Programma Fondatori 6 mesi gratis e prezzo bloccato a vita per le prime 30 imprese e studi che entrano ora. Lo voglio sui miei cantieri →

Data Processing Agreement (DPA)

Versione: 1.0 (bozza) Ultimo aggiornamento: 2026-04-12 Stato: Bozza — in revisione legale

Questo documento e in bozza. Da non pubblicare senza revisione di un avvocato abilitato in materia di diritto IT / privacy EU.

Il presente Data Processing Agreement ("DPA") e stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") e forma parte integrante dei Termini e Condizioni di Servizio di WorkSiteCRM.

1. Parti

  • Titolare del trattamento ("Titolare"): il Cliente che sottoscrive il Servizio WorkSiteCRM, come identificato nel contratto principale.
  • Responsabile del trattamento ("Responsabile"): Castaldo Solutions, con sede in Piazza IV Novembre 4, 20124 Milano (MI), Italia, P.IVA IT13859590963, PEC pec@castaldosolutions.it, in qualità di fornitore del Servizio WorkSiteCRM.

2. Oggetto e durata

Il presente DPA disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'erogazione del Servizio WorkSiteCRM. La durata del trattamento coincide con la durata del contratto principale.

3. Natura e scopo del trattamento

Il Responsabile tratta i dati personali esclusivamente al fine di fornire le funzionalità del Servizio (gestione CRM edilizia/immobiliare, progetti, contatti, presenze, sopralluoghi, preventivi, fatture, workflow automatici, notifiche, reportistica), secondo le istruzioni documentate del Titolare, rappresentate dall'uso stesso della piattaforma.

4. Tipologie di dati personali trattati

  • Dati identificativi e di contatto di dipendenti e collaboratori del Titolare (nome, cognome, email, telefono, ruolo);
  • Dati identificativi e di contatto di clienti, fornitori, subappaltatori, lead commerciali del Titolare;
  • Dati di presenza e check-in/check-out di personale di cantiere, con possibile riferimento a ore lavorate e costo orario;
  • Dati relativi a progetti, attività, documenti, comunicazioni e note caricate nel Servizio;
  • Dati di geolocalizzazione dei cantieri (coordinate GPS);
  • Log di accesso e audit log associati agli Utenti Finali.

Il Servizio non e progettato per trattare categorie particolari di dati personali ex art. 9 GDPR. Il Titolare si impegna a non caricare tali categorie salvo esplicita autorizzazione scritta e adozione di misure supplementari.

5. Categorie di interessati

  • Dipendenti, collaboratori, amministratori del Titolare;
  • Contatti commerciali, clienti finali del Titolare;
  • Fornitori e subappaltatori del Titolare;
  • Lead commerciali e prospect.

6. Obblighi del Responsabile (art. 28(3) GDPR)

6.1 Istruzioni documentate

Il Responsabile tratta i dati personali soltanto su istruzione documentata del Titolare, anche in caso di trasferimento verso paesi terzi, salvo obbligo di legge.

6.2 Riservatezza del personale

Il Responsabile garantisce che le persone autorizzate al trattamento siano vincolate da obbligo di riservatezza contrattuale o legale.

6.3 Misure di sicurezza (art. 32)

Il Responsabile adotta misure tecniche e organizzative adeguate descritte nell'Allegato C.

6.4 Sub-responsabili

Il Titolare autorizza in via generale il Responsabile ad avvalersi dei sub-responsabili elencati nel documento Subprocessors (Allegato B). In caso di aggiunta o sostituzione, il Responsabile informera il Titolare con almeno 30 giorni di anticipo via email, consentendo di sollevare obiezione motivata entro 15 giorni. In caso di obiezione fondata non risolvibile, il Titolare potra recedere senza penali.

6.5 Assistenza per i diritti degli interessati

Il Responsabile assistera il Titolare, nella misura del possibile, con misure tecniche e organizzative adeguate, per adempiere agli obblighi di risposta alle richieste degli interessati (artt. 15-22 GDPR).

6.6 Assistenza per obblighi di sicurezza, DPIA e consultazione preventiva

Il Responsabile assistera il Titolare nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni disponibili.

6.7 Restituzione o cancellazione dei dati

Al termine del contratto, su scelta del Titolare, il Responsabile restituira i dati personali in formato strutturato (JSON/CSV) oppure li cancellera, salvo obblighi di legge di conservazione. La cancellazione completa (inclusi backup) avverra entro 30 giorni dalla cessazione del contratto.

