Data Processing Agreement (DPA) — Optlyx

Data Processing Agreement (DPA)

Art. 28 GDPR
SCC
TOMs

Ultimo aggiornamento: 12 ottobre 2025 · Contatti: hello@optlyx.com

Privacy Policy Security Policy

1) Parti e definizioni

Il presente Accordo di Trattamento Dati (“DPA”) è stipulato tra:

  • Cliente, in qualità di Titolare del trattamento (il “Titolare”); e
  • Optlyx, Via Guglielmo Marconi 49, 21012 Cassano Magnago (VA), Italia — P.IVA 02198920023, in qualità di Responsabile del trattamento (il “Responsabile”).

Termini non definiti nel presente documento hanno il significato indicato nel Regolamento (UE) 2016/679 (“GDPR”) o nel contratto principale tra le Parti (“Contratto”).

2) Oggetto e durata

Il Responsabile tratta i dati personali per conto del Titolare esclusivamente per l’erogazione della Piattaforma Optlyx, secondo quanto previsto dal Contratto.

La durata del presente DPA coincide con la durata del Contratto e cessa alla sua scadenza o risoluzione, ferme restando le obbligazioni che per loro natura proseguono (es. riservatezza).

3) Natura e finalità del trattamento

Il trattamento consiste in operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione e cancellazione necessarie per fornire, mantenere e migliorare la Piattaforma, nonché per sicurezza, supporto e adempimenti legali.

4) Tipologie di dati e categorie di interessati

  • Dati trattati: dati account (nome, email lavoro, ruolo, azienda), metadati operativi e log, dati di fatturazione aziendale, contenuti caricati/elaborati dal Cliente nella Piattaforma.
  • Interessati: dipendenti/collaboratori del Titolare, utenti finali autorizzati, referenti commerciali.
  • Categorie particolari: non trattate intenzionalmente. L’eventuale trattamento avverrà solo su istruzioni documentate e con misure adeguate.

5) Istruzioni del Titolare

Il Responsabile tratta i dati solo su istruzioni documentate del Titolare, ivi inclusi i trasferimenti verso Paesi terzi, salvo obblighi di legge cui il Responsabile è soggetto (in tal caso ne informa il Titolare salvo divieti legali).

6) Obblighi del Responsabile

  • Garantire che le persone autorizzate al trattamento si impegnino alla riservatezza.
  • Adottare e mantenere misure tecniche e organizzative adeguate al rischio (vedi §8 e Allegato 2).
  • Non ricorrere a sub-responsabili senza requisiti di cui al §9.
  • Assistere il Titolare nel dare seguito alle richieste degli interessati e agli adempimenti GDPR (§11).
  • Mettere a disposizione le informazioni necessarie per dimostrare la conformità e consentire audit (§13).

7) Riservatezza

Il Responsabile assicura che personale e collaboratori trattino i dati solo nella misura necessaria e siano vincolati da obblighi di riservatezza.

8) Misure tecniche e organizzative (TOMs)

  • In transito: TLS 1.3.
  • A riposo: cifratura server-side (es. AES-256) su database/storage.
  • Controllo accessi: least privilege, MFA per accessi amministrativi, segregazione ambienti.
  • Monitoraggio: logging centralizzato, alerting, vulnerability management.
  • DR/BCP: backup periodici, test di ripristino, RPO/RTO interni (vedi Security Policy).
  • E2E opzionale / BYOK-CMK: su moduli compatibili, cifratura client-side; chiavi non note a Optlyx.

Dettaglio completo in Security Policy e nell’Allegato 2.

9) Sub-responsabili

Il Titolare autorizza in via generale il ricorso a sub-responsabili, a condizione che il Responsabile:

  • stipuli con ciascuno un accordo scritto conforme all’art. 28(4) GDPR;
  • mantenga un elenco aggiornato e notifichi aggiunte/sostituzioni con preavviso ragionevole, consentendo al Titolare di opporsi per motivi legittimi;
  • resti responsabile verso il Titolare dell’operato dei sub-responsabili.

Esempi: Stripe (pagamenti), Google Cloud Platform (hosting UE), SendGrid/Twilio (email transazionali). Elenco completo nel link sopra.

10) Trasferimenti extra-SEE & SCC

Eventuali trasferimenti verso Paesi terzi avverranno solo con garanzie adeguate, incluse le Clausole Contrattuali Standard (SCC) della Commissione UE (Modulo 2: Titolare→Responsabile; Modulo 3: Responsabile→Sub-responsabile) e, ove opportuno, misure supplementari. Dettagli nell’Allegato 4.

