Data Processing Agreement (DPA)

Il presente Accordo (DPA) regola il trattamento dei dati personali eseguito da Ion Samoila, operatore individuale e gestore di NexGenion (di seguito, il "Processor") per conto del Cliente ("Controller") titolare del workspace, ai sensi dell'Art. 28 del GDPR (Reg. UE 2016/679).

Identità del Processor

NexGenion è un servizio software gestito da Ion Samoila, in qualità di operatore individuale, con sede operativa in Como, Italia.

I pagamenti del servizio sono processati e gestiti da Paddle.com Market Limited (Judd House, 18-29 Mora Street, London EC1V 8BT, United Kingdom — Company number 08172525, VAT GB 117177413), che agisce in qualità di Merchant of Record per le vendite di NexGenion. Paddle è elencata tra i Sub-processor autorizzati (Sezione 6).

Contatti:

• Privacy e GDPR: privacy@nexgenion.com
• Fatturazione e legali: legal@nexgenion.com
• Prodotto / supporto: support@nexgenion.com

1. Definizioni

• Controller: il Cliente, owner del workspace
• Processor: NexGenion (vedi blocco "Identità del Processor" sopra)
• Sub-processor: fornitori terzi che NexGenion utilizza per erogare il servizio
• Dati personali: come definiti dall'Art. 4 GDPR

2. Oggetto e durata

Il Processor tratta dati personali per conto del Controller per la durata del contratto di servizio NexGenion. Alla cessazione del contratto i dati saranno restituiti o cancellati secondo l'opzione scelta dal Controller (Sezione 9).

3. Natura del trattamento

Il Processor tratta i dati personali esclusivamente per:

• Erogare le funzionalità della piattaforma
• Garantire la sicurezza del sistema
• Adempiere obblighi di legge applicabili
• Fornire supporto tecnico al Controller

4. Categorie di dati e di interessati

Categorie di interessati:

• Dipendenti, consulenti e collaboratori del Controller
• Fornitori e visitatori del Controller
• Utenti del portale pubblico del Controller

Categorie di dati personali:

• Identificativi (nome, cognome, email, telefono)
• Dati di lavoro (ruolo, dipartimento, asset assegnati)
• Dati di utilizzo (ticket creati, attività eseguite)

Il Processor non tratta categorie particolari di dati ex Art. 9 GDPR (sanitari, biometrici, ecc.) salvo che il Controller scelga deliberatamente di inserirli nei campi liberi (in tal caso la responsabilità ricade sul Controller).

5. Obblighi del Processor

1. Trattare i dati esclusivamente sulla base di istruzioni documentate del Controller
2. Garantire che il personale autorizzato sia vincolato a obbligo di riservatezza
3. Adottare misure di sicurezza tecniche e organizzative adeguate (Art. 32 GDPR)
4. Rispettare le condizioni per il ricorso a Sub-processor (Art. 28.2)
5. Assistere il Controller nell'evasione delle richieste degli interessati
6. Notificare al Controller ogni violazione di dati senza ingiustificato ritardo (entro 72h)
7. Rendere disponibili al Controller le informazioni necessarie per dimostrare la compliance

6. Sub-processor autorizzati

Il Controller autorizza il Processor a utilizzare i seguenti Sub-processor. Tutti i fornitori sono vincolati da contratti DPA (Data Processing Agreement) e implementano misure di sicurezza adeguate ai sensi dell'Art. 28 GDPR.

• Supabase — Database e autenticazione (USA/EU, SCC + DPF)
• Railway — Hosting backend (USA, SCC)
• Resend — Invio email transazionali (USA/EU)
• Cloudflare — CDN, R2 object storage e protezione DDoS (Global)
• Sentry — Monitoring errori applicativi (USA/EU, SCC)
• Paddle.com Market Limited — Merchant of Record per pagamenti (UK, GDPR compliant + SCC)
• Microsoft Clarity — Session replay e analytics UX (Microsoft Ireland Operations Ltd, EU). Privacy · Termini

Il Processor notificherà al Controller con almeno 30 giorni di preavviso ogni cambiamento all'elenco dei Sub-processor. Il Controller può opporsi per giustificati motivi.

7. Trasferimenti internazionali

Per Sub-processor con sede al di fuori dello Spazio Economico Europeo i trasferimenti avvengono sulla base di Standard Contractual Clauses (SCC) della Commissione Europea o, dove applicabile, del Data Privacy Framework (DPF) UE-USA.

8. Diritti degli interessati — assistenza del Processor

Il Processor mette a disposizione del Controller strumenti self-service che consentono ai soggetti interessati di esercitare direttamente i diritti GDPR (Art. 15, 17, 20) tramite la pagina Settings → Privacy della piattaforma. Il Processor assisterà inoltre il Controller, su richiesta, per l'evasione di eventuali ulteriori richieste.

9. Cancellazione o restituzione dei dati

Alla cessazione del contratto, su scelta del Controller espressa per iscritto entro 30 giorni:

• Restituzione: il Processor fornisce un export completo dei dati in formato JSON
• Cancellazione: il Processor cancella tutti i dati entro 60 giorni

In assenza di istruzione esplicita, il Processor procede alla cancellazione automatica entro 90 giorni dalla cessazione.

10. Audit

Il Controller può richiedere documentazione di compliance (politiche di sicurezza, certificazioni, report di audit) con preavviso ragionevole. Audit on-site sono concordati caso per caso e a carico del Controller.

11. Responsabilità

Le responsabilità del Processor e del Controller per violazioni del GDPR sono ripartite secondo l'Art. 82 GDPR. Il Processor è responsabile dei danni causati dal trattamento solo se non ha rispettato gli obblighi del GDPR specificamente diretti ai responsabili del trattamento o ha agito al di fuori delle istruzioni documentate del Controller.

12. Legge applicabile

Il presente DPA è regolato dalla legge italiana e dal GDPR (Reg. UE 2016/679). Foro competente: Milano.

13. Accettazione

L'accettazione del presente DPA avviene da parte dell'owner del workspace tramite la sezione Settings → Workspace della piattaforma. La data di accettazione è registrata in modo immutabile nell'audit log del workspace.

14. Contatti

Per richieste relative al DPA: privacy@nexgenion.com.