Documento legale · Allegato contrattuale
Data Processing Addendum (DPA)
Accordo sul trattamento dei dati personali ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") tra il Cliente (qui di seguito anche "Titolare") e GLOBALCOM S.R.L. (qui di seguito anche "Responsabile" o "Allega"), parte integrante e inscindibile dei Termini di Servizio.
Versione: 2.0 · Ultimo aggiornamento: 2026-05-04
1. Premesse e definizioni
Le parti riconoscono che, nell'esecuzione del contratto di servizio Allega (di seguito il "Contratto Principale"), il Titolare carica e gestisce tramite la piattaforma dati personali ("Dati Personali del Titolare") relativi ai propri clienti finali, dipendenti, fornitori e altri soggetti terzi. In tale ambito Allega tratta tali Dati Personali per conto del Titolare, in qualità di Responsabile del trattamento ex art. 28 GDPR.
I termini utilizzati nel presente DPA hanno il significato definito dall'art. 4 GDPR. In particolare:
- Titolare: la persona fisica o giuridica che, da sola o insieme ad altre, determina le finalità e i mezzi del trattamento dei dati personali.
- Responsabile: la persona fisica o giuridica che tratta dati personali per conto del Titolare.
- Sub-responsabile: il responsabile ulteriore nominato dal Responsabile previa autorizzazione del Titolare.
- Interessato: la persona fisica identificata o identificabile a cui si riferiscono i dati personali.
- Violazione di dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati.
- Trattamento: qualsiasi operazione compiuta su dati personali, automatizzata o meno.
- Servizio: la piattaforma SaaS Allega come definita nei Termini di Servizio.
2. Oggetto, durata, natura e finalità del trattamento
Oggetto: trattamento di Dati Personali del Titolare necessario all'erogazione del Servizio.
Durata: per tutta la durata del Contratto Principale e fino alla completa cancellazione dei dati ai sensi della sezione 12.
Natura: hosting cifrato, archiviazione, indicizzazione, recupero, trasmissione (a richiesta del Titolare verso i Clienti Finali via email + link WhatsApp click-to-chat), classificazione documentale opzionale (AI), generazione di report, esportazione, backup, scansione antivirus.
Finalità: erogare il Servizio secondo le specifiche pubblicate e le istruzioni del Titolare. Allega non tratta i Dati Personali del Titolare per finalità proprie (marketing, profilazione, training di modelli AI, vendita a terzi).
Il dettaglio puntuale di oggetto, durata, natura, finalità, categorie di dati e di interessati è riportato nell'Allegato A.
3. Ruoli e responsabilità
Il Titolare determina autonomamente le finalità e i mezzi del trattamento, garantisce di disporre di una valida base giuridica per ogni categoria di dati caricati, fornisce agli interessati l'informativa adeguata (artt. 13-14 GDPR) e gestisce i diritti degli interessati come previsto dagli artt. 15-22 GDPR.
Allega tratta i Dati Personali del Titolare esclusivamente sulla base delle istruzioni documentate del Titolare, secondo quanto previsto dal presente DPA e dalle configurazioni della piattaforma. Allega non determina finalità o mezzi del trattamento dei Dati Personali del Titolare.
4. Istruzioni del Titolare
Le istruzioni del Titolare ad Allega sono incorporate:
- nel Contratto Principale e nel presente DPA;
- nelle configurazioni del Servizio impostate dal Titolare (es. retention policy, attivazione classificazione AI, scelta canali di notifica);
- nelle azioni eseguite dal Titolare e dai suoi utenti autorizzati tramite la dashboard o l'API;
- in eventuali istruzioni successive comunicate per iscritto al DPO Allega.
Allega informa immediatamente il Titolare qualora, a suo parere, un'istruzione violi il GDPR o altra normativa applicabile (art. 28.3 lett. h GDPR), pur eseguendo l'istruzione fino alla risoluzione della contestazione.
5. Categorie di interessati e di dati
Le categorie di interessati e di dati trattati dipendono dall'uso che il Titolare fa della piattaforma. In via tipica:
- Interessati: clienti finali del Titolare (persone fisiche e/o giuridiche), eventuali rappresentanti legali, soggetti terzi menzionati nei documenti caricati (es. familiari, dipendenti del cliente).