11) Assistenza al Titolare

  • Gestione diritti degli interessati (artt. 15–22 GDPR) con misure tecniche/procedurali adeguate.
  • Supporto per valutazioni d’impatto e consultazioni preventive (artt. 35–36), limitatamente al perimetro della Piattaforma.
  • Supporto per adempimenti documentali e richieste dell’Autorità.

12) Notifica violazioni di dati personali

Il Responsabile informerà il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione di dati personali che impatti i dati del Titolare, fornendo informazioni disponibili ai sensi dell’art. 33(3) GDPR e aggiornandole man mano che emergono ulteriori elementi.

13) Audit e ispezioni

Il Responsabile metterà a disposizione le informazioni necessarie e consentirà audit ragionevoli da parte del Titolare o revisori terzi da lui incaricati, con preavviso scritto di 30 giorni, una volta ogni 12 mesi, salvo eventi di sicurezza rilevanti. Gli audit dovranno minimizzare l’impatto operativo e tutelare riservatezza e sicurezza di terzi.

14) Conservazione, restituzione e cancellazione

  • Alla cessazione del Contratto, il Titolare può richiedere un export dei dati entro 30 giorni.
  • Decorso tale termine, il Responsabile procederà alla cancellazione sicura dei dati, fatti salvi obblighi legali di conservazione e i tempi tecnici di sovrascrittura dei backup.

15) Registri e cooperazione

Il Responsabile mantiene il registro delle categorie di attività di trattamento ex art. 30(2) GDPR e coopera con l’Autorità di controllo competente, su richiesta.

16) Responsabilità e limitazioni

Il regime di responsabilità, indennizzo e limitazioni tra le Parti è quello previsto nel Contratto. In caso di conflitto tra DPA e Contratto, prevale il DPA per i profili privacy, salvo diversa previsione inderogabile delle SCC.

17) Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana. Foro esclusivo: Milano, fatti salvi i diritti inderogabili del Titolare e le previsioni delle SCC ove applicabili.

18) Firma

Il presente DPA entra in vigore con la sottoscrizione del Contratto o con l’attivazione dei servizi Optlyx. Per esecuzione formale, utilizzare il seguente blocco di firma.

ParteNome/RuoloFirmaData
Titolare (Cliente)[Nome, Ruolo]________________________/____/______
Responsabile (Optlyx)[Nome, Ruolo]________________________/____/______

Allegati

Allegato 1 — Dettaglio del trattamento

ElementoDescrizione
OggettoErogazione Piattaforma SaaS Optlyx
DurataPer la durata del Contratto; vedi §14 per post-cessazione
NaturaHosting, elaborazione, archiviazione, supporto, sicurezza
FinalitàFornire e migliorare il servizio; sicurezza; compliance
DatiAccount, log/metadati, fatturazione, contenuti caricati dal Cliente
InteressatiDipendenti/collaboratori del Cliente; utenti autorizzati
Luogo prevalenteUE (es. Francoforte/Milano) — vedi sottoprocessori

Allegato 2 — Misure tecniche e organizzative (TOMs)

  • Cifratura: TLS 1.3 in transito; cifratura a riposo (es. AES-256); E2E opzionale su moduli compatibili.
  • Gestione chiavi: KMS con rotazione; opzione BYOK/CMK (es. integrazione AWS KMS).
  • Accessi: MFA admin; least privilege; segregazione ambienti; SSO/OAuth dove supportato.
  • DevSec: code review, SAST/DAST, dependency scanning/SBOM, CI/CD sicuro.
  • Infrastruttura: VPC segregate, WAF/firewall, protezioni DDoS, hardening immagini.
  • Monitoraggio: log centralizzati, alert su eventi critici, vulnerability/patch management.
  • Business continuity: backup periodici, replica intra-UE, test ripristino ≥2x/anno, RPO/RTO interni (vedi Security Policy).
  • Processi: IRP (incident response), change management, formazione security al personale.

Allegato 3 — Sub-responsabili

Elenco sempre aggiornato all’indirizzo: /terms#sottoprocessori (esempi: Stripe — pagamenti; Google Cloud Platform — hosting UE; SendGrid/Twilio — email transazionali).

Allegato 4 — Clausole Contrattuali Standard (SCC)

Quando applicabili, si intendono incorporate le SCC adottate dalla Commissione Europea il 4 giugno 2021, Moduli 2 e/o 3, inclusi Appendici e misure supplementari, con prevalenza in caso di conflitto con il presente DPA per i soli profili coperti dalle SCC.

Nota operativa: questo modello DPA è pensato per contesti B2B e deve essere letto congiuntamente al Contratto/Termini di Servizio. Non costituisce consulenza legale.