Accordo sul Trattamento dei Dati (DPA)

Versione 1.0 · Ultimo aggiornamento 29 aprile 2026 · In vigore dal 29 aprile 2026

Il presente Accordo sul Trattamento dei Dati ("DPA") fa parte integrante dei Termini di Servizio tra [ENTITY_NAME] ("Responsabile del trattamento", "noi") e il cliente ("Titolare del trattamento", "tu") che utilizza il servizio LIA. Si applica quando il Titolare è stabilito nello Spazio Economico Europeo (SEE), Regno Unito o Svizzera, o quando il GDPR si applica extraterritorialmente al trattamento del Titolare.

1. Definizioni

I termini utilizzati nel presente DPA hanno il significato attribuito loro dal Regolamento (UE) 2016/679 ("GDPR"). Per "Dati Personali" si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.

2. Oggetto e Durata

Il Responsabile del trattamento tratterà i Dati Personali per conto del Titolare esclusivamente al fine di fornire il Servizio LIA come descritto nei Termini di Servizio. Il presente DPA rimane in vigore per la durata del contratto di servizio e per i periodi di conservazione successivi alla risoluzione.

3. Natura e Finalità del Trattamento

Il trattamento è limitato alle operazioni necessarie per fornire il Servizio LIA:

• Gestione account utente (autenticazione, fatturazione)
• Messaggi di chat inviati ai fornitori di inferenza AI
• Telemetria sessione Bridge (nome DAW, versione, timestamp)
• Comunicazioni di assistenza clienti

4. Categorie di Dati Personali e Interessati

Categorie di Interessati: utenti autorizzati del Titolare (developer, musicisti, contractor).

Categorie di Dati Personali: indirizzi email, password con hash (Supabase Auth), nomi visualizzati, metadati di pagamento (no dettagli carta), messaggi di chat, log di utilizzo, indirizzi IP (sottoposti ad hash prima dell'archiviazione).

5. Obblighi del Responsabile del Trattamento

1. Trattare i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare, anche per trasferimenti verso paesi terzi (art. 28.3.a GDPR).
2. Garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza.
3. Implementare misure tecniche e organizzative appropriate (art. 32 GDPR), vedi §9.
4. Coinvolgere Sub-responsabili solo previa autorizzazione generale scritta (vedi §8).
5. Assistere il Titolare nelle risposte alle richieste degli interessati (art. 15-22 GDPR).
6. Notificare al Titolare senza ingiustificato ritardo qualsiasi violazione di Dati Personali (art. 33 GDPR), vedi §10.
7. A scelta del Titolare, cancellare o restituire tutti i Dati Personali al termine dei servizi (art. 28.3.g GDPR).
8. Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare la conformità (art. 28.3.h GDPR).

6. Obblighi del Titolare

Il Titolare dichiara di aver acquisito tutte le basi giuridiche necessarie (art. 6 GDPR) per i Dati Personali trattati nell'ambito del presente DPA, e di aver informato gli Interessati ai sensi degli art. 13/14 GDPR.

7. Trasferimenti Internazionali di Dati

Il Servizio è ospitato nell'Unione Europea (Francoforte, Germania. Hostinger / supabase.com regione UE). I Dati Personali sono trattati all'interno del SEE. Quando i Sub-responsabili trattano dati al di fuori del SEE (es. fornitori AI negli USA), i trasferimenti sono regolati da:

• EU-US Data Privacy Framework (DPF) per destinatari certificati;
• Clausole Contrattuali Standard (SCC), Modulo 2 (Titolare a Responsabile), Decisione UE 2021/914.

8. Sub-responsabili

Il Titolare autorizza il Responsabile a coinvolgere Sub-responsabili. La lista aggiornata è disponibile su /api/legal/subprocessors (endpoint autenticato, art. 15 GDPR). Il Responsabile notificherà al Titolare eventuali modifiche con almeno 30 giorni di anticipo.

9. Misure di Sicurezza (Art. 32 GDPR)

• Crittografia in transito: TLS 1.3 per tutto il traffico client-server
• Crittografia a riposo: AES-256 (gestita da Supabase)
• Controllo accessi: role-based, MFA per accessi amministrativi
• Isolamento di rete: servizi vincolati a loopback o Tailscale (defence-in-depth)
• Logging: trail di audit per tutte le azioni amministrative
• Risposta a incidenti: runbook documentato

10. Notifica di Violazione di Dati Personali

Il Responsabile notificherà al Titolare senza ingiustificato ritardo (e comunque entro 72 ore) qualsiasi violazione che riguardi Dati Personali trattati nell'ambito del presente DPA.

11. Risoluzione

Al termine del contratto, su richiesta scritta del Titolare, il Responsabile cancellerà o restituirà tutti i Dati Personali. Le copie di backup saranno cancellate al successivo ciclo di rotazione (massimo 90 giorni).

12. Legge Applicabile

Il presente DPA è regolato dalla legge italiana. Foro competente: tribunale della sede legale del Titolare; per Titolari extra-SEE, foro di [SEDE_LEGALE], Italia.

13. Contatti

Per questioni relative al presente DPA: [email protected]