Data Processing Agreement (DPA)
Ultimo aggiornamento: Gennaio 2025
Questo Data Processing Agreement (DPA) integra i Termini di Servizio e definisce i termini in base ai quali Prologika S.a.S. (Responsabile del Trattamento) tratta i dati personali per conto del Cliente (Titolare del Trattamento), in conformità al GDPR (Regolamento UE 2016/679).
1. Definizioni
Ai fini del presente DPA:
- "Titolare del Trattamento" o "Cliente": l'entità che determina finalità e mezzi del trattamento dei Dati Personali
- "Responsabile del Trattamento" o "Prologika": Prologika S.a.S., che tratta Dati Personali per conto del Titolare
- "Dati Personali": come definito dall'art. 4(1) GDPR
- "Trattamento": come definito dall'art. 4(2) GDPR
- "Interessato": la persona fisica identificata o identificabile dai Dati Personali
- "Sub-processore": qualsiasi Responsabile del Trattamento nominato da Prologika
- "Violazione di Dati Personali" (Data Breach): come definito dall'art. 4(12) GDPR
- "Autorità di Controllo": il Garante per la Protezione dei Dati Personali
2. Ambito e Oggetto del Trattamento
2.1 Ruolo delle Parti
Nell'ambito dei servizi FluxHub:
- Il Cliente agisce come Titolare del Trattamento per i dati caricati nella Piattaforma
- Prologika S.a.S. agisce come Responsabile del Trattamento su istruzione del Cliente
2.2 Oggetto del Trattamento
Prologika tratta Dati Personali esclusivamente per:
- Fornire i servizi della piattaforma FluxHub
- Supporto tecnico richiesto dal Cliente
- Garantire sicurezza, backup e continuità del servizio
- Adempiere obblighi legali applicabili a Prologika
2.3 Natura e Categorie di Dati
Il trattamento può riguardare le seguenti categorie di dati:
- Dati identificativi: nome, cognome, ID dipendente
- Dati di contatto: email aziendale, telefono
- Dati professionali: ruolo, dipartimento, mansione
- Dati operativi: log attività, timestamp, azioni utente
- Altri dati aziendali: documenti, allegati, workflow caricati dal Cliente
Categorie particolari (art. 9 GDPR): Non sono previste categorie particolari di dati. Se il Cliente intende trattarli, deve notificarlo preventivamente e ottenere autorizzazione esplicita.
2.4 Categorie di Interessati
- Dipendenti del Cliente
- Collaboratori e consulenti del Cliente
- Clienti del Cliente (se applicabile)
- Fornitori del Cliente (se applicabile)
2.5 Durata del Trattamento
Il trattamento avviene per tutta la durata del contratto tra Cliente e Prologika, e per il periodo di conservazione post-contrattuale concordato (max 90 giorni).
3. Obblighi del Responsabile del Trattamento (Prologika)
3.1 Istruzioni del Titolare
Prologika tratta i Dati Personali solo su istruzione documentata del Cliente, salvo obblighi di legge. Se richiesto di effettuare trattamenti non conformi al GDPR, Prologika ne informerà immediatamente il Cliente.
3.2 Riservatezza
Prologika garantisce che:
- Il personale autorizzato al trattamento è vincolato da obbligo di riservatezza
- L'accesso ai Dati Personali è limitato al personale strettamente necessario
- È stato fornito adeguato training GDPR al personale
3.3 Sicurezza (Art. 32 GDPR)
Prologika implementa misure tecniche e organizzative adeguate:
Misure Tecniche:
- Crittografia: TLS 1.3 per dati in transito, AES-256 per dati a riposo
- Autenticazione: Multi-factor authentication (MFA) disponibile
- Controllo accessi: RBAC (Role-Based Access Control)
- Monitoraggio: Logging e audit trail di tutte le attività
- Firewall: WAF (Web Application Firewall) e DDoS protection
- Antivirus/Antimalware: Su tutti i sistemi server
- Penetration Testing: Annuale da ente certificato
- Vulnerability Scanning: Continuo e automatizzato
Misure Organizzative:
- Policy di sicurezza documentate e aggiornate
- Gestione incidenti e data breach procedure
- Formazione continua del personale
- Background check su personale con accesso ai dati
- Disaster Recovery e Business Continuity Plan
- Change management e testing procedure
3.4 Sub-processori
Prologika può nominare Sub-processori per le seguenti categorie di servizi:
- Hosting e infrastruttura cloud
- Servizi di backup e disaster recovery
- Monitoraggio e analytics
- Supporto tecnico specializzato
Sub-processori Attuali:
| Sub-processore | Servizio | Localizzazione |
|---|---|---|
| Provider hosting Germania | Hosting e infrastruttura cloud | Germania (UE) |
| Provider email service | Servizi email e comunicazioni | UE |
| Google Analytics | Analisi e monitoraggio sito web | UE (IP anonimizzato) |
Nota: I dettagli specifici dei provider sono disponibili su richiesta per motivi di sicurezza.
Cambio Sub-processori: Prologika comunicherà con almeno 30 giorni di anticipo l'aggiunta o sostituzione di Sub-processori. Il Cliente può obiettare per motivi legittimi.
