1. Premesse e parti
Il presente Data Processing Agreement (“DPA”) regola il trattamento dei dati personali effettuato da XION IT Group S.r.l. (“Responsabile del trattamento”) per conto del Cliente (“Titolare del trattamento”) nell’ambito dell’utilizzo della piattaforma GAPOFF.
Responsabile del trattamento:
XION IT Group S.r.l.
Viale Coni Zugna 7, 20144 Milano (MI) — Italia
P.IVA / C.F.: IT 14208120965
Email: dpo@gapoff.it | PEC: xionitgroup@pec.it
Il presente DPA è stipulato ai sensi dell’Art. 28 del Regolamento (UE) 2016/679 (GDPR) e costituisce parte integrante dei Termini di Servizio. Accettando i Termini di Servizio, il Cliente accetta anche il presente DPA.
2. Definizioni
Ai fini del presente DPA, si applicano le definizioni di cui all’Art. 4 del GDPR, oltre alle seguenti:
- “Piattaforma”: il software GAPOFF e tutti i servizi correlati;
- “Titolare”: il Cliente che determina le finalità e i mezzi del trattamento;
- “Responsabile”: XION IT Group S.r.l. che tratta i dati per conto del Titolare;
- “Istruzioni documentate”: le istruzioni del Titolare contenute nel presente DPA, nei Termini di Servizio e in eventuali accordi aggiuntivi;
- “Dati del Cliente”: tutti i dati personali inseriti dal Titolare nella Piattaforma.
3. Oggetto, finalità e durata del trattamento
Il Responsabile tratta i Dati del Cliente esclusivamente per le seguenti finalità:
- Erogazione dei servizi della Piattaforma GAPOFF (compliance GDPR, NIS2, DORA);
- Gestione tecnica dell’infrastruttura e manutenzione della Piattaforma;
- Supporto tecnico al Cliente;
- Generazione di report e analisi di conformità richiesti dal Cliente;
- Backup e disaster recovery ai fini della continuità del servizio.
La durata del trattamento coincide con la durata del rapporto contrattuale tra le parti.
4. Categorie di dati e interessati
4.1 Categorie di dati personali trattati
| Categoria | Dettaglio |
|---|---|
| Dati identificativi | Nomi, email, ruoli, funzioni aziendali del personale del Cliente |
| Dati organizzativi | Struttura organizzativa, organigrammi, policy aziendali |
| Dati di conformità | Gap analysis, valutazioni del rischio, DPIA, checklist, misure di sicurezza |
| Dati di incidenti | Registri incidenti ICT, analisi root cause, impatti, azioni correttive |
| Dati contrattuali | Informazioni su fornitori ICT, SLA, contratti (Register of Information DORA) |
| Dati tecnici | Asset ICT, risultati vulnerability assessment, configurazioni di rete |
| Dati di log | Audit trail, log di accesso alla Piattaforma |
4.2 Categorie di interessati
- Dipendenti e collaboratori del Cliente;
- Responsabili e referenti IT/compliance del Cliente;
- Referenti dei fornitori ICT del Cliente;
- Soggetti segnalanti (modulo Whistleblowing).
5. Obblighi del Responsabile del trattamento
Ai sensi dell’Art. 28(3) GDPR, il Responsabile si impegna a:
- Trattare i dati esclusivamente sulla base di istruzioni documentate del Titolare, salvo che lo richieda il diritto dell’Unione o dello Stato membro;
- Garantire la riservatezza: assicurare che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a obbligo legale di riservatezza;
- Adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (Art. 32 GDPR);
- Assistere il Titolare nel dare seguito alle richieste degli interessati relative all’esercizio dei diritti (Artt. 15-22 GDPR);
- Assistere il Titolare nella conduzione di DPIA e nella consultazione preventiva dell’Autorità di controllo (Artt. 35-36 GDPR);
- Notificare senza ingiustificato ritardo eventuali violazioni dei dati personali (Art. 33 GDPR);
- Cancellare o restituire i dati al termine del rapporto contrattuale, secondo le scelte del Titolare;
- Mettere a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire ispezioni e audit.
6. Sub-responsabili del trattamento
Il Responsabile può avvalersi di sub-responsabili del trattamento previa autorizzazione generale scritta del Titolare (Art. 28(2) GDPR). Il Responsabile si impegna a:
- Informare il Titolare di eventuali modifiche relative all’aggiunta o sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi;
- Stipulare con ciascun sub-responsabile un contratto che imponga gli stessi obblighi in materia di protezione dei dati contenuti nel presente DPA;
- Rimanere pienamente responsabile nei confronti del Titolare per l’adempimento degli obblighi del sub-responsabile.
