Data Processing Agreement (DPA)
Ultimo aggiornamento: 26 marzo 2026
⚠️ Questo documento è una bozza generata con assistenza AI. Si raccomanda la revisione da parte di un professionista legale abilitato prima dell'utilizzo in contesto commerciale.
Premessa
Il presente Accordo di Trattamento dei Dati (DPA) è stipulato ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) tra il Cliente (in qualità di Titolare del Trattamento / Controller) e CrewBitz (in qualità di Responsabile del Trattamento / Processor). Il DPA integra e fa parte dei Termini di Servizio. In caso di conflitto tra il DPA e i Termini di Servizio, prevale il DPA per le materie di protezione dei dati.
Il presente DPA è obbligatorio per l'utilizzo di qualsiasi funzionalità della Piattaforma che comporti il trattamento di dati personali di terzi (es. dipendenti, candidati, contatti).
1. Parti
- Titolare del Trattamento (Controller): il Cliente, persona fisica o giuridica che ha sottoscritto i Termini di Servizio di CrewBitz e che determina le finalità e i mezzi del trattamento dei dati personali caricati sulla Piattaforma.
- Responsabile del Trattamento (Processor): CrewBitz di [Nome Fondatore], P.IVA [da compilare], con sede in Italia — [email protected].
2. Oggetto e Durata
Il presente DPA disciplina il trattamento dei dati personali effettuato da CrewBitz per conto del Cliente nell'ambito dell'erogazione dei servizi previsti dai Termini di Servizio. Il DPA ha la stessa durata del contratto principale e cessa automaticamente alla sua scadenza o risoluzione.
3. Natura, Finalità, Categorie di Dati e Interessati
| Elemento | Descrizione |
|---|
| Natura del trattamento | Raccolta, archiviazione, elaborazione, analisi e cancellazione tramite sistemi AI |
| Finalità del trattamento | Erogazione dei servizi SaaS ai sensi dei Termini di Servizio: automazione HR, marketing, vendite, finanza, supporto |
| Categorie di dati personali | Dati anagrafici, dati professionali (CV, esperienze, competenze), dati di contatto, dati di comunicazione, eventualmente categorie particolari ex art. 9 GDPR se inserite dal Cliente |
| Categorie di interessati | Dipendenti, candidati, clienti finali, contatti commerciali del Cliente |
| Durata del trattamento | Per tutta la durata del contratto e fino alla cancellazione dei dati su istruzione del Cliente o per scadenza dei termini di conservazione |
4. Obblighi del Responsabile del Trattamento (CrewBitz)
CrewBitz si impegna a:
- Istruzioni documentate: trattare i dati personali esclusivamente su istruzioni documentate del Titolare, salvo obblighi di legge (in tal caso ne darà immediata comunicazione al Titolare, salvo divieto di legge).
- Riservatezza: garantire che le persone autorizzate al trattamento abbiano assunto obblighi di riservatezza o siano soggette a obblighi legali di riservatezza.
- Sicurezza: adottare tutte le misure richieste dall'art. 32 GDPR (vedi sezione 6).
- Sub-processori: non ricorrere a sub-processori senza previa autorizzazione specifica o generale del Titolare (vedi sezione 5).
- Assistenza al Titolare: assistere il Titolare nell'esercizio dei diritti degli interessati (artt. 15-22 GDPR), nella gestione dei data breach, nella DPIA e nel rispetto degli artt. 32-36 GDPR.
- Cancellazione o restituzione: restituire o cancellare tutti i dati personali al termine del contratto, a scelta del Titolare, e cancellare le copie esistenti salvo obblighi di conservazione legale.
- Audit: mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA e consentire audit (vedi sezione 9).
