Data Processing Agreement (DPA)

1.1 Definizione dei Ruoli

Le Parti concordano e riconoscono che, in relazione ai dati personali inseriti dal Cliente nella Piattaforma nell'esercizio della propria attività operativa:

• Il Cliente agisce in qualità di Titolare del Trattamento ai sensi dell'art. 4, n. 7, GDPR, in quanto determina autonomamente le finalità e i mezzi del trattamento dei dati relativi alla propria attività
• Emmanuel Salvatore Scozzarini, operante come RescueManager, agisce in qualità di Responsabile del Trattamento ai sensi dell'art. 4, n. 8, GDPR, in quanto tratta i predetti dati esclusivamente per conto del Cliente. Il Responsabile del Trattamento è una persona fisica; non sussiste pertanto alcuna distinzione tra la persona giuridica del fornitore e la persona fisica del titolare dell'impresa.

1.2 Nomina

Con la sottoscrizione dei Termini e Condizioni (e la conseguente accettazione del presente DPA, che ne costituisce parte integrante), il Cliente nomina formalmente Emmanuel Salvatore Scozzarini quale Responsabile del Trattamento ai sensi dell'art. 28, par. 1, GDPR. Il Responsabile accetta tale nomina.

2.1 Oggetto

Il Responsabile tratta i dati personali per conto del Cliente limitatamente a quanto necessario per erogare i servizi, e in particolare per:

• Gestire e archiviare le schede veicolo e i dati dei proprietari inseriti dal Cliente
• Supportare il Cliente nella trasmissione telematica dei dati alle autorità competenti (RENTRI, MCTC per RVFU)
• Consentire la gestione dell'anagrafica di dipendenti, clienti e fornitori del Cliente
• Fornire funzionalità di reportistica e analisi sui dati del Cliente

2.2 Categorie dei Dati Trattati

• Dati identificativi e anagrafici dei proprietari dei veicoli (nome, cognome, codice fiscale, documento d'identità)
• Dati relativi ai veicoli: targa, numero di telaio, dati della carta di circolazione
• Dati dei dipendenti del Cliente: nome, cognome, ruolo, credenziali di accesso alla Piattaforma
• Dati anagrafici e fiscali di clienti e fornitori del Cliente
• Dati relativi alle pratiche ambientali: registrazioni RENTRI, documentazione RVFU

Non sono trattati, salvo diversa istruzione scritta del Cliente, dati appartenenti a categorie particolari ai sensi dell'art. 9 GDPR.

3.1 Obbligo di Seguire le Istruzioni: Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Cliente (incorporate nel presente DPA, nei Termini e Condizioni, nelle configurazioni della Piattaforma, e in eventuali istruzioni scritte aggiuntive). Il Responsabile informa immediatamente il Cliente qualora ritenga che un'istruzione violi il GDPR o altra normativa applicabile.

3.2 Divieto di Utilizzo per Finalità Proprie: Il Responsabile si impegna a non utilizzare i dati personali trattati per conto del Cliente per finalità proprie o di terzi, né a comunicarli a terzi senza previa autorizzazione scritta del Cliente, salvo quanto imposto dalla legge applicabile.

4.1 Misure Adottate dal Responsabile (Art. 32 GDPR)

• Crittografia in transito: connessioni cifrate con protocollo TLS 1.3
• Crittografia a riposo: dati archiviati con standard AES-256
• Controllo degli accessi: autenticazione forte (password complesse + 2FA)
• Backup e continuità operativa: backup automatici giornalieri, conservati per almeno 30 giorni
• Monitoraggio e log di audit: rilevamento anomalie e audit trail
• Valutazione periodica dei rischi: analisi delle minacce e aggiornamento contromisure

4.2 Misure di Sicurezza dei Sub-responsabili

6.1 Autorizzazione Generale ed Elenco Aggiornato

6.2–6.4 Obblighi, Responsabilità e Modifiche

• Il Responsabile impone ai sub-responsabili gli stessi obblighi del presente DPA (art. 28, par. 4, GDPR) e rimane pienamente responsabile del loro rispetto
• Eventuali modifiche ai sub-responsabili (aggiunta o sostituzione) sono comunicate con preavviso di almeno 30 giorni
• Il Cliente può opporsi alla modifica entro tale termine per ragioni motivate legate alla protezione dei dati