Vai al contenuto
Linkly
Prenota una demo
Documento legale · v1.0

Data Processing Agreement

Ultimo aggiornamento 24 maggio 2026
Data efficacia 24 maggio 2026
Versione 1.0

Il presente Data Processing Agreement ("DPA") è redatto ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") e disciplina il trattamento dei dati personali effettuato da SORAIA S.R.L. in qualità di Responsabile del trattamento per conto del Cliente in qualità di Titolare del trattamento, nell'ambito della fornitura del servizio Linkly.

Versione modello pubblica: il presente documento riproduce in forma integrale il testo del DPA che SORAIA S.R.L. sottoscrive con ciascun cliente Linkly. Il DPA sottoscritto bilateralmente è parte integrante del contratto di fornitura e costituisce l'allegato A del medesimo. Le clausole di seguito riportate sono identiche a quelle contrattuali, salvo l'inserimento dei dati identificativi specifici del Titolare al momento della sottoscrizione.

1. Parti

Tra:

  • [Cliente], con sede in [indirizzo], P. IVA [IT…], in qualità di Titolare del trattamento ai sensi dell'art. 4(7) GDPR (di seguito "Titolare")
  • e SORAIA S.R.L., con sede legale in Via Losana 13, 13900 Biella (BI), Italia, P. IVA IT02820060024, in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR (di seguito "Responsabile")

congiuntamente "Parti".

2. Oggetto

Il presente Accordo disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'utilizzo della piattaforma Linkly.

3. Durata del trattamento

Il trattamento avrà durata pari a quella del contratto principale di fornitura tra le Parti. Alla cessazione, si applicano le disposizioni previste alla sezione 12 del presente accordo.

4. Natura e finalità del trattamento

Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità:

  • acquisizione e digitalizzazione contatti (es. badge, biglietti da visita, QR code) tramite riconoscimento ottico (OCR)
  • archiviazione, organizzazione e gestione tecnica dei dati
  • arricchimento dei dati tramite fonti pubbliche e provider terzi
  • strutturazione, normalizzazione e classificazione dei dati tramite tecnologie di intelligenza artificiale
  • generazione di template di follow-up commerciali (su istruzioni del Titolare)
  • integrazione tecnica con sistemi CRM, gestionali e marketing del Titolare
  • elaborazione di reportistica e analytics post-evento
  • supporto tecnico e manutenzione della Piattaforma

5. Tipologie di dati trattati

5.1 Dati forniti direttamente dal Titolare o dai suoi utenti

  • nome e cognome
  • azienda
  • ruolo
  • email professionale
  • numero di telefono professionale
  • note e valutazioni commerciali inserite dall'utente

5.2 Dati acquisiti automaticamente

  • dati estratti tramite OCR da biglietti da visita e badge evento
  • dati codificati in QR code
  • fonte di acquisizione (evento, data, modalità, utente che ha effettuato la scansione)

5.3 Dati arricchiti

  • email professionali
  • numeri di telefono
  • profili LinkedIn pubblici
  • informazioni aziendali pubbliche (settore, dimensione, sede)

5.4 Dati tecnici

  • indirizzo IP
  • log di accesso
  • identificativi dispositivo
  • timestamp delle operazioni

5.5 Esclusioni

Il Titolare si impegna a non caricare nella Piattaforma categorie particolari di dati (art. 9 GDPR: dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose, dati biometrici, dati sulla salute, dati sulla vita o orientamento sessuale) né dati relativi a condanne penali e reati (art. 10 GDPR). Eventuali violazioni di questo impegno costituiscono responsabilità esclusiva del Titolare.

