Accordo sul Trattamento dei Dati

1. Definizioni

Dati personali

Qualsiasi informazione riguardante una persona fisica identificata o identificabile ai sensi dell'art. 4 n. 1 GDPR.

Interessati

I clienti finali del Titolare (es. persone fisiche che caricano documenti tramite il portale Closedocs).

Trattamento

Qualsiasi operazione o insieme di operazioni eseguite su dati personali, secondo la definizione dell'art. 4 n. 2 GDPR.

Sub-responsabile

Terzo fornitore a cui il Responsabile affida parte del trattamento; elenco disponibile nel Registro Fornitori.

Violazione dei dati

Violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali (art. 4 n. 12 GDPR).

2. Oggetto e durata del trattamento

Il Responsabile tratta dati personali per conto del Titolare al solo scopo di erogare i servizi descritti nei Termini di Servizio di Closedocs, ossia:

• raccolta strutturata di documenti tramite portale cliente dedicato;
• gestione di campagne documentali e checklist;
• invio di email transazionali e reminder;
• archiviazione sicura dei file caricati dagli interessati.

Il presente accordo ha durata pari a quella del contratto di servizio tra le parti e cessa automaticamente alla sua risoluzione o scadenza.

3. Natura, finalità e base giuridica del trattamento

4. Categorie di dati personali e di interessati

Dati trattati:

• Dati anagrafici (nome, cognome) degli interessati e degli utenti del Titolare;
• Indirizzi e-mail;
• File e documenti caricati dagli interessati (il cui contenuto è determinato esclusivamente dal Titolare);
• Metadati di accesso (timestamp, IP address) conservati per scopi di sicurezza e audit.

Categorie di interessati:

• Utenti del workspace (professionisti / collaboratori del Titolare);
• Clienti finali del Titolare che accedono al portale di upload.

5. Obblighi del Responsabile del trattamento

Closedocs si impegna a:

1. Istruzioni documentate. Trattare i dati personali esclusivamente su istruzione documentata del Titolare, salvo obblighi di legge imposti dall'Unione Europea o dalla normativa italiana applicabile.
2. Riservatezza. Garantire che le persone autorizzate al trattamento abbiano assunto obblighi di riservatezza adeguati.
3. Sicurezza. Adottare le misure tecniche e organizzative di cui all'art. 32 GDPR, incluse cifratura a riposo e in transito, controllo degli accessi basato sui ruoli (RBAC), e monitoraggio dell'accesso ai dati.
4. Sub-responsabili. Non ricorrere ad altro responsabile senza previa autorizzazione scritta del Titolare. L'elenco corrente dei sub-responsabili è disponibile nel Registro Fornitori. Il Titolare è informato di eventuali modifiche con almeno 30 giorni di preavviso.
5. Diritti degli interessati. Assistere il Titolare, nella misura tecnicamente possibile, nell'adempimento dei suoi obblighi di risposta alle richieste di esercizio dei diritti degli interessati (artt. 15–22 GDPR).
6. Misure di sicurezza e violazioni. Notificare al Titolare, senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, eventuali violazioni dei dati personali.
7. Valutazione d'impatto. Fornire assistenza al Titolare nella realizzazione di valutazioni d'impatto sulla protezione dei dati (DPIA) e nella previa consultazione dell'autorità di controllo, se necessaria.
8. Cancellazione e restituzione. A scelta del Titolare, cancellare o restituire tutti i dati personali al termine del contratto, e cancellare le copie esistenti, salvo diverso obbligo di legge.
9. Audit. Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto del presente accordo e consentire e contribuire alle attività di audit.

6. Obblighi del Titolare del trattamento

Il Titolare si impegna a:

• Fornire al Responsabile istruzioni lecite, trasparenti e documentate;
• Assicurarsi di avere una base giuridica valida per il trattamento dei dati personali degli interessati;
• Informare gli interessati del trattamento tramite un'informativa privacy adeguata;
• Notificare tempestivamente al Responsabile qualsiasi modifica alle istruzioni di trattamento.

7. Trasferimento di dati verso Paesi terzi

I dati personali sono archiviati su infrastruttura Supabase nella regione EU (Francoforte, Germania). Alcuni sub-responsabili hanno sede fuori dallo SEE (in particolare USA). In tali casi il Responsabile si assicura che il trasferimento avvenga mediante una delle garanzie appropriate previste dal Capo V GDPR, tipicamente le Clausole Contrattuali Standard adottate dalla Commissione europea con Decisione di esecuzione (UE) 2021/914.

Il dettaglio delle garanzie per ciascun fornitore è disponibile nel Registro Fornitori.

8. Misure di sicurezza (art. 32 GDPR)

Le misure adottate da Closedocs includono, tra le altre:

• Cifratura dei dati in transito (TLS 1.2+) e a riposo (AES-256);
• Autenticazione a più fattori per gli utenti della piattaforma;
• Controllo degli accessi basato sui ruoli (RBAC) e separazione dei workspace;
• Row-Level Security (RLS) sul database per garantire l'isolamento dei dati tra workspace;
• Backup automatici con retention configurabile;
• Monitoraggio e alerting per accessi anomali;
• Procedura di risposta agli incidenti documentata (vedere Registro Incidenti).

9. Responsabilità e limitazioni

Ciascuna parte risponde dei danni causati agli interessati dalla violazione del GDPR nell'ambito delle proprie responsabilità specifiche (art. 82 GDPR). Il Titolare è l'unico responsabile del contenuto dei dati trasmessi, delle istruzioni fornite al Responsabile e delle basi giuridiche del trattamento verso gli interessati.

10. Contatti e punto di contatto privacy

Per qualsiasi comunicazione relativa al presente accordo contattare: closedocs@hotmail.com

Closedocs si riserva il diritto di aggiornare il presente DPA per adeguarlo a modifiche normative o operative, previo avviso al Titolare con almeno 30 giorni di anticipo via email.