- Categorie ordinarie: dati anagrafici, identificativi (codice fiscale, P.IVA), recapiti (email, telefono, indirizzo), dati patrimoniali e fiscali contenuti nei documenti, dati relativi a contratti e rapporti commerciali.
- Categorie particolari (art. 9 GDPR): a seconda della professione del Titolare possono essere trattati dati relativi alla salute (studi medici, psicologici), dati biometrici (documenti di identità con foto), opinioni politiche o convinzioni religiose ove pertinenti. Il Titolare garantisce di disporre della deroga prevista dall'art. 9 par. 2 GDPR e di aver acquisito ove necessario il consenso esplicito.
- Dati relativi a condanne penali (art. 10 GDPR): ove pertinenti per la professione del Titolare (es. studi legali, antiriciclaggio).
- Dati di minori: ove caricati dal Titolare, questi garantisce il rispetto dell'art. 8 GDPR e dell'art. 2-quinquies del Codice Privacy.
6. Riservatezza del personale
Allega garantisce che le persone autorizzate al trattamento dei Dati Personali del Titolare:
- si siano impegnate alla riservatezza tramite NDA scritto, in vigore anche dopo la cessazione del rapporto;
- siano formate periodicamente sulla protezione dei dati personali e sulle procedure di sicurezza interna;
- accedano ai dati solo nei limiti dello stretto necessario allo svolgimento dei compiti assegnati (need-to-know basis);
- siano sottoposte a controlli periodici e a verifica delle autorizzazioni.
7. Misure di sicurezza (art. 32 GDPR)
Allega implementa misure tecniche e organizzative appropriate al rischio per assicurare un livello di sicurezza adeguato. Le misure attualmente in essere sono dettagliate nell'Allegato B e includono, tra l'altro:
- cifratura at-rest (AES-256) e in transit (TLS 1.2+);
- controllo accessi basato su ruoli (RBAC) e principio di least privilege;
- autenticazione multi-fattore per tutti gli accessi privilegiati;
- scansione antivirus su ogni file caricato;
- logging immutabile delle operazioni rilevanti;
- backup geo-ridondati con restore drill periodici;
- isolamento multi-tenant a livello applicativo e di database (RLS dove applicabile);
- protezione perimetrale (WAF, DDoS, rate limiting, anti-bot);
- incident response plan documentato e testato.
Le misure sono periodicamente riesaminate. Allega può aggiornarle in qualsiasi momento purché il livello di protezione complessivo non venga ridotto.
8. Sub-responsabili
Il Titolare autorizza Allega ad avvalersi dei sub-responsabili indicati nell'Allegato C per l'erogazione del Servizio. Ciascun sub-responsabile è vincolato da un accordo scritto che impone obblighi equivalenti a quelli previsti dal presente DPA, in particolare in materia di sicurezza, riservatezza e cooperazione con le Autorità.
8.1 Modifiche all'elenco dei sub-responsabili
Allega comunicherà al Titolare ogni modifica dell'elenco dei sub-responsabili (aggiunta o sostituzione) con preavviso di almeno 30 giorni tramite email all'indirizzo indicato dal Titolare e tramite avviso nella dashboard. Il Titolare ha diritto di opporsi motivatamente alla modifica entro tale termine; in caso di mancata composizione dell'opposizione, il Titolare potrà recedere dal Contratto Principale senza penali con effetto immediato e ottenere il rimborso pro-rata delle quote non godute.
8.2 Responsabilità di Allega per i sub-responsabili
Allega risponde nei confronti del Titolare dell'adempimento degli obblighi contrattuali da parte dei sub-responsabili, salvo causa di forza maggiore.
9. Assistenza per i diritti degli interessati
Allega fornisce al Titolare strumenti tecnici (export self-service, cancellazione self-service, ricerca per email/identificativo) per dar seguito alle richieste degli interessati relative agli artt. 15-22 GDPR.
Qualora un interessato si rivolga direttamente ad Allega, questa inoltrerà la richiesta al Titolare entro 5 giorni lavorativi e fornirà l'assistenza ragionevolmente necessaria all'evasione, salvo che la richiesta riguardi dati per cui Allega è Titolare autonomo (cfr. Informativa Privacy §3).
