Documento legale · 18 articoli

Accordo sul Trattamento dei Dati (DPA)

Accordo standard ai sensi dell’art. 28 GDPR per i servizi che comportano trattamento di dati personali per conto del cliente. Parte integrante dei Termini e Condizioni.

Ultimo aggiornamento · 2026-05-24

01 — Articolo

Premessa e ambito di applicazione

Il presente Accordo sul Trattamento dei Dati ("DPA") integra i Termini e Condizioni e disciplina i casi in cui — nell’esecuzione dei servizi commissionati — il prestatore tratta dati personali di cui il cliente è titolare ai sensi del Regolamento UE 2016/679 ("GDPR").

Il DPA si applica automaticamente, senza necessità di sottoscrizione separata, quando i servizi includono almeno una delle seguenti attività:

  • gestione di hosting, dominio, certificati o infrastruttura del sito del cliente, con accesso ai dati ivi contenuti;
  • manutenzione continuativa, evolutiva o correttiva con accesso al backend, database o repository del cliente;
  • gestione di liste contatti o newsletter del cliente tramite account di terze parti (es. Resend, Mailchimp) operati dal prestatore;
  • attività SEO o analytics con accesso ad account Google (Search Console, Analytics, Tag Manager) o equivalenti del cliente;
  • sviluppo di funzionalità con accesso temporaneo o stabile a dati personali in chiaro del cliente.

02 — Articolo

Identificazione delle parti

  • Responsabile del trattamento ("Responsabile"): Federico Calicchia, Via Scifelli 74, Ceccano 03023 FR, P.IVA 03160480608, mail@calicchia.design.
  • Titolare del trattamento ("Titolare"): il cliente identificato nel preventivo accettato e nei dati di fatturazione, che resta unico responsabile della liceità del trattamento dei dati conferiti al Responsabile.

03 — Articolo

Oggetto, durata, natura e finalità

  • Oggetto: trattamento dei dati personali necessari all’esecuzione dei servizi descritti nel preventivo accettato.
  • Durata: per tutta la durata del contratto commerciale, prorogata di 30 giorni per consentire la restituzione o cancellazione dei dati a fine rapporto.
  • Natura: operazioni tecniche di raccolta, registrazione, organizzazione, conservazione, consultazione, modifica, comunicazione, cancellazione, eseguite con strumenti elettronici.
  • Finalità: limitatamente all’esecuzione delle attività concordate; nessun uso autonomo dei dati per finalità diverse.

04 — Articolo

Tipo di dati personali e categorie di interessati

A seconda dei servizi attivati, le categorie di dati e interessati possono includere:

  • Dati identificativi e di contatto: nome, email, telefono, ragione sociale, indirizzo, codice fiscale/P.IVA.
  • Dati di navigazione e tecnici: indirizzo IP, user-agent, log di accesso, cookie.
  • Contenuto delle comunicazioni: messaggi inviati tramite form, email, chat o canali equivalenti.
  • Dati di fatturazione e pagamento dei clienti finali del Titolare.
  • Categorie di interessati: visitatori del sito, clienti del Titolare, dipendenti o collaboratori del Titolare nella misura in cui i loro dati siano trattati.
  • Categorie particolari (art. 9 GDPR) o dati relativi a condanne penali (art. 10 GDPR): di regola non trattati. Eventuali eccezioni richiedono integrazione scritta del DPA prima dell’inizio del trattamento.

05 — Articolo

Istruzioni del Titolare (art. 28(3)(a))

Il Responsabile tratta i dati personali esclusivamente su istruzioni documentate del Titolare, anche in caso di trasferimento di dati verso un Paese terzo o un’organizzazione internazionale, salvo che il diritto dell’Unione o dello Stato membro cui è soggetto il Responsabile lo obblighi diversamente.

  • Costituiscono istruzioni documentate il presente DPA, i Termini e Condizioni, il preventivo accettato, le email scambiate tra le parti, le configurazioni esplicitamente richieste dal Titolare.
  • Il Responsabile informa immediatamente il Titolare se, a suo parere, un’istruzione viola il GDPR o altre disposizioni applicabili in materia di protezione dei dati.

