invytly

Contratto di Nomina a Responsabile del Trattamento dei Dati Personali (Data Processing Agreement - DPA)

Ultimo aggiornamento: 12 gennaio 2026

Premessa

In ottemperanza all'art. 28 del Regolamento Generale sulla Protezione dei Dati Personali (GDPR), il presente contratto definisce i termini e le condizioni in base ai quali

  • Il Cliente, in qualità di Titolare (di seguito “Titolare”)

nomina

  • Damiano Carradori (di seguito “Responsabile”)

per l'esecuzione delle attività di trattamento dei dati personali necessarie per l'erogazione dei servizi.

1. Oggetto del Contratto

1.1. Il presente accordo ha per oggetto la nomina del Responsabile ed il conferimento allo stesso delle istruzioni relative al trattamento dei dati personali nell'ambito dell'utilizzo della Piattaforma. Le attività di trattamento che il Responsabile potrà effettuare sono limitate a quelle strettamente necessarie all'erogazione dei servizi connessi ai singoli Progetti attivi e secondo le istruzioni documentate del Titolare. Il trattamento può includere, su istruzione del Titolare, la raccolta e gestione di copie di documenti di identità degli interessati, esclusivamente per le finalità determinate dal Titolare e nei limiti strettamente necessari all’erogazione dei servizi.

2. Durata

2.1. Il presente accordo si intende valido e vincolante per tutta la durata del rapporto contrattuale tra le Parti e si applica a ciascun Progetto attivato dal Titolare tramite la Piattaforma. Per ogni Progetto, il trattamento dei dati ha inizio alla data di attivazione dello stesso e termina alla sua scadenza, secondo quanto previsto nei Termini e Condizioni.

3. Tipologie di Dati e Categorie di Interessati

3.1. Le categorie di dati personali trattati sono:

  • Dati identificativi (nome, cognome, email, ecc.)
  • Dati statistici e di navigazione
  • Dati contenuti in documenti di identità caricati dagli interessati, quali, a titolo esemplificativo e non esaustivo: tipo di documento, numero del documento, data di rilascio e scadenza, autorità emittente, fotografia, firma, data e luogo di nascita
  • Eventuali ulteriori dati personali inseriti volontariamente dagli interessati che potrebbero essere richiesti dal Titolare durante l'utilizzo della Piattaforma

I dati trattati non comprendono categorie particolari di dati ai sensi dell’art. 9 GDPR, salvo che ciò avvenga su istruzioni documentate del Titolare e nel rispetto delle basi giuridiche applicabili.

3.2. I dati personali oggetto del presente accordo si riferiscono agli ospiti degli eventi organizzati dal Titolare e ad eventuali soggetti terzi i cui dati siano inseriti dal Titolare nell’ambito dei Progetti, rispetto ai quali il Responsabile agisce esclusivamente per conto del Titolare.

3-bis. Trattamento dei documenti di identità

3-bis.1. Il Responsabile tratta i documenti di identità esclusivamente per conto del Titolare e secondo istruzioni documentate, per finalità di identificazione, verifica dell’identità o adempimenti contrattuali o normativi connessi ai servizi offerti.

3-bis.2. L’accesso ai documenti di identità è limitato esclusivamente al personale autorizzato del Responsabile ed è regolato da misure di controllo degli accessi e tracciamento delle operazioni.

3-bis.3. I documenti di identità sono conservati per il periodo strettamente necessario alle finalità determinate dal Titolare e, in ogni caso, cancellati o resi definitivamente inaccessibili alla scadenza del Progetto, salvo obblighi di legge.

3-bis.4. È fatto divieto al Responsabile di utilizzare i documenti di identità per finalità proprie o ulteriori rispetto a quelle istruite dal Titolare.

3-bis.5. Il trattamento dei documenti di identità è effettuato nel rispetto dei principi di sicurezza e minimizzazione dei dati e sulla base di una valutazione dei rischi condotta dal Responsabile, in conformità alla normativa applicabile.

4. Trasferimenti dei Dati

4.1. Il Responsabile tratta i dati personali prevalentemente all’interno dello Spazio Economico Europeo (SEE). Qualora, per esigenze tecniche e operative connesse all’erogazione dei servizi, il Responsabile si avvalga di sub-responsabili o infrastrutture localizzati al di fuori del SEE, tali trasferimenti avverranno esclusivamente nel rispetto delle condizioni previste dagli articoli 44 e seguenti del GDPR.

4.2. In tali casi, il Responsabile garantisce che il trasferimento dei dati personali verso Paesi terzi è effettuato sulla base di garanzie adeguate, quali le Clausole Contrattuali Standard approvate dalla Commissione Europea, nonché l’adozione di eventuali misure supplementari richieste dalla normativa vigente.

