Data Processing Agreement (DPA) GDPR Art. 28

Documento contrattuale che regola, ai sensi dell'art. 28 GDPR, il trattamento dei dati personali effettuato da Domus Group S.r.l. (in qualità di responsabile del trattamento) per conto del cliente impresa edile titolare. Disciplina ruoli, finalità, durata, misure tecniche e organizzative di sicurezza, sub-responsabili autorizzati, gestione delle violazioni e supporto al titolare nell'esercizio dei diritti degli interessati.

Ruoli ai sensi del GDPR

Quando un'impresa edile utilizza Edilizia in Cloud per gestire dati di clienti, fornitori, dipendenti o subappaltatori, l'impresa è il titolare del trattamento. Domus Group S.r.l. agisce in qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR, eseguendo le operazioni di trattamento esclusivamente su istruzione documentata del titolare.

Categorie di dati trattati

• Dati identificativi di clienti e fornitori dell'impresa edile (ragione sociale, P.IVA, indirizzi, contatti)
• Dati dei dipendenti e collaboratori dell'impresa (anagrafica, CCNL, presenze, mansionario, retribuzione lorda)
• Dati di cantiere (foto, note, geolocalizzazione presenze)
• Documenti fiscali (fatture elettroniche, DDT, prima nota)

Misure tecniche e organizzative di sicurezza

Edilizia in Cloud applica le seguenti misure: cifratura in transito (TLS 1.3) e a riposo (AES-256), autenticazione multi-fattore opzionale per gli amministratori, segregazione dei dati per tenant (row-level security PostgreSQL), backup giornalieri con retention 30 giorni, log degli accessi conservati 12 mesi, datacenter europei conformi a ISO 27001. Nessun dato esce dall'UE.

Sub-responsabili autorizzati

Domus Group S.r.l. utilizza sub-responsabili selezionati per servizi infrastrutturali: cloud provider (datacenter UE), provider di posta transazionale, provider di firma elettronica, provider di fatturazione elettronica SDI. L'elenco completo è disponibile su richiesta scritta al DPO. Il titolare ha diritto di opporsi a nuovi sub-responsabili entro 14 giorni dalla notifica.

Notifica violazioni e supporto al titolare

In caso di violazione di dati personali (data breach) Domus Group notifica al titolare entro 24 ore dalla scoperta, fornendo le informazioni necessarie per l'eventuale notifica al Garante Privacy ex art. 33 GDPR. Domus Group supporta inoltre il titolare nella gestione delle richieste degli interessati (accesso, rettifica, cancellazione, portabilità).

Conservazione e cancellazione dei dati

Alla cessazione del contratto, su scelta del cliente, i dati vengono restituiti in formato strutturato (export JSON/CSV) e successivamente cancellati definitivamente dai sistemi di produzione entro 30 giorni e dai backup entro 90 giorni, salvo obblighi di legge che impongano una conservazione prolungata (es. fatture elettroniche, libro unico del lavoro).