Data Processing Agreement (DPA)
1. Definizioni
- "GDPR": Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
- "Cliente" o "Tenant": la persona fisica o giuridica che ha attivato un account su Locario.
- "Locario": Giovanni Buzelli, in qualità di gestore della piattaforma SaaS Locario.
- "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'art. 4(1) GDPR.
- "Trattamento": qualsiasi operazione effettuata sui Dati Personali, ai sensi dell'art. 4(2) GDPR.
- "Interessato": la persona fisica a cui si riferiscono i Dati Personali.
- "Servizio": la piattaforma Locario erogata in modalità SaaS.
2. Ruoli e qualifiche
Le Parti riconoscono che, in relazione ai Dati Personali trattati attraverso il Servizio:
- Il Cliente agisce come Titolare del trattamento ai sensi dell'art. 4(7) GDPR.
- Locario agisce come Responsabile del trattamento ai sensi dell'art. 4(8) GDPR.
Il Cliente determina finalità e mezzi del trattamento; Locario tratta i Dati Personali per conto e secondo le istruzioni documentate del Cliente, come stabilito nel presente DPA e nei Termini di Servizio.
3. Oggetto, natura e finalità del trattamento
Il trattamento da parte di Locario consiste nelle operazioni necessarie a erogare il Servizio:
- Memorizzazione e organizzazione dei dati inseriti dal Cliente (inquilini, contratti, spese, bollette, appartamenti, camere).
- Estrazione automatica di informazioni strutturate da PDF caricati o ricevuti via email (OCR + LLM).
- Trasmissione di notifiche operative al Cliente.
- Backup e recupero in caso di disaster.
4. Tipologie di Dati Personali e Interessati
| Categoria di Interessati | Tipologie di Dati Personali |
|---|---|
| Inquilini / Conduttori | Nome, cognome, codice fiscale, email, telefono, indirizzo dell'immobile locato, dati anagrafici contenuti in contratti caricati. |
| Intestatari di bollette | Nome, cognome, indirizzo di fornitura, codice POD/PDR, importo, scadenza. |
| Utenti del Cliente (se diversi dal Titolare) | Email di accesso, log di sessione. |
Locario non tratta categorie particolari di Dati Personali ai sensi dell'art. 9 GDPR (dati sanitari, biometrici, di orientamento religioso/politico/sessuale) né dati relativi a condanne penali (art. 10 GDPR). Il Cliente si impegna a non inserire tali categorie di dati nel Servizio.
5. Durata del trattamento
Il presente DPA ha durata pari a quella del contratto di Servizio. Alla cessazione del contratto, per qualsiasi causa, Locario procederà come da Sezione 11.
6. Istruzioni del Titolare
Locario tratterà i Dati Personali esclusivamente sulla base di istruzioni documentate del Cliente, fornite tramite:
- L'utilizzo del Servizio (le azioni dell'utente equivalgono a istruzioni operative).
- Le configurazioni specificate nell'area amministrativa.
- Richieste scritte inviate a horseballitalia@gmail.com.
Qualora un'istruzione del Cliente possa violare il GDPR o altra normativa applicabile, Locario lo notificherà tempestivamente al Cliente.
7. Riservatezza
Locario garantisce che le persone autorizzate a trattare i Dati Personali sono tenute alla riservatezza tramite obblighi contrattuali o legali. Allo stato attuale, l'accesso amministrativo ai sistemi è limitato al solo Titolare di Locario.
8. Misure di sicurezza (art. 32 GDPR)
Locario applica misure tecniche e organizzative adeguate, tra cui:
- Cifratura in transito (TLS 1.3, certificati Let's Encrypt).
- Pseudonimizzazione e isolamento tramite Row Level Security (RLS) di PostgreSQL.
- Hashing delle password (bcrypt, cost 12).
- Sessione con cookie
HttpOnly + Secure + SameSite=Lax. - Backup giornalieri con retention 30 giorni.
- Webhook firmati HMAC SHA-256.
- Accesso server protetto da chiavi SSH.
- Test di sicurezza periodici e log di accesso.
9. Sub-responsabili (sub-processors)
Il Cliente autorizza espressamente Locario a impiegare i sub-responsabili indicati nell'Informativa Privacy, sezione 5. L'elenco aggiornato sarà reso disponibile e, in caso di aggiunta di nuovi sub-responsabili, il Cliente sarà notificato con almeno 30 giorni di anticipo.
Locario ha stipulato con ciascun sub-responsabile accordi conformi all'art. 28 GDPR.
10. Trasferimenti extra-UE
Eventuali trasferimenti di Dati Personali al di fuori dello Spazio Economico Europeo sono effettuati sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE (Decisione 2021/914/UE) e, ove applicabile, in adesione al EU-US Data Privacy Framework.
11. Cessazione del rapporto
Alla cessazione del Servizio Locario, su scelta del Cliente:
- Restituisce al Cliente i Dati Personali in formato leggibile (export ZIP da
/account/export.php), o - Cancella i Dati Personali entro 7 giorni lavorativi dalla richiesta esplicita (al netto del grace period di 30 giorni).
Resta fermo l'obbligo di conservazione previsto da norme imperative (es. normativa fiscale italiana, 10 anni per dati di fatturazione).
12. Diritti degli Interessati
Locario assiste il Cliente, con misure tecniche e organizzative appropriate, nel dare seguito alle richieste degli Interessati che esercitano i diritti previsti dagli articoli 15-22 del GDPR.
Se Locario riceve direttamente una richiesta da un Interessato, la trasmetterà tempestivamente al Cliente, fatta salva la possibilità di evadere richieste relative ai propri obblighi diretti.
13. Notifica di violazione (Data Breach)
In caso di violazione dei Dati Personali, Locario informerà il Cliente entro 24 ore dalla rilevazione, fornendo:
- Descrizione della violazione e categorie/numero approssimativo di Interessati coinvolti.
- Dati di contatto del referente per ulteriori informazioni.
- Conseguenze probabili.
- Misure adottate o proposte per attenuare gli effetti.
Il Cliente, in qualità di Titolare, resta responsabile della notifica al Garante Privacy e/o agli Interessati ai sensi degli articoli 33-34 GDPR.
14. Audit
Su richiesta scritta del Cliente, e con preavviso di almeno 30 giorni, Locario metterà a disposizione le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR, compresa la disponibilità a contribuire ad audit, anche tramite report di terze parti, in modalità che non compromettano la sicurezza e la riservatezza degli altri Clienti.
15. Responsabilità
La responsabilità di ciascuna Parte è disciplinata dai principi generali del GDPR (artt. 82-83) e dai Termini di Servizio. Nulla nel presente DPA limita le responsabilità che la legge attribuisce direttamente al Responsabile del trattamento.
16. Modifiche
Eventuali modifiche al presente DPA saranno comunicate via email al Cliente con almeno 30 giorni di anticipo. Il proseguimento dell'utilizzo del Servizio costituisce accettazione delle modifiche.
17. Foro competente e legge applicabile
Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia è competente in via esclusiva il Foro di Roma, salvo che il Cliente rivesta la qualifica di "consumatore" ai sensi del D.Lgs. 206/2005, nel qual caso si applica il foro del consumatore.
Locario è gestito da Giovanni Buzelli · horseballitalia@gmail.com · Privacy Policy