10. Notifica violazioni di dati personali (art. 33)
In caso di violazione di dati personali (data breach) che riguardi Dati Personali del Titolare, Allega notificherà al Titolare l'evento senza ingiustificato ritardo e in ogni caso entro 24 ore dalla conoscenza, fornendo:
- descrizione della natura della violazione, categorie e numero approssimativo di interessati e di record interessati;
- nome e contatti del DPO;
- descrizione delle conseguenze probabili;
- misure adottate o proposte per affrontare la violazione e attenuarne effetti;
- aggiornamenti a mano a mano che le informazioni divengono disponibili.
La notifica al Titolare consente a quest'ultimo di adempiere ai propri obblighi di notifica al Garante Privacy (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR), che restano di sua esclusiva responsabilità in quanto Titolare.
11. Supporto a DPIA e consultazione preventiva
Allega assisterà il Titolare, tenuto conto della natura del trattamento e delle informazioni disponibili, nello svolgimento di:
- valutazioni d'impatto sulla protezione dei dati (DPIA, art. 35 GDPR) relative ai trattamenti che il Titolare svolge avvalendosi del Servizio;
- consultazione preventiva del Garante (art. 36 GDPR) ove necessaria.
L'assistenza è fornita gratuitamente per richieste di entità ordinaria; richieste straordinarie possono essere oggetto di un preventivo separato.
12. Restituzione e cancellazione dei dati
Alla cessazione del Contratto Principale, per qualsiasi causa, Allega:
- mantiene i Dati Personali del Titolare in modalità di sola lettura per 30 giorni dalla data di cessazione, per consentire al Titolare di esportarli;
- fornisce, a richiesta scritta del Titolare entro tale termine, un export ZIP completo (formato JSON + file binari originali + manifest) inviato tramite link sicuro a tempo limitato;
- cancella definitivamente i Dati Personali del Titolare entro ulteriori 30 giorni dal termine del periodo di sola lettura, con eccezione dei dati che Allega è tenuta a conservare per legge (es. fatturazione: 10 anni) o per esigenze di difesa in giudizio;
- cancella anche i backup contenenti i dati del Titolare entro 60 giorni complessivi dalla cessazione, alla scadenza del ciclo rolling di backup.
Su richiesta scritta del Titolare, Allega fornisce attestazione della avvenuta cancellazione.
13. Audit, ispezioni, certificazioni
Allega mette a disposizione del Titolare le informazioni necessarie a dimostrare la conformità agli obblighi previsti dall'art. 28 GDPR e dal presente DPA, e consente audit, comprese ispezioni, ai sensi dell'art. 28.3 lett. h GDPR, alle seguenti condizioni:
- l'audit è di norma soddisfatto dalla messa a disposizione di certificazioni indipendenti, report SOC 2, ISO 27001, e questionari standard CAIQ/SIG aggiornati;
- audit on-site sono ammessi non più di una volta per anno solare, salvo che si renda necessario in seguito a una violazione di dati personali, su preavviso scritto di almeno 30 giorni e nel rispetto dei requisiti di confidenzialità delle infrastrutture cloud;
- l'audit è condotto in modo da non interferire con la normale operatività del Servizio e non deve compromettere la sicurezza degli altri Clienti;
- i costi dell'audit on-site sono a carico del Titolare, salvo che vengano riscontrati inadempimenti gravi e documentati nel qual caso saranno a carico di Allega;
- l'auditor deve essere vincolato da NDA equivalenti a quelli applicati al personale Allega.
Allega può obiettare alla nomina di un auditor che ritenga ragionevolmente in conflitto di interessi (es. concorrente diretto), proponendo un auditor terzo indipendente di pari professionalità.
14. Trasferimenti internazionali
I dati sono trattati prevalentemente nello Spazio Economico Europeo. Eventuali trasferimenti extra-SEE avvengono sulla base degli strumenti previsti dal Capo V del GDPR, come dettagliato nell'Allegato D.
Allega esegue una Transfer Impact Assessment (TIA) per ogni trasferimento extra-SEE e adotta misure supplementari adeguate (cifratura at-rest, key management dedicato, contractual auditing rights, transparency reports). La TIA è disponibile su richiesta motivata del DPO del Titolare o dell'Autorità di controllo.
15. Responsabilità e indennizzo
La responsabilità delle parti è regolata dagli artt. 82-84 GDPR. La limitazione di responsabilità prevista dal Contratto Principale (sezione 15 dei Termini di Servizio) si applica anche al presente DPA, con esclusione delle ipotesi di responsabilità inderogabili previste dalla legge.