6. Categorie di interessati

  • contatti professionali B2B raccolti in fiere ed eventi (lead)
  • dipendenti e collaboratori del Titolare autorizzati all'uso della Piattaforma
  • referenti commerciali e amministrativi del Titolare

7. Istruzioni del Titolare

Il Responsabile:

  • tratta i dati esclusivamente su istruzioni documentate del Titolare (art. 28.3.a GDPR), incluso il presente Accordo, il contratto principale e le configurazioni operative della Piattaforma
  • non utilizza i dati per finalità proprie o per servizi a terzi
  • non effettua decisioni interamente automatizzate con effetti giuridici o significativi sull'interessato ai sensi dell'art. 22 GDPR
  • informa immediatamente il Titolare qualora ritenga che un'istruzione violi il GDPR o altra normativa applicabile (art. 28.3 ultimo comma GDPR)

8. Obblighi del Responsabile

Il Responsabile si impegna a:

  • garantire la riservatezza dei dati personali
  • autorizzare al trattamento solo personale formato e vincolato al segreto (art. 28.3.b GDPR; art. 29 GDPR)
  • implementare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (vedi sezione 9)
  • assistere il Titolare nel rispetto degli obblighi GDPR (artt. 32-36 GDPR), inclusi DPIA e consultazioni preventive
  • notificare al Titolare eventuali violazioni di dati personali senza ingiustificato ritardo (vedi sezione 15)
  • rendere disponibili al Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire audit (vedi sezione 14)
  • cancellare o restituire al Titolare i dati alla cessazione del rapporto (vedi sezione 12)

9. Sicurezza del trattamento

SORAIA adotta misure tecniche e organizzative proporzionate al rischio ai sensi dell'art. 32 GDPR, tra cui:

  • Cifratura dei dati in transito tramite TLS 1.2 o superiore con cipher suite moderne
  • Cifratura dei dati at-rest su database (AES-256)
  • Controlli di accesso basati su credenziali individuali, principio del minimo privilegio, separazione dei ruoli
  • Autenticazione multi-fattore obbligatoria per gli account amministrativi e degli sviluppatori
  • Hashing delle password con bcrypt (cost factor adeguato)
  • Logging e monitoraggio degli accessi amministrativi (retention 12 mesi)
  • Separazione logica degli ambienti (dev/staging/prod) e dei dati dei clienti (multi-tenant con isolamento logico)
  • Backup automatici giornalieri con procedure di disaster recovery testate periodicamente
  • Gestione formale degli incidenti di sicurezza (incident response plan)
  • Revisione periodica degli accessi (review trimestrale)
  • Patch management per le componenti soggette a vulnerabilità note
  • Penetration test periodici sulle componenti critiche
  • Formazione del personale autorizzato (annuale)
  • Cancellazione o anonimizzazione dei dati alla cessazione del servizio
  • Infrastruttura prevalentemente localizzata in Unione Europea (vedi sezione 11 per dettagli sub-processori)

10. Sub-responsabili

Il Titolare autorizza, in via generale, il Responsabile a ricorrere a sub-responsabili del trattamento (sub-processori) ai sensi dell'art. 28.2 GDPR.

Il Responsabile utilizza sub-processori appartenenti alle seguenti categorie:

  • infrastruttura backend e database
  • frontend application
  • automazione e orchestrazione workflow
  • provider AI per OCR, strutturazione, generazione testo
  • provider di data enrichment B2B
  • servizi di ricerca su fonti pubbliche

L'elenco specifico e aggiornato dei sub-processori, con indicazione di nome, ruolo, localizzazione del trattamento e strumento di trasferimento extra-UE applicato, è fornito al Titolare al momento della sottoscrizione del contratto e in ogni successivo aggiornamento.

