Data Processing Agreement (DPA)
Ultimo aggiornamento: 7 aprile 2026
Il presente Accordo sul Trattamento dei Dati (di seguito "DPA") regola il trattamento dei dati personali effettuato da SysExperts per conto del Cliente ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR). Il DPA costituisce parte integrante del contratto di servizio sottoscritto tra le parti.
1. Parti
Titolare del Trattamento: il Cliente, come identificato nel contratto di servizio sottoscritto (di seguito "Titolare").
Responsabile del Trattamento: SysExperts, P.IVA 03738170780, PEC: [email protected] (di seguito "Responsabile").
2. Oggetto e durata
Il Responsabile tratta i dati personali del Titolare esclusivamente nell'ambito e nei limiti delle attività necessarie all'erogazione dei servizi di sistemistica, DevOps, sicurezza informatica e consulenza tecnica, in conformità alle istruzioni documentate del Titolare. Il DPA resta in vigore per tutta la durata del contratto di servizio.
3. Finalità del trattamento
- Gestione e manutenzione dell'infrastruttura server e sistemi del Titolare
- Monitoraggio, incident response e security hardening
- Backup, disaster recovery e migrazioni
- Ottimizzazione performance e automazione DevOps
- Supporto tecnico e gestione degli incidenti
Il Responsabile non tratta i dati per finalità proprie, commerciali o di profilazione.
4. Categorie di dati trattati
| Categoria | Tipologia |
|---|---|
| Dati tecnici di rete | Indirizzi IP, log di accesso, configurazioni server |
| Dati di sistema | Log applicativi, metriche performance, eventi di sicurezza |
| Dati dei referenti tecnici | Nome, email, recapito telefonico dei contatti del Titolare |
| Dati dei clienti finali | Dati eventualmente presenti sui server gestiti (database, file, email) |
Sono esclusi dal trattamento intenzionale i dati delle categorie particolari (art. 9 GDPR). Qualora tali dati fossero presenti sui server gestiti, il Titolare è tenuto a informare preventivamente il Responsabile per concordare misure aggiuntive.
5. Obblighi del Responsabile
- Istruzioni documentate: trattare i dati esclusivamente su istruzione documentata del Titolare.
- Riservatezza: garantire che il personale autorizzato al trattamento sia vincolato da obblighi di riservatezza.
- Misure di sicurezza: adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (cifratura in transito HTTPS/TLS, controllo accessi RBAC, backup cifrati, audit log).
- Sub-responsabili: non ricorrere a ulteriori responsabili senza previa autorizzazione scritta del Titolare. Per ogni nuovo sub-responsabile, comunicazione con 30 giorni di preavviso.
- Diritti degli interessati: assistere il Titolare nel dare seguito alle richieste di esercizio dei diritti (artt. 15-22 GDPR).
- Cancellazione o restituzione: alla cessazione del contratto, su scelta del Titolare, procedere alla cancellazione sicura o alla consegna dei dati in formato strutturato entro 30 giorni dalla richiesta.
- Audit: mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire verifiche con preavviso di 15 giorni lavorativi.
6. Sub-responsabili autorizzati
| Sub-responsabile | Ruolo | Sede |
|---|---|---|
| Hetzner Online GmbH | Hosting infrastruttura e backup | Germania / Finlandia (UE) |
| Provider hosting del Titolare | Infrastruttura server gestiti | Secondo contratto del Titolare |
La lista aggiornata dei sub-responsabili è disponibile su richiesta scritta a [email protected]. Il Responsabile aggiorna la lista con 30 giorni di preavviso per ogni variazione.
7. Notifica violazioni (Data Breach)
In caso di violazione dei dati personali (art. 4.12 GDPR), il Responsabile:
- Notifica al Titolare entro 24 ore dalla presa di conoscenza della violazione.
- Fornisce entro 72 ore le informazioni richieste dall'art. 33.3 GDPR: natura della violazione, categorie e numero di interessati coinvolti, probabili conseguenze, misure adottate o proposte.
- Coopera con il Titolare per la notifica all'Autorità di controllo e, ove necessario, la comunicazione agli interessati.
L'obbligo di notifica all'Autorità Garante entro 72 ore compete in via esclusiva al Titolare del trattamento.
8. Trasferimenti extra-UE
Il Responsabile non trasferisce i dati del Titolare verso paesi terzi al di fuori dello Spazio Economico Europeo, salvo previa autorizzazione scritta del Titolare e nel rispetto delle garanzie previste dagli artt. 44-49 GDPR.
9. Responsabilità
Il Responsabile risponde nei confronti del Titolare per i danni causati da trattamenti effettuati in violazione del presente Accordo o del GDPR, nei limiti dell'art. 82 GDPR e delle clausole di limitazione della responsabilità previste nei Termini di Servizio.
10. Modifiche
Il Responsabile può aggiornare il presente DPA per adeguarlo a variazioni normative o tecnologiche, con preavviso di 30 giorni via email. Modifiche sostanziali danno diritto al Titolare di recedere dal contratto senza penali entro il termine di preavviso.
11. Legge applicabile e foro
Il presente Accordo è regolato dalla legge italiana e dal GDPR. Per ogni controversia è competente in via esclusiva il Foro di Cosenza, fermo restando il diritto di proporre reclamo al Garante per la protezione dei dati personali.
Contatti
Per qualsiasi questione relativa al presente Accordo: [email protected]
PEC: [email protected]