Accordo sul Trattamento dei Dati Personali (DPA)
Data Processing Agreement ai sensi dell'art. 28 GDPR
Ultimo aggiornamento: 20 aprile 2026
Versione: 1.0
1. Premessa
Il presente Accordo sul Trattamento dei Dati (di seguito "DPA" o "Accordo") costituisce parte integrante dei Termini e Condizioni di Servizio di LeadValue sottoscritti tra:
Titolare del trattamento ("Cliente" o "Controller"):
il soggetto che acquista e utilizza il Servizio LeadValue per trattare dati personali dei propri contatti, clienti finali e lead.
Responsabile del trattamento ("Fornitore" o "Processor"):
WS Solution S.r.l. — Malalbergo (BO) — P.IVA 03705651200 — info@leadvalue.it
L'Accordo disciplina il trattamento dei dati personali svolto dal Fornitore per conto del Cliente attraverso il Servizio LeadValue, in conformità al Regolamento UE 2016/679 ("GDPR") e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
2. Oggetto, natura, durata e finalità del trattamento
2.1 Oggetto: fornitura del Servizio SaaS LeadValue, consistente nella messa a disposizione di una piattaforma CRM per la gestione di contatti, clienti, lead e attività correlate.
2.2 Natura del trattamento: raccolta, registrazione, organizzazione, strutturazione, conservazione, estrazione, consultazione, uso, comunicazione, cancellazione dei dati personali.
2.3 Finalità: esclusivamente quelle indicate dal Cliente attraverso l'uso del Servizio, in particolare:
- Gestione anagrafiche contatti e clienti
- Invio comunicazioni (email, WhatsApp) via automazioni e template configurati dal Cliente
- Gestione appuntamenti e agenda
- Monitoraggio pipeline commerciale
- Reportistica aggregata
2.4 Durata: il trattamento perdura per l'intera vigenza del contratto tra le parti, e cessa al recesso con le modalità indicate al par. 10.
2.5 Tipologie di dati trattati per conto del Cliente (interessati = contatti/clienti finali del Cliente):
- Dati identificativi: nome, cognome, data di nascita, codice fiscale, cittadinanza, sesso
- Dati di contatto: email, telefono, indirizzo
- Dati lavorativi: azienda, ruolo, stipendio netto, situazione contrattuale
- Dati finanziari: prestiti in corso, impegni, rate, rapporto reddito/rata
- Dati comunicazionali: cronologia email/WhatsApp, note, consensi
- Documenti allegati: contratti, buste paga, documenti identità (se caricati dal Cliente)
- Dati sensibili (se inseriti dal Cliente): segnalazioni CRIF, dati sanitari se rilevanti per assicurazioni — il Cliente è responsabile di aver acquisito base giuridica adeguata
2.6 Categorie di interessati: contatti commerciali, clienti, lead, potenziali clienti, familiari dei clienti (se inseriti dal Cliente).
3. Istruzioni del Titolare
3.1 Il Processor tratta i dati personali esclusivamente sulla base di istruzioni documentate del Controller, incluse le istruzioni contenute nei presenti Termini, nel DPA e nelle configurazioni effettuate dal Controller attraverso l'interfaccia del Servizio.
3.2 Qualora il Processor ritenga che un'istruzione del Controller violi il GDPR o altre norme in materia di protezione dei dati, ne informa immediatamente il Controller.
4. Obblighi di riservatezza
4.1 Il Processor garantisce che le persone autorizzate al trattamento dei dati personali (dipendenti, collaboratori, consulenti) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
4.2 L'accesso ai dati è limitato al personale strettamente necessario per l'erogazione del Servizio, secondo il principio del "need to know".
5. Misure di sicurezza (art. 32 GDPR)
Il Processor adotta le seguenti misure tecniche e organizzative:
Misure tecniche:
- Crittografia TLS 1.2+ per tutte le comunicazioni (HTTPS obbligatorio)
- Password hashed con bcrypt (cost factor ≥ 12)
- Autenticazione a più fattori disponibile per account amministratori
- Token OAuth per integrazioni terze (mai credenziali in chiaro)
- Backup automatici giornalieri su infrastruttura separata
- Isolamento tra istanze tenant (database separati o schema separati)
- Firewall infrastruttura e monitoraggio accessi
- Aggiornamenti di sicurezza del sistema operativo e delle dipendenze software
Misure organizzative:
- Policy di rotazione password e gestione segreti
- Logging degli accessi amministrativi
- Procedura di risposta agli incidenti
- Formazione periodica del personale sulla protezione dei dati
- Principio di minimizzazione nel design delle funzionalità
6. Sub-processor autorizzati
Il Controller autorizza il Processor ad avvalersi dei seguenti sub-processor per l'erogazione del Servizio:
| Sub-processor | Finalità | Paese | Trasferimento extra-UE |
|---|---|---|---|
| IONOS SE | Hosting infrastruttura, database MySQL | Germania (UE) | No |
| Google Ireland Ltd | Google Calendar API, OAuth authentication | Irlanda (UE) / USA | Sì — Data Privacy Framework |
| Meta Platforms Ireland Ltd | Meta Ads API (per campagne del Cliente) | Irlanda (UE) / USA | Sì — SCC + misure supplementari |
| Anthropic PBC | Funzionalità di AI (assistenti, suggerimenti) quando attivate dal Cliente | USA | Sì — SCC (Standard Contractual Clauses) |
| Stripe Payments Europe Ltd | Elaborazione pagamenti del Servizio | Irlanda (UE) / USA | Sì — SCC + Data Privacy Framework |
| WhatsApp Business API (Meta) | Invio messaggi via automazioni configurate dal Cliente | Irlanda (UE) / USA | Sì — SCC + misure supplementari |
6.1 Il Controller autorizza espressamente l'utilizzo dei sub-processor sopra elencati con la sottoscrizione del presente DPA.