Il Responsabile garantisce che:

  • ogni sub-responsabile è vincolato da obblighi contrattuali equivalenti a quelli del presente DPA, tramite Data Processing Agreement firmato
  • per i sub-processori con sede extra-UE sono adottate le tutele previste dagli artt. 44 e seguenti GDPR (Standard Contractual Clauses, decisioni di adeguatezza, EU-US Data Privacy Framework ove applicabile)
  • eventuali modifiche all'elenco (aggiunte o sostituzioni) sono comunicate via email al Titolare con preavviso di 30 giorni, durante i quali il Titolare può sollevare obiezione motivata per iscritto. In caso di obiezione, le Parti negoziano in buona fede una soluzione; in assenza di accordo, ciascuna Parte può recedere dal contratto senza penali

11. Trasferimenti extra UE

Qualora i dati personali siano trasferiti al di fuori dello Spazio Economico Europeo (SEE), il Responsabile garantisce il rispetto degli artt. 44 e seguenti del GDPR tramite gli strumenti previsti dalla normativa:

  • Decisioni di adeguatezza ai sensi dell'art. 45 GDPR (es. UK, Svizzera, Giappone)
  • EU-US Data Privacy Framework (DPF) per i sub-processori statunitensi aderenti
  • Standard Contractual Clauses (SCC) approvate dalla Commissione UE con Decisione di esecuzione 2021/914 (modulo 3 per i rapporti responsabile→sub-responsabile)
  • Misure supplementari tecniche e organizzative ove necessarie alla luce della giurisprudenza Schrems II e delle Raccomandazioni 01/2020 EDPB (cifratura, pseudonimizzazione, controlli contrattuali sulle richieste governative)

Per ciascun sub-processore extra-UE, SORAIA conduce una Transfer Impact Assessment (TIA) documentata.

12. Restituzione e cancellazione dei dati

Alla cessazione del contratto, il Responsabile:

  • rende disponibili al Titolare i dati personali in formato strutturato e di uso comune (CSV, JSON, o formato concordato) per un periodo massimo di 30 giorni dalla data di cessazione
  • trascorso tale termine, procede alla cancellazione sicura o, su richiesta scritta del Titolare, all'anonimizzazione dei dati
  • cancella i dati anche dai backup secondo le ordinarie procedure di rotazione (al massimo entro 90 giorni dalla cessazione)
  • conserva esclusivamente i dati necessari per adempiere a obblighi di legge (es. fatturazione, contenzioso, antiriciclaggio), con accesso limitato e per il tempo strettamente necessario
  • su richiesta del Titolare, fornisce una certificazione scritta dell'avvenuta cancellazione

13. Assistenza al Titolare

Il Responsabile assiste il Titolare, tenuto conto della natura del trattamento e delle informazioni a disposizione, per:

  • la gestione delle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR), nei termini previsti dal GDPR
  • la conduzione di valutazioni d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR, fornendo le informazioni tecniche e organizzative pertinenti
  • le consultazioni preventive con l'autorità di controllo ai sensi dell'art. 36 GDPR
  • la documentazione necessaria per dimostrare il rispetto degli obblighi GDPR (registro dei trattamenti, misure di sicurezza, sub-processori)

L'assistenza è fornita gratuitamente per le attività ordinarie. Per richieste straordinarie che richiedano significativo impegno tecnico, possono essere concordati corrispettivi specifici, sempre nei limiti del costo effettivo sostenuto.

14. Audit

Il Titolare ha diritto, ai sensi dell'art. 28.3.h GDPR, di richiedere informazioni e verificare il rispetto degli obblighi del Responsabile. Le modalità sono le seguenti:

  • Audit documentale annuale: il Titolare può richiedere copia dei documenti tecnici e organizzativi pertinenti (policy di sicurezza, certificazioni se presenti, report di penetration test sintetici, elenco sub-processori). SORAIA risponde entro 30 giorni
  • Audit on-site o remoti: su richiesta motivata, le Parti concordano data e modalità. L'audit è limitato a quanto strettamente necessario e non deve compromettere la sicurezza degli altri clienti o la continuità del servizio. Eventuali costi sostenuti da SORAIA per l'attivazione di personale dedicato sono a carico del Titolare salvo che l'audit riveli inadempimenti del Responsabile
  • Audit attivati dall'autorità di controllo: SORAIA collabora pienamente, senza oneri aggiuntivi per il Titolare

15. Notifica di violazione (art. 33 GDPR)

Il Responsabile, venuto a conoscenza di una violazione di dati personali (data breach) che coinvolge dati trattati per conto del Titolare, è tenuto a:

