Accordo di nomina a Responsabile del trattamento (DPA)
Ai sensi dell'art. 28 Regolamento (UE) 2016/679 (GDPR) · Ultimo aggiornamento: 21 maggio 2026 · Versione 1.0
Premesse
Il presente Accordo («DPA») integra i Termini di Serviziodi AmministraPro e disciplina il trattamento dei dati personali effettuato dal Fornitore per conto del Cliente nell'ambito dell'erogazione del Servizio.
Sottoscrivendo i Termini di Servizio o utilizzando il Servizio, il Cliente nomina il Fornitore Responsabile del trattamento ai sensi dell'art. 28 GDPR per i dati personali degli Interessati (condomini, residenti, amministrati, dipendenti, fornitori) che il Cliente carica e gestisce attraverso il Servizio.
1. Definizioni
- Titolare: il Cliente, che determina finalità e mezzi del trattamento.
- Responsabile: il Fornitore (NRC Company S.r.l.), che tratta i dati per conto del Titolare.
- Sub-responsabile: terzo che il Responsabile autorizza a trattare i dati per finalità accessorie all'erogazione del Servizio.
- Dati personali, trattamento, Interessato, violazione dei dati: come definiti dall'art. 4 GDPR.
2. Oggetto, durata, natura e finalità del trattamento
- Oggetto: trattamento dei dati personali degli Interessati conferiti dal Titolare attraverso il Servizio.
- Durata: per tutta la durata del contratto di abbonamento, oltre ai 30 giorni di grace period per export e i tempi di conservazione previsti dalla legge.
- Natura: trattamenti automatizzati e non, consistenti in raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione, comunicazione, cancellazione.
- Finalità: erogazione delle funzionalità di gestione condominiale (contabilità, assemblee, comunicazioni, pagamenti, manutenzione, documentale, AI on-demand).
- Categorie di Interessati: amministrati, condomini, residenti, fornitori, collaboratori dello Studio, utenti del portale.
- Categorie di dati: dati anagrafici, dati di contatto, dati di pagamento, dati documentali (verbali, comunicazioni, bilanci), metadati tecnici (log di accesso, IP), eventuali dati relativi a sinistri/manutenzioni.
3. Istruzioni documentate del Titolare
Il Responsabile tratta i dati esclusivamente sulla base delle istruzioni documentate del Titolare, costituite dal contratto di abbonamento, dai presenti Termini, dal presente DPA e dalle configurazioni del Servizio effettuate dal Titolare tramite il pannello di amministrazione.
Trasferimenti verso paesi terzi avvengono solo se necessari all'erogazione del Servizio e previo ricorso a garanzie adeguate (Clausole Contrattuali Standard CE 2021/914).
4. Riservatezza
Il Responsabile garantisce che il personale autorizzato al trattamento è vincolato a obblighi di riservatezza espliciti o derivanti da legge e riceve formazione adeguata in materia di protezione dei dati.
5. Misure di sicurezza (art. 32 GDPR)
Il Responsabile adotta misure tecniche e organizzative adeguate, tra cui:
- cifratura in transito TLS 1.2+ e cifratura a riposo Google KMS;
- cifratura applicativa AES-256-GCM delle credenziali integrazioni di terze parti;
- autenticazione forte, multi-fattore opzionale (TOTP) e SSO SPID/CIE;
- controllo accessi role-based (admin / manager / member / viewer) per organizzazione;
- isolamento dei dati a livello di organizzazione tramite Firestore Security Rules;
- audit log delle azioni amministrative critiche con conservazione minima di 12 mesi;
- rate limiting e protezioni anti-spam su tutti gli endpoint pubblici;
- monitoraggio della disponibilità e tracciamento errori (Sentry, log applicativi);
- backup automatici giornalieri della base dati con retention di 30 giorni;
- processo di patching delle dipendenze e gestione delle vulnerabilità note;
- test periodici di sicurezza applicativa e revisione del codice.