4.3. Il Titolare autorizza espressamente tali trasferimenti, nella misura in cui siano necessari per l’erogazione dei servizi oggetto del presente accordo e nel rispetto delle disposizioni di cui al presente articolo.

4.1. Il Responsabile si impegna a non trasferire dati personali al di fuori dello Spazio Economico Europeo (SEE), salvo preventiva autorizzazione scritta del Titolare o per specifiche attività che necessitino di tale trasferimento, sempre conformi alle basi di legittimità previste dal GDPR.

4.2. Le parti si danno reciprocamente atto che il trattamento dei dati personali oggetto del presente accordo non avverrà al di fuori dello SEE.

5. Misure tecniche ed organizzative

5.1. Prima di dare esecuzione alla presente nomina, il Responsabile sarà tenuto ad implementare tutte le misure tecniche ed organizzative adeguate per la protezione dei dati personali. Il Responsabile fornirà, su richiesta del Titolare, un documento che descrive dettagliatamente tutte le misure di sicurezza adottate dallo stesso Responsabile, con specifico riferimento all'esecuzione del presente contratto. Qualora mediante ispezione o revisione il Titolare dovesse constatare la necessità di modificarle, le modifiche saranno apportate di comune accordo tra le parti.

5.2. Il Responsabile garantisce la sicurezza del trattamento ai sensi degli artt. 28 par. 3 punto c) e 32 RGPD, in particolare ai sensi dell'art. 5 par. 1 e par. 2 RGPD. Tali misure devono garantire la sicurezza dei dati ed un livello di protezione adeguato al rischio per la confidenzialità, integrità, disponibilità e resilienza dei sistemi. Ai sensi dell'art. 32 par. 1 RGPD, nel valutare il livello di adeguatezza delle misure di sicurezza deve tenersi conto dello stato dell'arte, i costi di realizzazione, la natura, l'oggetto e gli scopi del trattamento, così come la probabilità di una violazione di dati personali e la gravità dei rischi da essa potenzialmente derivanti per i diritti e le libertà delle persone fisiche.

5.3. Le misure tecniche ed organizzative sono soggette a evoluzione e progresso tecnico e tecnologico. Pertanto, il Responsabile può adottare opportune misure alternative adeguate al mutato contesto tecnologico. In tali casi, il livello di sicurezza del trattamento non può essere ridotto.

5.4. In relazione al trattamento dei documenti di identità, il Responsabile adotta misure di sicurezza rafforzate, tra cui, a titolo esemplificativo: cifratura dei dati a riposo e in transito, segregazione logica dei dati, limitazione degli accessi, sistemi di logging e procedure di cancellazione sicura.

5.5. Le misure tecniche e organizzative adottate dal Responsabile sono coerenti con l’analisi dei rischi effettuata ai sensi dell’art. 35 del GDPR e sono periodicamente aggiornate.

6. Diritti degli Interessati e Assistenza

6.1. Il Responsabile s'impegna a cooperare con il Titolare ed a fornire la più ampia assistenza, nei limiti in cui ciò sia ragionevole o possibile, al fine di agevolare il Titolare nel riscontro delle richieste degli interessati per l'esercizio dei loro diritti.

6.2. In particolare, il Responsabile s'impegna a (i) comunicare immediatamente al Titolare ciascuna richiesta pervenutagli dagli interessati in merito all'esercizio dei loro diritti e, se fattibile o del caso, ad (ii) assistere il Titolare nel progettare e implementare tutte le misure tecniche ed organizzative necessarie per rispondere a tali richieste.

6.3. Fermo restando che la responsabilità di riscontrare e soddisfare le richieste degli interessati grava esclusivamente sul Titolare, il Responsabile può essere incaricato di evadere alcune specifiche richieste, sempre che ciò non richieda sforzi sproporzionati e su istruzioni specifiche fornite per iscritto dal Titolare.

7. Sub-Responsabili

7.1. Il Titolare autorizza fin d'ora il Responsabile a ricorrere a terzi responsabili del trattamento. I sub-responsabili come richiesto dalla normativa, dovranno essere soggetti ai medesimi obblighi contrattuali contenuti nel presente contratto ai sensi dell'art. 28 par. 4 RGPD.

7.2. Alla data di sottoscrizione del presente accordo, le parti si danno reciprocamente atto che il Responsabile si avvale dei seguenti sub-responsabili, con i quali s'impegna a concludere accordi contrattuali conformi al dettato dell'art. 28, par. 4 RGPD:

  • Anna Corniani, Piazza 1° Maggio 9, 13900 Biella (BI), Italia, P.IVA: 02646050027

    7.3. Resta inteso che la comunicazione dei dati ad un terzo responsabile potrà avvenire solo una volta che tutte le condizioni per la nomina di cui al punto (7.1) del presente paragrafo siano realizzate.

