Accordo sul Trattamento dei Dati (DPA)

Ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: 26 marzo 2026 — Versione 1.0

1. Definizioni e parti

2. Oggetto del trattamento

Il Responsabile tratta dati personali per conto del Titolare esclusivamente al fine di erogare il servizio software Condomini MVP, che comprende:

• Ricezione e gestione delle comunicazioni email dei condomini (ticket)
• Generazione di bozze di risposta tramite intelligenza artificiale
• Archiviazione di documenti (PDF, immagini, DOCX) su storage sicuro
• Gestione dell'anagrafica edifici, unità abitative e residenti
• Invio di convocazioni assembleari via email
• Produzione di report statistici sull'attività

3. Natura e categorie dei dati

Dati oggetto del trattamento:

• Dati identificativi: nome, cognome, indirizzo email, numero di telefono dei condomini
• Dati relativi a immobili: unità abitative, piani, tipologie
• Contenuto delle comunicazioni: testo email, allegati, trascrizioni audio
• Dati dell'account amministratore: nome, email, credenziali di accesso (hashed)

Non sono trattati dati appartenenti alle categorie particolari di cui all'art. 9 GDPR (dati sanitari, biometrici, ecc.), salvo che il Titolare non li includa volontariamente nel contenuto delle comunicazioni.

4. Obblighi del Responsabile (Davide Salvatore)

Il Responsabile si impegna a:

• Trattare i dati personali solo su istruzione documentata del Titolare e per le finalità del servizio, salvo obblighi di legge
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
• Adottare tutte le misure di sicurezza richieste dall'art. 32 GDPR (vedere art. 6)
• Non ricorrere ad altri responsabili (sub-responsabili) senza previa autorizzazione scritta del Titolare — l'elenco dei sub-responsabili approvati è riportato all'art. 7
• Assistere il Titolare nel rispondere alle richieste degli interessati (diritti GDPR artt. 15-22)
• Assistere il Titolare negli adempimenti relativi a sicurezza, notifica violazioni, valutazione di impatto (DPIA) se richiesta
• Cancellare o restituire tutti i dati personali al termine del contratto, su scelta del Titolare
• Mettere a disposizione le informazioni necessarie per dimostrare il rispetto del presente accordo

5. Obblighi del Titolare

Il Titolare si impegna a:

• Trattare i dati personali dei propri condomini in conformità al GDPR e alla normativa italiana applicabile (D.Lgs. 196/2003 e ss.mm.ii.)
• Fornire ai condomini un'adeguata informativa sul trattamento dei loro dati (art. 13 GDPR)
• Non caricare sulla piattaforma dati appartenenti alle categorie particolari di cui all'art. 9 GDPR senza aver ottenuto il consenso esplicito degli interessati
• Notificare tempestivamente al Responsabile qualsiasi istruzione che ritenga possa violare il GDPR o altra normativa applicabile

6. Misure di sicurezza adottate

Il Responsabile ha implementato le seguenti misure tecniche e organizzative (art. 32 GDPR):

Misure tecniche

• Trasmissione dati cifrata via HTTPS/TLS 1.2+
• Password degli account hashed con bcrypt (costo 12)
• Autenticazione con doppio token JWT (access token 15 min in memoria, refresh token 30 giorni)
• URL di accesso ai documenti firmati e temporanei (scadenza 60 minuti)
• Database cifrato a riposo (AES-256 gestito da Supabase)
• Separazione logica dei dati per tenant (isolamento multi-tenant)
• Rate limiting sugli endpoint di autenticazione

Misure organizzative

• Accesso ai sistemi di produzione limitato al solo Responsabile
• Nessun accesso ai dati dei Titolari per finalità diverse dall'erogazione del servizio
• Conservazione dei dati limitata a 12 mesi salvo flag di conservazione per controversie

7. Sub-responsabili autorizzati

Il Titolare autorizza il ricorso ai seguenti sub-responsabili, già coinvolti nell'erogazione del servizio al momento della firma del presente accordo:

• Supabase Inc. (San Francisco, USA) — database e storage.
  Garanzia trasferimento: SCC. Dati su server EU (Frankfurt, Germania).
• Railway Corp. (San Francisco, USA) — hosting applicazione.
  Server attivo su region Europe West. Garanzia trasferimento: SCC.
• OpenAI Inc. (San Francisco, USA) — API per generazione bozze AI.
  Dati inviati: testo messaggi e allegati. Non usati per training modello (API Terms). Garanzia trasferimento: SCC.
• Google LLC (Mountain View, USA) — Gmail API per comunicazioni email.
  Utilizzo soggetto a Google Cloud DPA. Garanzia trasferimento: SCC.

Il Responsabile notificherà per email il Titolare con almeno 15 giorni di preavviso in caso di aggiunta o sostituzione di sub-responsabili. Il Titolare potrà opporsi.

8. Violazioni dei dati (Data Breach)

In caso di violazione della sicurezza che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali, il Responsabile notifica il Titolare entro 72 ore dalla scoperta della violazione, con le informazioni disponibili previste dall'art. 33.3 GDPR.

Il Titolare è responsabile della successiva eventuale notifica all'Autorità Garante e/o agli interessati, ai sensi degli artt. 33-34 GDPR.

9. Durata e cessazione

Il presente accordo è efficace dalla data di accettazione in fase di registrazione e rimane in vigore per tutta la durata del contratto di utilizzo del servizio.

Alla cessazione del rapporto contrattuale, il Responsabile provvederà, su scelta del Titolare, a cancellare o restituire tutti i dati personali entro 30 giorni, salvo obbligo di conservazione imposto dalla legge.

10. Legge applicabile e foro competente

Il presente accordo è disciplinato dal diritto italiano e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia è competente il Foro di residenza del Responsabile.

11. Contatto

Per qualsiasi comunicazione relativa al presente accordo:
davide.salvatore530@gmail.com