Accordo sul Trattamento dei Dati
Data Processing Agreement (DPA) ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: 29 maggio 2026
Il presente Accordo è parte integrante dei Termini di Servizio di Pietro Management e viene accettato dall'Utente al momento della registrazione. L'accettazione equivale a firma digitale ai sensi dell'art. 28 GDPR.
Art. 1 — Parti dell'Accordo
Titolare del Trattamento (Cliente): l'impresa edile o il professionista che si registra e utilizza il servizio Pietro Management. Il Cliente determina le finalità e i mezzi del trattamento dei dati inseriti nel gestionale.
Responsabile del Trattamento (Fornitore): Gennaro Ame, con sede in Siracusa, Italia — email: pietro004sr@gmail.com — titolare del servizio Pietro Management.
Art. 2 — Oggetto e Natura del Trattamento
Il Fornitore tratta i dati personali per conto del Cliente esclusivamente al fine di erogare il servizio Pietro Management. I dati trattati includono:
- Dati anagrafici di dipendenti e operai (nome, cognome)
- Dati di presenze e ore lavorative dei dipendenti
- Dati di fornitori e contatti (nome, ragione sociale, recapiti)
- Dati contabili e fiscali relativi ai cantieri (spese, ricavi, fatture)
- Documenti e file caricati dal Cliente nel gestionale
La durata del trattamento coincide con la durata del contratto di servizio tra le parti.
Art. 3 — Obblighi del Responsabile del Trattamento
Il Fornitore si impegna a:
- Trattare i dati personali esclusivamente su istruzione documentata del Cliente e per le finalità specificate nel presente Accordo.
- Garantire che le persone autorizzate al trattamento abbiano assunto impegni di riservatezza.
- Adottare tutte le misure di sicurezza richieste dall'art. 32 GDPR (cifratura, controllo accessi, protezione da attacchi informatici).
- Non coinvolgere sub-responsabili del trattamento senza previa autorizzazione del Cliente, salvo quanto indicato all'art. 5.
- Assistere il Cliente nell'esercizio dei diritti degli interessati (artt. 15-22 GDPR).
- Cancellare o restituire tutti i dati personali al termine della prestazione di servizi, secondo le istruzioni del Cliente.
- Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente articolo.
- Notificare al Cliente eventuali violazioni dei dati personali entro 72 ore dalla scoperta.
Art. 4 — Misure di Sicurezza Adottate
Il Fornitore ha implementato le seguenti misure tecniche e organizzative ai sensi dell'art. 32 GDPR:
- Cifratura in transito: tutte le comunicazioni avvengono esclusivamente tramite HTTPS con protocollo TLS.
- Cifratura delle credenziali: le password sono protette con algoritmo PBKDF2 a 100.000 iterazioni.
- Controllo degli accessi: autenticazione con token sicuri a 128 caratteri, scadenza automatica e rotazione periodica.
- Protezione da attacchi: sistemi anti-brute force, rate limiting, blocco IP per attività sospette.
- Infrastruttura certificata: i dati sono ospitati su Cloudflare, certificato ISO 27001 e SOC 2 Type II.
- Audit log: ogni accesso e modifica è registrata con timestamp e indirizzo IP.
Art. 5 — Sub-Responsabili del Trattamento
Il Cliente autorizza il Fornitore a utilizzare i seguenti sub-responsabili del trattamento, necessari all'erogazione del servizio:
- Cloudflare Inc. (USA) — infrastruttura cloud, database e CDN. Cloudflare è certificato ai sensi delle Standard Contractual Clauses (SCC) per il trasferimento di dati verso paesi extra-UE e aderisce al Data Privacy Framework EU-USA.
Il Fornitore si impegna a informare il Cliente di eventuali modifiche riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando al Cliente la possibilità di opporsi a tali modifiche.
Art. 6 — Trasferimento dei Dati Verso Paesi Terzi
I dati personali possono essere trasferiti negli Stati Uniti d'America attraverso Cloudflare Inc. Tale trasferimento avviene nel rispetto delle garanzie previste dall'art. 46 GDPR, mediante le Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea e il Data Privacy Framework EU-USA.
Art. 7 — Diritti degli Interessati
Il Cliente, in qualità di Titolare del Trattamento, è responsabile della gestione delle richieste di esercizio dei diritti da parte degli interessati (dipendenti, fornitori, ecc.). Il Fornitore si impegna ad assistere il Cliente fornendo, nei limiti del possibile, le informazioni e gli strumenti necessari entro 30 giorni dalla richiesta.
Art. 8 — Restituzione e Cancellazione dei Dati
Al termine del contratto di servizio, il Cliente può:
- Esportare tutti i propri dati in formato JSON tramite la funzione "Esporta backup" disponibile nel gestionale.
- Richiedere la cancellazione completa e definitiva di tutti i dati inviando richiesta a pietro004sr@gmail.com.
In assenza di istruzioni specifiche, i dati vengono conservati per 90 giorni dalla scadenza del contratto, dopodiché vengono eliminati definitivamente.
Art. 9 — Violazioni dei Dati Personali
In caso di violazione dei dati personali (data breach), il Fornitore notificherà il Cliente senza ingiustificato ritardo e comunque entro 72 ore dalla scoperta, fornendo tutte le informazioni necessarie affinché il Cliente possa adempiere ai propri obblighi di notifica al Garante ai sensi dell'art. 33 GDPR.
Art. 10 — Responsabilità
Il Cliente, in qualità di Titolare del Trattamento, è responsabile della liceità del trattamento dei dati inseriti nel gestionale e dell'adempimento degli obblighi previsti dal GDPR nei confronti degli interessati (informativa, consenso ove necessario, ecc.).
Il Fornitore è responsabile esclusivamente del trattamento effettuato nell'ambito della propria infrastruttura tecnica e nei limiti delle istruzioni ricevute dal Cliente.
Art. 11 — Durata e Risoluzione
Il presente Accordo ha la stessa durata del contratto di servizio principale. Si risolve automaticamente al termine dello stesso. In caso di risoluzione anticipata, restano validi gli obblighi di cancellazione e restituzione dei dati di cui all'art. 8.
Art. 12 — Legge Applicabile e Foro Competente
Il presente Accordo è regolato dalla legge italiana e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia è competente il Tribunale di Siracusa.
Art. 13 — Contatti
Per qualsiasi comunicazione relativa al presente Accordo: pietro004sr@gmail.com — Gennaro Ame, Siracusa, Italia.