Legale

Accordo sul trattamento dei dati

Ultimo aggiornamento: 18 maggio 2026

Questo Accordo sul trattamento dei dati ("DPA") regola il trattamento dei dati personali effettuato da Zentria per tuo conto nell'ambito della fornitura del Servizio. Implementa l'articolo 28 del GDPR e costituisce parte integrante dei nostri Termini di servizio.

Accettazione automatica. Accettando i Termini di servizio e utilizzando Zentria per trattare dati personali, accetti questo DPA per conto della tua organizzazione, che diventa Titolare del trattamento. Non è richiesta una controfirma. Se hai bisogno di una copia firmata su carta intestata per i tuoi archivi, scrivi a zentriacrm@happycloudstudio.com e te ne forniremo una.

1. Parti

Responsabile del trattamento: Happy Cloud Studio Sp. z o.o., Ul. Grzybowska 87, 00-844 Varsavia, Polonia, NIP 5272786566 ("noi" o "Zentria").
Titolare del trattamento: il cliente che ha accettato i Termini di servizio di Zentria ("tu" o "Titolare").

2. Definizioni

I termini in maiuscolo hanno il significato attribuito loro dal GDPR (Regolamento (UE) 2016/679). "Dati personali", "Trattamento", "Titolare", "Responsabile", "Sub-responsabile", "Interessato" e "Violazione di dati personali" sono usati come ivi definiti. "Servizio" ha il significato attribuito nei Termini di servizio.

3. Oggetto e durata

Questo DPA copre il Trattamento dei Dati personali che Zentria effettua per tuo conto al solo fine di fornire il Servizio. Il Trattamento prosegue per tutto il tempo in cui hai un workspace attivo e termina con la chiusura del workspace, fatti salvi gli obblighi di cancellazione e restituzione previsti dalla sezione 12.

4. Natura, finalità e tipi di dati

I dettagli sono indicati nell'Allegato 1 (Descrizione del Trattamento).

5. Le tue istruzioni

Trattiamo i Dati personali solo sulla base delle tue istruzioni documentate. L'uso del Servizio nella sua configurazione standard costituisce un'istruzione documentata. I Termini di servizio, questo DPA e qualsiasi funzione che attivi all'interno del Servizio descrivono insieme la portata di tali istruzioni. Puoi impartire ulteriori istruzioni per iscritto; ti diremo se riteniamo che un'istruzione violi la legge applicabile in materia di protezione dei dati prima di agire su di essa.

6. Riservatezza

Assicuriamo che il personale autorizzato a trattare Dati personali sia soggetto a obblighi scritti di riservatezza o ad appropriati doveri di riservatezza previsti dalla legge, e che l'accesso sia limitato al personale che ne ha bisogno per svolgere il proprio ruolo.

7. Sicurezza del trattamento

Implementiamo misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell'arte e della natura dei dati che trattiamo. Una descrizione delle misure attuali è riportata nell'Allegato 3 (Misure tecniche e organizzative).

8. Sub-responsabili

Ci dai un'autorizzazione generale a coinvolgere Sub-responsabili per fornire il Servizio. Ogni Sub-responsabile è vincolato da un accordo scritto che impone obblighi di protezione dei dati non meno protettivi di quelli previsti in questo DPA.

L'elenco attuale dei Sub-responsabili è riportato nell'Allegato 2. Ti daremo un preavviso di almeno 30 giorni prima di aggiungere o sostituire un Sub-responsabile, via email al Titolare del workspace o tramite avviso nel Servizio. Se ti opponi alla modifica per ragionevoli motivi di protezione dei dati, puoi recedere dall'abbonamento relativamente al Servizio interessato prima che il nuovo Sub-responsabile inizi il trattamento. La cessazione per questo motivo durante un piano a pagamento ti dà diritto a un rimborso proporzionale degli importi prepagati.

Rimaniamo responsabili degli atti e delle omissioni dei nostri Sub-responsabili nella stessa misura in cui siamo responsabili ai sensi di questo DPA.

