Accordo sul Trattamento dei Dati
1. Introduzione
Questo Accordo sul Trattamento dei Dati (“DPA”) costituisce parte dell’accordo tra Godfrey Engineering Ltd (“Responsabile del Trattamento”, “noi”, “nostro”) e l’entità o la persona che lo accetta (“Titolare del Trattamento”, “lei”) per la fornitura dei servizi come descritto nelle Condizioni di Servizio (“Accordo”).
Questo DPA si applica laddove e solo nella misura in cui Godfrey Engineering tratta dati personali per conto del Titolare del Trattamento nel corso della fornitura dei Servizi, e tali dati personali sono soggetti al Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK GDPR), al Regolamento Generale sulla Protezione dei Dati dell’UE (EU GDPR), o a qualsiasi altra normativa sulla protezione dei dati applicabile.
I termini utilizzati in questo DPA hanno i significati indicati nell’UK GDPR, salvo diversamente definiti nel presente.
2. Definizioni
- “Legge Applicabile sulla Protezione dei Dati” significa tutte le leggi e i regolamenti relativi al trattamento dei dati personali, inclusi l’UK GDPR, il Data Protection Act 2018, l’EU GDPR, e il Regolamento sulla Privacy e le Comunicazioni Elettroniche 2003 (PECR), ove applicabile.
- “Titolare del Trattamento” significa l’entità che determina le finalità e i mezzi del trattamento dei dati personali.
- “Interessato” significa l’individuo a cui si riferiscono i dati personali.
- “Dati Personali” significa qualsiasi informazione relativa a una persona fisica identificata o identificabile.
- “Trattamento” significa qualsiasi operazione o insieme di operazioni eseguite su dati personali, inclusa la raccolta, l’archiviazione, l’uso, la divulgazione e l’eliminazione.
- “Responsabile del Trattamento” significa l’entità che tratta dati personali per conto del Titolare del Trattamento.
- “Sottoresponsabile del Trattamento” significa una terza parte incaricata dal Responsabile del Trattamento di trattare dati personali per conto del Titolare del Trattamento.
- “Incidente di Sicurezza” significa una violazione della sicurezza che porta alla distruzione accidentale o illegittima, alla perdita, all’alterazione, alla divulgazione non autorizzata di, o all’accesso a, dati personali.
3. Ambito e Finalità del Trattamento
3.1 Materia
Il Responsabile del Trattamento tratterà dati personali per conto del Titolare del Trattamento ai fini della fornitura dei Servizi descritti nell’Accordo, inclusi:
- Hosting e fornitura dei dati dell’account e dell’applicazione del Titolare del Trattamento
- Trattamento di calcoli e analisi ingegneristiche tramite ChainSolve
- Invio di comunicazioni transazionali per conto del Titolare del Trattamento
- Fornitura del supporto clienti
3.2 Categorie di Interessati
- I dipendenti e i rappresentanti del Titolare del Trattamento
- Gli utenti finali e i clienti del Titolare del Trattamento
- Qualsiasi altro individuo i cui dati personali siano trasmessi ai Servizi dal Titolare del Trattamento
3.3 Tipologie di Dati Personali
- Nomi e informazioni di contatto (indirizzi email, numeri di telefono)
- Credenziali dell’account (password con hash)
- Dati di utilizzo (pagine visitate, funzioni utilizzate, timestamp)
- Dati ingegneristici (input e output dei calcoli)
- Informazioni di pagamento e fatturazione (elaborate da Stripe)
- Contenuto delle comunicazioni (messaggi di supporto, invii di moduli di contatto)
3.4 Durata del Trattamento
Il Responsabile del Trattamento tratterà i dati personali per la durata dell’Accordo, salvo diversamente concordato per iscritto. Alla scadenza dell’Accordo, il Responsabile del Trattamento gestirà i dati personali in conformità alla Sezione 10 di questo DPA.
4. Obblighi del Responsabile del Trattamento
Il Responsabile del Trattamento:
- Tratterà i dati personali solo secondo le istruzioni documentate del Titolare del Trattamento, salvo se richiesto dalla legge di agire diversamente. In tal caso, il Responsabile del Trattamento informerà il Titolare del Trattamento del requisito legale prima di procedere al trattamento, salvo se proibito dalla legge di farlo.
