Accordo per l’elaborazione dei dati

Accordo per l’elaborazione dei dati

Data di entrata in vigore: 24 settembre 2025
Parti: Il presente DPA fa parte dell’accordo tra Furious (“Processore“) e il cliente che acquista o utilizza i Servizi (“Titolare“).

Eseguendo un Ordine o utilizzando i Servizi, il Titolare e il Responsabile del trattamento accettano il presente DPA.

1) Ruoli, ambito e istruzioni

  • Ruoli. Il Titolare determina le finalità e i mezzi; il Responsabile elabora i Dati Personali per conto del Titolare.
  • Ambito di applicazione. L’elaborazione si limita a fornire, mantenere e supportare i Servizi come descritto nel Contratto.
  • Istruzioni. Il Processore elabora i Dati Personali solo su istruzioni documentate del Titolare (l’Accordo e il presente DPA costituiscono le istruzioni complete), anche per eventuali trasferimenti internazionali.

2) Riservatezza

Il Processore garantisce che le persone autorizzate al trattamento dei Dati Personali siano vincolate da obblighi di riservatezza.

3) Sicurezza

Il Processore implementa misure tecniche e organizzative adeguate per proteggere i Dati Personali da distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso (le misure dettagliate possono essere descritte in una pagina separata e non fanno parte di questa DPA).

4) Subprocessori

  • Autorizzazione generale. Il Titolare del trattamento autorizza il Processore ad avvalersi dei Subprocessori elencati nella Sezione 12.
  • Flusso di notizie. Il Processore impone ai Subprocessori obblighi di protezione dei dati non inferiori a quelli previsti dalla presente DPA.
  • Aggiornamenti. L’elenco dei sottoprocessori può essere aggiornato aggiornando questa pagina.

5) Supporto

Tenendo conto della natura del trattamento e delle informazioni a disposizione del Processore, il Processore assisterà ragionevolmente il Titolare nelle richieste degli interessati e negli obblighi previsti dagli articoli 32-36 del GDPR. Il Responsabile del trattamento potrà addebitare spese ragionevoli per l’assistenza non inerente ai Servizi.

6) Violazione dei dati personali

Il Responsabile del trattamento informerà il Titolare del trattamento senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali trattati per conto del Titolare del trattamento e fornirà le informazioni ragionevolmente disponibili per assistere il Titolare del trattamento nell’adempimento dei suoi obblighi.

7) Restituzione e cancellazione

Alla cessazione o alla scadenza dei Servizi, il Processore cancellerà i Dati Personali entro un periodo commercialmente ragionevole, fatta salva la conservazione minima di backup/archivio richiesta dalla legge (il ritorno non è offerto se non richiesto dalla legge).

8) Audit e informazioni

Il Processore metterà a disposizione le informazioni necessarie a dimostrare l’osservanza del presente DPA e, su richiesta ragionevole, fornirà rapporti indipendenti recenti o altre informazioni (che possono includere sintesi). Le verifiche/ispezioni formali si svolgeranno solo se richieste dalla legge o se le informazioni fornite non sono sufficienti, non più di una volta ogni 12 mesi, con un ragionevole preavviso, durante il normale orario di lavoro e senza eccessivi disagi. Ciascuna parte sostiene i propri costi; il Titolare rimborsa i costi ragionevoli del Processore.

9) Trasferimenti internazionali

Nel caso in cui i Dati Personali vengano trasferiti al di fuori del SEE/Regno Unito in assenza di una decisione di adeguatezza, le Clausole Contrattuali Standard dell’UE (2021/914, Moduli 2 e/o 3) e, ove applicabile, l’Addendum del Regno Unito si applicano per riferimento e formano parte del presente DPA, con il Titolare del Trattamento come “esportatore di dati” e il Responsabile del Trattamento (o il relativo Subprocessore) come “importatore di dati”.

10) Registri e cooperazione

Il Processore conserva le registrazioni richieste dall’art. 30(2) del GDPR e le fornirà alle autorità di vigilanza su richiesta.

11) Responsabilità e precedenza

La responsabilità è disciplinata dalle limitazioni ed esclusioni previste dal Contratto. In caso di conflitto, la presente DPA prevale nella misura in cui riguarda il trattamento dei Dati personali.

12) Sottoprocessori (elenco in tempo reale)

Luogo di elaborazione: UE per impostazione predefinita.

Sottoprocessore Scopo Luogo del trattamento Categorie di dati personali Ulteriori informazioni
Amazon Web Services, Inc (AWS) Hosting e infrastruttura per i Servizi Regioni dell’UE per impostazione predefinita (ad esempio, Dublino/Francoforte) Dati dell’account del cliente/utente finale e dati di utilizzo/log memorizzati nei Servizi aws.amazon.com
Intercom R&D Unlimited Company Strumenti di assistenza clienti (messaggistica in-app, helpdesk) UE/SEE per impostazione predefinita (soggetto al routing regionale di Intercom) Dati di contatto del cliente/amministratore e metadati delle conversazioni di supporto intercom.com/legale

Allegato A – Dettagli del trattamento (GDPR Art. 28(3))

  • Oggetto: Fornitura e supporto dei Servizi Furious.
  • Durata: Durata del Contratto e conservazione limitata di backup/archivio.
  • Natura e scopo: hosting, archiviazione, trasmissione, visualizzazione ed elaborazione necessari per fornire i Servizi; supporto; analisi dei servizi in corso.
  • Tipi di Dati Personali: Dati di contatto (es. nomi, email), dati dell’account/profilo, contenuti caricati dal Titolare (secondo quanto stabilito dal Titolare), dati di utilizzo del servizio/log.
  • Categorie di soggetti interessati: dipendenti del Titolare, appaltatori e utenti finali (come stabilito dal Titolare).
  • Obblighi del titolare del trattamento: fornire istruzioni legittime e garantire una base giuridica valida.

Allegato B – Utilizzo dei dati degli utenti di Google

1. Accesso e utilizzo: l’applicazione Furious può accedere a determinati dati dell’utente di Google attraverso le API di Google (ad esempio, Gmail, Calendar o Drive) esclusivamente per fornire e migliorare i Servizi Furious.- Si accede solo ai dati minimi necessari per la funzionalità richiesta.- I dati dell’utente di Google non vengono utilizzati per scopi pubblicitari o di marketing.- I dati dell’utente di Google non vengono mai venduti o affittati.

2. Condivisione e divulgazione: i dati degli utenti di Google non vengono condivisi con terze parti, ad eccezione di:- con i subprocessori elencati nella sezione 12 del presente DPA, esclusivamente per fornire l’hosting e il supporto tecnico per i Servizi Furious;- come richiesto dalla legge o da un procedimento legale;- con il consenso esplicito del Titolare.

3. Archiviazione e conservazione: i dati degli utenti di Google sono archiviati in modo sicuro su server situati nell’Unione Europea (ad esempio, AWS a Dublino o Francoforte). Tali dati sono conservati solo per il tempo necessario a fornire i Servizi o come richiesto dalla legge.

4. Controllo e cancellazione dell’utente: gli utenti possono revocare l’accesso di Furious ai propri dati Google in qualsiasi momento attraverso le impostazioni del proprio account Google
: https://myaccount.google.com/permissions. In caso di revoca o di cancellazione dell’account, Furious cancella i dati Google associati entro un periodo commercialmente ragionevole. 5. Conformità: l’utilizzo da parte di Furious dei dati degli utenti di Google è conforme alle Norme sui dati degli utenti dei servizi API di Google, compresi i requisiti di utilizzo limitato: https://developers.google.com/terms/api-services-user-data-policy