Accordo sul Trattamento dei Dati (DPA)

1. Parti

Il presente Accordo sul Trattamento dei Dati (di seguito, "DPA") è concluso tra:

• Responsabile del trattamento: Jose Antonio Touriño Eirín, NIF 76827011L, Juan Bautista Andrade, Pontevedra, España (en adelante, "el Encargado" o "Laxio")
• Titolare del trattamento: L'azienda o il professionista che contrattualizza i servizi di Laxio (di seguito, "il Cliente")

2. Oggetto e finalità del trattamento

Il Responsabile tratterà i dati personali per conto del Cliente esclusivamente per la fornitura dei servizi contrattualizzati della piattaforma Laxio, che comprendono:

• Gestione dell'inventario di blocchi di pietra naturale
• Gestione di clienti, fornitori e preventivi
• Gestione di ordini, consegne e liquidazioni
• Archiviazione dei file associati (fotografie dei blocchi, documenti)

3. Tipi di dati trattati

Nell'ambito della prestazione dei servizi, il Responsabile potrà trattare le seguenti categorie di dati personali:

• Dati identificativi: nome, cognome, P. IVA / CF, indirizzo, telefono, email dei clienti e fornitori del Cliente
• Dati degli utenti della piattaforma: nome, email, ruolo, attività di accesso
• Dati commerciali: preventivi, ordini, tariffe, consegne
• Dati di fatturazione: dati fiscali necessari per l'emissione delle fatture

4. Obblighi del Responsabile

Il Responsabile si impegna a:

• Trattare i dati unicamente secondo le istruzioni documentate del Cliente e per la finalità descritta in questo DPA
• Non comunicare i dati a terzi, salvo autorizzazione espressa del Cliente o per obbligo legale
• Garantire che le persone autorizzate al trattamento dei dati si siano impegnate a rispettare la riservatezza
• Implementare le misure tecniche e organizzative appropriate per garantire la sicurezza dei dati (cifratura in transito e a riposo, controllo degli accessi, copie di backup, isolamento per tenant)
• Assistere il Cliente nell'adempimento dei suoi obblighi in materia di diritti degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione, limitazione)
• Notificare al Cliente qualsiasi violazione di sicurezza che riguardi dati personali entro un termine massimo di 72 ore dal suo rilevamento

5. Misure di sicurezza

Il Responsabile ha implementato le seguenti misure tecniche e organizzative:

• Cifratura TLS in tutte le comunicazioni (HTTPS)
• Isolamento dei dati per tenant (Row Level Security in PostgreSQL)
• Autenticazione tramite JWT con token di refresh e blocco per tentativi falliti
• Hashing delle password con bcrypt (fattore 12)

6. Sub-responsabili

Il Cliente autorizza il Responsabile a ricorrere ai seguenti sub-responsabili per la prestazione del servizio: Hetzner Online GmbH (hosting dell'infrastruttura, Germania/UE), Resend Inc. (invio di email transazionali, USA — con clausole contrattuali tipo).

Il Responsabile informerà il Cliente di qualsiasi modifica nei sub-responsabili con almeno 30 giorni di preavviso, consentendo al Cliente di opporsi.

7. Trasferimenti internazionali

I dati sono ospitati su server situati nell'Unione Europea (Hetzner, Germania). In caso di trasferimento a sub-responsabili al di fuori del SEE, si applicheranno le garanzie previste dall'articolo 46 del GDPR (clausole contrattuali tipo approvate dalla Commissione Europea).

8. Durata e cessazione

Questo DPA sarà in vigore per la durata del rapporto contrattuale tra le parti. Al termine del servizio, il Responsabile:

• Restituirà o eliminerà tutti i dati personali, a scelta del Cliente
• Certificherà l'eliminazione dei dati se richiesto
• Potrà conservare i dati bloccati per il periodo legalmente richiesto

9. Contatto

Per qualsiasi questione relativa a questo DPA o al trattamento dei dati personali, può contattare il Responsabile a: [email protected].