- Assicurerà che le persone autorizzate a trattare dati personali si siano impegnate alla riservatezza o siano soggette a un appropriato obbligo legale di riservatezza.
- Implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza appropriato al rischio, come descritto nella Sezione 7.
- Non incaricherà un altro responsabile del trattamento (Sottoresponsabile del Trattamento) senza la previa autorizzazione scritta del Titolare del Trattamento, soggetta alla Sezione 6.
- Assisterà il Titolare del Trattamento nell’assicurare la conformità agli obblighi relativi alla sicurezza del trattamento, alla notifica degli incidenti di sicurezza, alle valutazioni dell’impatto sulla protezione dei dati e alla consultazione preventiva con le autorità di controllo.
- Secondo la scelta del Titolare del Trattamento, eliminerà o restituirà tutti i dati personali alla scadenza dei Servizi, ed eliminerà le copie esistenti salvo se la legge applicabile richiede l’archiviazione.
- Metterà a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi indicati in questo DPA e conssentirà e contribuirà a revisioni e ispezioni condotte dal Titolare del Trattamento o dal suo revisore autorizzato.
5. Obblighi del Titolare del Trattamento
Il Titolare del Trattamento:
- Assicurerà che il trattamento dei dati personali secondo questo DPA sia lecito, equo e trasparente in conformità alla Legge Applicabile sulla Protezione dei Dati.
- Fornirà al Responsabile del Trattamento istruzioni documentate per il trattamento dei dati personali, e assicurerà che tali istruzioni siano conformi alla Legge Applicabile sulla Protezione dei Dati.
- Assicurerà che gli Interessati siano stati informati di, e abbiano dato ogni consenso necessario a, il trattamento dei loro dati personali da parte del Responsabile del Trattamento.
6. Sottoresponsabili del Trattamento
6.1 Sottoresponsabili Autorizzati
Il Titolare del Trattamento fornisce autorizzazione scritta generale al Responsabile del Trattamento di incarcare i seguenti Sottoresponsabili del Trattamento:
| Sottoresponsabile | Finalità | Ubicazione Dati |
|---|---|---|
| Cloudflare, Inc. | Hosting, CDN, sicurezza | Global (EU/US) |
| Supabase, Inc. | Database, autenticazione | EU (Francoforte) |
| Stripe, Inc. | Trattamento pagamenti | EU |
| Resend, Inc. | Email transazionali | US (con SCC) |
| PostHog, Inc. | Analitiche del prodotto | EU (Francoforte) |
6.2 Modifiche ai Sottoresponsabili
Il Responsabile del Trattamento notificherà al Titolare del Trattamento almeno 14 giorni prima di qualsiasi modifica prevista ai suoi Sottoresponsabili del Trattamento (aggiunte o sostituzioni). Il Titolare del Trattamento potrà opporsi a tali modifiche entro 14 giorni dalla notifica. Se il Titolare del Trattamento si oppone e le parti non riescono a risolvere l’obiezione, il Titolare del Trattamento potrà recedere dall’Accordo.
6.3 Obblighi dei Sottoresponsabili
Il Responsabile del Trattamento assicurerà che ogni Sottoresponsabile del Trattamento sia vincolato da obblighi sulla protezione dei dati non meno protettivi di quelli indicati in questo DPA.
7. Misure di Sicurezza
Il Responsabile del Trattamento implementerà e manterrà le seguenti misure tecniche e organizzative:
- Crittografia in transito: TLS 1.3 per tutti i dati in transito
- Crittografia a riposo: Crittografia AES-256 per i dati archiviati
- Controlli di accesso: Controllo di accesso basato sui ruoli con principio del privilegio minimo
- Autenticazione: Autenticazione multifattore per tutti gli accessi amministrativi
- Hashing delle password: bcrypt con fattore di lavoro di 12
- Monitoraggio: Monitoraggio continuo tramite Cloudflare per la sicurezza dell’infrastruttura e l’osservabilità a livello di richiesta
- Backup: Backup automatici regolari dei dati dell’applicazione con crittografia
- Risposta agli incidenti: Procedure documentate di risposta agli incidenti con ruoli definiti e percorsi di escalation
8. Incidenti di Sicurezza
8.1 Notifica
Il Responsabile del Trattamento notificherà al Titolare del Trattamento senza indebito ritardo, e in ogni caso entro 48 ore, dopo aver appreso di un Incidente di Sicurezza che interessa i dati personali del Titolare del Trattamento.