Le parti si manlevano reciprocamente in proporzione alle rispettive responsabilità per pretese di terzi (incluse sanzioni dell'Autorità) derivanti da inadempimenti delle proprie obbligazioni ai sensi del GDPR e del presente DPA.
16. Durata e cessazione
Il presente DPA entra in vigore alla data di sottoscrizione del Contratto Principale o di accettazione dei Termini di Servizio (qualora successiva) e resta in vigore per tutta la durata di quest'ultimo, oltre al periodo necessario per la restituzione e cancellazione dei dati ai sensi della sezione 12.
17. Disposizioni varie
- Prevalenza: in caso di conflitto tra il presente DPA e il Contratto Principale, prevalgono le disposizioni del DPA in materia di trattamento dei dati personali.
- Modifiche: il presente DPA può essere modificato per riflettere variazioni normative, organizzative o tecniche con preavviso di 30 giorni al Titolare.
- Lingua: il DPA è redatto in italiano. In caso di traduzioni, prevale la versione italiana.
- Legge applicabile e foro: come previsto dal Contratto Principale.
- Forma scritta: il presente DPA, anche se accettato per via elettronica, soddisfa il requisito della forma scritta richiesto dall'art. 28.9 GDPR.
Allegato A — Dettaglio del trattamento
| Oggetto | Trattamento di Dati Personali del Titolare per l'erogazione del Servizio Allega. |
| Durata | Durata del Contratto Principale + 60 giorni per cancellazione/restituzione. |
| Natura del trattamento | Hosting, archiviazione, indicizzazione, ricerca, trasmissione, scansione antivirus, classificazione AI opzionale, generazione export ZIP, backup, audit logging, invio notifiche email + link WhatsApp click-to-chat. |
| Finalità | Erogare le funzionalità del Servizio descritte nei Termini e nelle pagine prodotto, su istruzione e per conto del Titolare. |
| Categorie di interessati | Clienti finali del Titolare, dipendenti dei clienti finali, rappresentanti legali, soggetti terzi menzionati nei documenti caricati. |
| Categorie di dati personali | Identificativi anagrafici, recapiti, dati fiscali e patrimoniali, contenuto dei documenti caricati, metadati tecnici (hash, MIME, EXIF), log di accesso ai documenti. |
| Categorie particolari (art. 9) | Eventuali, in funzione della professione del Titolare (es. dati salute per studi medici/psicologici, dati biometrici per documenti d'identità). |
| Dati ex art. 10 | Eventuali, in funzione della professione del Titolare (es. studi legali, antiriciclaggio). |
| Frequenza del trattamento | Continuativa per tutta la durata del Contratto. |
| Tempi di conservazione | Determinati dal Titolare tramite la retention policy configurabile in Impostazioni → Sicurezza (default 24 mesi, configurabile 1..120 mesi). Audit log: minimo 6 mesi, massimo retention dello studio. |
Allegato B — Misure tecniche e organizzative
B.1 Cifratura
- TLS 1.2 minimo (TLS 1.3 preferito) per tutto il traffico in transito; HSTS preload abilitato.
- AES-256 per cifratura at-rest del database (Neon) e dello storage file (Cloudflare R2).
- Hash bcrypt/argon2 per password (gestiti da Clerk).
- SHA-256 per hash di API keys e share token; valori in chiaro non recuperabili.
- Rotazione automatica delle chiavi di cifratura gestita dal cloud provider.
B.2 Controllo accessi
- RBAC a 4 livelli (owner / admin / member / viewer) per ogni studio.
- MFA obbligatoria per il personale Allega; MFA opzionale ma raccomandata per gli utenti del Servizio.
- Principle of least privilege applicato a tutti gli accessi infrastrutturali.
- Revoca immediata degli accessi al termine del rapporto lavorativo.
- Audit log immutabile di tutti gli accessi privilegiati.
B.3 Sicurezza applicativa
- Validazione input lato server con schemi Zod.
- Protezione CSRF (double submit token) sulle mutazioni.
- Content Security Policy stretta, X-Frame-Options DENY, Permissions-Policy restrittiva.
- Rate limiting per endpoint (auth, upload, API pubblica).
- Antivirus asincrono su ogni file caricato; quarantena automatica.
- SAST e dependency scanning continui (Dependabot, GitHub Code Scanning).
- Pen test esterno periodico (almeno annuale).