    7.4. Responsabile dovrà mantenere aggiornato un elenco dei sub-responsabili. Qualsiasi modifica a tale elenco deve essere segnalata al Titolare senza indebito ritardo, dando al Titolare la facoltà di opporsi. In caso di opposizione, il Responsabile ha diritto di recedere dal contratto con il Titolare senza preavviso.

    7.5. Il Responsabile risponde integralmente dell'operato dei sub-responsabili nei confronti del Titolare.

    7.6. Qualora un sub-responsabile presti la propria opera al di fuori della UE/SEE, il Responsabile deve garantire la liceità del trasferimento dati al di fuori dello SEE, come descritto al punto 4. del presente contratto.

8. Poteri di Controllo del Titolare

8.1. Il Titolare ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore dovrà valutare il rispetto di questo contratto di nomina da parte del Responsabile nel corso delle proprie attività d'impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.

8.2. Il Responsabile deve permettere al Titolare di verificare l'adempimento alle proprie obbligazioni, come previsto dall'art. 28 RGPD. Su richiesta, il Responsabile fornisce al Titolare ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.

8.3. La prova dell'adozione di tali misure, che potranno riferirsi anche ad attività non rientranti nell'ambito di questo contratto, potrà essere fornita anche per mezzo di

  • conformità a codici di condotta approvati ai sensi dell'art. 40 RGPD;

  • certificazioni emesse in base ad un meccanismo di certificazione approvato ai sensi dell'art. 42 RGPD;

  • attuali certificazioni di revisori, relazioni o estratti di relazioni redatte da organismi indipendenti (p. es. revisori, responsabili della protezione dei dati personali, dipartimento della sicurezza IT, revisori della protezione dei dati);

  • idonee certificazioni emesse da revisori della sicurezza IT o della protezione dei dati personali.

    8.4. Il Responsabile può addebitare al Titolare un compenso di entità ragionevole per l'esecuzione delle ispezioni.

9. Assistenza al Titolare

9.1. Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 RGPD, tra l'altro

  • garantendo adeguati standard di protezione mediante misure tecniche e organizzative, tenendo conto della natura, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio per le persone fisiche che ne può derivare;

  • garantendo l'immediata individuazione delle violazioni;

  • riferendo senza indebito ritardo al Titolare ogni violazioni di dati;

  • assistendo il Titolare nell'evadere le richieste degli interessati di esercizio dei loro diritti.

    9.2. Il Responsabile può richiedere al Titolare un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non sono dovuti a errori, violazioni o condotte imputabili al Responsabile.

10. Poteri direttivi del Titolare

10.1. Il Responsabile non tratta alcun dato personale ai sensi della presente nomina se non su istruzione documentata del Titolare, salvo che sia obbligato a farlo dal diritto dell'Unione o degli Stati membri.

10.2. Nel caso in cui il Titolare richieda una modifica del trattamento dei dati personali, il Responsabile informa immediatamente il Titolare qualora ritenga che tale modifica possa comportare violazioni delle disposizioni in materia di protezione dei dati. Il Responsabile può astenersi dallo svolgere qualsiasi attività che possa dar luogo a tale violazione.

11. Responsabilità

11.1. Ciascuna parte del presente contratto si impegna a risarcire l'altra parte per danni o spese derivanti dal proprio inadempimento colposo del presente contratto, compreso qualsiasi inadempimento colposo commesso dal proprio rappresentante legale, sub-contraenti, dipendenti o altri agenti. Inoltre, ciascuna parte si impegna a tenere indenne l'altra parte da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a qualsiasi violazione colposa commessa dall'altra parte.

11.2. Resta ferma la previsione dell'art. 82 RGPD.

12. Distruzione e restituzione dei dati personali

12.1. Il Responsabile non crea copie o duplicati dei dati ad insaputa e senza il consenso del Titolare, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire la corretta elaborazione dei dati, nonché per i dati la cui conservazione è prevista dalla legge.

12.2. A conclusione di ciascun Progetto per il quale è stato effettuato il trattamento dei dati personali, a scelta del Titolare, il Responsabile cancella in maniera conforme alla protezione dei dati o restituisce al Titolare tutti i dati personali raccolti ed elaborati ai sensi della presente nomina, a meno che le disposizioni di legge applicabili non richiedano un ulteriore conservazione dei dati personali.

12.3. In ogni caso, il Responsabile può conservare tutte le informazioni utili a dimostrare la corretta e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto.

12.4. La documentazione di cui al punto (12.3) che precede, deve comunque essere conservata dal Responsabile in ottemperanza ai periodi di conservazione previsti dalla legge o altrimenti stabiliti. Il Responsabile può consegnare tale documentazione al Titolare al termine della durata del contratto per sollevarsi dall'obbligo contrattuale di conservazione.