3.5 Trasferimenti Extra-UE
I Dati Personali sono ospitati su server localizzati in Germania (Unione Europea). Non effettuiamo trasferimenti extra-UE. Eventuali futuri trasferimenti extra-UE saranno effettuati solo:
- Verso paesi con decisione di adeguatezza UE
- Mediante Standard Contractual Clauses (SCC) approvate dalla Commissione UE
- Con altre garanzie appropriate ai sensi dell'art. 46 GDPR
3.6 Assistenza al Titolare
Prologika assiste il Cliente, nella misura del possibile e con mezzi appropriati, per:
a) Rispondere a richieste di Interessati (Art. 15-22 GDPR):
- Diritto di accesso
- Rettifica e cancellazione
- Limitazione del trattamento
- Portabilità dei dati
- Opposizione al trattamento
Procedura: Il Cliente inoltra la richiesta via email a dpo@prologika.it. Prologika risponde entro 10 giorni lavorativi.
b) Adempiere obblighi di sicurezza (Art. 32):
- Fornire documentazione su misure di sicurezza
- Permettere audit e ispezioni (con preavviso di 30 giorni)
c) Notificare Data Breach (Art. 33-34):
In caso di violazione di Dati Personali, Prologika notifica il Cliente entro 24 ore dalla scoperta, fornendo:
- Natura della violazione
- Categorie e numero approssimativo di Interessati
- Probabili conseguenze
- Misure adottate o proposte per rimediare
d) Supportare DPIA (Valutazione d'Impatto - Art. 35):
Se richiesto, Prologika fornisce informazioni necessarie per condurre DPIA.
4. Obblighi del Titolare del Trattamento (Cliente)
Il Cliente:
- È responsabile della liceità del trattamento e dell'ottenimento di consensi necessari
- Garantisce di avere base giuridica per il trattamento (art. 6 GDPR)
- Fornisce istruzioni chiare e documentate a Prologika
- Informa gli Interessati del trattamento effettuato da Prologika
- Risponde direttamente alle richieste degli Interessati
- Notifica all'Autorità di Controllo eventuali Data Breach (se richiesto dall'art. 33)
5. Audit e Ispezioni
Il Cliente ha il diritto di:
- Richiedere documentazione sulle misure di sicurezza implementate
- Condurre audit (max 1/anno, previo preavviso di 30 giorni)
- Nominare auditor indipendente (previo NDA)
Costi: Audit a carico del Cliente, salvo in caso di Data Breach causato da Prologika.
Certificazioni disponibili:
- ISO 27001 (se applicabile)
- SOC 2 Type II (se applicabile)
- Penetration Test Reports (su richiesta e con NDA)
6. Restituzione e Cancellazione Dati
6.1 Al Termine del Contratto
Entro 30 giorni dalla cessazione del contratto, Prologika:
- Fornisce al Cliente la possibilità di esportare i Dati Personali in formato strutturato (JSON/CSV)
- Su richiesta del Cliente, cancella definitivamente tutti i Dati Personali dai sistemi di produzione
- Conserva i backup per ulteriori 60 giorni per esigenze tecniche, poi cancella definitivamente
6.2 Eccezioni
Prologika può conservare Dati Personali oltre i termini se richiesto da:
- Obblighi legali (es. fatturazione, fiscalità)
- Procedimenti legali in corso
- Ordini dell'Autorità giudiziaria
7. Responsabilità e Indennizzo
7.1 Responsabilità GDPR
Ai sensi dell'art. 82 GDPR:
- Prologika è responsabile solo per danni causati da violazioni GDPR derivanti da sue azioni
- Prologika è esente da responsabilità se dimostra di non essere responsabile dell'evento
- Il Cliente rimane responsabile per la liceità del trattamento e la correttezza delle istruzioni
7.2 Limiti di Responsabilità
Fatto salvo quanto previsto dalla legge, la responsabilità di Prologika è limitata come da Termini di Servizio.
8. Durata e Risoluzione
Il presente DPA:
- È efficace dalla data di accettazione dei Termini di Servizio
- Rimane in vigore per tutta la durata del contratto
- Cessa automaticamente al termine del contratto
- Gli obblighi di riservatezza e restituzione dati sopravvivono alla cessazione
9. Modifiche al DPA
Prologika può modificare il presente DPA per:
- Conformarsi a modifiche normative (GDPR, ePrivacy, etc.)
- Riflettere modifiche nei servizi offerti
- Migliorare misure di sicurezza
Preavviso: 30 giorni via email. L'uso continuato del servizio implica accettazione.
10. Legge Applicabile e Giurisdizione
- Legge applicabile: Legge italiana e GDPR (Regolamento UE 2016/679)
- Foro competente: Foro di Bologna, in via esclusiva
- Lingua: In caso di traduzioni, fa fede la versione italiana
11. Contatti DPO / Privacy
Prologika S.a.S.
Via Trento 13, 40015 Galliera (BO)
P.IVA: 03213001203
CF: FRNMNL77H02C469V
Email Privacy: privacy@prologika.it
PEC: prologikasas@legalmail.it
Nota: DPO non obbligatorio per dimensione aziendale, ma disponibile email privacy dedicata.
12. Riferimenti Normativi
- Regolamento (UE) 2016/679 (GDPR)
- Direttiva (UE) 2016/680 (Direttiva Polizia)
- D.lgs. 196/2003 (Codice Privacy italiano) come modificato dal D.lgs. 101/2018
- Standard Contractual Clauses (SCC) - Decisione di esecuzione (UE) 2021/914
- Linee guida EDPB (European Data Protection Board)
- Provvedimenti del Garante Privacy italiano