6.2 Il Processor notificherà al Controller via email qualsiasi modifica all'elenco sub-processor con preavviso di almeno 30 giorni, consentendo al Controller di opporsi per giustificate ragioni. In caso di opposizione motivata, il Controller ha diritto di recedere senza penali se non si trova accordo.
6.3 Il Processor garantisce di aver stipulato con ciascun sub-processor contratti che impongono obblighi di protezione dati equivalenti a quelli del presente DPA.
7. Trasferimenti extra-UE
Per i sub-processor con trattamento extra-UE, il Processor adotta le garanzie previste dal GDPR (Capo V):
- Data Privacy Framework (per sub-processor USA certificati)
- Standard Contractual Clauses (SCC) aggiornate (decisione UE 2021/914)
- Misure supplementari tecniche e organizzative come da Raccomandazioni EDPB 01/2020
8. Diritti degli interessati
8.1 Il Processor assiste il Controller, mediante misure tecniche e organizzative adeguate, nel rispondere alle richieste degli interessati ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
8.2 Il Servizio mette a disposizione del Controller strumenti per:
- Esportare i dati di un interessato in formato strutturato (CSV/JSON)
- Cancellare o anonimizzare un interessato
- Modificare i dati di un interessato
8.3 Qualora un interessato si rivolga direttamente al Processor, quest'ultimo inoltra la richiesta al Controller senza ritardo, salvo che la richiesta sia manifestamente infondata o eccessiva.
9. Data Breach Notification (art. 33 GDPR)
9.1 In caso di violazione di dati personali (data breach) rilevante, il Processor notifica il Controller senza ingiustificato ritardo, e comunque entro 48 ore dalla scoperta, fornendo:
- Natura della violazione, categorie e numero approssimativo di interessati e record coinvolti
- Contatto del DPO/referente privacy del Processor
- Conseguenze probabili della violazione
- Misure adottate o proposte per affrontarla
9.2 È responsabilità del Controller notificare la violazione al Garante Privacy entro 72 ore e, se del caso, agli interessati, se ricade nei casi previsti dall'art. 33-34 GDPR.
10. Cancellazione o restituzione dei dati
10.1 Alla cessazione del rapporto contrattuale, il Controller ha 30 giorni per richiedere:
- Restituzione dei dati in formato strutturato (CSV/JSON/backup SQL)
- Cancellazione dei dati
10.2 Trascorsi i 30 giorni senza richiesta, il Processor procede alla cancellazione dei dati, fatti salvi obblighi di conservazione di legge (fatturazione, adempimenti fiscali: 10 anni per dati amministrativi).
10.3 Retention standard post-cessazione contratto: 12 mesi per finalità di supporto al Cliente in caso di ripensamento o contestazioni, poi cancellazione definitiva (esclusi obblighi di legge).
11. Audit e verifiche
11.1 Il Controller ha diritto di verificare il rispetto del presente DPA attraverso:
- Richiesta di documentazione sulle misure di sicurezza adottate
- Audit annuale presso il Processor, con preavviso di almeno 30 giorni, nei giorni lavorativi e in orario d'ufficio, nei limiti del ragionevole
11.2 I costi dell'audit sono a carico del Controller, salvo sia rilevata una non conformità sostanziale del Processor.
11.3 Il Processor può soddisfare i diritti di audit anche fornendo report di audit di terze parti (es. SOC 2, ISO 27001) se disponibili.
12. Responsabilità e indennizzo
12.1 Ciascuna parte risponde dei danni causati dal proprio inadempimento agli obblighi del GDPR e del presente DPA.
12.2 Il Processor è responsabile solo nel caso in cui non abbia adempiuto agli obblighi specificamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle istruzioni del Controller (art. 82.2 GDPR).
13. Durata e modifiche
13.1 Il presente DPA ha durata pari a quella del contratto principale e cessa con esso.
13.2 Modifiche al DPA vengono comunicate al Controller via email con preavviso di almeno 30 giorni. In caso di modifiche sostanziali sfavorevoli, il Controller può recedere senza penali.
14. Foro competente
Per qualsiasi controversia relativa al presente DPA è competente il Foro di Bologna.
Sottoscritto tra le parti con la conclusione del contratto di fornitura del Servizio LeadValue.
WS Solution S.r.l. — Malalbergo (BO) — P.IVA 03705651200 — info@leadvalue.it
Ciao! Hai domande sul CRM o vuoi una demo? Scrivimi qui, ti rispondo subito.
Chatta su WhatsApp