POWERLEADS
  • Lead Generation
    B2C — Instagram Per coach, creator, freelancer B2B — Google Maps Per agenzie, studi, consulenti
  • Risorse
  • Prezzi
  • Chi siamo
Accedi Inizia gratis
POWERLEADS

Lead Generation

B2C — Instagram Per coach, creator, freelancer B2B — Google Maps Per agenzie, studi, consulenti
Come funziona Prezzi Integrazioni Risorse FAQ Chi siamo Contatti
Accedi Inizia gratis →
  1. Home
  2. DPA

Data Processing Agreement (DPA)

Versione 2026-07-11 · in vigore dal 11 luglio 2026

ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR")

Il presente accordo (di seguito, il "DPA") costituisce parte integrante dei Termini e Condizioni dei servizi e prodotti software "Power Agency" (di seguito, le "Condizioni"), ai sensi dell'art. 10.2 delle stesse, e disciplina il trattamento di dati personali effettuato da Power Agency di Vincenzo Amore, con sede in Via Giuseppe Parini 2, 20019 Settimo Milanese (MI), P.IVA 12497340963, C.F. MRAVCN95C27F839R, PEC poweragency@pec.it (di seguito, il "Fornitore" o il "Responsabile"), per conto del Cliente (di seguito, il "Cliente" o il "Titolare"), nell'ambito dell'erogazione dei Servizi SaaS.

1. Definizioni

I termini con iniziale maiuscola non definiti nel presente DPA hanno il significato loro attribuito nelle Condizioni. "Dati del Cliente" indica i dati personali, riferiti a interessati di cui il Cliente è titolare del trattamento (a titolo esemplificativo: clienti finali, lead, contatti, follower), che il Cliente carica, genera o gestisce tramite i Servizi SaaS.

2. Ruoli delle parti e oggetto

2.1. Con riferimento ai Dati del Cliente, il Cliente agisce quale titolare del trattamento e il Fornitore quale responsabile del trattamento ex art. 28 GDPR.

2.2. Restano esclusi dal presente DPA i dati personali che il Fornitore tratta in qualità di autonomo titolare (dati di registrazione, account, fatturazione e utilizzo dei Servizi da parte del Cliente stesso), disciplinati dalla Privacy Policy.

2.3. Il Fornitore tratta i Dati del Cliente esclusivamente per l'erogazione dei Servizi SaaS sottoscritti e in conformità alle istruzioni documentate del Cliente, quali risultanti dal presente DPA, dalle Condizioni e dalla configurazione dei Servizi effettuata dal Cliente. Qualora il Fornitore ritenga che un'istruzione violi il GDPR o altra normativa applicabile, ne informa il Cliente senza ingiustificato ritardo.

3. Natura, finalità e durata del trattamento; categorie di dati e interessati

3.1. Natura e finalità: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, estrazione, comunicazione a destinatari designati dal Cliente e cancellazione dei Dati del Cliente, nella misura strettamente necessaria all'erogazione delle funzionalità dei Servizi SaaS (a titolo esemplificativo: gestione lead e contatti CRM, generazione ed elaborazione di contenuti, invio di comunicazioni per conto del Cliente).

3.2. Categorie di dati: dati identificativi e di contatto; dati aziendali; contenuti, comunicazioni e materiali caricati o generati tramite i Servizi; identificativi tecnici e online. Il trattamento di categorie particolari di dati (art. 9 GDPR) non è previsto: il Cliente si impegna a non caricarne, salvo preventivo accordo scritto.

3.3. Categorie di interessati: clienti e clienti potenziali (lead) del Cliente, suoi contatti commerciali, utenti e follower dei canali del Cliente, suoi collaboratori nella misura in cui i relativi dati siano gestiti tramite i Servizi.

3.4. Durata: il trattamento ha la durata del rapporto contrattuale disciplinato dalle Condizioni, salvo quanto previsto all'art. 9 (cessazione).

