Accordo per il trattamento dei dati personali (DPA)

Versione template: 1.0 · Data: 16 maggio 2026

Nota: il presente documento e' un template. Il Cliente che agisca come Titolare autonomo del trattamento (es. per i dati dei destinatari delle notifiche di sua propieta') puo' richiedere a NEXO IP la firma di un DPA conforme all'Art. 28 GDPR sulla base del presente schema. Per ricevere una copia controfirmata personalizzata, scrivere a privacy@nexoip.it.

1. Parti

Titolare del trattamento (Cliente): _____________________________ (di seguito "Titolare")
Responsabile del trattamento: [NEXO IP — RAGIONE SOCIALE PLACEHOLDER], P.IVA [PLACEHOLDER], sede in [PLACEHOLDER] (di seguito "Responsabile" o "NEXO IP")

2. Oggetto e durata

Il presente Accordo disciplina il trattamento di dati personali effettuato dal Responsabile per conto del Titolare nell'ambito del Servizio NEXO IP, come dettagliato nei Termini di Servizio.

Durata: per tutta la durata del contratto di servizio. Al termine, il Responsabile cancellera' o restituira' i dati ai sensi della Clausola 9.

3. Natura, finalita' e categorie

Tipologia	Dettaglio
Categorie di interessati	Destinatari delle notifiche configurati dal Titolare; eventuali ulteriori soggetti i cui dati il Titolare carichi sulla piattaforma
Categorie di dati	Nome, email, numero di telefono, eventi di allarme associati
Operazioni	Raccolta, registrazione, conservazione cifrata, organizzazione, consultazione, trasmissione ai provider di notifica, cancellazione
Finalita'	Erogazione del Servizio di dispatch notifiche multicanale

4. Obblighi del Responsabile (Art. 28.3 GDPR)

Il Responsabile si impegna a:

Trattare i dati solo su istruzioni documentate del Titolare
Garantire che le persone autorizzate al trattamento abbiano assunto un obbligo di riservatezza
Adottare le misure di sicurezza di cui all'Art. 32 GDPR (vedi Allegato I)
Non avvalersi di sub-responsabili senza previa autorizzazione (vedi Allegato II per l'elenco autorizzato)
Assistere il Titolare nell'evadere le richieste degli interessati (Artt. 12-22)
Notificare al Titolare ogni violazione di dati senza ingiustificato ritardo, comunque entro 48 ore dalla scoperta
Mettere a disposizione del Titolare le informazioni necessarie a dimostrare la conformita' e consentire audit (con preavviso e secondo modalita' concordate)
Cancellare o restituire i dati al termine del rapporto contrattuale, salvo obblighi di conservazione

5. Sub-responsabili

Il Titolare autorizza in via generale il ricorso ai sub-responsabili elencati nell'Allegato II. NEXO IP comunichera' eventuali modifiche con preavviso ragionevole, consentendo al Titolare di opporsi.

6. Trasferimenti extra-UE

I trasferimenti verso paesi terzi (USA per Twilio/Stripe) avvengono sulla base delle Clausole Contrattuali Standard UE (Decisione 2021/914) e di valutazione del trasferimento conforme alle Linee Guida EDPB 04/2021.

7. Diritti degli interessati

Il Responsabile, nei limiti tecnici delle proprie funzioni, assiste il Titolare nell'evadere le richieste degli interessati. Su richiesta scritta del Titolare, NEXO IP fornisce export, rettifica o cancellazione dei dati dei destinatari entro 10 giorni lavorativi.

8. Data Breach

In caso di violazione di dati personali, NEXO IP notifica al Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, fornendo le informazioni richieste dall'Art. 33.3 GDPR per consentire al Titolare di adempiere agli obblighi di notifica al Garante e agli interessati.

9. Restituzione/cancellazione al termine

Al termine del rapporto contrattuale, su scelta del Titolare comunicata entro 30 giorni, NEXO IP cancellera' o restituira' (formato JSON+CSV) tutti i dati personali, cancellando le copie esistenti salvo obblighi di legge di conservazione (Art. 28.3.g GDPR).

10. Audit

Il Titolare ha diritto di effettuare audit, anche tramite terzo qualificato e tenuto a riservatezza, con preavviso scritto di almeno 30 giorni e secondo modalita' concordate, al massimo una volta l'anno (salvo richiesta dell'Autorita' di controllo o data breach).

11. Responsabilita'

Ciascuna parte risponde nei limiti delle proprie inadempienze. Le limitazioni di responsabilita' di cui ai Termini di Servizio non si applicano in caso di violazione delle disposizioni del presente DPA imputabile a dolo o colpa grave.

12. Legge applicabile

Il presente DPA e' regolato dalla legge italiana e si interpreta in modo coerente con il GDPR. In caso di conflitto con i Termini di Servizio, prevale il DPA per le materie attinenti al trattamento dei dati personali.

Allegato I — Misure tecniche e organizzative (Art. 32)

Crittografia in transito (TLS 1.2+) e a riposo (AES-128 Fernet per dati di contatto, chiavi per-account)
Hashing password bcrypt (12 round)
Autenticazione multi-fattore (OTP email; WebAuthn opzionale)
Rate-limiting e protezione brute-force
Audit log immutabile delle azioni amministrative
Retention automatica e minimizzazione
Backup cifrati e ruotati
Principio del privilegio minimo nell'accesso al database
Headers di sicurezza HTTP (HSTS, X-Frame-Options, Referrer-Policy)
Monitoraggio e logging degli accessi

Allegato II — Sub-responsabili autorizzati

Sub-responsabile	Servizio	Sede	Garanzie
Twilio Inc.	SMS, WhatsApp, voce	USA	SCC UE 2021/914 + DPA Twilio
Stripe Inc. / Stripe Payments Europe Ltd.	Pagamenti	USA / Irlanda	SCC UE + DPA Stripe + PCI-DSS
Provider SMTP (authsmtp.securemail.pro)	Email transazionali	UE	TLS + DPA fornitore
Hosting infrastruttura	Hosting server e DB	UE — [PLACEHOLDER]	DPA fornitore + cifratura disco

Firma

Per il Titolare: _____________________________ Data: __________

Per il Responsabile (NEXO IP): _____________________________ Data: __________