Data Processing Agreement (DPA)

Premesse

Quando, nell'ambito dell'erogazione dei servizi tecnici, il Fornitore tratta dati personali per conto del Cliente, le parti agiscono rispettivamente come Responsabile (Fornitore) e Titolare (Cliente) del trattamento. Il presente DPA si applica automaticamente a tale rapporto.

Il presente DPA è accettato dal Cliente al momento della conclusione del contratto, cioè con la firma elettronica del fascicolo contrattuale quando il servizio è venduto a preventivo, e comunque prima del conferimento delle credenziali e degli accessi tecnici al Responsabile. Il conferimento degli accessi conferma che il presente accordo è già stato accettato.

1. Parti

Titolare: il Cliente, come identificato nel preventivo o nel contratto di servizio.

Responsabile: WPsec.it, P.IVA 03738170780, Italia, contattabile a info@wpsec.it.

2. Oggetto e durata

Il Responsabile tratta i dati personali presenti negli ambienti tecnici del Cliente esclusivamente per consentire l'esecuzione dei servizi descritti nel contratto (analisi, bonifica, hardening, ottimizzazione, manutenzione, supporto). La durata coincide con quella del contratto di servizio.

In caso di rimborso ai sensi della garanzia commerciale descritta nei Termini di servizio, il presente DPA cessa con effetto immediato dalla data del rimborso. Entro 30 giorni dalla data del rimborso il Responsabile provvede alla cancellazione di ogni dato, backup, copia, ambiente di staging o snapshot del Cliente creato o conservato nell'ambito dei servizi rimborsati, salvo obblighi di conservazione previsti dalla legge. Il Titolare è tenuto ad aggiornare con effetto immediato tutte le credenziali di accesso condivise con il Responsabile nel corso del servizio. Nessun ulteriore obbligo di trattamento, supporto, SLA o assistenza è dovuto da parte del Responsabile dopo la data del rimborso.

3. Natura, finalità e categorie di dati

Il trattamento può comprendere accesso, lettura, copia, modifica e cancellazione di dati presenti su database, file system e log dell'ambiente del Cliente. Le categorie di dati possono includere: dati di contatto degli utenti finali del sito, dati account e amministrazione, contenuti pubblicati, log di sicurezza.

4. Obblighi del Responsabile

• trattare i dati esclusivamente sulla base di istruzioni documentate del Titolare, anche in caso di trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale;
• adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, incluse: cifratura in transito (TLS), controllo accessi tramite autenticazione forte, segregazione degli ambienti, log di audit, gestione sicura delle credenziali del Cliente tramite cifratura lato client (zero-knowledge) e utilizzo limitato al tempo strettamente necessario;
• garantire che il personale autorizzato al trattamento sia vincolato a obblighi di riservatezza o tenuto a un adeguato obbligo legale di segretezza;
• assistere il Titolare con misure tecniche e organizzative adeguate per ottemperare alle richieste degli interessati nell'esercizio dei diritti di cui agli artt. 15-22 GDPR;
• assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, valutazione d'impatto, consultazione preventiva);
• notificare al Titolare ogni violazione di dati personali (data breach) senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, fornendo le informazioni necessarie a consentire al Titolare di ottemperare agli obblighi di notifica al Garante entro 72 ore (art. 33 GDPR) e, ove richiesto, di comunicazione agli interessati (art. 34 GDPR);
• mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR;
• al termine del contratto, su scelta del Titolare, restituire o cancellare tutti i dati personali trattati per conto del Titolare, comprese copie e backup, salvo obblighi di legge che ne impongano la conservazione. La cancellazione è effettuata entro 30 giorni dalla cessazione del rapporto. Su richiesta scritta il Responsabile rilascia attestazione di avvenuta cancellazione.

5. Sub-responsabili (sub-processors)

Principio generale. I servizi tecnici resi al Cliente (bonifica, hardening, manutenzione) avvengono direttamente sugli ambienti già esistenti del Cliente: il Cliente conserva il proprio hosting, CDN, registrar, gateway di pagamento e ogni servizio terzo. Il Responsabile non introduce sub-fornitori sui sistemi del Cliente: si limita ad accedere ai sistemi forniti dal Cliente per eseguire le attività concordate.