4. Obblighi del Responsabile

Il Fornitore si impegna a:

a) trattare i Dati del Cliente solo su istruzione documentata del Cliente, anche con riguardo a eventuali trasferimenti verso paesi terzi, salvo obbligo di legge (in tal caso informa il Cliente prima del trattamento, ove non vietato);

b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e ricevano istruzioni adeguate;

c) adottare le misure di sicurezza tecniche e organizzative di cui all'art. 32 GDPR, come descritte nell'Allegato A;

d) rispettare le condizioni di cui agli artt. 5 e 6 del presente DPA per ricorrere a sub-responsabili;

e) tenuto conto della natura del trattamento, assistere il Cliente con misure tecniche e organizzative adeguate al fine di dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 12-23 GDPR); ove una richiesta pervenga direttamente al Fornitore, questi la inoltra al Cliente senza ingiustificato ritardo e non vi dà autonomo riscontro, salvo obbligo di legge;

f) assistere il Cliente nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto), tenendo conto della natura del trattamento e delle informazioni a propria disposizione;

g) mettere a disposizione del Cliente le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire e contribuire alle attività di revisione di cui all'art. 8;

h) tenere il registro delle categorie di attività di trattamento svolte per conto del Cliente ai sensi dell'art. 30, par. 2, GDPR.

5. Sub-responsabili

5.1. Il Cliente autorizza in via generale il ricorso da parte del Fornitore a sub-responsabili per l'erogazione dei Servizi. L'elenco dei sub-responsabili attualmente utilizzati è riportato nell'Allegato B.

5.2. Il Fornitore informa il Cliente di eventuali modifiche previste (aggiunta o sostituzione di sub-responsabili) con un preavviso di almeno 15 giorni, mediante comunicazione ai recapiti dell'account o pubblicazione nell'apposita sezione dei Siti. Il Cliente può opporsi per motivi legittimi entro tale termine; in difetto di soluzione alternativa ragionevole, il Cliente può recedere dal Servizio interessato con effetto dalla scadenza del periodo di abbonamento in corso.

5.3. Il Fornitore impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati sostanzialmente equivalenti a quelli del presente DPA e resta pienamente responsabile verso il Cliente dell'adempimento degli obblighi del sub-responsabile.

6. Trasferimenti extra-UE

6.1. Ove l'erogazione dei Servizi comporti il trasferimento di Dati del Cliente verso paesi terzi (in particolare verso fornitori con sede negli Stati Uniti), il trasferimento avviene esclusivamente in presenza di garanzie adeguate ai sensi degli artt. 44 e ss. GDPR: decisioni di adeguatezza (incluso l'EU-U.S. Data Privacy Framework per i fornitori certificati) ovvero clausole contrattuali standard adottate dalla Commissione europea, integrate ove necessario da misure supplementari.

7. Violazioni dei dati personali (data breach)

7.1. Il Fornitore informa il Cliente senza ingiustificato ritardo e comunque entro 72 ore da quando ne ha avuto conoscenza, di ogni violazione dei dati personali riguardante i Dati del Cliente, fornendo le informazioni di cui all'art. 33, par. 3, GDPR nella misura in cui siano disponibili, e coopera con il Cliente ai fini degli eventuali obblighi di notifica al Garante e di comunicazione agli interessati, che restano in capo al Cliente.

8. Verifiche

8.1. Il Cliente può verificare il rispetto del presente DPA, con preavviso scritto di almeno 15 giorni, al massimo una volta l'anno (salvo violazioni accertate o richieste dell'autorità), in orario lavorativo e senza interferire in modo sproporzionato con l'operatività del Fornitore. Le verifiche si svolgono in prima battuta mediante richiesta di informazioni e documentazione; eventuali attività ulteriori sono concordate tra le parti. Ciascuna parte sostiene i propri costi.

9. Cessazione del trattamento

9.1. Alla cessazione del rapporto, per qualsiasi causa, il Cliente può esportare i Dati del Cliente entro 30 giorni (art. 11.2 delle Condizioni). Decorso tale termine, il Fornitore procede alla cancellazione dei Dati del Cliente e delle copie esistenti, salvo che la conservazione sia richiesta dalla legge; in tal caso la conservazione prosegue nei limiti e per la durata previsti dalla norma, con trattamento limitato a tale finalità. Su richiesta scritta del Cliente anteriore alla scadenza, in alternativa alla cancellazione il Fornitore restituisce i Dati del Cliente in formato strutturato di uso comune.

10. Responsabilità e disposizioni finali

10.1. Alla responsabilità delle parti per il presente DPA si applica l'art. 9 (Limitazione di responsabilità) delle Condizioni, fermo restando quanto inderogabilmente previsto dall'art. 82 GDPR.

