Data Processing Agreement (DPA) — GeniReply
Accordo ai sensi dell'art. 28 GDPR tra Titolare e Responsabile del trattamento
Versione: 1.0 — BOZZA da validare da legale prima della firma Ultimo aggiornamento: 15 aprile 2026
Tra
Titolare del trattamento ("Titolare", "Cliente") Ragione sociale: [RAGIONE_SOCIALE_CLIENTE] Sede legale: [SEDE_CLIENTE] P. IVA: [P_IVA_CLIENTE] Rappresentato da: [RAPPRESENTANTE_LEGALE]
E
Responsabile del trattamento ("Responsabile", "Fornitore") Contributo Utile S.r.l. Società Benefit Sede legale: Via Olimpo 47, 24030 Terno d'Isola (BG) — Italy P. IVA: IT04353080270 Rappresentato dal legale rappresentante pro-tempore.
1. Premesse
1.1 Il Cliente ha sottoscritto con il Fornitore un contratto di abbonamento al servizio GeniReply (il "Contratto Principale"), che comporta il trattamento di dati personali da parte del Fornitore per conto del Cliente.
1.2 Il presente accordo (DPA) integra il Contratto Principale e regola gli aspetti relativi al trattamento dei dati personali ai sensi dell'art. 28 GDPR.
1.3 In caso di conflitto tra il DPA e il Contratto Principale, prevale il DPA per le materie relative al trattamento dei dati personali.
2. Oggetto e durata
Oggetto
Il Fornitore tratta per conto del Cliente:
- Commenti pubblici ricevuti sulle Pagine Facebook e sugli account Instagram Business del Cliente collegati alla Piattaforma.
- Messaggi privati (DM) indirizzati ai canali del Cliente, se il Cliente ha attivato la relativa funzione.
- Metadati associati ai commenti (timestamp, ID utente Meta pubblico, permalink).
Durata
Il presente DPA è efficace per tutta la durata del Contratto Principale e fino al completamento delle operazioni di restituzione o cancellazione previste all'art. 9.
Natura, finalità e tipologia di dati
- Natura del trattamento: raccolta, classificazione automatizzata, moderazione, pubblicazione di risposte, conservazione.
- Finalità: erogare al Cliente il servizio di moderazione AI dei suoi canali social.
- Categorie di interessati: utenti pubblici che commentano o inviano messaggi sui canali del Cliente.
- Categorie di dati: username pubblico, ID Meta pubblico, contenuto testuale del commento/messaggio, timestamp.
- Categorie particolari (art. 9 GDPR): non trattate di default. Il Cliente si impegna a non configurare la Piattaforma per trattare tali categorie.
3. Obblighi del Responsabile
Il Fornitore si impegna a:
3.1 Trattare i dati personali solo sulla base di istruzioni documentate del Titolare, incluse quelle implicite nell'uso standard della Piattaforma.
3.2 Garantire che le persone autorizzate al trattamento siano soggette a obbligo di riservatezza (contratto di lavoro o accordi specifici).
3.3 Adottare tutte le misure di sicurezza adeguate ex art. 32 GDPR, come descritto nell'Allegato A.
3.4 Assistere il Titolare con misure tecniche e organizzative appropriate nell'adempimento degli obblighi relativi alle richieste degli interessati (art. 12-22 GDPR).
3.5 Assistere il Titolare nell'adempimento degli obblighi di cui agli art. 32-36 GDPR (sicurezza, notifica violazioni, DPIA).
3.6 Al termine della prestazione, su scelta del Titolare, cancellare o restituire tutti i dati personali (vedi art. 9).
3.7 Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi dell'art. 28 GDPR.
3.8 Notificare al Titolare entro 48 ore qualsiasi violazione di dati personali (data breach) di cui sia venuto a conoscenza, fornendo tutte le informazioni utili per la valutazione e la notifica all'autorità di controllo.
4. Obblighi del Titolare
Il Titolare si impegna a:
4.1 Trattare i dati personali nel rispetto del GDPR e delle altre normative applicabili.
4.2 Fornire al Fornitore istruzioni lecite e documentate tramite la configurazione della Piattaforma.
4.3 Garantire la legittimità delle basi giuridiche del trattamento verso gli interessati.
4.4 Fornire agli interessati tutte le informazioni previste dagli art. 13-14 GDPR, attraverso una propria informativa che includa il riferimento a GeniReply come Responsabile.
5. Sub-responsabili
5.1 Il Titolare autorizza in via generale il Fornitore a nominare sub-responsabili del trattamento, come elencati nell'Allegato B (i sub-processor GeniReply).
