Data Processing Agreement (DPA)

Ultimo aggiornamento: 28 marzo 2026

Il presente Accordo sul trattamento dei dati personali (“DPA”) è stipulato ai sensi dell’Art. 28 del Regolamento (UE) 2016/679 (“GDPR”) e costituisce parte integrante del contratto di servizio tra le Parti.

1. Parti

Il presente DPA si applica a tutti i trattamenti di dati personali effettuati dal Processor per conto del Controller nell’ambito dell’erogazione dei servizi CrewBitz.

2. Oggetto e durata

Il Processor tratta dati personali per conto del Controller al fine di erogare il servizio Ployer (agenti AI per automazione di task aziendali) come descritto nel contratto di servizio.

La durata del presente DPA coincide con la durata del contratto di servizio tra le Parti. Alla cessazione del contratto, si applicano le disposizioni di cui alla Sezione 4 in merito alla cancellazione o restituzione dei dati.

3. Natura e finalità del trattamento

• Natura del trattamento: elaborazione automatizzata e semi-automatizzata tramite agenti AI (Ployer).
• Finalità: automazione di task aziendali secondo la configurazione definita dal Controller (es. HR, marketing, sales, support, operations, finance).
• Categorie di interessati: dipendono dal ruolo del Ployer attivato — possono includere dipendenti, candidati, clienti, prospect e fornitori del Controller.
• Tipologie di dati: dipendono dal Ployer configurato dal Controller. Possono includere dati anagrafici, dati di contatto, dati contrattuali, dati di utilizzo, e — nel caso di HR Ployer — dati relativi alla gestione del personale.

4. Obblighi del Processor

Il Processor si impegna a:

1. Trattare i dati solo su istruzione documentata del Controller, salvo obbligo di legge a cui il Processor sia soggetto. In tal caso, il Processor informa il Controller prima del trattamento, a meno che la legge lo vieti.
2. Garantire la riservatezza: assicurare che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza.
3. Adottare misure di sicurezza adeguate ai sensi dell’Art. 32 GDPR, come dettagliato nella Sezione 6 del presente DPA.
4. Assistere il Controller nell’adempimento degli obblighi relativi a:
   • Richieste di esercizio dei diritti degli interessati (DSAR — Art. 15-22 GDPR)
   • Valutazione d’impatto sulla protezione dei dati (DPIA — Art. 35-36 GDPR)
   • Notifica di violazione dei dati (Data Breach — Art. 33-34 GDPR)
5. Non ricorrere a sub-processori senza previa autorizzazione scritta specifica o generale del Controller, come dettagliato nella Sezione 5.
6. Consentire e contribuire ad audit e ispezioni condotte dal Controller o da un revisore da esso incaricato, come dettagliato nella Sezione 9.
7. Alla cessazione del contratto, cancellare o restituire tutti i dati personali al Controller, a scelta di quest’ultimo, e cancellare le copie esistenti salvo obblighi di conservazione previsti dalla legge.

5. Sub-processori

Il Controller autorizza il Processor a ricorrere ai seguenti sub-processori:

Sub-processore	Servizio	Localizzazione	Garanzie
DeepInfra	Inference LLM	USA	Standard Contractual Clauses (SCC)
Anthropic	Inference LLM (Claude)	USA	Standard Contractual Clauses (SCC)
Cloudflare	CDN, DNS, protezione DDoS	USA/Globale	Standard Contractual Clauses (SCC)
Contabo	Hosting server (VPS)	Germania (UE)	Trattamento intra-UE
Zoho	Email transazionale	UE	Trattamento intra-UE

In caso di aggiunta o sostituzione di un sub-processore, il Processor notifica il Controller con almeno 30 giorni di preavviso, fornendo le informazioni necessarie per valutare il nuovo sub-processore. Il Controller ha diritto di opporsi entro tale termine. In caso di opposizione motivata e non risolta, il Controller ha diritto di risolvere il contratto.

Il Processor garantisce che ogni sub-processore sia vincolato da obblighi contrattuali equivalenti a quelli del presente DPA.