10.2. Il presente DPA prevale sulle Condizioni per quanto attiene al trattamento dei Dati del Cliente. Per quanto non previsto, si applicano le Condizioni, inclusi legge applicabile e foro esclusivo di Milano (art. 13 delle Condizioni).


Allegato A — Misure di sicurezza (art. 32 GDPR)

  • Segregazione multi-tenant: isolamento dei dati per cliente a livello di database mediante Row Level Security (RLS) e controlli di autorizzazione applicativi; privilegi minimi per-colonna sulle operazioni sensibili.
  • Crittografia: dati cifrati in transito (TLS 1.2+) e a riposo; credenziali e token di integrazione cifrati a livello applicativo (AES-256-GCM) ove gestiti.
  • Autenticazione e accessi: autenticazione degli utenti gestita da provider dedicato; MFA disponibile; accessi amministrativi limitati al personale autorizzato con ruoli; registrazione dei log di accesso.
  • Sviluppo sicuro: revisione del codice, controlli di sicurezza su RPC e policy di accesso, gestione dei segreti fuori dal codice sorgente.
  • Continuità: backup gestiti dai provider infrastrutturali; procedure di ripristino; monitoraggio della disponibilità dei servizi.
  • Organizzative: istruzioni al personale autorizzato, obblighi di riservatezza, principio del minimo privilegio, registro dei trattamenti.

Allegato B — Sub-responsabili autorizzati (alla data della versione 1.0)

Sub-responsabile Servizio Sede / trasferimento
Supabase Inc. Database, autenticazione, storage USA — SCC/DPF
Vercel Inc. Hosting applicativo/frontend USA — SCC/DPF
Railway Corp. Hosting backend/servizi USA — SCC/DPF
Resend Inc. Invio email transazionali USA — SCC/DPF
Brevo SAS Invio email per conto del Cliente UE (Francia)
Anthropic PBC Elaborazione testi tramite AI USA — SCC/DPF
Stripe Inc. Pagamenti (dati minimi di transazione) USA — SCC/DPF
Apify Technologies s.r.o. Estrazione dati pubblici (ove il Servizio lo preveda) UE (Rep. Ceca)
FAL.ai (ove il Servizio lo preveda) Generazione asset multimediali USA — SCC
Meta Platforms Ireland Ltd. Pubblicazione contenuti per conto del Cliente (ove collegata) Irlanda/USA — DPF

L'elenco aggiornato per singolo Servizio è disponibile su richiesta e nella sezione legale dei Siti.

POWERLEADS

Un sistema. Non cinque tool.

info@poweragency.it

Prodotto

Come funziona Prezzi Integrazioni Risorse FAQ

Casi d'uso B2C

Wellness Beauty Coach & formazione Servizi pro Vedi tutti i casi B2C →

Casi d'uso B2B

Agenzie marketing Studi professionali Consulenza Real estate Vedi tutti i casi B2B →

Azienda

Chi siamo Contatti Privacy Policy Cookie Policy Preferenze cookie Termini di Servizio DPA Note legali Mappa del sito

I dati di tasso di risposta, sales cycle e ROI menzionati nel sito (es. "tasso di risposta tipico 8-22%") sono indicazioni medie e statistiche, non impegni contrattuali. I risultati effettivi variano per nicchia, configurazione e qualità del copy. Una parte dei contenuti generati dalla piattaforma è prodotta da modelli AI Anthropic Claude.

© 2026 Power Agency di Vincenzo Amore · P.IVA 12497340963 · Customer Acquisition Platform

Questo sito usa cookie tecnici e, solo con il tuo consenso, cookie di marketing (Meta Pixel) per misurare le campagne. Nessun cookie non necessario viene installato prima della tua scelta, modificabile in ogni momento da “Preferenze cookie” nel footer. Cookie policy

Preferenze cookie

Necessari — sempre attivi

Archiviazione tecnica per il funzionamento del sito e per ricordare questa scelta. Include la misurazione anonima senza cookie (Cloudflare Web Analytics). Non richiede consenso.

Marketing

Meta Pixel (Meta Platforms Ireland Ltd.): cookie _fbp e _fbc (durata 90 giorni) per misurare le campagne pubblicitarie. Include l'invio degli stessi eventi alla Meta Conversions API. Si attiva solo con il tuo consenso.

Leggi la cookie policy