5.2 Il Fornitore informa il Titolare di eventuali modifiche all'elenco dei sub-responsabili con preavviso di 30 giorni, tramite email o aggiornamento della pagina pubblica. Il Titolare può opporsi per motivi legittimi; in caso di mancato accordo, ha diritto di recedere dal Contratto Principale senza penali.
5.3 Il Fornitore impone ai sub-responsabili obblighi di protezione dei dati equivalenti a quelli previsti nel presente DPA.
6. Trasferimenti extra-UE
6.1 Eventuali trasferimenti di dati personali al di fuori dell'UE/SEE sono effettuati previa adozione di garanzie idonee (Standard Contractual Clauses 2021/914, EU-USA Data Privacy Framework ove applicabile).
6.2 Il dettaglio dei trasferimenti è nell'Allegato B.
7. Diritti degli interessati
7.1 Il Fornitore assiste il Titolare nell'evasione delle richieste degli interessati.
7.2 Se riceve direttamente una richiesta, il Fornitore la inoltra al Titolare senza tardivo differimento e non risponde direttamente, salvo istruzioni del Titolare.
7.3 Il Fornitore mette a disposizione del Cliente una dashboard self-service per l'estrazione ed eliminazione dei dati trattati per suo conto.
8. Audit
8.1 Il Titolare ha diritto di effettuare audit presso il Fornitore, anche tramite soggetti terzi indipendenti, per verificare il rispetto del DPA.
8.2 L'audit è pre-concordato con preavviso di almeno 30 giorni lavorativi, salvo data breach o ordine dell'autorità.
8.3 I costi dell'audit sono a carico del Titolare, salvo emergano violazioni materiali degli obblighi del Fornitore.
8.4 In alternativa, il Fornitore può mettere a disposizione del Titolare certificazioni, report di audit di terza parte (ISO 27001 ove disponibile), risposte a questionari di sicurezza standard.
9. Cessazione e restituzione dei dati
9.1 Alla cessazione del Contratto Principale, il Fornitore, a scelta del Titolare:
- Restituisce tutti i dati personali in formato strutturato tramite export dalla dashboard.
- Cancella tutti i dati personali entro 90 giorni dalla cessazione, salvo obblighi di conservazione legale (fatturazione: 10 anni).
9.2 La cancellazione dai backup avviene progressivamente entro 30 giorni dalla rotazione del backup.
10. Disposizioni finali
10.1 Il presente DPA è regolato dalla legge italiana. 10.2 Per qualsiasi controversia è competente in via esclusiva il Tribunale di Palermo. 10.3 Eventuali modifiche del presente DPA devono essere concordate per iscritto.
Allegato A — Misure di sicurezza tecniche e organizzative
Sicurezza organizzativa
- Politica sulla sicurezza delle informazioni documentata.
- Formazione annuale del personale sulla protezione dei dati.
- Gestione degli accessi basata sul principio del minimo privilegio.
- Procedure di incident response documentate.
Sicurezza tecnica
- Cifratura at-rest del database PostgreSQL (LUKS / volume encryption).
- Cifratura in transit TLS 1.3 su tutti gli endpoint pubblici.
- Cifratura specifica dei token OAuth Meta nel database.
- Hashing password tramite bcrypt con salt ≥ 12.
- Autenticazione a due fattori per amministratori di sistema.
- Firewall applicativo (WAF) via Cloudflare.
- Backup giornalieri cifrati, conservati 30 giorni.
- Log di audit di tutte le operazioni amministrative.
- Patch management con aggiornamenti di sicurezza entro 30 giorni.
- Penetration test annuale (pianificato).
Disponibilità
- Ridondanza database con replica secondaria.
- Backup off-site su datacenter separato.
- Monitoraggio 24/7 della disponibilità.
- SLA del 99,5% mensile (99,9% per piani Business/Enterprise).
Allegato B — Elenco dei sub-responsabili autorizzati
| Sub-responsabile | Ruolo | Paese |
|---|---|---|
| Meta Platforms Ireland Ltd. | Graph API | Irlanda / USA |
| Anthropic PBC | AI classification e generazione risposte | USA |
| Hetzner Online GmbH | Hosting server e database | Germania |
| Cloudflare Inc. | DNS, CDN, WAF | USA / edge EU |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti | Irlanda |
| Google Firebase (Google Ireland Ltd.) | Autenticazione e push app mobile | Irlanda / USA |
Elenco aggiornato disponibile su https://genireply.com/privacy#sub-processor
Firma del Titolare
[NOME_RAPPRESENTANTE_CLIENTE] Data: __________________ Firma: __________________
Firma del Responsabile
Contributo Utile S.r.l. Società Benefit Rappresentante legale pro-tempore Data: __________________ Firma: __________________