  • Notificare al Titolare senza ingiustificato ritardo dopo esserne venuto a conoscenza, e comunque entro 48 ore (margine operativo che consente al Titolare di rispettare il termine di 72 ore previsto dall'art. 33 GDPR verso l'autorità)
  • fornire al Titolare almeno le seguenti informazioni:
    • natura della violazione, categorie e numero approssimativo di interessati e di record coinvolti
    • nome e dati di contatto del punto di contatto SORAIA per la gestione dell'incidente
    • probabili conseguenze della violazione
    • misure adottate o proposte per affrontare la violazione e mitigare gli effetti negativi
  • aggiornare il Titolare progressivamente man mano che emergono nuovi elementi
  • collaborare alla notifica al Garante e, ove applicabile, alla comunicazione agli interessati (artt. 33-34 GDPR)
  • conservare documentazione della violazione e delle azioni intraprese (art. 33.5 GDPR)

Il punto di contatto SORAIA per la notifica di violazioni e per qualsiasi questione di sicurezza è: privacy@soraia.io.

16. Responsabilità

Il Responsabile è responsabile esclusivamente per violazioni del GDPR o del presente DPA imputabili al proprio operato (art. 82.2 GDPR).

Resta esclusa ogni responsabilità del Responsabile per:

  • trattamenti effettuati direttamente dal Titolare
  • uso illecito o non conforme dei dati da parte del Titolare
  • violazioni normative imputabili al Titolare (es. mancata informativa agli interessati, base giuridica inadeguata, uso oltre i limiti dell'informativa)
  • inserimento di categorie di dati non ammesse (artt. 9, 10 GDPR) o di dati di minori
  • danni derivanti da malfunzionamenti di sistemi terzi controllati dal Titolare

17. Disposizioni finali

Il presente DPA costituisce parte integrante del contratto principale di fornitura. In caso di conflitto tra le disposizioni del presente DPA e quelle del contratto principale in materia di protezione dei dati personali, prevalgono le disposizioni del presente DPA.

Eventuali modifiche al presente DPA devono essere concordate per iscritto. SORAIA può proporre aggiornamenti per adeguamento a modifiche normative, comunicandoli al Titolare con preavviso di 30 giorni; in mancanza di obiezione scritta, le modifiche si intendono accettate.

Per quanto non espressamente previsto, si rinvia alle disposizioni del GDPR, della normativa nazionale di adeguamento (D.lgs. 196/2003 e successive modifiche) e delle Linee Guida EDPB applicabili.

Contatti per la protezione dei dati

Per qualsiasi domanda relativa al trattamento dei dati personali, all'esercizio dei diritti GDPR, o per ricevere copia del Data Processing Agreement, contattare:

Responsabile della Protezione dei Dati (DPO): non designato. SORAIA S.R.L. non è soggetta all'obbligo di designazione del DPO ai sensi dell'art. 37 GDPR (assenza dei requisiti di cui ai par. 1 lett. b e c). Le richieste degli interessati e dei DPO dei clienti sono gestite direttamente dalla funzione privacy aziendale tramite i recapiti sopra.

Reclami: ferma restando la possibilità di rivolgersi direttamente al Titolare/Responsabile, gli interessati hanno il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali italiana (garanteprivacy.it) o ad altra autorità di controllo competente in base alla propria residenza.

Modifiche al documento

SORAIA S.R.L. si riserva il diritto di aggiornare il presente documento per ragioni normative o evoluzioni del servizio. Le modifiche sostanziali saranno comunicate ai clienti attivi tramite email e pubblicate sulla presente pagina con aggiornamento della data di ultima modifica.

Approfondisci con AI

Le pagine Linkly sono ottimizzate per essere lette correttamente dagli assistenti AI. Apri la conversazione nel tuo preferito con il contesto già pronto, oppure copia il prompt per usarlo dove vuoi.

ChatGPT Claude Perplexity Gemini