bisc8.app
Accedi
Versione 0.3 — DRAFT

DATA PROCESSING AGREEMENT

Data di entrata in vigore: 16 maggio 2026

1. Parti e successione contrattuale

Allegato ai Termini di Servizio. Stipulato ai sensi dell'Art. 28 GDPR.

  • Titolare: il Cliente BISC8 (utente B2B con account attivo)
  • Responsabile: il soggetto giuridico che eroga il Servizio BISC8. Alla data di pubblicazione del presente DPA il Responsabile è Hysen Drogu, Libero Professionista — P.IVA 13656721001, Via Rodolfo Verduzio 14, 00132 Roma (RM).

Successione del Responsabile. Qualora il Responsabile sia sostituito a seguito di operazione di conferimento di ramo d'azienda ex artt. 2555 cod. civ. e 176 TUIR, fusione, scissione, trasformazione o cessione d'azienda, il nuovo Responsabile subentra automaticamente nel presente DPA assumendone tutti gli obblighi (art. 28.3 GDPR), incluse le istruzioni documentate del Titolare, le misure di sicurezza art. 32, gli obblighi di assistenza, l'Allegato sub-processor e le SCC 2021/914. La sostituzione viene comunicata al Titolare via email con almeno 30 giorni di anticipo. Non costituisce sub-processing ai sensi dell'art. 28.2 GDPR poiché non implica trasferimento del trattamento a soggetto distinto ulteriore, bensì successione universale (o particolare ex art. 2558 cod. civ.) nella posizione giuridica del Responsabile. Resta impregiudicato il diritto del Titolare di obiettare ai sensi del § 5 qualora ritenga che la sostituzione comprometta la conformità del trattamento.

Versione PDF firmabile disponibile su richiesta.

2. Oggetto, Natura, Durata, Finalità

  • Oggetto: trattamento di dati pseudonimizzati di visitatori del sito web del Titolare per gestione del consenso cookie
  • Natura: raccolta, registrazione, conservazione, consultazione, cancellazione di consent receipt
  • Durata: durata del contratto SaaS BISC8
  • Finalità: prova del consenso (Art. 7 GDPR) e adempimenti normativi (Garante Provv. 10/6/2021)

3. Categorie di Interessati e Dati

  • Interessati: visitatori del sito web del Titolare
  • Dati pseudonimizzati: hash SHA-256 (IP + User-Agent + pepper segreto), timestamp UTC, scope consenso (jsonb), country code ISO-2, lingua, banner_version, policy_version, proof_hash
  • NESSUN IP diretto né dato personale identificabile

4. Obblighi del Responsabile (Art. 28.3)

  • Trattare solo su istruzione documentata del Titolare (Termini di Servizio + DPA)
  • Confidenzialità del personale autorizzato
  • Misure di sicurezza Art. 32 — vedi §7
  • Assistere il Titolare per Art. 32-36 (sicurezza, breach notification, DPIA)
  • Assistere il Titolare nei diritti Art. 15-22 degli interessati
  • Cancellare o restituire i dati a fine contratto (a scelta del Titolare)
  • Mettere a disposizione del Titolare le informazioni necessarie + audit

5. Sub-processor (Art. 28.2)

Autorizzazione generale. Lista pubblica e versionata: /legal/sub-processors. Le modifiche vengono notificate al Titolare via email 30 giorni prima dell'efficacia. Il Titolare ha diritto di obiettare con risoluzione del contratto entro 30 giorni dalla notifica.

6. Trasferimenti Extra-UE

Database primario in EU (Supabase eu-west-1, Ireland). Vendor con server US (Vercel, Stripe) coperti da:

  • Data Privacy Framework (DPF) certified
  • SCC Reg. UE 2021/914 Allegati I-IV controfirmate
  • Transfer Impact Assessment (TIA) disponibile su richiesta

7. Misure di Sicurezza (Art. 32)

  • Encryption at rest AES-256 (Supabase managed)
  • Encryption in transit TLS 1.3
  • Pseudonimizzazione SHA-256 + pepper segreto (rotazione annuale)
  • RLS Postgres su tutte le tabelle
  • Audit log immutabile (system_access_log)
  • MFA TOTP obbligatorio su accessi privilegiati
  • Rate limit IP-hash su endpoint pubblici
  • Backup PITR rolling 7 giorni
  • Code review + dependency scanning

8. Data Breach (Art. 33)

BISC8 notifica al Titolare entro 24 ore dalla scoperta di breach con: natura, categorie + numero approssimativo interessati e record, contatti, conseguenze probabili, misure adottate.

9. Audit (Art. 28.3.h)

Il Titolare può richiedere audit annuale documentale. Audit on-site previo accordo scritto e copertura costi. BISC8 fornisce report SOC 2 / ISO 27001 quando disponibili.

10. Cancellazione, Archive Mode e Restituzione (Art. 28.3.g)

Alla cancellazione dell'abbonamento del Titolare, BISC8 NON cancella automaticamente i consent receipt: questi rimangono conservati in modalità sola-lettura ("Archive Mode") fino alla scadenza della retention contrattuale calcolata al momento dell'inserimento di ciascun receipt sulla base del tier attivo a quella data (Free 6 mesi, Starter 3 anni, Pro/Business 6 anni, Enterprise come da Order Form). Questa scelta tutela la prova del consenso ex art. 7 GDPR onere prova del Titolare anche post-cancellazione.

11. Allegati

Allegato I — Lista sub-processor

Vedi /legal/sub-processors.

Allegato II — Misure tecniche e organizzative dettagliate

Documento interno disponibile per audit (TBD pubblicare versione redatta).

Allegato III — SCC 2021/914

Standard Contractual Clauses Reg. UE 2021/914 controfirmate per trasferimenti extra-UE.