Data Processing Agreement (DPA)

1. Oggetto, durata e finalità

Il Responsabile tratta i dati personali esclusivamente per erogare il Servizio secondo le istruzioni documentate del Titolare.

2. Categorie di interessati e dati

Interessati: titolari account, membri team, membri event

Dati: identificativi, contatti, dati event, file, metadati tecnici

Il Titolare evita categorie particolari salvo basi idonee.

3. Istruzioni e conformità

Il Responsabile tratta solo su istruzioni; informa il Titolare se ritiene un'istruzione non conforme al GDPR.

4. Riservatezza

Personale autorizzato e vincolato alla riservatezza, con formazione privacy periodica.

5. Sicurezza (Allegato A TOMs)

Cifratura in transito e at rest; controllo accessi; autenticazione forte; logging/audit; patching; backup/DR; privacy by design/default.

6. Sub-responsabili

Autorizzazione generale con elenco pubblico su /legal/subprocessors.

Notifica delle nuove nomine con diritto di obiezione entro 15 giorni.

7. Assistenza al Titolare

Supporto ragionevole per richieste degli interessati (DSR), DPIA e incident response.

8. Violazioni di dati personali

Notifica senza ingiustificato ritardo con le informazioni disponibili e cooperazione.

9. Cancellazione o restituzione

Alla cessazione, su istruzioni del Titolare: cancellazione o restituzione dei dati.

10. Audit e prove

Forniamo le informazioni necessarie e consentiamo audit ragionevoli.

11. Trasferimenti internazionali

Se presenti, si applicano Standard Contractual Clauses e misure appropriate.

12. Gerarchia

In caso di conflitto tra DPA e Termini, prevale il DPA sulle materie privacy.