Accordo sul Trattamento dei Dati (DPA)

Ai sensi dell'Art. 28 del Regolamento Generale sulla Protezione dei Dati (GDPR). In vigore dal 1° marzo 2026.

Il presente Accordo sul Trattamento dei Dati ('DPA') è stipulato tra Iten Media (operante come PassportLab), Im Winkel 8, 50189 Elsdorf, Germania ('Responsabile del Trattamento') e il cliente che ha accettato i Termini di Servizio di PassportLab ('Titolare del Trattamento'). Il presente DPA integra e fa parte dei Termini di Servizio.

1. Oggetto, Natura e Durata

Il Responsabile del Trattamento fornisce una piattaforma di Passaporto Digitale di Prodotto (DPP) per la conformità EU ESPR per conto del Titolare del Trattamento. Il trattamento avviene per la durata dell'abbonamento e prosegue per il periodo di archiviazione DPP di 10 anni previsto per legge dal Regolamento sulla Progettazione Ecocompatibile dei Prodotti Sostenibili (ESPR). Il Responsabile del Trattamento agisce esclusivamente su istruzioni documentate del Titolare del Trattamento.

2. Categorie di Dati e Interessati

Il Responsabile del Trattamento può trattare le seguenti categorie di dati personali per conto del Titolare del Trattamento: (a) Dati dell'account — nomi, indirizzi email e dettagli aziendali degli utenti autorizzati del Titolare del Trattamento; (b) Dati del passaporto prodotto — nomi dei fornitori, indirizzi dei produttori e qualsiasi altro dato personale che il Titolare del Trattamento sceglie di includere nei campi del passaporto; (c) Dati di utilizzo e audit — indirizzi IP, identificatori di sessione e timestamp di accesso registrati nel log di audit. Gli interessati includono i dipendenti, gli amministratori del Titolare del Trattamento e qualsiasi persona fisica i cui dati appaiono nei campi del passaporto prodotto.

3. Obblighi del Titolare del Trattamento

Il Titolare del Trattamento garantisce che: (a) dispone di una valida base giuridica per tutti i dati personali inviati alla piattaforma; (b) ha fornito tutte le informative necessarie agli interessati; (c) non invierà dati di categoria speciale (Art. 9 GDPR) senza previo accordo scritto; (d) notificherà tempestivamente al Responsabile del Trattamento qualsiasi istruzione che, a giudizio del Titolare del Trattamento, violerebbe il GDPR o la normativa applicabile sulla protezione dei dati.

4. Obblighi del Responsabile del Trattamento

Il Responsabile del Trattamento si impegna a: (a) trattare i dati personali solo su istruzioni documentate del Titolare del Trattamento; (b) garantire che il personale autorizzato sia vincolato da adeguati obblighi di riservatezza; (c) implementare e mantenere le misure tecniche e organizzative descritte nella Sezione 6; (d) assistere il Titolare del Trattamento nell'adempimento dei propri obblighi relativi ai diritti degli interessati (Art. 15–22 GDPR) e alle valutazioni di impatto sulla protezione dei dati (Art. 35 GDPR); (e) notificare al Titolare del Trattamento senza ingiustificato ritardo, e in ogni caso entro 72 ore, dalla conoscenza di una violazione dei dati personali; (f) cancellare o restituire tutti i dati personali alla cessazione dei servizi, a scelta del Titolare del Trattamento, salvo che il diritto dell'Unione o degli Stati membri richieda la conservazione continuata.

5. Sub-Responsabili del Trattamento

Il Titolare del Trattamento concede l'autorizzazione generale al Responsabile del Trattamento di avvalersi dei seguenti sub-responsabili: (a) Hetzner Online GmbH (Francoforte, Germania) — infrastruttura cloud e hosting dei dati; (b) Stripe Payments Europe Ltd. (Dublino, Irlanda) — elaborazione dei pagamenti; (c) Matomo (self-hosted, Germania) — analisi rispettosa della privacy. Il Responsabile del Trattamento notificherà al Titolare del Trattamento qualsiasi modifica prevista ai sub-responsabili con almeno 30 giorni di anticipo. Il Titolare del Trattamento può opporsi a un nuovo sub-responsabile entro 14 giorni; se non si raggiunge una soluzione, il Titolare del Trattamento può risolvere i servizi interessati. Tutti i sub-responsabili sono vincolati da obblighi di protezione dei dati almeno equivalenti a quelli del presente DPA.

