Gestioforma
← Torna alla home

Data Processing Agreement

Accordo per il trattamento dei dati personali ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR), parte integrante dei Termini di Servizio Gestioforma.

Ultimo aggiornamento: 30 aprile 2026 · Versione 1.0

Il presente DPA si applica automaticamente a tutti i Clienti che sottoscrivono un piano Gestioforma e si intende accettato con la sottoscrizione dei Termini di Servizio. Una copia firmata digitalmente è scaricabile dall'area clienti.

1. Parti dell'accordo

TITOLARE DEL TRATTAMENTO ("Titolare", "Cliente"): l'ente, associazione o organizzazione che sottoscrive un piano Gestioforma e carica nella piattaforma dati personali di propri associati, allievi, volontari, dipendenti o terzi.

RESPONSABILE DEL TRATTAMENTO ("Responsabile", "Gestioforma"): GenerAzioni APS, di cui Gestioforma è un prodotto/servizio, con sede legale in Via Roma 57, Augusta (SR), C.F./P.IVA 02195460890, contattabile a dpo@gestioforma.app o via PEC gestioforma@pec.it.

2. Oggetto e durata

Il presente DPA disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'erogazione del servizio Gestioforma, ai sensi dell'art. 28 GDPR.

L'accordo entra in vigore al momento della sottoscrizione dei Termini di Servizio e rimane efficace per tutta la durata del contratto, oltre il quale alcune obbligazioni (es. cancellazione dati, conservazione log) sopravvivono per il tempo necessario.

3. Natura e finalità del trattamento

Il Responsabile tratta i dati personali esclusivamente per le finalità di erogazione del servizio Gestioforma, come descritto nei Termini e nelle istruzioni documentate del Titolare:

  • memorizzazione, archiviazione e backup dei dati caricati dal Titolare;
  • elaborazione automatica per la generazione di documenti, report, libri sociali, registri;
  • invio di comunicazioni via email, SMS e push impostate dal Titolare verso i propri interessati;
  • integrazione con servizi terzi (Stripe, gestionali fiscali, Zoom) configurati dal Titolare;
  • supporto tecnico, manutenzione, audit di sicurezza.

Il Responsabile non utilizza i dati per finalità proprie, diverse da quelle istruite dal Titolare.

4. Categorie di dati e interessati

InteressatiCategorie di dati
Associati / sociDati anagrafici, contatti, codice fiscale, documenti di identità, ruolo associativo, quote versate.
Allievi e iscritti ai corsiDati anagrafici, contatti, codice fiscale, presenze, esiti esami, attestati, dati di pagamento.
Docenti e collaboratoriDati anagrafici, qualifica, curriculum, contratti, ore lavorate.
VolontariDati anagrafici, polizza assicurativa, ore di volontariato.
DipendentiDati anagrafici, contratto, qualifica, presenze (no buste paga).
Genitori / tutori (di minori)Dati anagrafici, contatti, consensi.

Categorie particolari di dati ex art. 9 GDPR: il servizio non è progettato per il trattamento sistematico di dati sanitari, biometrici, religiosi o relativi a condanne penali. Eventuali trattamenti occasionali (es. corsi sanitari, certificati medici per attività sportive) restano sotto la responsabilità esclusiva del Titolare, che dovrà adottare le misure appropriate.

5. Obblighi del Responsabile

Ai sensi dell'art. 28 GDPR, il Responsabile si impegna a:

  1. trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, comprese quelle relative al trasferimento extra-UE;
  2. garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adottare le misure di sicurezza tecniche e organizzative ai sensi dell'art. 32 GDPR, dettagliate al paragrafo 7;
  4. rispettare le condizioni per il ricorso a sub-responsabili indicate al paragrafo 6;
  5. assistere il Titolare con misure tecniche e organizzative adeguate per dare seguito alle richieste degli interessati;
  6. assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza, notifica delle violazioni, valutazione d'impatto e consultazione preventiva (artt. 32-36 GDPR);
  7. su richiesta del Titolare, cancellare o restituire tutti i dati personali al termine della fornitura dei servizi;
  8. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi e per consentire revisioni e ispezioni.

6. Sub-responsabili (subprocessor)

Il Titolare autorizza il Responsabile a ricorrere ai sub-responsabili elencati nell'apposita pagina pubblica /legale/subprocessor, vincolati da accordi conformi all'art. 28 GDPR.

Il Responsabile informerà il Titolare di qualsiasi modifica all'elenco con almeno 30 giorni di preavviso. Il Titolare può opporsi a tali modifiche entro 15 giorni dalla notifica; in caso di opposizione non risolvibile, il Titolare ha diritto di recedere dal contratto senza penali.

