Data Processing Agreement (DPA)

Art. 28 Reg. UE 2016/679 — Ultimo aggiornamento: 2026-04-20

Premesse

Il presente Accordo ("DPA") è parte integrante dei Termini di Servizio Prosvero. Si applica ogni volta che l'Utente (qualificato come Titolare del trattamento) gestisce tramite la Piattaforma dati personali di terzi (tipicamente clienti finali del freelancer). Prosvero agisce in tali casi come Responsabile del trattamentoai sensi dell'art. 28 GDPR.

1. Oggetto, durata, natura e finalità (art. 28(3) GDPR)

  • Oggetto: erogazione del Servizio SaaS Prosvero.
  • Durata: coincide con il contratto principale; cessa con la chiusura dell'account.
  • Natura e finalità del trattamento: archiviazione cifrata, elaborazione tramite modelli AI (su richiesta), invio email transazionali, elaborazione pagamenti, gestione CRM.
  • Tipi di dati personali: anagrafici, di contatto, fiscali (P.IVA/CF), contenuti documenti, dati di pagamento, firme elettroniche, IP del firmatario.
  • Categorie di interessati: clienti finali del Titolare (persone fisiche).

2. Obblighi del Responsabile (art. 28(3) GDPR)

Prosvero, in qualità di Responsabile:

  • tratta i dati solo su istruzioni documentate del Titolare;
  • garantisce che le persone autorizzate ad accedere ai dati siano tenute ad obbligo di riservatezza;
  • adotta misure tecniche ed organizzative adeguate ex art. 32 GDPR (§7);
  • assiste il Titolare, con misure tecniche ed organizzative adeguate, per rispondere alle richieste di esercizio dei diritti degli interessati (artt. 15-22);
  • assiste il Titolare nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR;
  • su richiesta del Titolare, al termine del servizio cancella o restituisce tutti i dati, salvo obbligo legale di conservazione;
  • mette a disposizione le informazioni necessarie per dimostrare la conformità e consente audit ragionevolmente richiesti.

3. Sub-responsabili

Il Titolare autorizza in via generale l'uso dei sub-responsabili indicati nella pagina Subresponsabili. Eventuali modifiche (nuovi sub-responsabili o sostituzioni) sono notificate con preavviso di 30 giorni via email; il Titolare può opporsi recedendo dal contratto senza penali.

4. Notifica data breach (art. 33(2) GDPR)

In caso di violazione dei dati il Responsabile informa il Titolare senza ingiustificato ritardoe comunque entro 48 ore dalla conoscenza, fornendo tutte le informazioni necessarie ex art. 33(3) affinché il Titolare possa adempiere all'obbligo di notifica al Garante entro 72 ore (art. 33(1)).

5. Trasferimenti extra-UE

Qualora il trattamento comporti trasferimenti fuori dall'UE/SEE, tali trasferimenti avvengono con idonee garanzie ex art. 46 GDPR (Clausole Contrattuali Standard 2021/914 o EU-US Data Privacy Framework) come documentato nell'elenco Subresponsabili.

6. Durata, cessazione e restituzione dei dati

Alla cessazione del rapporto contrattuale il Responsabile, su scelta del Titolare, cancella o restituisce i dati personali entro 30 giorni. Restano conservati per 10 anni i documenti fiscali ai sensi dell'art. 2220 c.c. e DPR 633/72.

7. Misure di sicurezza (art. 32 GDPR)

  • Cifratura in transito TLS 1.2+ e a riposo (provider EU).
  • Row-Level Security Postgres; separazione privilegi service-role / authenticated / anon.
  • Hash delle password (bcrypt) via Supabase Auth.
  • Rate limiting, anti-CSRF, anti-clickjacking (HSTS, CSP, X-Frame-Options).
  • Anonimizzazione IP per eventi non legali.
  • Audit log eventi critici (firma documenti, pagamenti, rimborsi, eliminazioni).
  • Verifica firma digitale webhook (HMAC-SHA256).
  • Backup automatici giornalieri con retention limitata.
  • Sanificazione output AI (DOMPurify) per prevenire XSS.

8. Fornitore del Servizio (Responsabile ex art. 28)

  • Responsabile: Rico Schurter (persona fisica, Svizzera)
  • Sede: Via Alle Vigne 6, 6598 Tenero, Svizzera
  • Email: support@prosvero.com

Il Responsabile è soggetto al diritto svizzero (nLPD) e, per i trattamenti relativi a interessati UE, al GDPR per effetto della decisione di adeguatezza CH-UE.

9. Accettazione

Il presente DPA si considera accettato e validamente sottoscritto al momento dell'accettazione dei Termini di Serviziodurante la registrazione. La firma elettronica / click-wrap costituisce consenso ai sensi dell'art. 25 Reg. UE 910/2014 (eIDAS).