06 — Articolo

Riservatezza del personale (art. 28(3)(b))

Il Responsabile è un libero professionista che opera personalmente sui dati conferiti. Eventuali collaboratori esterni occasionali sono vincolati per iscritto a obbligo di riservatezza equivalente al presente DPA prima di qualsiasi accesso ai dati del Titolare.

07 — Articolo

Misure tecniche e organizzative (art. 28(3)(c) + art. 32)

Il Responsabile adotta misure proporzionate al rischio, tra cui in particolare:

  • Cifratura in transito tramite TLS per tutti gli accessi e le comunicazioni.
  • Cifratura a riposo dei segreti applicativi (envelope encryption AES-256-GCM).
  • Accessi amministrativi protetti da autenticazione multi-fattore (TOTP) e password con hashing bcrypt.
  • Cookie di sessione con flag HttpOnly e Secure, scadenza sliding (30 minuti di inattività).
  • Protezione anti-bot dei form pubblici tramite Cloudflare Turnstile.
  • Log di accesso e audit trail conservati nei limiti previsti dalla policy di retention.
  • Backup periodici dei dati con conservazione separata dall’istanza primaria.
  • Procedure di hardening sistematico (security headers, CSP, rate limiting, mascheramento PII nei log).
  • Procedura documentata di notifica data breach (cfr. art. 11 del presente DPA).

08 — Articolo

Sub-responsabili (art. 28(2) e 28(4))

Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili indicati di seguito, ai quali sono imposti per contratto obblighi di protezione dei dati equivalenti a quelli del presente DPA. Il Responsabile resta pienamente responsabile dell’adempimento degli obblighi del sub-responsabile.

  • Hosting e infrastruttura: provider IaaS UE (es. Hetzner, Germania).
  • Sicurezza ed edge: Cloudflare, Inc. (Irlanda) per WAF, anti-bot Turnstile, CDN.
  • Email transazionali: Resend, Inc. (USA, DPF) o provider equivalente concordato.
  • Pagamenti: Stripe Payments Europe Ltd. (Irlanda), PayPal (Europe) S.à r.l. et Cie, S.C.A. (Lussemburgo).
  • Error tracking: istanza Bugsink self-hosted del Responsabile (nessun trasferimento a terzi).
  • Eventuali ulteriori sub-responsabili sono comunicati al Titolare con preavviso di almeno 30 giorni; il Titolare può opporsi entro 15 giorni dal ricevimento della comunicazione, nel qual caso le parti concordano in buona fede una soluzione alternativa o, in mancanza, la risoluzione anticipata della parte di servizio interessata.

09 — Articolo

Trasferimenti extra UE

  • Eventuali trasferimenti di dati verso Paesi terzi avvengono solo sulla base di idonee garanzie ai sensi del Capo V GDPR:
  • EU-US Data Privacy Framework, ove il destinatario sia certificato (Stripe, PayPal, Cloudflare, Resend, Google).
  • Clausole Contrattuali Tipo approvate dalla Commissione Europea (Decisione 2021/914) per i trasferimenti non coperti da decisione di adeguatezza o DPF.
  • Il Responsabile rende disponibile copia delle garanzie su richiesta scritta del Titolare.

10 — Articolo

Assistenza per diritti degli interessati (art. 28(3)(e))

Il Responsabile assiste il Titolare con misure tecniche e organizzative adeguate, nella misura possibile, a rispondere alle richieste degli interessati relative all’esercizio dei diritti previsti dagli artt. 15-22 GDPR.

  • Le richieste ricevute direttamente dal Responsabile vengono inoltrate al Titolare entro 5 giorni lavorativi.
  • L’assistenza include estrazione, rettifica o cancellazione dei dati e — ove tecnicamente fattibile — fornitura dei dati in formato strutturato e comunemente leggibile (art. 20 GDPR).
  • Le attività di assistenza che superino l’ordinaria amministrazione possono essere fatturate al Titolare secondo le tariffe correnti, previo preventivo scritto.

11 — Articolo

Notifica violazioni (art. 28(3)(f) + art. 33)

In caso di violazione dei dati personali ("data breach") che riguardi dati trattati per conto del Titolare, il Responsabile notifica il Titolare senza ingiustificato ritardo dopo esserne venuto a conoscenza, e in ogni caso entro 24 ore.

