Data Processing Agreement

Accordo sul Trattamento dei Dati Personali ai sensi dell'art. 28 del Reg. UE 2016/679 (GDPR)
Versione: 1.0  |  In vigore dal: 25 marzo 2026

Indice

  1. Premesse e Definizioni
  2. Ruoli e Responsabilità
  3. Oggetto del Trattamento
  4. Istruzioni del Titolare
  5. Misure di Sicurezza
  6. Sub-Responsabili
  7. Assistenza sui Diritti degli Interessati
  8. Violazioni dei Dati (Data Breach)
  9. Audit e Ispezioni
  10. Cancellazione e Restituzione dei Dati
  11. Trasferimenti Internazionali
  12. Durata e Risoluzione
  13. Legge Applicabile

1. Premesse e Definizioni

Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra:

  • Responsabile del Trattamento: Riccardo Capece - Partita IVA 02546440443 — Email: riccardoocapece@gmail.com ("Piattaforma Social" o "Responsabile");
  • Titolare del Trattamento: l'Agenzia cliente che ha accettato i Termini di Servizio di Piattaforma Social ("Titolare" o "Agenzia").

Il DPA integra i Termini di Servizio e si applica automaticamente all'attivazione di qualsiasi piano a pagamento o piano gratuito che preveda il caricamento di dati personali di terzi sulla piattaforma Piattaforma Social.

1.1 Definizioni

Ai fini del presente DPA si intende per:

  • "GDPR": Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio.
  • "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile.
  • "Trattamento": qualsiasi operazione effettuata sui Dati Personali (raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, cancellazione).
  • "Interessato": la persona fisica i cui Dati Personali sono trattati.
  • "Violazione dei Dati": una violazione di sicurezza che comporta accidentalmente o illecitamente la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali (art. 4, n. 12 GDPR).
  • "Sub-Responsabile": un terzo soggetto cui Piattaforma Social affida specifiche attività di trattamento nell'ambito dei servizi forniti all'Agenzia.

2. Ruoli e Responsabilità

Nell'ambito della prestazione dei Servizi Piattaforma Social:

  • L'Agenzia è il Titolare del Trattamento per i dati dei propri clienti finali, dei propri utenti e di qualsiasi terzo i cui dati vengano caricati sulla piattaforma.
  • Piattaforma Social agisce come Responsabile del Trattamento ai sensi dell'art. 28 GDPR, trattando i Dati Personali esclusivamente per conto e su istruzione documentata del Titolare.

L'Agenzia garantisce che il trattamento dei Dati Personali tramite Piattaforma Social abbia una base giuridica valida (consenso, contratto, interesse legittimo o altro, ai sensi degli artt. 6 e 9 GDPR) e che gli Interessati abbiano ricevuto un'adeguata informativa privacy.

3. Oggetto del Trattamento

3.1 Finalità

Piattaforma Social tratta i Dati Personali per consentire all'Agenzia di:

  • Gestire i propri clienti finali (anagrafica, note, brief AI);
  • Creare, programmare e pubblicare contenuti sui social media;
  • Inviare approvazioni di contenuto ai clienti finali tramite token;
  • Generare report e analisi sull'attività social;
  • Archiviare e gestire media (immagini, video) associati ai clienti.

3.2 Tipologia di Dati Trattati

Categoria Esempi Interessati
Dati anagrafici Nome, ragione sociale, email, telefono Clienti finali dell'Agenzia
Contenuti social Testi, immagini, video, hashtag Clienti finali, fan/follower (terzi)
Dati di accesso Token approvazione (hashed), password portale cliente Clienti finali dell'Agenzia
Metriche social Reach, impressioni, engagement, follower Account social dell'Agenzia/cliente
Dati di collaborazione Note interne, task, commenti su post Utenti interni dell'Agenzia

3.3 Durata del Trattamento

Il trattamento prosegue per tutta la durata del contratto tra l'Agenzia e Piattaforma Social. Alla cessazione del contratto si applica quanto previsto all'art. 10 (Cancellazione e Restituzione).

4. Istruzioni del Titolare

Piattaforma Social tratta i Dati Personali esclusivamente su istruzione documentata dell'Agenzia, che include:

  • Le operazioni configurate tramite l'interfaccia e le API di Piattaforma Social;
  • Le istruzioni contenute nel presente DPA e nei Termini di Servizio;
  • Qualsiasi istruzione scritta successiva inviata via email o tramite supporto ufficiale.

