Data Processing Agreement (DPA)

Versione 1.0 — In vigore dal 1° luglio 2026 — Allegato ai Termini di Servizio

Il presente Accordo ("DPA") integra il contratto principale tra il Cliente (Titolare del trattamento) e la ditta individuale Michele Milazzo, P.IVA 01425370531 (Responsabile del trattamento) ed è redatto in conformità all'art. 28 del Regolamento UE 2016/679 (GDPR).

1. Oggetto e durata

Il Responsabile tratta i dati personali del Cliente esclusivamente per erogare i Servizi descritti nei Termini di Servizio, per la durata del contratto principale e per il periodo di retention necessario all'adempimento degli obblighi legali.

2. Natura, finalità e categorie

VoceDescrizione
Natura del trattamentoHosting, storage, elaborazione, backup, supporto tecnico.
FinalitàErogazione dei servizi cloud OneKeyCo e dei moduli (App) acquistati.
Categorie di interessatiDipendenti, clienti, fornitori, contatti del Cliente.
Categorie di dati comuniAnagrafiche, dati di contatto, dati commerciali, di fatturazione, log applicativi.
Categorie di dati particolariEventuali dati sanitari (HRMS), dati su condanne (KYC/KYB), trattati solo se l'App attivata lo richiede e con base giuridica del Cliente.

3. Obblighi del Responsabile

  1. trattare i dati solo su istruzione documentata del Cliente (istruzioni iniziali = Termini di Servizio + configurazione tenant);
  2. garantire la riservatezza del personale autorizzato;
  3. adottare le misure di sicurezza descritte all'Allegato A;
  4. non ricorrere a sub-responsabili senza autorizzazione (vedi Allegato B);
  5. assistere il Cliente nell'evasione delle richieste degli interessati;
  6. assistere il Cliente in caso di data breach, DPIA e consultazione preventiva;
  7. al termine del contratto, restituire o cancellare tutti i dati a scelta del Cliente, entro 90 giorni;
  8. mettere a disposizione tutte le informazioni necessarie a dimostrare il rispetto del DPA e consentire audit (con preavviso 30gg, max 1 volta/anno).

4. Sub-responsabili

Il Cliente autorizza in via generale i sub-responsabili elencati nell'Allegato B. Il Responsabile comunicherà eventuali nuovi sub-responsabili con preavviso di 30 giorni; il Cliente può obiettare per motivi sostanziali, nel qual caso il Responsabile si impegna a trovare una soluzione alternativa o, in difetto, il Cliente può recedere senza penali.

5. Data breach

Il Responsabile notifica al Cliente ogni violazione di dati personali senza ingiustificato ritardo (entro 24 ore dalla scoperta), fornendo le informazioni utili al Cliente per la notifica al Garante entro 72 ore (art. 33 GDPR).

6. Trasferimenti extra-UE

I dati restano nello SEE (Hetzner DE/FI). Eventuali trasferimenti extra-UE (Cloudflare CDN, AI provider USA solo se Cliente attiva MMOS AI cloud) avvengono con Clausole Contrattuali Standard 2021/914 + EU-US DPF dove applicabile.

7. Limitazione di responsabilità

La responsabilità del Responsabile per violazione del presente DPA è limitata secondo quanto previsto dai Termini di Servizio, salvo dolo o colpa grave e ferma restando la responsabilità solidale prevista dall'art. 82 GDPR verso gli interessati.


Allegato A — Misure tecniche e organizzative

Allegato B — Sub-responsabili autorizzati

SoggettoRuoloSede
Hetzner Online GmbHHosting infrastrutturaDE/FI
Cloudflare Inc.CDN, DNS, anti-DDoSUSA (SCC+DPF)
Stripe Payments Europe LtdGateway pagamentiIE
Anthropic PBCLLM (solo se Cliente attiva MMOS AI cloud)USA (SCC+DPF)
OpenAI LLCLLM (solo se Cliente attiva MMOS AI cloud)USA (SCC+DPF)
Meta Platforms IrelandWhatsApp Business API (solo se attivato)IE

← Torna al Marketplace