I sub-responsabili attuali al momento della stipula sono:

  • Vercel Inc. — hosting e distribuzione dell'applicazione (CDN, esecuzione)
  • Supabase — database, autenticazione e archiviazione file (infrastruttura su AWS, regione UE — Francoforte)
  • Resend — invio email transazionali (conferme, ricevute, promemoria)
  • Anthropic — assistente AI del sito e wizard di creazione (attivo solo quando l'utente usa queste funzioni; non usa i dati per addestrare modelli)
  • Stripe Payments Europe Ltd — gestione pagamenti, su attivazione (titolare autonomo per i dati di pagamento)

7. Misure di sicurezza tecniche e organizzative

Il Responsabile adotta, tra le altre, le seguenti misure ex art. 32 GDPR:

  • Cifratura: dati at-rest cifrati con AES-256, dati in transito cifrati con TLS 1.3 (minimo).
  • Pseudonimizzazione: ove possibile, gli identificatori diretti sono separati dai dati di contenuto.
  • Controllo accessi: autenticazione MFA per il personale Gestioforma che accede a sistemi di produzione, principio del minimo privilegio (RBAC).
  • Audit log: ogni accesso ai dati di produzione è loggato in modalità append-only, conservato per 12 mesi.
  • Backup: giornalieri, criptati, conservati con retention configurabile (default 30 giorni).
  • Disaster recovery: RPO ≤ 24 ore, RTO ≤ 4 ore. Test annuale di failover.
  • Segregazione tenant: Row Level Security su PostgreSQL, isolamento dei dati tra Clienti.
  • Penetration testing: annuale, da terzi indipendenti certificati. Report disponibile su richiesta sotto NDA.
  • Vulnerability management: scanning automatizzato delle dipendenze, patching SLA documentato.
  • Formazione del personale: training annuale obbligatorio su sicurezza e privacy.

8. Notifica delle violazioni (data breach)

Il Responsabile, in caso di violazione dei dati personali ai sensi dell'art. 4, n. 12 GDPR, notifica al Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione, fornendo:

  • natura della violazione, categorie e numero approssimativo di interessati e di registrazioni coinvolte;
  • nome e dati di contatto del DPO o del punto di contatto;
  • conseguenze probabili della violazione;
  • misure adottate o proposte per porre rimedio e mitigare i possibili effetti negativi.

Il Titolare resta responsabile delle eventuali notifiche al Garante Privacy ex art. 33 GDPR e agli interessati ex art. 34, salvo diverso accordo scritto.

9. Diritti degli interessati

Il Responsabile mette a disposizione del Titolare strumenti tecnici (export dati, anonimizzazione, cancellazione selettiva) per consentire all'interessato di esercitare i diritti previsti dagli artt. 15-22 GDPR. In caso di richiesta inoltrata direttamente al Responsabile da un interessato, il Responsabile la trasmette tempestivamente al Titolare senza darvi seguito autonomo.

10. Audit e ispezioni

Il Titolare ha diritto di verificare l'adempimento degli obblighi del Responsabile mediante:

  • certificazioni e report SOC 2 / ISO 27001 (a regime) forniti dal Responsabile su richiesta sotto NDA;
  • questionari di sicurezza compilati dal Responsabile;
  • ispezioni in sede previo preavviso scritto di almeno 30 giorni, non più frequenti di una volta l'anno, salvo casi di sospetta violazione. I costi sono a carico del Titolare.

11. Trasferimenti extra-UE

Per impostazione predefinita, tutti i dati personali rimangono all'interno dello Spazio Economico Europeo. Eventuali trasferimenti residuali a sub-responsabili extra-SEE (es. Stripe per dati di pagamento) avvengono sulla base delle Clausole Contrattuali Standard adottate dalla Commissione Europea (Decisione 2021/914) e di misure supplementari tecniche e organizzative documentate.

12. Cancellazione e restituzione dati

Al termine della fornitura del servizio, e su richiesta del Titolare, il Responsabile mette a disposizione i dati personali in formato strutturato (JSON, CSV, PDF) per 90 giorni e successivamente provvede alla cancellazione sicura, salvo obblighi di conservazione previsti dalla legge applicabile.

Su richiesta scritta del Titolare, il Responsabile fornisce attestazione formale dell'avvenuta cancellazione entro 30 giorni.

13. Responsabilità

Le Parti rispondono ciascuna per la propria sfera di competenza, secondo quanto previsto dall'art. 82 GDPR. Il Responsabile non risponde dei danni causati dal mancato rispetto degli obblighi del Titolare (es. carico di dati senza valido consenso degli interessati).

14. Modifiche al DPA

Il presente DPA può essere modificato per adeguarsi a evoluzioni normative o a nuove indicazioni del Garante e del European Data Protection Board. Le modifiche saranno notificate al Titolare con almeno 30 giorni di preavviso. Qualora il Titolare non accetti le modifiche, potrà recedere dal contratto entro tale termine senza penali.

Per richiedere una copia firmata del presente DPA o per inserire clausole specifiche (es. per Pubbliche Amministrazioni, clienti enterprise), contatta dpo@gestioforma.app.