Qualora Piattaforma Social ritenesse che un'istruzione violi il GDPR o altra normativa applicabile, ne darà immediata comunicazione all'Agenzia senza essere tenuta a eseguire l'istruzione contestata.

Piattaforma Social non tratterà i Dati Personali per finalità proprie, né li utilizzerà per profilazione, marketing, rivendita a terzi o addestramento di modelli AI senza esplicita autorizzazione scritta dell'Agenzia.

5. Misure di Sicurezza

Ai sensi dell'art. 32 GDPR, Piattaforma Social adotta misure tecniche e organizzative adeguate, tra cui:

  • Crittografia: tutti i dati in transito sono protetti da TLS 1.2+; token e credenziali sensibili sono cifrati a riposo con Laravel Crypt (AES-256-CBC);
  • Controllo degli accessi: sistema multi-tenant con isolamento per agency_id; role-based access control (admin, social_manager, copywriter);
  • Autenticazione: password con hashing bcrypt; sessioni cifrate; token API via Laravel Sanctum;
  • Protezione delle API: rate limiting su tutti gli endpoint; protezione CSRF; header di sicurezza HTTP;
  • Logging e monitoraggio: activity log per azioni critiche; logging degli accessi ai dati;
  • Backup: backup periodici del database con retention configurabile;
  • Gestione delle vulnerabilità: audit di sicurezza periodici (14 iterazioni completate al 25/03/2026);
  • Separazione degli ambienti: environment di produzione separato da development/staging.

Le misure di sicurezza sono soggette a revisione periodica e aggiornate in funzione dell'evoluzione tecnologica e dei rischi identificati.

6. Sub-Responsabili del Trattamento

L'Agenzia autorizza Piattaforma Social a utilizzare i seguenti Sub-Responsabili per l'erogazione dei Servizi. Piattaforma Social garantisce che ogni Sub-Responsabile sia vincolato da obblighi di protezione dei dati equivalenti a quelli del presente DPA.

Sub-Responsabile Finalità Sede Garanzie
Stripe, Inc. Elaborazione pagamenti USA (Dublin for EU) SCC, Privacy Shield successor
OpenAI, L.L.C. Generazione contenuti AI USA Clausole contrattuali standard (SCC)
Meta Platforms Ireland Ltd. Pubblicazione social (Facebook/Instagram) Irlanda (UE) GDPR Art. 46
Provider hosting Infrastruttura server e storage UE / SEE GDPR Art. 28

Piattaforma Social notificherà all'Agenzia (via email all'indirizzo registrato) qualsiasi modifica ai Sub-Responsabili con almeno 30 giorni di preavviso, consentendo all'Agenzia di opporsi motivatamente. In assenza di opposizione entro il termine, la modifica si intende approvata.

7. Assistenza sui Diritti degli Interessati

Piattaforma Social fornisce all'Agenzia strumenti e supporto per rispondere alle richieste di esercizio dei diritti degli Interessati (artt. 15-22 GDPR), in particolare:

  • Accesso (art. 15): i dati del cliente finale sono accessibili tramite il pannello di gestione cliente;
  • Rettifica (art. 16): modificabile direttamente dall'Agenzia tramite l'interfaccia;
  • Cancellazione (art. 17): disponibile tramite soft-delete e cancellazione definitiva dal pannello;
  • Portabilità (art. 20): export JSON dei dati disponibile tramite la funzione GDPR Export;
  • Opposizione (art. 21): gestibile dall'Agenzia tramite disattivazione del trattamento specifico.

L'Agenzia è responsabile di rispondere agli Interessati entro i termini previsti dalla legge (30 giorni prorogabili a 60). Piattaforma Social supporta tale risposta fornendo i dati richiesti entro 5 giorni lavorativi dalla richiesta documentata dell'Agenzia.

8. Violazioni dei Dati (Data Breach)

In caso di Violazione dei Dati che interessi i dati trattati per conto dell'Agenzia, Piattaforma Social:

  1. Notificherà l'Agenzia senza ingiustificato ritardo e comunque entro 72 ore dalla scoperta della violazione (art. 33 GDPR);
  2. Fornirà nella notifica: natura della violazione, categorie e numero approssimativo di interessati, conseguenze probabili, misure adottate o proposte;
  3. Collaborerà con l'Agenzia nella gestione della violazione e nelle eventuali notifiche al Garante Privacy e agli Interessati;
  4. Documenterà tutte le violazioni, anche quelle non soggette a obbligo di notifica, nel registro interno degli incidenti.