6.1 Elenco Sub-responsabili attuali
| Sub-responsabile | Servizio | Ubicazione dati |
|---|---|---|
| Hetzner Online GmbH | Hosting infrastruttura (server dedicati) | UE (Germania/Finlandia) |
| Brevo (Sendinblue) | Invio email transazionali | UE (Francia) |
Il Titolare sarà informato tramite email e/o notifica nella Piattaforma di eventuali modifiche all’elenco dei sub-responsabili con un preavviso minimo di 30 giorni.
7. Trasferimenti di dati al di fuori dell’UE/SEE
I dati personali del Cliente sono trattati e conservati esclusivamente all’interno dell’Unione Europea / Spazio Economico Europeo.
Il Responsabile non effettua trasferimenti di dati personali verso paesi terzi. Qualora un trasferimento si rendesse necessario in futuro, il Responsabile si impegna a:
- Informare preventivamente il Titolare;
- Applicare le garanzie adeguate previste dal Capo V del GDPR (Artt. 44-49), quali clausole contrattuali tipo (SCC) adottate dalla Commissione europea;
- Effettuare una Transfer Impact Assessment (TIA) ove necessario.
8. Misure tecniche e organizzative (Art. 32 GDPR)
Il Responsabile adotta le seguenti misure di sicurezza per proteggere i Dati del Cliente:
8.1 Misure tecniche
- Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256);
- Autenticazione multi-fattore (2FA) disponibile per tutti gli utenti;
- Hashing delle password con algoritmi bcrypt (cost factor 12);
- Protezione CSRF su tutti i form della Piattaforma;
- Rate limiting e protezione contro attacchi brute-force;
- Backup giornalieri crittografati con retention di 30 giorni;
- Segregazione logica dei dati per tenant (multi-tenancy sicura);
- Monitoraggio continuo dell’infrastruttura e alerting automatico;
- Patch management con aggiornamenti di sicurezza entro 72 ore dalla pubblicazione.
8.2 Misure organizzative
- Principio del minimo privilegio per l’accesso ai sistemi;
- Audit log immutabili per tutte le operazioni sulla Piattaforma;
- Formazione periodica del personale sulla sicurezza e protezione dei dati;
- Procedure documentate di incident response e disaster recovery;
- NDA sottoscritti da tutto il personale con accesso ai dati.
9. Notifica delle violazioni dei dati (Data Breach)
In caso di violazione dei dati personali (Art. 33 GDPR), il Responsabile si impegna a:
- Notificare il Titolare senza ingiustificato ritardo e comunque entro 24 ore dalla scoperta della violazione, fornendo:
- La natura della violazione e le categorie di dati interessati;
- Il numero approssimativo di interessati coinvolti;
- Le probabili conseguenze della violazione;
- Le misure adottate o proposte per porre rimedio alla violazione.
- Collaborare con il Titolare per la gestione dell’incidente e la notifica all’Autorità di controllo e agli interessati, ove necessario;
- Documentare la violazione con tutti i dettagli relativi ai fatti, agli effetti e alle misure correttive adottate.
10. Assistenza per i diritti degli interessati
Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati relative all’esercizio dei diritti previsti dagli Artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
La Piattaforma GAPOFF fornisce strumenti tecnici per:
- Esportazione dati: export completo dei dati in formato strutturato (portabilità);
- Cancellazione dati: procedura di purge dei dati personali (Art. 17 GDPR) con cascade delete;
- Audit trail: tracciamento completo delle operazioni per dimostrare la conformità.
11. Durata, cessazione e restituzione dei dati
Il presente DPA ha durata pari a quella del rapporto contrattuale. Al termine:
- Il Titolare può richiedere la restituzione di tutti i dati in formato strutturato entro 30 giorni dalla cessazione;
- Trascorsi 30 giorni dalla cessazione, il Responsabile provvederà alla cancellazione sicura di tutti i dati del Titolare, salvo obblighi di legge che ne impongano la conservazione;
- Il Responsabile fornirà al Titolare una certificazione scritta dell’avvenuta cancellazione su richiesta.
12. Contatti e DPO
Per qualsiasi questione relativa al presente DPA o al trattamento dei dati personali:
XION IT Group S.r.l.
Data Protection Officer: dpo@gapoff.it
Email generale: privacy@gapoff.it
PEC: xionitgroup@pec.it
Sito: gapoff.it
Nota: Il presente DPA è un documento standard. I Clienti con esigenze specifiche possono richiedere un DPA personalizzato contattando dpo@gapoff.it. Il DPA personalizzato per la propria organizzazione è disponibile all’interno della piattaforma dopo il login.