definiti nel presente DPA hanno il significato loro attribuito nelle Condizioni. "Dati del Cliente" indica i dati personali, riferiti a interessati di cui il Cliente è titolare del trattamento (a titolo esemplificativo: clienti finali, lead, contatti, follower), che il Cliente carica, genera o gestisce tramite i Servizi SaaS.
2. Ruoli delle parti e oggetto
2.1. Con riferimento ai Dati del Cliente, il Cliente agisce quale titolare del trattamento e il Fornitore quale responsabile del trattamento ex art. 28 GDPR.
2.2. Restano esclusi dal presente DPA i dati personali che il Fornitore tratta in qualità di autonomo titolare (dati di registrazione, account, fatturazione e utilizzo dei Servizi da parte del Cliente stesso), disciplinati dalla Privacy Policy.
2.3. Il Fornitore tratta i Dati del Cliente esclusivamente per l'erogazione dei Servizi SaaS sottoscritti e in conformità alle istruzioni documentate del Cliente, quali risultanti dal presente DPA, dalle Condizioni e dalla configurazione dei Servizi effettuata dal Cliente. Qualora il Fornitore ritenga che un'istruzione violi il GDPR o altra normativa applicabile, ne informa il Cliente senza ingiustificato ritardo.
3. Natura, finalità e durata del trattamento; categorie di dati e interessati
3.1. Natura e finalità: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, estrazione, comunicazione a destinatari designati dal Cliente e cancellazione dei Dati del Cliente, nella misura strettamente necessaria all'erogazione delle funzionalità dei Servizi SaaS (a titolo esemplificativo: gestione lead e contatti CRM, generazione ed elaborazione di contenuti, invio di comunicazioni per conto del Cliente).
3.2. Categorie di dati: dati identificativi e di contatto; dati aziendali; contenuti, comunicazioni e materiali caricati o generati tramite i Servizi; identificativi tecnici e online. Il trattamento di categorie particolari di dati (art. 9 GDPR) non è previsto: il Cliente si impegna a non caricarne, salvo preventivo accordo scritto.
3.3. Categorie di interessati: clienti e clienti potenziali (lead) del Cliente, suoi contatti commerciali, utenti e follower dei canali del Cliente, suoi collaboratori nella misura in cui i relativi dati siano gestiti tramite i Servizi.
3.4. Durata: il trattamento ha la durata del rapporto contrattuale disciplinato dalle Condizioni, salvo quanto previsto all'art. 9 (cessazione).
4. Obblighi del Responsabile
Il Fornitore si impegna a:
a) trattare i Dati del Cliente solo su istruzione documentata del Cliente, anche con riguardo a eventuali trasferimenti verso paesi terzi, salvo obbligo di legge (in tal caso informa il Cliente prima del trattamento, ove non vietato);
b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e ricevano istruzioni adeguate;
c) adottare le misure di sicurezza tecniche e organizzative di cui all'art. 32 GDPR, come descritte nell'Allegato A;
d) rispettare le condizioni di cui agli artt. 5 e 6 del presente DPA per ricorrere a sub-responsabili;
e) tenuto conto della natura del trattamento, assistere il Cliente con misure tecniche e organizzative adeguate al fine di dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 12-23 GDPR); ove una richiesta pervenga direttamente al Fornitore, questi la inoltra al Cliente senza ingiustificato ritardo e non vi dà autonomo riscontro, salvo obbligo di legge;
f) assistere il Cliente nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto), tenendo conto della natura del trattamento e delle informazioni a propria disposizione;
g) mettere a disposizione del Cliente le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire e contribuire alle attività di revisione di cui all'art. 8;
h) tenere il registro delle categorie di attività di trattamento svolte per conto del Cliente ai sensi dell'art. 30, par. 2, GDPR.
5. Sub-responsabili
5.1. Il Cliente autorizza in via generale il ricorso da parte del Fornitore a sub-responsabili per l'erogazione dei Servizi. L'elenco dei sub-responsabili attualmente utilizzati è riportato nell'Allegato B.
5.2. Il Fornitore informa il Cliente di eventuali modifiche previste (aggiunta o sostituzione di sub-responsabili) con un preavviso di almeno 15 giorni, mediante comunicazione ai recapiti dell'account o pubblicazione nell'apposita sezione dei Siti. Il Cliente può opporsi per motivi legittimi entro tale termine; in difetto di soluzione alternativa ragionevole, il Cliente può recedere dal Servizio interessato con effetto dalla scadenza del periodo di abbonamento in corso.
5.3. Il Fornitore impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati sostanzialmente equivalenti a quelli del presente DPA e resta pienamente responsabile verso il Cliente dell'adempimento degli obblighi del sub-responsabile.
