Data Processing Agreement (DPA)
Ultimo aggiornamento: 19 maggio 2026
Il presente Accordo sul Trattamento dei Dati (di seguito "DPA") regola il trattamento dei dati personali effettuato da ManagedVPS per conto del Cliente ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR). Il DPA costituisce un atto di nomina a Responsabile del trattamento ed è parte integrante del contratto di servizio sottoscritto tra le parti.
1. Parti
Titolare del Trattamento: il Cliente, come identificato nel contratto di servizio sottoscritto (di seguito "Titolare").
Responsabile del Trattamento: ManagedVPS, P.IVA 03738170780, PEC: secmail@pec.it (di seguito "Responsabile").
2. Oggetto e durata
Il Responsabile tratta i dati personali del Titolare esclusivamente nell'ambito e nei limiti delle attività necessarie all'erogazione dei servizi di consulenza sistemistica, gestione di server e infrastrutture, sicurezza informatica e migrazioni, in conformità alle istruzioni documentate del Titolare. Il DPA resta in vigore per tutta la durata del contratto di servizio.
3. Finalità del trattamento
- Gestione e manutenzione dell'infrastruttura e dei server del Titolare
- Monitoraggio, incident response e security hardening
- Verifica dei backup, disaster recovery e migrazioni
- Ottimizzazione delle performance e supporto tecnico
Il Responsabile non tratta i dati per finalità proprie, commerciali o di profilazione.
4. Categorie di dati trattati
| Categoria | Tipologia |
|---|---|
| Dati tecnici di rete | Indirizzi IP, log di accesso, configurazioni dei server |
| Dati di sistema | Log applicativi, metriche di performance, eventi di sicurezza |
| Dati dei referenti tecnici | Nome, email e recapito dei contatti del Titolare |
| Dati presenti sui server gestiti | Dati personali eventualmente contenuti in database, file ed email ospitati |
Sono esclusi dal trattamento intenzionale i dati delle categorie particolari (art. 9 GDPR). Qualora tali dati fossero presenti sui server gestiti, il Titolare è tenuto a informare preventivamente il Responsabile per concordare misure aggiuntive.
5. Obblighi del Responsabile
- Istruzioni documentate: trattare i dati esclusivamente su istruzione documentata del Titolare.
- Riservatezza: garantire che chiunque sia autorizzato al trattamento sia vincolato da obblighi di riservatezza.
- Misure di sicurezza: adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (cifratura in transito HTTPS/TLS, controllo degli accessi, backup cifrati, audit log).
- Sub-responsabili: non ricorrere a ulteriori responsabili senza previa autorizzazione del Titolare; per ogni nuovo sub-responsabile, comunicazione con 30 giorni di preavviso.
- Diritti degli interessati: assistere il Titolare nel dare seguito alle richieste di esercizio dei diritti (artt. 15-22 GDPR).
- Cancellazione o restituzione: alla cessazione del contratto, su scelta del Titolare, procedere alla cancellazione sicura o alla consegna dei dati in formato strutturato entro 30 giorni dalla richiesta.
- Audit: mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire verifiche con preavviso di 15 giorni lavorativi.
6. Sub-responsabili autorizzati
| Sub-responsabile | Ruolo | Sede |
|---|---|---|
| Provider infrastrutturale scelto dal Titolare | Hosting dei server gestiti | Secondo il contratto del Titolare |
| Provider dei sistemi del Responsabile | Monitoraggio, comunicazioni ed email di servizio | Unione Europea |
La lista aggiornata dei sub-responsabili è disponibile su richiesta scritta a privacy@managedvps.it. Il Responsabile aggiorna la lista con 30 giorni di preavviso per ogni variazione.
7. Notifica delle violazioni (Data Breach)
In caso di violazione dei dati personali (art. 4.12 GDPR), il Responsabile:
- Notifica al Titolare entro 24 ore dalla presa di conoscenza della violazione.
- Fornisce entro 72 ore le informazioni richieste dall'art. 33.3 GDPR: natura della violazione, categorie e numero di interessati coinvolti, probabili conseguenze, misure adottate o proposte.
- Coopera con il Titolare per la notifica all'Autorità di controllo e, ove necessario, la comunicazione agli interessati.
L'obbligo di notifica all'Autorità Garante entro 72 ore compete in via esclusiva al Titolare del trattamento.
8. Trasferimenti extra-UE
Il Responsabile non trasferisce i dati del Titolare verso paesi terzi al di fuori dello Spazio Economico Europeo, salvo previa autorizzazione scritta del Titolare e nel rispetto delle garanzie previste dagli artt. 44-49 GDPR.
9. Responsabilità
Il Responsabile risponde nei confronti del Titolare per i danni causati da trattamenti effettuati in violazione del presente Accordo o del GDPR, nei limiti dell'art. 82 GDPR e delle clausole di limitazione della responsabilità previste nei Termini di Servizio.
10. Modifiche
Il Responsabile può aggiornare il presente DPA per adeguarlo a variazioni normative o tecnologiche, con preavviso di 30 giorni via email. Le modifiche sostanziali danno diritto al Titolare di recedere dal contratto senza penali entro il termine di preavviso.
11. Legge applicabile e foro
Il presente Accordo è regolato dalla legge italiana e dal GDPR. Per ogni controversia è competente in via esclusiva il Foro di Cosenza, fermo restando il diritto di proporre reclamo al Garante per la protezione dei dati personali.
Contatti
Per qualsiasi questione relativa al presente Accordo: privacy@managedvps.it
PEC: secmail@pec.it