Vai al contenuto principale
BandiRadar
Prova

Documento legale

Data Processing Agreement

Contratto ex art. 28 Reg. UE 2016/679 (GDPR) — template MVP

Ultimo aggiornamento: 23 aprile 2026

Avviso: questa versione è un template MVP in fase di revisione legale. Il testo definitivo verrà pubblicato prima della disponibilità commerciale. Per domande su privacy o trattamento dati: privacy@bandiradar.it.

Premessa

Il presente accordo integra i Termini di Servizio quando il Cliente (Titolare) utilizza BandiRadar (Responsabile) per trattare dati personali propri o di terzi nell'ambito delle proprie attività professionali.

Ruoli: il Cliente è Titolare del trattamento; il Fornitore è Responsabile (art. 28 GDPR). I sub-responsabili autorizzati sono elencati alla sezione 5 della Privacy Policy.

1. Oggetto e durata

Il Responsabile tratta i dati personali esclusivamente per erogare il Servizio. La durata coincide con il contratto principale; alla cessazione, i dati vengono restituiti (export JSON) e cancellati entro 60 giorni, salvo obblighi legali di conservazione.

2. Categorie di interessati e dati

  • Interessati: utenti dello studio del Cliente.
  • Dati: anagrafica base (nome, email, ruolo), credenziali di accesso gestite da Clerk, log di utilizzo.

Eventuali dati di clienti dello studio inseriti come profili sono dati aziendali (ragione sociale, ATECO, regione): non configurano dati personali identificativi di persone fisiche.

3. Istruzioni del Titolare

Il Responsabile tratta i dati solo sulla base delle istruzioni documentate del Titolare. L'accettazione del contratto di servizio e l'uso della piattaforma configurano istruzioni implicite. Istruzioni aggiuntive possono essere inviate a privacy@bandiradar.it.

4. Riservatezza

Il personale del Responsabile che accede ai dati è vincolato a obbligo di riservatezza esplicito per iscritto.

5. Misure di sicurezza tecniche e organizzative

  • Cifratura TLS 1.3 in transito, AES-256 a riposo.
  • Accesso basato su ruoli, MFA per il personale con accesso produzione.
  • Backup giornalieri cifrati con retention 30 giorni, test di restore trimestrali.
  • Logging centralizzato con retention 90 giorni e monitoraggio 24/7 delle anomalie.
  • Pen-test annuale e aggiornamenti di sicurezza applicati entro 72h dalla pubblicazione CVE critiche.

6. Sub-responsabili

Il Responsabile ha nominato i sub-responsabili elencati in Privacy Policy sezione 5. Ogni nuovo sub-responsabile verrà notificato con 30 giorni di anticipo dando al Titolare diritto di opposizione.

7. Assistenza al Titolare

Il Responsabile assiste il Titolare nell'evasione delle richieste degli interessati (accesso, rettifica, cancellazione, portabilità) entro 14 giorni dalla ricezione.

8. Notifica data breach

In caso di violazione dei dati, il Responsabile notifica il Titolare entro 48 ore dalla scoperta, fornendo descrizione della violazione, categorie di dati coinvolti, misure adottate e contatti per informazioni aggiuntive.

9. Audit

Il Titolare può richiedere, con preavviso di 30 giorni e non più di una volta all'anno, documentazione attestante le misure di sicurezza adottate, oppure richiedere un audit in sito a proprie spese.

10. Trasferimenti internazionali

Trasferimenti extra-UE avvengono esclusivamente con Standard Contractual Clauses 2021/914 della Commissione UE.

11. Cessazione

Alla cessazione del contratto, il Responsabile cancella o restituisce al Titolare, a scelta di quest'ultimo, tutti i dati personali e le copie, salvo conservazioni imposte dalla legge.