9. Trasferimenti internazionali

I Dati personali sono trattati principalmente all'interno dello Spazio Economico Europeo. Quando i Dati personali sono trasferiti verso un Paese al di fuori dello SEE non riconosciuto dalla Commissione europea come fornitore di un livello adeguato di protezione, il trasferimento è regolato dalle Clausole contrattuali standard della Commissione europea (Modulo 3 per trasferimenti Responsabile-a-Responsabile, Modulo 2 per trasferimenti Titolare-a-Responsabile, ove rilevante), con misure tecniche e organizzative supplementari ove opportuno. Ci autorizzi a stipulare Clausole contrattuali standard con i Sub-responsabili per tuo conto a tal fine.

10. Assistenza per i diritti degli interessati

Il Servizio include funzioni che ti consentono, in qualità di Titolare, di evadere direttamente le richieste degli Interessati (accesso, rettifica, cancellazione, limitazione ed esportazione dei dati dalle impostazioni del workspace). Quando riceviamo una richiesta da un Interessato relativa al tuo workspace, senza indebito ritardo:

Inoltreremo la richiesta a te.
Non risponderemo direttamente alla richiesta, salvo per confermarne la ricezione e indirizzare l'Interessato a te.

Ti assisteremo, a tue spese ove l'assistenza sia sostanziale, nella risposta a tali richieste tramite misure tecniche e organizzative appropriate.

11. Violazioni di dati personali

Ti notificheremo senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui veniamo a conoscenza di una Violazione di dati personali che riguarda i tuoi Dati personali. La notifica includerà, nella misura nota:

La natura della violazione, incluse le categorie e i numeri approssimativi di Interessati e record interessati.
Le probabili conseguenze della violazione.
Le misure adottate o proposte per affrontare la violazione e mitigarne gli effetti.
Nome e contatti della persona da contattare per maggiori informazioni.

Resti responsabile della notifica all'autorità di controllo competente e, ove richiesto, agli Interessati interessati ai sensi degli articoli 33 e 34 del GDPR.

12. Cancellazione e restituzione dei dati

Al termine o alla scadenza del tuo abbonamento, e a tua scelta:

Puoi esportare i contenuti del workspace in un formato leggibile da macchina dal Servizio prima della cessazione.
Dopo l'eliminazione del workspace, i Dati del cliente sono cancellati in modo soft immediatamente e cancellati definitivamente entro 30 giorni, salvo quando la conservazione è richiesta dalla legge (per esempio, le fatture richieste dalla legge fiscale polacca).
I backup contenenti dati cancellati vengono ruotati e sovrascritti entro 30 giorni.

Confermeremo per iscritto il completamento della cancellazione su tua richiesta scritta.

13. Audit e ispezioni

Renderemo disponibili tutte le informazioni ragionevolmente necessarie per dimostrare la conformità all'articolo 28 del GDPR, anche fornendo sintesi dei rapporti di audit di terze parti dei nostri Sub-responsabili (come i report SOC 2). Puoi, con ragionevole preavviso scritto e non più di una volta ogni dodici mesi, effettuare un audit limitato alla verifica della nostra conformità a questo DPA. Gli audit sono condotti a tue spese, durante il normale orario lavorativo, in modo da non perturbare irragionevolmente le nostre operazioni e nel rispetto degli obblighi di riservatezza.

14. Responsabilità

La responsabilità di ciascuna parte ai sensi di questo DPA è soggetta alle limitazioni di responsabilità previste nei Termini di servizio. Nulla in questa sezione limita il diritto di un Interessato di promuovere azioni contro l'una o l'altra parte ai sensi dell'articolo 82 del GDPR.

15. Conflitto

Se una disposizione dei Termini di servizio è in conflitto con questo DPA in relazione al Trattamento dei Dati personali, prevale questo DPA.

16. Legge applicabile

Questo DPA è regolato dalla legge polacca, fatte salve le tutele riconosciute agli Interessati dalla legge locale.