5. Sub-processori
Il Titolare autorizza il ricorso ai seguenti sub-processori (autorizzazione generale ai sensi dell'art. 28(2) GDPR):
- Contabo GmbH — Norimberga, Germania (UE) — Hosting
- DeepInfra Inc. — USA — Inferenza AI (SCC)
- Anthropic PBC — USA — Inferenza AI (SCC)
- Cloudflare Inc. — USA/Edge EU — Sicurezza e CDN (SCC)
- Zoho Corporation — India/EU — CRM e supporto (SCC + server EU)
CrewBitz notificherà al Titolare l'aggiunta o la sostituzione di sub-processori con almeno 30 giorni di preavviso, via e-mail all'indirizzo registrato. Il Titolare ha il diritto di opporsi motivatamente alla modifica entro tale termine; in assenza di opposizione, la modifica si intende approvata. In caso di opposizione motivata e impossibilità di trovare accordo, il Titolare ha il diritto di risolvere il contratto senza penali.
CrewBitz imporrà a ogni sub-processore obblighi di protezione dei dati equivalenti a quelli del presente DPA.
6. Misure di Sicurezza (Art. 32 GDPR)
CrewBitz adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:
- Pseudonimizzazione e cifratura: cifratura AES-256 a riposo, TLS 1.3 in transito.
- Riservatezza: controllo degli accessi RBAC, autenticazione multi-fattore per il personale interno, principio del minimo privilegio.
- Integrità: hash crittografici per verifica integrità dei dati, immutabilità dei log di audit.
- Disponibilità: backup automatici giornalieri con replica geografica in UE, procedure di disaster recovery testate semestralmente.
- Resilienza: architettura ad alta disponibilità, monitoraggio 24/7, alerting automatico.
- Ripristino: RTO (Recovery Time Objective) ≤ 4 ore, RPO (Recovery Point Objective) ≤ 24 ore.
- Test periodici: penetration test annuali, vulnerability assessment trimestrali, formazione annuale del personale sulla sicurezza dei dati.
7. Violazioni dei Dati Personali (Data Breach)
In caso di violazione dei dati personali (data breach) che interessi i dati trattati per conto del Titolare:
- CrewBitz notificherà il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione.
- La notifica includerà: natura della violazione, categorie e numero approssimativo di interessati coinvolti, categorie e numero approssimativo di registrazioni, probabili conseguenze, misure adottate o proposte.
- CrewBitz fornirà tutta l'assistenza necessaria affinché il Titolare possa effettuare la notifica all'Autorità Garante entro 72 ore dalla scoperta (art. 33 GDPR) e, ove richiesto, comunicare agli interessati (art. 34 GDPR).
8. Trasferimenti Extra-UE
I trasferimenti di dati personali verso paesi terzi (USA) avvengono esclusivamente tramite Clausole Contrattuali Standard (SCC) adottate con Decisione CE 2021/914/UE. Per ciascun trasferimento è stata condotta una valutazione dell'impatto del trasferimento (TIA). Il Titolare può richiedere copia delle SCC in vigore a [email protected].
9. Audit e Ispezioni
Il Titolare ha il diritto di effettuare audit sul rispetto del presente DPA, anche tramite soggetti terzi incaricati, con le seguenti modalità:
- Preavviso scritto di almeno 30 giorni.
- Massimo 1 audit per anno solare, salvo fondato sospetto di violazione.
- L'audit si svolge in orario lavorativo e non deve interferire con le normali operazioni aziendali.
- I costi dell'audit sono a carico del Titolare, salvo che l'audit riveli violazioni materiali del DPA.
- Il soggetto incaricato dell'audit deve sottoscrivere un accordo di riservatezza.
In alternativa all'audit fisico, CrewBitz può fornire certificazioni, rapporti di audit indipendenti (es. SOC 2) o questionari di sicurezza come prova del rispetto degli obblighi.
10. Responsabilità
Le responsabilità delle Parti per violazioni del GDPR sono disciplinate dagli artt. 82-83 GDPR. Ciascuna Parte risponde per i danni causati agli interessati derivanti dalla propria violazione del GDPR o del presente DPA. La limitazione di responsabilità prevista dai Termini di Servizio si applica anche al presente DPA, nei limiti consentiti dalla legge.