6.8 Audit

Il Responsabile mette a disposizione del Titolare, su richiesta scritta ragionevolmente motivata, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi ex art. 28 GDPR, e consente audit — anche tramite terzo indipendente — con preavviso di almeno 30 giorni, non più di una volta all'anno, salvo incidenti di sicurezza.

7. Misure tecniche e organizzative

Vedi Allegato C. A titolo esemplificativo:

  • TLS 1.2+ per dati in transito;
  • Encryption at rest del database e dei backup;
  • Autenticazione con password hashata bcrypt, 2FA TOTP opzionale;
  • RBAC gerarchico e isolamento multi-tenant row-level;
  • Audit log completo delle operazioni mutative;
  • Backup giornalieri criptati con retention 30 giorni;
  • Disaster recovery plan;
  • Test di sicurezza e vulnerability scanning periodici.

8. Data breach

In caso di violazione di dati personali, il Responsabile notifichera il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, fornendo tutte le informazioni necessarie affinche il Titolare possa adempiere all'obbligo di notifica ex art. 33 GDPR entro 72 ore all'autorita di controllo. La notifica include: natura della violazione, categorie e numero approssimativo di interessati e record coinvolti, contatti del referente, conseguenze probabili, misure adottate o proposte.

9. Durata e scioglimento

Il presente DPA entra in vigore alla sottoscrizione del contratto principale e cessa contestualmente a quest'ultimo. Gli obblighi di riservatezza, restituzione/cancellazione dei dati e notifica data breach sopravvivono alla cessazione.

10. Legge applicabile

Il presente DPA e disciplinato dalla legge italiana e dal GDPR. Per ogni controversia e competente in via esclusiva il Foro di Foro di Milano.

Allegato A — Dettaglio del trattamento

Voce Descrizione
Finalita Erogazione del Servizio CRM WorkSiteCRM (gestione progetti, contatti, attività, cantieri, preventivi, fatture, presenze, sopralluoghi, automazioni workflow, reportistica)
Categorie di interessati Dipendenti e collaboratori del Titolare; clienti, fornitori, subappaltatori, lead commerciali; utenti del portale cliente
Categorie di dati Nome, cognome, email, telefono, indirizzo, ruolo; presenze con ore e costo orario; note di sopralluogo; documenti caricati; geolocalizzazione cantieri; log tecnici
Natura delle operazioni Raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, estrazione, consultazione, comunicazione a sub-responsabili, cancellazione
Durata Per tutta la durata del contratto + 30 giorni per backup
Frequenza Continua, on-demand da parte degli Utenti Finali

Allegato B — Elenco sub-responsabili

Vedi documento Subprocessors (/legal/subprocessors) che costituisce parte integrante del presente DPA.

Allegato C — Misure tecniche e organizzative

Sicurezza fisica e infrastrutturale

  • Hosting presso data center certificati ISO 27001 / SOC 2 del provider Vercel Inc.;
  • Database gestito presso [Neon / Supabase / on-prem];
  • Isolamento multi-tenant a livello applicativo tramite tenantId su ogni entita (row-level tenancy).

Crittografia

  • In transit: TLS 1.2 o superiore su tutte le connessioni, HSTS abilitato;
  • At rest: encryption standard del provider database, backup criptati.

Autenticazione e controllo accessi

  • Password hashate con bcrypt (cost factor >= 12);
  • Autenticazione a due fattori (TOTP) opzionale per tutti gli utenti;
  • Sessioni basate su JWT NextAuth con scadenza e rotazione;
  • RBAC con ruoli admin, tecnico, operatore, sales e override custom per capability.

Logging e monitoring

  • Audit log persistente di ogni operazione CRUD mutativa (entita, utente, IP, timestamp);
  • Error tracking via [Sentry];
  • Alerting su anomalie e pattern sospetti.

Backup e disaster recovery

  • Backup giornalieri automatici con retention 30 giorni;
  • Backup criptati;
  • Test di restore periodico;
  • RPO 24h, RTO 8h (target).

Vulnerability management

  • Dipendenze monitorate automaticamente (dependency scanning);
  • Patching di sicurezza tempestivo;
  • Penetration test periodico [annuale - da programmare].

Organizzative

  • Principle of least privilege per il personale del Responsabile;
  • Review trimestrale degli accessi interni;
  • Personale vincolato da NDA;
  • Formazione privacy e security periodica.

Questa bozza e stata redatta come template operativo e richiede revisione di un avvocato prima della pubblicazione.