6. Misure Tecniche e Organizzative (MTO)

Il Responsabile del Trattamento implementa e mantiene le seguenti misure: (a) Crittografia a riposo — tutti i dati personali crittografati a riposo con AES-256; credenziali e chiavi di firma archiviate con crittografia simmetrica Fernet; (b) Crittografia in transito — TLS 1.2+ applicato per tutto il traffico API e web; intestazioni HSTS applicate; (c) Controlli di accesso — accesso basato sui ruoli; autenticazione a più fattori (TOTP) disponibile; chiavi API archiviate solo come hash SHA-256; (d) Log di audit — log di audit immutabile e hash-chained per tutte le modifiche ai dati; trigger a livello MySQL impediscono la manomissione; (e) Minimizzazione dei dati — filtraggio dei campi basato sul ruolo degli stakeholder; divulgazione selettiva SD-JWT per la condivisione di credenziali con terze parti; (f) Infrastruttura — tutti i dati ospitati esclusivamente su server UE a Francoforte, Germania; (g) Risposta agli incidenti — procedura di notifica delle violazioni entro 72 ore; monitoraggio on-call per la disponibilità dell'API.

7. Diritti degli Interessati

Alla ricezione di una richiesta verificata di un interessato inoltrata dal Titolare del Trattamento, il Responsabile del Trattamento fornirà assistenza fornendo i dati rilevanti in formato strutturato e leggibile da macchina (JSON/CSV) entro 5 giorni lavorativi. Il Responsabile del Trattamento darà seguito alle richieste di cancellazione entro 30 giorni, fatti salvi i requisiti di conservazione previsti per legge ai sensi dell'ESPR e del diritto commerciale tedesco (HGB). La portabilità dei dati è supportata tramite l'endpoint /org/export in qualsiasi momento.

8. Notifica delle Violazioni dei Dati Personali

In caso di violazione dei dati personali che interessa i dati trattati ai sensi del presente DPA, il Responsabile del Trattamento notificherà al Titolare del Trattamento senza ingiustificato ritardo e non oltre 72 ore dalla conoscenza della violazione. La notifica includerà: (a) la natura della violazione; (b) le categorie e il numero approssimativo di interessati e di registrazioni interessate; (c) le probabili conseguenze della violazione; (d) le misure adottate o proposte per affrontare la violazione. Il Titolare del Trattamento rimane responsabile della notifica all'autorità di controllo competente (il Landesbeauftragte für Datenschutz, NRW) e agli interessati ove richiesto.

9. Audit e Ispezioni

Il Titolare del Trattamento può condurre audit delle attività di trattamento dei dati del Responsabile del Trattamento ai sensi del presente DPA non più di una volta per anno solare, con un preavviso scritto di almeno 14 giorni. Gli audit si svolgono durante il normale orario lavorativo, a spese del Titolare del Trattamento, e non perturbano irragionevolmente le operazioni. Il Responsabile del Trattamento può soddisfare le richieste di audit fornendo rapporti di audit o certificazioni di terze parti aggiornati (es. ISO 27001) ove disponibili.

10. Legge Applicabile

Il presente DPA è disciplinato dalle leggi della Repubblica Federale di Germania. Qualsiasi controversia derivante dal presente DPA sarà soggetta alla giurisdizione esclusiva dei tribunali di Colonia, Germania. In caso di conflitto tra il presente DPA e le Clausole Contrattuali Standard (SCC) emesse dalla Commissione Europea, le SCC prevarranno per i trasferimenti di dati transfrontalieri.