6. Misure di sicurezza (Art. 32 GDPR)

Il Processor adotta le seguenti misure tecniche e organizzative:

Pseudonimizzazione e cifratura

• Cifratura TLS 1.2+ per tutti i dati in transito
• Backup crittografati con GPG AES-256
• Log sanitization: i dati personali (PII) vengono mascherati nei log applicativi
• Pseudonimizzazione degli identificativi ove tecnicamente possibile

Isolamento e controllo accessi

• Row-Level Security (RLS) PostgreSQL per isolamento dati tra tenant
• Autenticazione API con token
• Redis protetto con password
• Firewall UFW (porte aperte: solo 22, 80, 443)
• Container Docker con porte esposte solo su localhost
• File .env con permessi 600

Disponibilità e ripristino

• Backup giornaliero automatico (cron 4:00 UTC)
• Script di restore testato e documentato
• Self-healing automatico ogni 5 minuti

Verifica periodica

• Monitoring continuo dei servizi
• Audit periodico della struttura database
• Scan normativo settimanale
• Test sandbox per ogni Ployer prima del deployment

7. Data Breach (Art. 33-34 GDPR)

In caso di violazione dei dati personali, il Processor si impegna a:

1. Notificare il Controller entro 48 ore dal momento in cui viene a conoscenza della violazione, fornendo:
   • Descrizione della natura della violazione, incluse le categorie e il numero approssimativo di interessati e registrazioni coinvolte
   • Nome e dati di contatto del punto di contatto
   • Descrizione delle probabili conseguenze della violazione
   • Descrizione delle misure adottate o proposte per porre rimedio alla violazione e attenuarne i possibili effetti negativi
2. Documentare la violazione, i suoi effetti e le azioni correttive intraprese.
3. Assistere il Controller nella notifica all’autorità di controllo (Art. 33) e, se necessario, nella comunicazione agli interessati (Art. 34).
4. Collaborare con il Controller per mitigare gli effetti della violazione e prevenire ulteriori violazioni.

8. Trasferimenti extra-UE

I trasferimenti di dati personali verso paesi al di fuori dello Spazio Economico Europeo (SEE) avvengono esclusivamente verso i sub-processori elencati nella Sezione 5, nel rispetto delle seguenti garanzie:

• Standard Contractual Clauses (SCC) adottate dalla Commissione Europea (Decisione 2021/914), stipulate con ciascun sub-processore extra-UE.
• Il Processor effettua una Transfer Impact Assessment (TIA) per ciascun trasferimento, valutando la legislazione del paese terzo e le misure supplementari necessarie.
• In caso di modifica delle garanzie (es. invalidazione delle SCC o nuova decisione di adeguatezza), il Processor ne informa tempestivamente il Controller.

9. Audit

Il Controller ha diritto di condurre audit e ispezioni per verificare il rispetto del presente DPA, alle seguenti condizioni:

• Il Controller comunica la richiesta di audit con almeno 30 giorni di preavviso scritto.
• L’audit viene condotto durante il normale orario lavorativo e non deve interferire in modo sproporzionato con le attività del Processor.
• I costi dell’audit sono a carico del Controller, inclusi eventuali costi di personale e consulenti del Processor necessari per supportare l’audit.
• Il Controller (o il revisore incaricato) è tenuto a rispettare obblighi di riservatezza relativi alle informazioni del Processor e degli altri clienti.
• Il Processor può proporre di soddisfare la richiesta di audit fornendo un report di audit indipendente (es. SOC 2, certificazione ISO 27001), ove disponibile.

10. Responsabilità

Ciascuna Parte è responsabile per i danni derivanti dal proprio inadempimento agli obblighi previsti dal GDPR e dal presente DPA:

• Il Controller è responsabile della liceità del trattamento, della definizione delle finalità e delle istruzioni impartite al Processor.
• Il Processor è responsabile dell’adempimento degli obblighi specificamente previsti per i responsabili del trattamento dal GDPR e dal presente DPA, nonché del rispetto delle istruzioni del Controller.
• In caso di responsabilità solidale ai sensi dell’Art. 82 GDPR, la Parte che ha risarcito integralmente l’interessato ha diritto di regresso nei confronti dell’altra Parte per la quota di responsabilità ad essa imputabile.