La notifica avverrà via email all'indirizzo dell'amministratore principale dell'Agenzia registrato su Piattaforma Social.

9. Audit e Ispezioni

L'Agenzia ha il diritto di effettuare audit sul rispetto del presente DPA da parte di Piattaforma Social, con le seguenti modalità:

  • Richiesta scritta con almeno 30 giorni di preavviso;
  • Audit effettuato dall'Agenzia o da un soggetto terzo indipendente da essa designato, non in concorrenza con Piattaforma Social;
  • Durata massima dell'audit: 2 giorni lavorativi; gli audit non devono perturbarne le normali operazioni;
  • I costi dell'audit sono a carico dell'Agenzia, salvo che l'audit riveli non conformità significative.

In alternativa all'audit diretto, Piattaforma Social può fornire report di audit, certificazioni o attestazioni emesse da soggetti terzi (es. penetration test report, SOC2 summary) che soddisfino ragionevolmente le richieste di verifica dell'Agenzia.

10. Cancellazione e Restituzione dei Dati

Alla cessazione del contratto per qualsiasi causa, Piattaforma Social:

  1. Consentirà all'Agenzia di esportare tutti i propri dati (clienti, post, media, report) tramite la funzione di export per un periodo di 30 giorni dalla cessazione;
  2. Trascorso tale periodo, procederà alla cancellazione sicura di tutti i Dati Personali dai sistemi di produzione entro 30 giorni;
  3. I dati presenti nei backup saranno sovrascritti nei cicli di backup successivi, comunque entro 90 giorni dalla cessazione;
  4. Fornirà, su richiesta scritta, attestazione scritta dell'avvenuta cancellazione entro 15 giorni lavorativi.

Sono esentati dalla cancellazione i dati che Piattaforma Social è tenuta a conservare per obbligo di legge (es. registrazioni contabili, log di sicurezza richiesti da normativa).

11. Trasferimenti Internazionali

I trasferimenti di Dati Personali verso paesi terzi (extra-SEE) avvengono esclusivamente verso i Sub-Responsabili elencati all'art. 6, che operano in base a:

  • Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914/UE);
  • Decisioni di adeguatezza della Commissione Europea ove applicabili;
  • Garanzie supplementari (cifratura end-to-end, pseudonimizzazione) ove necessario in base alla Transfer Impact Assessment.

Su richiesta, Piattaforma Social fornisce all'Agenzia copia delle SCC applicabili ai trasferimenti verso Sub-Responsabili extra-SEE.

12. Durata e Risoluzione

Il presente DPA ha la stessa durata del contratto principale di fornitura dei Servizi Piattaforma Social. Il DPA si risolve automaticamente alla cessazione del contratto principale, fatti salvi gli obblighi di cancellazione dati di cui all'art. 10 e quelli di riservatezza.

In caso di conflitto tra il presente DPA e i Termini di Servizio, prevalgono le disposizioni del DPA relativamente alla protezione dei dati personali.

13. Legge Applicabile e Foro Competente

Il presente DPA è regolato dal diritto italiano e dal GDPR. Per qualsiasi controversia relativa all'interpretazione o esecuzione del DPA, le parti si impegnano a tentare una risoluzione amichevole entro 30 giorni dalla prima comunicazione scritta. In assenza di accordo, il foro competente è quello di Ascoli Piceno, con esclusione di qualsiasi altro foro.

Il DPA è redatto in lingua italiana. In caso di traduzione in altre lingue, la versione italiana prevale.

Contatti per questioni DPA

Per richieste relative al presente DPA, violazioni di dati, audit o esercizio di diritti degli Interessati:

  • Email: riccardoocapece@gmail.com
  • PEC: riccardocapece@pec.it
  • Oggetto email: "[DPA Piattaforma Social] — [oggetto della richiesta]"
Accettazione automatica: L'utilizzo dei servizi Piattaforma Social costituisce accettazione del presente DPA, che forma parte integrante dei Termini di Servizio. Per ottenere una copia firmata digitalmente contattare riccardoocapece@gmail.com.