  • La notifica include: descrizione della natura della violazione, categorie e numero approssimativo di interessati e record interessati, conseguenze probabili, misure adottate o proposte per attenuare gli effetti.
  • Il Responsabile fornisce al Titolare ogni informazione ragionevolmente necessaria per consentire la notifica all’Autorità di controllo entro 72 ore (art. 33 GDPR) e, ove richiesta, agli interessati (art. 34 GDPR).
  • Il Responsabile coopera nell’indagine, contenimento e remediation, e documenta nel proprio registro interno violazioni la cronologia degli eventi.

12 — Articolo

Valutazione di impatto e consultazione preventiva (art. 28(3)(f) + artt. 35-36)

Il Responsabile assiste il Titolare nella conduzione di una valutazione d’impatto sulla protezione dei dati (DPIA) e nella consultazione preventiva del Garante, ove ricorrano i presupposti dell’art. 35 GDPR, fornendo le informazioni tecniche nella propria disponibilità.

13 — Articolo

Restituzione o cancellazione a fine rapporto (art. 28(3)(g))

Al termine della prestazione dei servizi, su scelta del Titolare comunicata per iscritto entro 15 giorni dalla cessazione:

  • il Responsabile restituisce al Titolare tutti i dati personali trattati per suo conto, in formato strutturato e comunemente leggibile; oppure
  • il Responsabile cancella i dati personali trattati per conto del Titolare, salvo che il diritto dell’Unione o dello Stato membro richieda la conservazione (in particolare, le fatture, i pagamenti e i preventivi connessi al rapporto commerciale restano conservati per 10 anni ai sensi dell’art. 2220 c.c. e della normativa fiscale).
  • In mancanza di indicazioni del Titolare entro 30 giorni dalla cessazione, il Responsabile procede alla cancellazione dei dati di esclusiva pertinenza del Titolare, conservando solo i record fiscalmente obbligatori in forma anonimizzata ove possibile.
  • Il Responsabile rilascia, su richiesta, dichiarazione di avvenuta cancellazione.

14 — Articolo

Audit e ispezioni (art. 28(3)(h))

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA e contribuisce alle attività di revisione condotte dal Titolare o da soggetto da questi incaricato.

  • Le richieste di informazioni vengono evase entro 15 giorni lavorativi.
  • Ispezioni in loco sono concordate con preavviso scritto di almeno 30 giorni, durante orario lavorativo, senza intralcio dell’operatività ordinaria del Responsabile.
  • Le spese ragionevoli dell’audit sono a carico del Titolare, salvo che dall’audit emergano violazioni del DPA imputabili al Responsabile.
  • Il Responsabile può proporre, in alternativa, certificazioni o rapporti di terzi indipendenti (es. ISO 27001) come prova del rispetto degli obblighi.

15 — Articolo

Limitazione di responsabilità

Nei limiti consentiti dalla legge, la responsabilità del Responsabile per i danni derivanti dal trattamento dei dati personali per conto del Titolare è limitata ai casi di dolo o colpa grave.

Resta in ogni caso impregiudicata la responsabilità solidale tra Titolare e Responsabile ai sensi dell’art. 82 GDPR nei confronti degli interessati.

16 — Articolo

Modifiche al DPA

Il Responsabile può aggiornare il presente DPA per adeguarlo a modifiche normative, linee guida delle Autorità di controllo o evoluzioni tecniche dei servizi. La versione aggiornata è pubblicata su /dpa-clienti con la data di ultimo aggiornamento; le modifiche sostanziali sono comunicate al Titolare per iscritto con almeno 30 giorni di preavviso.

17 — Articolo

Foro competente e legge applicabile

Il presente DPA è regolato dal diritto italiano. Per qualsiasi controversia derivante dall’accordo è competente in via esclusiva il Foro di Frosinone, salvo norme inderogabili applicabili in caso di Titolare consumatore.

18 — Articolo

Contatti

Per qualsiasi richiesta relativa al presente DPA, per la notifica di un data breach o per esercitare i diritti contrattuali quivi previsti, scrivere a mail@calicchia.design.