Data Processing Agreement (DPA)
Ultimo aggiornamento: 8 aprile 2026 — Versione 1.0 (draft)
Accordo sul Trattamento dei Dati Personali ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR).
1. Parti
- Titolare del Trattamento (di seguito "Titolare"): il Cliente che sottoscrive il servizio Procedure ISO.
- Responsabile del Trattamento (di seguito "Responsabile"): Digital Automations S.r.l., con sede in Italia, fornitore del servizio Procedure ISO.
2. Oggetto e Durata
Il presente DPA disciplina il trattamento dei dati personali che il Responsabile effettua per conto del Titolare nell'ambito dell'erogazione del servizio SaaS "Procedure ISO". Il trattamento ha durata pari a quella del contratto di servizio e termina con la cancellazione dell'account o la cessazione del servizio.
3. Natura e Finalita' del Trattamento
| Trattamento | Finalita' |
|---|---|
| Archiviazione documenti caricati | Parsing e generazione procedure ISO |
| Elaborazione AI dei contenuti | Generazione, analisi coerenza, ricerca semantica |
| Generazione embeddings vettoriali | Ricerca semantica e correlazione tra procedure |
| Autenticazione e gestione utenti | Accesso sicuro alla piattaforma |
| Log di utilizzo AI | Monitoraggio costi e fatturazione |
4. Categorie di Dati e Interessati
Categorie di dati personali
- Dati identificativi degli utenti (nome, email, ruolo)
- Dati aziendali (ragione sociale, settore, dimensione)
- Contenuti documentali caricati dall'utente
- Procedure ISO generate dal sistema
- Log di utilizzo (azioni, timestamp, modelli AI utilizzati)
- Dati tecnici (indirizzo IP, browser)
Categorie di interessati
- Dipendenti e collaboratori del Titolare
- Consulenti esterni con accesso alla piattaforma
- Soggetti eventualmente menzionati nei documenti caricati
5. Obblighi del Responsabile
Il Responsabile si impegna a:
- Trattare i dati personali solo sulla base di istruzioni documentate del Titolare, salvo obblighi di legge.
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
- Adottare le misure di sicurezza tecniche e organizzative previste dall'Art. 32 del GDPR (cfr. sezione 8).
- Non ricorrere a sub-responsabili senza autorizzazione preventiva scritta del Titolare (cfr. sezione 6).
- Assistere il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati (Art. 15-22 GDPR).
- Assistere il Titolare nella notifica di violazioni dei dati (Art. 33-34 GDPR).
- A scelta del Titolare, cancellare o restituire tutti i dati personali al termine del servizio.
- Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire audit.
6. Sub-Responsabili Autorizzati
Il Titolare autorizza il ricorso ai seguenti sub-responsabili. Il Responsabile informera' il Titolare di qualsiasi modifica, dando la possibilita' di opporsi.
| Sub-Responsabile | Servizio | Sede | Garanzie |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione, storage file | USA | DPA conforme, SCCs, SOC 2 Type II |
| Anthropic PBC | AI generativa (modelli Claude) | USA | DPA conforme, SCCs, no training su dati clienti |
| OpenAI Inc. | Embeddings per ricerca semantica | USA | DPA conforme, SCCs, EU data processing, no training |
| Vercel Inc. | Hosting e CDN applicazione web | USA | DPA conforme, SCCs |
| Plausible Analytics | Web analytics (privacy-first, no cookie) | UE (Estonia) | Dati in UE, GDPR-compliant by design |
| Iubenda | Cookie banner e gestione consenso | UE (Italia) | Dati in UE, GDPR-compliant |
| Google Workspace | SMTP per email transazionali | USA/UE | DPA conforme, SCCs |
7. Trasferimenti Extra-UE
I trasferimenti di dati personali verso paesi terzi (in particolare gli Stati Uniti) sono effettuati nel rispetto del Capo V del GDPR, sulla base di:
- Standard Contractual Clauses (SCCs) approvate dalla Commissione Europea (Art. 46.2.c GDPR)
- EU-U.S. Data Privacy Framework, ove applicabile (Art. 45 GDPR)
I DPA e le SCCs di ciascun sub-responsabile sono disponibili su richiesta scrivendo a info@procedureiso.it.
8. Misure di Sicurezza
Il Responsabile adotta le seguenti misure tecniche e organizzative (Art. 32 GDPR):
| Area | Misura |
|---|---|
| Crittografia in transito | HTTPS/TLS su tutte le comunicazioni |
| Crittografia at-rest | AES-256 su database e storage (Supabase) |
| Isolamento dati | Row Level Security (RLS) per isolamento multi-tenant completo |
| Autenticazione | JWT con refresh token rotation, 4 livelli di ruolo (admin, editor, viewer, super_admin) |
| Rate limiting | Limiti per-tenant su tutte le chiamate AI e upload |
| Audit trail | Log di tutte le operazioni AI e azioni amministrative |
| Security headers | CSP, HSTS, X-Frame-Options, X-Content-Type-Options |
| Backup | Backup automatici giornalieri del database (Supabase) |
9. Notifica Data Breach
In caso di violazione dei dati personali (Art. 33-34 GDPR), il Responsabile si impegna a:
- Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione.
- Fornire tutte le informazioni necessarie affinche' il Titolare possa adempiere all'obbligo di notifica all'Autorita' di controllo entro 72 ore (Art. 33 GDPR).
- Collaborare con il Titolare per la comunicazione agli interessati, se necessaria (Art. 34 GDPR).
10. Audit
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall'Art. 28 GDPR e consente audit, comprese ispezioni, da parte del Titolare o di un revisore da questi incaricato, con preavviso ragionevole di almeno 15 giorni lavorativi.
11. Cancellazione e Restituzione dei Dati
Al termine del servizio, il Responsabile, a scelta del Titolare:
- Cancella tutti i dati personali entro 30 giorni, salvo obblighi di conservazione previsti dalla legge.
- Restituisce i dati in formato strutturato e leggibile (JSON/CSV) tramite la funzionalita' di export dati della piattaforma (Art. 20 GDPR).
12. Contatti
Per qualsiasi richiesta relativa al presente DPA, contattare:
- Email: info@procedureiso.it
- Responsabile: Digital Automations S.r.l., Italia
Documento predisposto come draft AI per il rilascio commerciale V1.0. I testi definitivi saranno validati da un consulente legale prima della pubblicazione.