DPA - CDL Facile

Data Processing Agreement (DPA)

ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR)

1. Parti

Il presente Data Processing Agreement (“DPA”) è stipulato tra:

  • Titolare del trattamento: il Cliente/Utente del servizio CDL Facile
  • Responsabile del trattamento: AFAI Srl, con sede in Via Selvetelle 3b - 81013 Caiazzo (CE), P.IVA 04893270613

Il presente DPA costituisce parte integrante dei Termini e Condizioni del servizio CDL Facile.

2. Oggetto del trattamento

Il Responsabile tratta dati personali per conto del Titolare al fine di erogare il servizio SaaS “CDL Facile”, che include:

  • CRM clienti
  • gestione documentale
  • gestione comunicazioni (email, WhatsApp)
  • gestione dati aziendali e dipendenti (ambito payroll/HR)

3. Durata

Il trattamento ha durata pari alla durata del contratto tra le Parti, inclusi eventuali rinnovi.

4. Natura e finalità del trattamento

  • gestione dei rapporti cliente-fornitore
  • gestione amministrativa e documentale
  • gestione del personale e payroll
  • invio comunicazioni operative e informative
  • archiviazione e consultazione dati

5. Tipologie di dati trattati

  • dati anagrafici (nome, cognome, email, telefono)
  • dati aziendali (ragione sociale, P.IVA, sede)
  • dati fiscali e contributivi
  • dati relativi ai dipendenti e collaboratori
  • dati contenuti in documenti caricati dal cliente
  • categorie particolari di dati (es. dati relativi alla salute o stato lavorativo)

6. Categorie di interessati

  • clienti del Titolare
  • dipendenti e collaboratori
  • fornitori
  • utenti del sistema

7. Istruzioni del Titolare

Il Responsabile tratta i dati esclusivamente su istruzione documentata del Titolare, salvo obblighi di legge.

8. Misure tecniche e organizzative

  • autenticazione con password e sistemi 2FA
  • accesso ai dati limitato al personale autorizzato
  • connessioni cifrate (HTTPS)
  • backup periodici
  • protezione infrastrutturale cloud e CDN
  • segregazione logica degli accessi

9. Sub-responsabili del trattamento

  • Amazon Web Services (AWS)
  • Google Cloud Platform
  • Cloudflare
  • Stripe
  • Mailgun / SMTP
  • WPPConnect o strumenti equivalenti
  • Google (es. Gemini)

Il Responsabile si impegna a selezionare fornitori affidabili e conformi al GDPR.

10. Trasferimenti extra-UE

I trasferimenti verso paesi extra-UE avvengono nel rispetto del GDPR tramite:

  • Standard Contractual Clauses (SCC)
  • altre garanzie adeguate

11. Data breach

  • notifica entro 48 ore
  • supporto nella gestione dell’incidente
  • cooperazione nella mitigazione

12. Assistenza al Titolare

  • gestione richieste degli interessati
  • supporto DPIA
  • adempimenti verso autorità

13. Audit e verifiche

Il Titolare può richiedere verifiche documentali, nel rispetto della sicurezza e previa comunicazione.

14. Conservazione e cancellazione dati

  • esportazione dati entro 30 giorni
  • successiva cancellazione
  • salvi obblighi di legge

15. Riservatezza

Il personale del Responsabile è vincolato alla riservatezza.

16. Responsabilità

Il Responsabile è responsabile nei limiti previsti dal GDPR e dal contratto principale.

17. Disposizioni finali

Il presente DPA è regolato dalla legge italiana e dal GDPR.

Allegato A – Dettaglio trattamento

Finalità: CRM, gestione documenti, comunicazioni, payroll

Dati: anagrafici, fiscali, aziendali, HR

Interessati: clienti, dipendenti, collaboratori

Durata: durata del contratto

Allegato B – Misure di sicurezza

  • autenticazione forte (2FA)
  • cifratura dati in transito
  • backup periodici
  • accessi profilati
  • infrastruttura cloud sicura

Ultimo aggiornamento: Marzo 2026