6. Trasferimenti extra-UE
6.1. Ove l'erogazione dei Servizi comporti il trasferimento di Dati del Cliente verso paesi terzi (in particolare verso fornitori con sede negli Stati Uniti), il trasferimento avviene esclusivamente in presenza di garanzie adeguate ai sensi degli artt. 44 e ss. GDPR: decisioni di adeguatezza (incluso l'EU-U.S. Data Privacy Framework per i fornitori certificati) ovvero clausole contrattuali standard adottate dalla Commissione europea, integrate ove necessario da misure supplementari.
7. Violazioni dei dati personali (data breach)
7.1. Il Fornitore informa il Cliente senza ingiustificato ritardo e comunque entro 72 ore da quando ne ha avuto conoscenza, di ogni violazione dei dati personali riguardante i Dati del Cliente, fornendo le informazioni di cui all'art. 33, par. 3, GDPR nella misura in cui siano disponibili, e coopera con il Cliente ai fini degli eventuali obblighi di notifica al Garante e di comunicazione agli interessati, che restano in capo al Cliente.
8. Verifiche
8.1. Il Cliente può verificare il rispetto del presente DPA, con preavviso scritto di almeno 15 giorni, al massimo una volta l'anno (salvo violazioni accertate o richieste dell'autorità), in orario lavorativo e senza interferire in modo sproporzionato con l'operatività del Fornitore. Le verifiche si svolgono in prima battuta mediante richiesta di informazioni e documentazione; eventuali attività ulteriori sono concordate tra le parti. Ciascuna parte sostiene i propri costi.
9. Cessazione del trattamento
9.1. Alla cessazione del rapporto, per qualsiasi causa, il Cliente può esportare i Dati del Cliente entro 30 giorni (art. 11.2 delle Condizioni). Decorso tale termine, il Fornitore procede alla cancellazione dei Dati del Cliente e delle copie esistenti, salvo che la conservazione sia richiesta dalla legge; in tal caso la conservazione prosegue nei limiti e per la durata previsti dalla norma, con trattamento limitato a tale finalità. Su richiesta scritta del Cliente anteriore alla scadenza, in alternativa alla cancellazione il Fornitore restituisce i Dati del Cliente in formato strutturato di uso comune.
10. Responsabilità e disposizioni finali
10.1. Alla responsabilità delle parti per il presente DPA si applica l'art. 9 (Limitazione di responsabilità) delle Condizioni, fermo restando quanto inderogabilmente previsto dall'art. 82 GDPR.
10.2. Il presente DPA prevale sulle Condizioni per quanto attiene al trattamento dei Dati del Cliente. Per quanto non previsto, si applicano le Condizioni, inclusi legge applicabile e foro esclusivo di Milano (art. 13 delle Condizioni).
Allegato A — Misure di sicurezza (art. 32 GDPR)
- Segregazione multi-tenant: isolamento dei dati per cliente a livello di database mediante Row Level Security (RLS) e controlli di autorizzazione applicativi; privilegi minimi per-colonna sulle operazioni sensibili.
- Crittografia: dati cifrati in transito (TLS 1.2+) e a riposo; credenziali e token di integrazione cifrati a livello applicativo (AES-256-GCM) ove gestiti.
- Autenticazione e accessi: autenticazione degli utenti gestita da provider dedicato; MFA disponibile; accessi amministrativi limitati al personale autorizzato con ruoli; registrazione dei log di accesso.
- Sviluppo sicuro: revisione del codice, controlli di sicurezza su RPC e policy di accesso, gestione dei segreti fuori dal codice sorgente.
- Continuità: backup gestiti dai provider infrastrutturali; procedure di ripristino; monitoraggio della disponibilità dei servizi.
- Organizzative: istruzioni al personale autorizzato, obblighi di riservatezza, principio del minimo privilegio, registro dei trattamenti.
Allegato B — Sub-responsabili autorizzati (alla data della versione 1.0)
| Sub-responsabile | Servizio | Sede / trasferimento |
|---|---|---|
| Supabase Inc. | Database, autenticazione, storage | USA — SCC/DPF |
| Vercel Inc. | Hosting applicativo/frontend | USA — SCC/DPF |
| Railway Corp. | Hosting backend/servizi | USA — SCC/DPF |
| Resend Inc. | Invio email transazionali | USA — SCC/DPF |
| Brevo SAS | Invio email per conto del Cliente | UE (Francia) |
| Anthropic PBC | Elaborazione testi tramite AI | USA — SCC/DPF |
| Stripe Inc. | Pagamenti (dati minimi di transazione) | USA — SCC/DPF |
| Apify Technologies s.r.o. | Estrazione dati pubblici (ove il Servizio lo preveda) | UE (Rep. Ceca) |
| FAL.ai (ove il Servizio lo preveda) | Generazione asset multimediali | USA — SCC |
| Meta Platforms Ireland Ltd. | Pubblicazione contenuti per conto del Cliente (ove collegata) | Irlanda/USA — DPF |
L'elenco aggiornato per singolo Servizio è disponibile su richiesta e nella sezione legale dei Siti.