FIDUCIA · DPA

Accordo di Trattamento
Dati (DPA).

Come cliente Itamite, sei titolare del trattamento (controller) e noi siamo responsabile del trattamento (processor) ai sensi del GDPR Art. 28. Qui spieghiamo il contratto DPA standard di Itrion: ruoli, obblighi reciproci, diritti del cliente, sub-responsabili e trasferimenti internazionali. Pronto per la firma senza negoziazione preventiva.

Vedi prezzi Richiedi DPA

Perché hai un DPA con noi

Quando usi Itamite, ci condividi dati personali: nomi, email, IP, identificatori dei dipendenti, registri di attività ICT, audit log, contenuto potenziale di sessioni remote. Il GDPR Art. 28 richiede un contratto vincolante con il titolare che stabilisca: l'oggetto e la durata del trattamento, la sua natura e finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

Il nostro DPA standard è pre-firmato da Itrion e disponibile per la tua firma elettronica al momento della registrazione come cliente Business o Professional. Per Enterprise: DPA con clausole aggiuntive negoziabili (clausola di audit in-situ, diritto di ispezione straordinaria, clausole specifiche del tuo settore regolamentato, conservazione estesa, BYOK obbligatorio). Tempi di revisione legale Enterprise: 1-3 settimane.

Per Stati Uniti, Regno Unito e altri paesi senza decisione di adeguatezza: aggiungiamo automaticamente le Clausole Contrattuali Tipo (SCC) Module 2 controller-to-processor + Annex con i dettagli del trasferimento + Transfer Impact Assessment (TIA) su richiesta. Nessun sovrapprezzo per le SCC. UK Addendum disponibile per i clienti UK.

CONTENUTO DEL DPA

Cosa copre il DPA

Ruoli e responsabilità

Tu = titolare del trattamento (controller), determini finalità e mezzi. Itrion = responsabile del trattamento (processor), tratta i dati esclusivamente secondo le tue istruzioni documentate. Itrion non utilizzerà i tuoi dati per altri scopi (nessun training di IA, nessun marketing incrociato, nessun aggregato anonimo vendibile).

Tipo di dati e categorie

Dati personali trattati: nomi, email, IP, identificatori univoci dei dipendenti, dati tecnici degli endpoint (versione OS, software installato, hash di file critici), audit log (azioni tecniche con timestamp). Categorie particolari (Art. 9): solo se la tua organizzazione le inserisce in note/commenti — Itamite non le richiede.

Sub-responsabili

Elenco pubblico su /sub-processors. Notifica 30 giorni prima di qualsiasi aggiunta/modifica/rimozione. Itrion risponde degli atti dei suoi sub-responsabili come se fossero propri. Contratto Art. 28 firmato con ciascuno.

Trasferimenti internazionali

Per impostazione predefinita: 100% UE (Madrid + Francoforte + Roubaix). Se attivi sub-responsabili opzionali fuori UE (BYOK con AWS US, datacenter US): SCC Module 2 + TIA + misure tecniche supplementari (cifratura a riposo + in transito + BYOK). UK Addendum per i clienti UK. Decisione di adeguatezza NZ applicabile a SMTP2GO.

Diritti del cliente

Diritto a un audit documentale annuale gratuito. Diritto a un audit on-site per Enterprise (spese secondo contratto). Diritto a ricevere copia delle valutazioni di impatto e delle certificazioni. Diritto al recesso anticipato senza penalità se aggiungiamo un sub-responsabile che non accetti.

Termini e cessazione

DPA in vigore finché hai un tenant attivo. Dopo la cessazione: 90 giorni di tolleranza per il download dei dati. In seguito: cancellazione sicura NIST 800-88 con certificato verificabile. Audit log conservati secondo la policy del tuo tenant (di default 12 mesi, fino a 10 anni Enterprise).

Clausole aggiuntive Enterprise

Per i clienti Enterprise: clausola di audit in-situ con preavviso di 30 giorni e costo secondo contratto. Clausola di ispezione straordinaria senza preavviso in caso di incidente di sicurezza confermato. Clausola di conservazione estesa fino a 10 anni per i settori regolamentati (banca, sanità, pubblica amministrazione). BYOK obbligatorio (Itrion non ha accesso alle chiavi di cifratura). Clausola di localizzazione geografica ristretta (datacenter in un paese specifico). Clausola di exit plan con termine prolungato e formato di esportazione verificabile. Aggiuntivo per settori regolamentati: BAA HIPAA se tratti PHI statunitensi. Clausole DORA Art. 30 se sei un'entità finanziaria sotto DORA. Clausole ENS Categoria Alta per la pubblica amministrazione spagnola. Annex CCN-STIC 105 per la pubblica amministrazione con dati classificati.

DPA standard pre-firmato, pronto per la firma elettronica
SCC Module 2 + TIA automatico per trasferimenti fuori UE
UK Addendum per i clienti UK, senza costi
BAA HIPAA disponibile per le entità sanitarie US
Clausole DORA Art. 30 + ENS Alto + CCN-STIC 105 per i settori regolamentati

FAQ

Domande sul DPA

Devo firmare il DPA?

Sì, è obbligatorio per tutti i clienti (Business, Professional, Enterprise) per esigenza GDPR. Senza DPA firmato non possiamo erogare il servizio. Per Business e Professional: DPA standard firmato elettronicamente all'onboarding. Per Enterprise: DPA negoziabile con clausole aggiuntive.

Posso modificare il DPA standard?

Per Business/Professional: no. Il DPA standard contiene le clausole necessarie e sufficienti per il GDPR. Le modifiche richiedono una negoziazione legale fattibile solo per Enterprise. Per Enterprise: sì, clausole aggiuntive negoziabili con il tuo team legale.

Itrion è titolare o responsabile del trattamento?

Per i dati dei TUOI dipendenti/endpoint: Itrion è responsabile del trattamento (tu sei il titolare). Per i dati della TUA azienda come cliente Itamite (dati di fatturazione, contatti commerciali): Itrion è contitolare con te (joint controllers ai sensi del GDPR Art. 26 in alcuni casi). Il DPA copre entrambi i ruoli.

Cosa succede ai dati al termine del contratto?

90 giorni di tolleranza dopo la cessazione per il download via API. Dopo 90 giorni: cancellazione sicura NIST 800-88 Purge con certificato verificabile. Audit log conservati secondo la policy configurata del tuo tenant (di default 12 mesi, fino a 10 anni Enterprise). Backup eliminati da tutti i datacenter dopo i 90 giorni di tolleranza.

Richiedi il DPA standard

Ti inviamo il DPA Itamite-Itrion v2.1 entro 24h. Disponibile in italiano, spagnolo e inglese.