Sub-responsabili eventualmente coinvolti. Il trattamento può avvenire mediante strumenti del Responsabile (es. sistemi di ticketing, email istituzionale, archiviazione interna di documenti contrattuali). In tali casi il Titolare autorizza in via generale il Responsabile a ricorrere a fornitori tecnici comuni (provider email/PEC, archiviazione documentale cifrata) limitatamente alle attività di gestione contrattuale e amministrativa, non al trattamento dei dati operativi presenti negli ambienti del Cliente.

Telegram - non sub-responsabile. Il flusso operativo interno del Responsabile può generare notifiche verso Telegram. Tali notifiche contengono esclusivamente un codice di riferimento non personale e non includono dati personali, credenziali o contenuti riconducibili a un interessato. Telegram non riceve dati personali del Cliente o dei relativi interessati e non agisce pertanto come sub-responsabile del trattamento, coerentemente con quanto indicato nella Privacy Policy.

Eventuali variazioni dell'elenco sub-responsabili sono comunicate al Titolare con ragionevole anticipo (almeno 30 giorni), riconoscendogli la facoltà di opporsi per giustificato motivo. L'elenco aggiornato è disponibile su richiesta scrivendo a info@wpsec.it.

6. Trasferimenti extra-UE

Eventuali trasferimenti di dati al di fuori dello Spazio Economico Europeo avvengono con gli strumenti previsti dal Capo V del GDPR: Clausole Contrattuali Standard (SCC) ai sensi della Decisione di esecuzione UE 2021/914, decisioni di adeguatezza della Commissione Europea, certificazione EU-U.S. Data Privacy Framework ove applicabile. Per ogni trasferimento il Responsabile adotta misure tecniche aggiuntive (cifratura, pseudonimizzazione) per garantire un livello di protezione equivalente a quello UE.

7. Audit e ispezioni

Il Titolare può richiedere, con preavviso scritto di almeno 30 giorni e con cadenza non superiore a una volta all'anno (salvo incidenti significativi o modifiche normative), informazioni e documentazione utili a verificare il rispetto degli obblighi del Responsabile ai sensi dell'art. 28 GDPR. Il Responsabile può soddisfare l'obbligo mediante: (a) compilazione di questionario di audit, (b) condivisione di certificazioni vigenti, (c) fornitura di report di sicurezza redatti da terze parti. Eventuali audit on-site sono concordati per non compromettere la sicurezza degli ambienti di altri clienti e a spese del Titolare richiedente.

7-bis. Misure di sicurezza minime (art. 32 GDPR)

Il Responsabile dichiara di adottare, in conformità all'art. 32 GDPR, almeno le seguenti misure tecniche e organizzative:

• cifratura in transito TLS 1.2+ per tutte le comunicazioni;
• autenticazione a due fattori (2FA) per gli account amministrativi del Responsabile;
• acquisizione delle credenziali del Cliente tramite cifratura lato client (zero-knowledge): le credenziali sono cifrate nel browser del Cliente prima dell'invio, il server del Responsabile non vede mai il testo in chiaro e la decifratura avviene esclusivamente in locale, sul dispositivo del personale autorizzato, al momento dell'uso. Le credenziali non sono conservate in chiaro né custodite in un archivio centralizzato leggibile dal Responsabile; l'accesso è limitato al tempo strettamente necessario all'intervento;
• principio del minimo privilegio nell'accesso ai sistemi del Cliente;
• log di audit delle operazioni significative svolte sugli ambienti del Cliente;
• per il servizio continuativo, i backup risiedono sullo spazio di archiviazione cloud di proprietà del Cliente: il Responsabile ne cura la configurazione iniziale e ne monitora l'esecuzione, ma non è custode dei dati, non ne garantisce la recuperabilità e non risponde della loro integrità. Eventuali copie tecniche temporanee create dal Responsabile sono cifrate e cancellate secondo programmazione;
• procedure di gestione incidenti con notifica al Titolare;
• formazione e vincoli di riservatezza del personale autorizzato al trattamento.

8. Responsabilità

Le limitazioni di responsabilità previste nei Termini e condizioni si applicano anche al presente DPA, nei limiti di quanto consentito dalla normativa applicabile.

9. Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana. Per ogni controversia si applica quanto previsto dai Termini di servizio. Foro di Cosenza salvo foro del consumatore.

10. Richieste e contatto

Per qualsiasi richiesta relativa al presente DPA è possibile scrivere a info@wpsec.it.