Accordo sul trattamento dei dati personali (DPA)
Ai sensi dell'art. 28 del Regolamento (UE) 2016/679 — Ultimo aggiornamento: giugno 2026
1. Parti e ruoli
Il presente Accordo è stipulato tra l'impresa cliente, titolare del trattamento (di seguito il "Titolare"), e [RAGIONE SOCIALE], fornitore del servizio CantiereFacile, responsabile del trattamento (di seguito il "Responsabile"). Costituisce parte integrante dei Termini di servizio.
2. Oggetto, durata, natura e finalità
Il Responsabile tratta i dati personali per conto del Titolare al solo fine di erogare il Servizio, per tutta la durata del contratto. Tipi di dati: dati anagrafici e di contatto di dipendenti, clienti, committenti e fornitori del Titolare; dati di presenza e geolocalizzazione delle timbrature; documenti e dati gestionali. Categorie di interessati: dipendenti e collaboratori, clienti/committenti, fornitori del Titolare.
3. Obblighi del Responsabile (art. 28.3)
- trattare i dati solo su istruzione documentata del Titolare, salvo obblighi di legge;
- garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza;
- adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR;
- rispettare le condizioni per il ricorso a sub-responsabili (punto 5);
- assistere il Titolare nel dare seguito alle richieste degli interessati (artt. 15-22);
- assistere il Titolare nel garantire gli obblighi di sicurezza, notifica violazioni e valutazioni d'impatto (artt. 32-36);
- su scelta del Titolare, cancellare o restituire i dati al termine del servizio;
- mettere a disposizione le informazioni necessarie a dimostrare la conformità e consentire audit.
4. Sicurezza (art. 32)
Il Responsabile adotta misure quali: cifratura dei dati in transito, controllo degli accessi e separazione dei dati per impresa (multi-tenant), gestione delle credenziali tramite fornitore di autenticazione dedicato, backup e procedure di ripristino, registrazione degli accessi e aggiornamenti di sicurezza.
5. Sub-responsabili
Il Titolare autorizza il ricorso ai sub-responsabili necessari all'erogazione del Servizio, tra cui:
| Sub-responsabile | Servizio | Ambito |
|---|---|---|
| Clerk | Autenticazione e gestione utenti | Credenziali, login |
| Railway | Hosting applicativo e database | Tutti i dati gestionali |
| Cloudflare R2 | Archiviazione file/allegati | Documenti caricati |
| Resend | Invio e-mail transazionali | Indirizzi e contenuti notifiche |
Il Responsabile comunicherà eventuali modifiche ai sub-responsabili, dando al Titolare la possibilità di opporsi per motivi legittimi. Ogni sub-responsabile è vincolato a obblighi di protezione dei dati equivalenti.
6. Trasferimenti extra-UE
Eventuali trasferimenti fuori dallo Spazio Economico Europeo avvengono nel rispetto degli artt. 44 e ss. GDPR, mediante garanzie adeguate (es. clausole contrattuali standard della Commissione Europea).
7. Geolocalizzazione dei lavoratori
Il Titolare riconosce che l'attivazione e l'uso della funzione di geolocalizzazione delle timbrature ricade sotto la propria responsabilità, inclusi gli adempimenti dell'art. 4 della L. 300/1970 (informativa ai lavoratori, eventuale accordo sindacale o autorizzazione dell'Ispettorato del Lavoro). Il Responsabile fornisce unicamente lo strumento tecnico.
8. Violazioni dei dati (data breach)
Il Responsabile informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali, fornendo le informazioni utili agli adempimenti di cui agli artt. 33-34 GDPR.
9. Termine del trattamento
Alla cessazione del Servizio, su scelta del Titolare, il Responsabile restituisce o cancella i dati personali e le copie esistenti, salvo obblighi di conservazione previsti dalla legge.