Contratto per il trattamento dei dati su incarico (AVV)
Accordo per il trattamento di dati personali per conto del titolare ai sensi dell'art. 28 GDPR
Preambolo
Il presente contratto specifica gli obblighi delle parti in materia di protezione dei dati nell'ambito dell'utilizzo, in essere tra le stesse, dei servizi della 121 Apps GmbH (di seguito il «Responsabile del trattamento») da parte del cliente (di seguito il «Titolare del trattamento»). Esso si applica a tutte le attività in cui il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento.
§ 1 Oggetto, natura, ambito, finalità & durata
(1) L'oggetto e la finalità del trattamento risultano dal sottostante contratto principale (utilizzo del rispettivo servizio). Il Responsabile del trattamento tratta i dati esclusivamente per l'erogazione delle prestazioni contrattualmente concordate e su istruzione documentata del Titolare del trattamento.
(2) A seconda del servizio utilizzato, il trattamento comprende in particolare la raccolta, la registrazione, l'organizzazione, la conservazione, l'adattamento, l'estrazione, la consultazione, l'uso, la comunicazione, la limitazione e la cancellazione di dati personali.
(3) La durata del trattamento corrisponde alla durata del contratto principale.
§ 2 Natura dei dati & categorie di interessati
(1) Natura dei dati personali: a seconda del servizio utilizzato, ad es. dati anagrafici (nome, e-mail, indirizzo), dati di contatto, dati di utilizzo e di log, nonché dati di contenuto inseriti dal Titolare del trattamento (ad es. risposte a sondaggi, dati relativi a commesse e a fornitori di servizi).
(2) Le categorie particolari di dati personali (art. 9 GDPR) non sono oggetto dell'incarico, salvo che il Titolare del trattamento inserisca egli stesso tali dati nei dati di contenuto; in tal caso si applicano di conseguenza i requisiti di protezione rafforzati.
(3) Categorie di interessati: ad es. dipendenti, clienti, potenziali clienti, partecipanti a sondaggi e fornitori di servizi del Titolare del trattamento.
§ 3 Obblighi del Responsabile del trattamento
(1) Il Responsabile del trattamento tratta i dati solo su istruzione documentata del Titolare del trattamento, salvo che sia obbligato per legge al trattamento. Le istruzioni vengono impartite in forma testuale o scritta; le istruzioni impartite oralmente devono essere confermate senza indebito ritardo in forma testuale o scritta. Ciascuna parte può designare le persone autorizzate a impartire istruzioni.
(2) Egli garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di segretezza.
(3) Egli adotta tutte le misure tecniche e organizzative richieste ai sensi dell'art. 32 GDPR (§ 4 in combinato disposto con l'Allegato 1).
(4) Egli assiste il Titolare del trattamento, per quanto possibile, nell'adempimento dei diritti degli interessati (artt. 12–23 GDPR) nonché degli obblighi di cui agli artt. 32–36 GDPR (sicurezza dei dati, notifica delle violazioni, valutazione d'impatto sulla protezione dei dati).
(5) Il Responsabile del trattamento informa senza indebito ritardo il Titolare del trattamento qualora, a suo avviso, un'istruzione violi le disposizioni in materia di protezione dei dati.
§ 4 Misure tecniche e organizzative (art. 32)
Il Responsabile del trattamento mantiene misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, in particolare per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi, nonché per la verifica periodica della loro efficacia. Le misure concrete sono descritte nell'Allegato 1 e sono parte integrante del presente contratto. Eventuali modifiche sostanziali non possono scendere al di sotto del livello di protezione concordato.
§ 5 Sub-responsabili del trattamento
(1) Il Titolare del trattamento concede un'autorizzazione generale al ricorso a sub-responsabili del trattamento. Il Responsabile del trattamento informa tempestivamente il Titolare del trattamento in forma testuale delle modifiche previste (aggiunta o sostituzione). Il Titolare del trattamento può opporsi a una modifica per un motivo rilevante attinente alla protezione dei dati entro quattro settimane dall'informazione; in assenza di opposizione, la modifica si considera approvata.
(2) Il Responsabile del trattamento vincola i sub-responsabili a un livello di protezione dei dati equivalente (art. 28, par. 4, GDPR). I sub-responsabili attualmente impiegati sono elencati nell'Allegato 2.
§ 6 Violazioni dei dati personali
Il Responsabile del trattamento notifica al Titolare del trattamento le violazioni della protezione dei dati personali senza indebito ritardo, e comunque al più tardi entro 24 ore dalla presa di conoscenza, e lo assiste negli obblighi di notifica e di comunicazione (artt. 33 e 34 GDPR), affinché il Titolare del trattamento possa rispettare il proprio termine di 72 ore.
§ 7 Cancellazione & restituzione
Al termine del trattamento, il Responsabile del trattamento cancella i dati, a scelta del Titolare del trattamento, oppure li restituisce e cancella le copie esistenti, salvo che sussista un obbligo di conservazione previsto dalla legge. Fino alla fine del contratto, il Titolare del trattamento ha la possibilità di esportare i propri dati.