8.2 Contenuto della Notifica
La notifica includerà:
- Una descrizione della natura dell’Incidente di Sicurezza, incluse le categorie e il numero approssimativo di Interessati e dei record di dati personali interessati
- Il nome e i dettagli di contatto del punto di contatto del Responsabile del Trattamento
- Una descrizione delle probabili conseguenze dell’Incidente di Sicurezza
- Una descrizione delle misure adottate o proposte per affrontare l’Incidente di Sicurezza
8.3 Cooperazione
Il Responsabile del Trattamento coopererà con il Titolare del Trattamento e intraprenderà ragionevoli sforzi per assistere nell’investigazione, mitigazione e rimediazione dell’Incidente di Sicurezza.
9. Trasferimenti Internazionali di Dati
Laddove il Responsabile del Trattamento trasferisca dati personali a un Sottoresponsabile del Trattamento ubicato al di fuori del Regno Unito o dello SEE, il Responsabile del Trattamento assicurerà che una delle seguenti salvaguardie sia in vigore:
- Una decisione di adeguatezza del Segretario di Stato del Regno Unito o della Commissione Europea
- L’Accordo Internazionale di Trasferimento Dati del Regno Unito (IDTA) o le Clausole Contrattuali Standard dell’UE (SCC)
- Certificazione secondo un meccanismo di trasferimento approvato (ad es., Quadro sulla Privacy dei Dati UE-USA)
I dettagli delle salvaguardie di trasferimento per ogni Sottoresponsabile del Trattamento sono disponibili su richiesta.
10. Restituzione ed Eliminazione dei Dati
10.1 Alla Scadenza
Alla scadenza dell’Accordo, il Responsabile del Trattamento, a scelta del Titolare del Trattamento:
- Restituirà tutti i dati personali al Titolare del Trattamento in un formato strutturato, comunemente usato e leggibile da una macchina (JSON o CSV); o
- Eliminerà in modo sicuro tutti i dati personali e certificherà tale eliminazione per iscritto
10.2 Eccezioni di Conservazione
Il Responsabile del Trattamento potrà conservare dati personali nella misura richiesta dalla Legge Applicabile sulla Protezione dei Dati, a condizione che il Responsabile del Trattamento assicuri la riservatezza di tali dati e li tratti unicamente al fine di conformarsi all’obbligo legale.
11. Revisioni
11.1 Diritto di Revisione
Il Titolare del Trattamento avrà il diritto di revisionare la conformità del Responsabile del Trattamento a questo DPA, salvo previo avviso ragionevole (almeno 30 giorni) e durante l’orario di lavoro normale.
11.2 Ambito della Revisione
Le revisioni potranno includere l’ispezione delle strutture, dei sistemi e dei record del Responsabile del Trattamento relativi al trattamento dei dati personali, e colloqui con il personale del Responsabile del Trattamento.
11.3 Costi
Il Titolare del Trattamento sosterrà i costi di qualsiasi revisione, salvo che la revisione riveli una violazione materiale di questo DPA da parte del Responsabile del Trattamento.
12. Responsabilità
La responsabilità di ciascuna parte secondo questo DPA sarà soggetta alle limitazioni e alle esclusioni di responsabilità indicate nell’Accordo.
13. Legge Applicabile
Questo DPA sarà disciplinato e interpretato in conformità alle leggi dell’Inghilterra e del Galles. Qualsiasi controversia derivante da o in connessione con questo DPA sarà soggetta alla giurisdizione esclusiva dei tribunali dell’Inghilterra e del Galles.
14. Contatti
Per domande su questo DPA o per richiedere una copia firmata, si prega di contattare:
- Email: legal@godfreyengineering.com
- Sito web: www.godfreyengineering.com
Godfrey Engineering Ltd
United Kingdom