Accordo sul trattamento dei dati (DPA)

Art. 28 GDPR · Ultimo aggiornamento: 30 maggio 2026

Il presente accordo regola il trattamento dei dati personali effettuato da ClearSec("Responsabile") per conto dell'utente commercialista/studio("Titolare") nell'ambito del servizio. Si applica automaticamente all'uso della piattaforma.

1. Oggetto e durata

ClearSec tratta i dati per fornire il servizio di generazione e gestione della documentazione di compliance, per la durata del rapporto contrattuale e fino alla cancellazione dei dati.

2. Natura, finalità e categorie

Il trattamento riguarda:

• Categorie di interessati: dipendenti, clienti e fornitori delle aziende gestite dal Titolare;

• Tipi di dati: dati anagrafici e di contatto, dati aziendali (es. P.IVA, settore, numero dipendenti);

• Finalità: esclusivamente l'erogazione del servizio, secondo le istruzioni del Titolare.

3. Obblighi del Responsabile

• trattare i dati solo su istruzione documentata del Titolare;

• garantire la riservatezza di chi tratta i dati;

• adottare misure di sicurezza adeguate (art. 32 GDPR);

• assistere il Titolare per richieste degli interessati e per la sicurezza;

• notificare senza ingiustificato ritardo eventuali violazioni di dati (data breach).

4. Sub-responsabili

Il Titolare autorizza l'uso dei seguenti sub-responsabili, vincolati a obblighi di protezione equivalenti:

• Neon (database PostgreSQL) — hosting dei dati;

• Stripe (pagamenti) — dati di fatturazione (non transitano carte da ClearSec);

• Resend (email transazionali) — invio email di sistema.

5. Misure di sicurezza

Password con hashing (scrypt) e mai in chiaro, sessioni firmate, controllo degli accessi per ruolo, connessioni cifrate (TLS), limitazione dei tentativi di accesso.

6. Trasferimenti e cancellazione

I dati sono trattati nell'UE/SEE ove possibile; eventuali trasferimenti avvengono con garanzie adeguate. Al termine del servizio, su richiesta, i dati vengono cancellati o restituiti, salvo obblighi di legge.

7. Audit

Il Titolare può richiedere le informazioni necessarie a dimostrare il rispetto degli obblighi del presente accordo.

Modello di partenza: prima della messa online definitiva va verificato con un legale e completato con i dati identificativi delle parti.