Accordo sul trattamento dei dati (DPA)
Accordo ex art. 28 GDPR disponibile per clienti in Italy che ci affidano il trattamento di dati personali per loro conto.
Quando serve un DPA
Un DPA è necessario quando tu (titolare) ci incarichi (responsabili) di trattare dati personali — ad esempio se ci invii la lista dei destinatari con indirizzi privati per la spedizione di welcome kit, o se gestiamo un portale di redemption con il tuo brand dove i dipendenti si registrano. I dati di contatto B2B standard del tuo ufficio acquisti normalmente non richiedono DPA perché siamo titolari di quei dati.
Cosa copre il nostro DPA
Il modello copre le clausole obbligatorie ex art. 28: oggetto e durata, natura e finalità, categorie di dati e interessati, obblighi del titolare, obblighi del responsabile, lista sub-responsabili e notifica modifiche (30 giorni), riservatezza, misure tecniche e organizzative (Allegato II), assistenza nelle richieste di diritti e nelle notifiche di violazione (72 ore), diritto di audit (annuale, preavviso 60 giorni, NDA), cancellazione o restituzione a fine contratto.
Sub-responsabili e trasferimenti internazionali
I nostri sub-responsabili includono partner di stampa UE, infrastruttura cloud UE e USA (SCC 2021/914 modulo 3 + misure supplementari), provider email transazionali e strumenti di supporto. Aggiornamenti sulla pagina trust. Per Italy il titolare può opporsi a un nuovo sub-responsabile entro 30 giorni; in assenza di accordo può recedere senza penali. Le specificità della D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, attuativo del GDPR sono riflesse nel DPA ove applicabili.
Domande frequenti
Come firmo il DPA?
Scrivi a [email protected] con i dati aziendali; inviamo un PDF precompilato per firma digitale entro 2 giorni lavorativi.
Accettate la nostra carta DPA?
Sì previa revisione legale (di solito 5 giorni lavorativi). Per ordini medi consigliamo il nostro modello per ridurre i tempi.
Dove sono i server?
Primari in UE (Francoforte/Amsterdam). Backup snapshot cifrati in UE. Nessun dato di produzione in regioni extra-UE.
Posso fare audit on-site?
Sì, una volta l'anno con preavviso di 60 giorni. Forniamo anche report SOC 2 / ISO 27001 sotto NDA per coprire la maggior parte delle esigenze senza visita on-site.
SLA di notifica violazioni?
Notifichiamo il titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, ben dentro le 72 ore verso l'autorità.