§ 8 Prove & controlli
(1) Il Responsabile del trattamento mette a disposizione del Titolare del trattamento le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR. La prova può essere fornita anche mediante certificati, attestazioni o rapporti aggiornati di terzi indipendenti idonei.
(2) Verifiche ulteriori (comprese le ispezioni in loco) vengono effettuate con un preavviso adeguato di norma di due settimane, al massimo una volta all'anno nonché, in presenza di un sospetto concreto, in occasione di eventi specifici, durante i normali orari di lavoro e senza perturbazioni sproporzionate dell'attività. I costi di un'ispezione in loco disposta dal Titolare del trattamento sono a carico del Titolare del trattamento, salvo che l'ispezione riveli una violazione rilevante da parte del Responsabile del trattamento.
§ 9 Trasferimento verso paesi terzi
Il trattamento avviene di norma esclusivamente all'interno dell'UE ovvero del SEE. Un trasferimento verso un paese terzo avviene solo nel rispetto dei requisiti degli artt. 44 e ss. GDPR. L'unica eccezione attuale è la gestione dei pagamenti tramite Stripe, per la quale un trasferimento verso gli USA non può essere completamente escluso e che si fonda su clausole contrattuali standard dell'UE (art. 46 GDPR). Per il resto non avviene alcun trasferimento verso paesi terzi.
§ 10 Responsabilità & disposizioni finali
(1) Alla responsabilità si applica l'art. 82 GDPR. Nei rapporti tra le parti si applicano in via integrativa le disposizioni sulla responsabilità del contratto principale.
(2) In caso di conflitto tra il presente AVV e il contratto principale, le disposizioni del presente AVV prevalgono nelle questioni attinenti alla protezione dei dati.
(3) Si applica il diritto tedesco. Il foro esclusivo è, nella misura consentita dalla legge, Monaco di Baviera.
(4) Le modifiche e le integrazioni del presente contratto richiedono la forma testuale. Qualora una disposizione sia inefficace, il contratto resta efficace per il resto.
(5) Il presente AVV diventa parte integrante del rapporto contrattuale insieme al contratto principale. Esso si conclude in via elettronica mediante il consenso prestato dal Titolare del trattamento alla sottoscrizione di un abbonamento a pagamento — nell'ambito del processo di ordine e pagamento tramite Stripe ovvero mediante conferma nel proprio account cliente. Ai sensi dell'art. 28, par. 9, GDPR non è necessaria una firma autografa; la forma elettronica è sufficiente.
Allegato 1 — Misure tecniche e organizzative (art. 32 GDPR)
Il Responsabile del trattamento adotta le seguenti misure. Prima dell'utilizzo, l'elenco deve essere verificato rispetto alla prassi effettivamente attuata.
1. Riservatezza
- Controllo dell'accesso fisico: esercizio in centri dati di Alfahosting GmbH (Halle/Saale) e di Hetzner Online GmbH (Gunzenhausen) con controllo fisico degli accessi protetto (tra l'altro protezione degli accessi, videosorveglianza).
- Controllo dell'accesso ai sistemi: account utente individuali, password sicure, autenticazione a più fattori per gli accessi amministrativi, blocchi automatici delle sessioni.
- Controllo dell'accesso ai dati: sistema di autorizzazioni basato sui ruoli secondo il principio del privilegio minimo, registrazione degli accessi amministrativi.
- Controllo della separazione: separazione logica multi-tenant dei dati dei diversi titolari del trattamento; separazione degli ambienti di produzione, test e sviluppo.
- Crittografia: crittografia TLS della trasmissione dei dati; crittografia dei dati sensibili a riposo nonché memorizzazione crittografata di credenziali e dati di token.
2. Integrità
- Controllo degli inserimenti: registrazione di creazione, modifica e cancellazione; tracciabilità tramite audit log.
- Controllo della trasmissione: trasmissione esclusivamente tramite connessioni crittografate.
3. Disponibilità e resilienza
- backup periodici e crittografati e una procedura per il ripristino della disponibilità dopo un incidente;
- monitoraggio dei sistemi, protezione contro sovraccarichi e attacchi (tra l'altro firewall, protezione DDoS), aggiornamenti di sicurezza tempestivi.
4. Procedure di verifica, valutazione e analisi periodiche
- verifica periodica dell'efficacia delle misure; review in materia di protezione dei dati e di sicurezza; controllo dell'incarico nei confronti dei sub-responsabili del trattamento;
- protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 GDPR).
Allegato 2 — Sub-responsabili del trattamento
Alla data del presente contratto sono impiegati i seguenti sub-responsabili del trattamento:
- Alfahosting GmbH, Halle (Saale), Germania — hosting / centro dati (UE).
- Hetzner Online GmbH, Gunzenhausen, Germania — hosting / centro dati (UE).
- Stripe Payments Europe Ltd., Dublino, Irlanda — gestione dei pagamenti; un trasferimento verso gli USA non è escluso e si fonda su clausole contrattuali standard dell'UE.
- Sendinblue GmbH (Brevo), Colonia, Germania — invio di e-mail e notifiche (UE).
Ultimo aggiornamento: 6 luglio 2026