6. Sub-responsabili autorizzati
Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili elencati di seguito. Eventuali variazioni saranno comunicate al Titolare con preavviso di almeno 30 giorni, durante i quali il Titolare potrà opporsi motivatamente per iscritto; in mancanza di opposizione le variazioni si intendono accettate.
| Sub-responsabile | Servizio fornito | Localizzazione |
|---|---|---|
| Google Cloud / Firebase | Hosting, database, autenticazione, storage, backup | europe-west1 (Belgio) |
| Stripe Payments Europe Ltd. | Gateway pagamenti (PCI-DSS Level 1) | Irlanda |
| OpenAI / Anthropic / Google Gemini | Modelli AI per add-on (Chat AI, AI Fattura, Trascrizione) | UE/USA (SCC 2021/914) |
| SaltEdge Ltd. | Aggregatore PSD2 (add-on banking) | UE |
| OpenAPI.it | Firma digitale, raccomandate, visure (add-on) | Italia |
| Aruba PEC / ItaltelePost / provider scelto | Invio PEC (configurabile dal Cliente) | Italia |
| Provider SMTP transazionale | Email di benvenuto e notifiche | UE |
| Sentry / monitoring | Tracciamento errori applicativi | UE (region EU) |
Il Cliente può attivare/disattivare i sub-responsabili degli add-on facoltativi (AI, banking, PEC, OpenAPI.it) dalla sezione «Integrazioni» del pannello.
7. Diritti degli Interessati
Il Responsabile assiste il Titolare nell'adempimento degli obblighi di risposta alle richieste di esercizio dei diritti degli Interessati (artt. 15-22 GDPR), mettendo a disposizione funzionalità di export dei dati, cancellazione e gestione consenso direttamente nel pannello, oltre al supporto del Data Protection Office del Fornitore via privacy@nrc.company.
8. Violazioni dei dati (data breach)
In caso di violazione dei dati personali rilevata nei sistemi del Responsabile, quest'ultimo informa il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza, fornendo le informazioni richieste dall'art. 33 GDPR (natura, categorie di Interessati e dati, contromisure adottate). Resta a carico del Titolare la notifica al Garante e agli Interessati ove dovuta dalla normativa.
9. DPIA, audit e ispezioni
Il Responsabile fornisce al Titolare, su sua richiesta, le informazioni necessarie per dimostrare la conformità degli obblighi previsti dall'art. 28 GDPR. Su richiesta motivata e con preavviso di 30 giorni, il Titolare (o un revisore indipendente da entrambe le parti incaricato) può effettuare audit documentale sulle misure adottate dal Responsabile.
10. Restituzione o cancellazione
Al termine del contratto, il Responsabile, su scelta del Titolare, restituisce i dati al Titolare tramite le funzionalità di export oppure li cancella entro 90 giorni dalla scadenza del periodo di grace, fatte salve le copie di backup ancora in retention (max 30 giorni) e i dati che devono essere conservati per obbligo di legge.
11. Registro delle attività (art. 30 GDPR)
Il Responsabile tiene un registro delle attività di trattamento svolte per conto del Titolare, disponibile su richiesta scritta a privacy@nrc.company.
12. Trasferimenti extra-UE
Eventuali trasferimenti di dati personali verso paesi terzi sono effettuati esclusivamente: (i) verso paesi oggetto di decisione di adeguatezza della Commissione Europea, ovvero (ii) sulla base delle Clausole Contrattuali Standard approvate con Decisione (UE) 2021/914 della Commissione, eventualmente integrate da misure supplementari ove necessario.
13. Modifiche al DPA
Le modifiche sostanziali al presente DPA sono comunicate al Titolare via email con preavviso di almeno 30 giorni. Il Titolare che non accetta le modifiche può recedere dal contratto prima della loro entrata in vigore.
14. Foro competente
Per ogni controversia derivante dal presente DPA si applicano le previsioni dell'art. 19 dei Termini di Servizio.
15. Contatti
- Privacy / DPA: privacy@nrc.company
- Sicurezza: security@nrc.company