17. Contatti

Happy Cloud Studio Sp. z o.o.
Ul. Grzybowska 87, 00-844 Varsavia, Polonia
Contatto privacy: Franco Toccu
Email: zentriacrm@happycloudstudio.com

Allegato 1: Descrizione del trattamento

Oggetto

Fornitura del Servizio CRM Zentria, inclusi hosting, archiviazione e presentazione dei Dati del cliente per conto del Titolare.

Durata

La durata dell'abbonamento del Titolare al Servizio, più ogni periodo di conservazione post-cessazione come descritto nella sezione 12.

Natura e finalità

Archiviazione, organizzazione, recupero, visualizzazione ed esportazione dei Dati del cliente affinché il Titolare e i suoi utenti autorizzati possano gestire la propria pipeline commerciale.

Categorie di Interessati

Gli utenti autorizzati del Titolare (Titolare del workspace, Commerciali).
I clienti, prospect e contatti commerciali del Titolare, come inseriti nel Servizio.

Tipi di Dati personali

Dati identificativi e di contatto: nomi, indirizzi email, numeri di telefono, ragioni sociali, qualifiche.
Dati commerciali: valore della trattativa, valuta, fase di pipeline, origine del lead, note, attività, allegati caricati nel Servizio.
Dati di autenticazione per gli utenti autorizzati: password con hash, token di sessione.
Eventuali ulteriori Dati personali che il Titolare scelga di inserire in campi di testo libero.

Il Titolare si impegna a non inserire categorie particolari di Dati personali (come definite all'articolo 9 del GDPR) o dati relativi a condanne penali (articolo 10 del GDPR) nel Servizio.

Allegato 2: Sub-responsabili

Elenco attuale alla data di "Ultimo aggiornamento" sopra. La versione più recente è sempre pubblicata su zentriacrm.com/it/dpa.

Sub-responsabile	Servizio	Ubicazione
Supabase Inc.	Database Postgres gestito, autenticazione, archiviazione oggetti	Francoforte, Germania (UE). Entità aziendale negli Stati Uniti.
Cloudflare, Inc.	Hosting web, CDN, runtime edge dell'applicazione, protezione DDoS	Rete edge globale. Entità aziendale negli Stati Uniti.
Formspree, Inc.	Recapito dei messaggi inviati tramite il modulo di contatto del nostro sito	Stati Uniti

Aggiunte pianificate, che saranno aggiunte a questo Allegato con un preavviso di almeno 30 giorni prima di iniziare il trattamento di Dati personali:

Brevo (Sendinblue SAS): recapito di email transazionali, Francia (UE).
Revolut Bank UAB: elaborazione dei pagamenti per gli abbonamenti a pagamento, Lituania (UE).

Allegato 3: Misure tecniche e organizzative

Controllo degli accessi

Accesso basato sui ruoli all'interno dell'applicazione (Titolare, Commerciale, Superuser).
Policy di sicurezza a livello di riga nello strato del database per imporre l'isolamento dei workspace.
Principio del minimo privilegio per l'accesso del personale ai sistemi di produzione.
Autenticazione multifattore disponibile sugli account utente.

Crittografia

TLS 1.2 o superiore per tutti i dati in transito.
Crittografia a riposo per il database e l'archiviazione oggetti a livello di infrastruttura.
Password memorizzate come hash con salt; nessuna password in chiaro su disco.

Integrità e disponibilità

Backup automatici regolari del database di produzione, conservati fino a 30 giorni.
Test periodici di ripristino.
Protezione DDoS e Web Application Firewall sull'edge.
Log applicativi rivisti per anomalie.

Riservatezza e personale

Obblighi scritti di riservatezza per tutto il personale con accesso ai dati di produzione.
Aspettative di consapevolezza sulla sicurezza comunicate al personale.

Risposta agli incidenti

Procedura documentata di risposta alle Violazioni di dati personali con un obiettivo di notifica al titolare entro 72 ore.
Responsabilità definite e percorso di escalation interno.

Revisione continua

Queste misure sono riviste periodicamente e aggiornate per riflettere i cambiamenti nella tecnologia, nelle minacce e nelle nostre attività di trattamento.