B.4 Resilienza e business continuity
- Backup giornalieri cifrati del database con ritenzione 30 giorni.
- Backup cross-region settimanale dello storage R2.
- Restore drill periodici (almeno semestrali) con misurazione RTO/RPO.
- RTO target: 4 ore. RPO target: 24 ore.
- Status page pubblica con uptime e incident history.
B.5 Misure organizzative
- NDA con dipendenti e collaboratori.
- Formazione obbligatoria su privacy e sicurezza al momento dell'ingresso e a cadenza annuale.
- Policy interne documentate (data classification, incident response, access review, vendor management).
- Registro delle attività di trattamento (art. 30 GDPR) tenuto e aggiornato.
- DPO nominato e contattabile a dpo@allega.it.
Allegato C — Sub-responsabili autorizzati
Elenco aggiornato dei sub-responsabili al 2026-05-04. La versione corrente è consultabile a questa pagina. Le modifiche sono notificate con 30 giorni di preavviso.
| Sub-responsabile | Servizio fornito | Sede | Garanzie |
|---|---|---|---|
| Clerk Inc. | Autenticazione, gestione organizzazioni, MFA | USA con presence UE (eu.clerk.com) | SCC + DPF + ISO 27001 + SOC 2 Type II |
| Neon Inc. | Database PostgreSQL gestito | UE — Frankfurt (eu-central-1) | SCC + DPA + cifratura at-rest |
| Cloudflare Inc. | Storage R2, CDN, WAF, DDoS, DNS | UE (region pinning) + globale | SCC + DPA + ISO 27001/27701 |
| Resend Inc. | Email transazionali | UE (eu-west-1) | SCC + DPA + retention 30 gg |
| Stripe Payments Europe Ltd. | Pagamenti e fatturazione | Irlanda | SCC + DPA + PCI-DSS L1 |
| Anthropic PBC | Classificazione AI documenti (opzionale, off di default) | USA — zero-retention API tier | SCC + DPA + opt-out training |
| Inngest Inc. | Job asincroni | UE | SCC + DPA |
| Upstash Inc. | Redis cache (rate limiting) | UE (eu-west-1) | SCC + DPA |
| PostHog Inc. | Product analytics anonimizzata | UE (eu.posthog.com) | SCC + DPA |
| Functional Software Inc. (Sentry) | Error monitoring con scrubbing PII | UE (de.sentry.io) | SCC + DPA |
| Vercel Inc. / Hetzner Online GmbH | Hosting applicativo | UE (Francoforte / Falkenstein) | SCC + DPA + ISO 27001 |
Allegato D — Trasferimenti extra-SEE
I trasferimenti di dati personali al di fuori dello Spazio Economico Europeo sono limitati ai sub-responsabili statunitensi indicati nell'Allegato C (Clerk, Stripe, Anthropic, Twilio, Sentry per fallback).
D.1 Strumenti di trasferimento
- EU-US Data Privacy Framework (Decisione di esecuzione (UE) 2023/1795 della Commissione, 10 luglio 2023): per i sub-responsabili certificati DPF.
- Clausole Contrattuali Tipo (SCC) (Decisione di esecuzione (UE) 2021/914): modulo 2 (Titolare-Responsabile) o modulo 3 (Responsabile-Responsabile) come applicabile, sempre allegate alle nostre intese contrattuali.
D.2 Misure supplementari (Schrems II)
- Cifratura at-rest e in transit con chiavi gestite EU dove tecnicamente possibile.
- Pseudonimizzazione dei contenuti inviati a provider AI (Anthropic): rimozione identificativi personali, invio del solo testo OCR strettamente necessario.
- Contractual auditing rights con i sub-responsabili.
- Transparency reports periodici dei sub-responsabili sulle richieste di accesso governative ricevute.
- Diritto di sospendere il trasferimento qualora le misure non siano più adeguate.
D.3 Transfer Impact Assessment (TIA)
Per ciascun sub-responsabile extra-SEE è documentata una TIA che valuta: quadro normativo del Paese terzo, accessi governativi possibili, efficacia delle garanzie contrattuali e tecniche, impatto residuo per gli interessati. La TIA è aggiornata annualmente o al verificarsi di eventi rilevanti (es. nuovo provvedimento dell'Autorità) ed è disponibile su richiesta motivata del DPO del Titolare o dell'Autorità di controllo.