Accordo sul Trattamento dei Dati (DPA)
DATA PROCESSING AGREEMENT (DPA)
Ultimo aggiornamento: 10 ottobre 2025
Titolare: World Delete LLC
FEI/EIN: 30-1251788
Sede legale: 4300 Biscayne Blvd, Suite 203, Miami, FL 33137, USA
Email di contatto: [email protected]
1. Oggetto e finalità
Il presente Accordo sul Trattamento dei Dati (di seguito, l'"Accordo" o "DPA") disciplina il trattamento dei dati personali che World Delete LLC (di seguito, il "Responsabile del trattamento") effettua per conto del Cliente (di seguito, il "Titolare del trattamento") durante la prestazione dei servizi contrattati, in conformità a quanto disposto dal Regolamento (UE) 2016/679 (GDPR) e dal Florida Digital Privacy Act (FDPA). Il Responsabile si impegna a trattare i dati personali unicamente secondo le istruzioni documentate del Titolare e per l'esecuzione del contratto principale di servizi di reputazione digitale, rimozione di contenuti e protezione dei dati.
2. Durata
Il presente Accordo sarà vigente finché sussistano trattamenti di dati personali derivanti dal rapporto contrattuale tra le parti.
Una volta terminato tale rapporto, i dati saranno restituiti o eliminati secondo quanto stabilito al punto 10 del presente Accordo.
3. Natura e tipologia dei dati trattati
Il trattamento potrà includere le seguenti categorie:
- Dati identificativi: nome, cognome, indirizzo, telefono, indirizzo email, documento d'identità.
- Dati finanziari o di fatturazione: informazioni bancarie o di pagamento.
- Dati di reputazione digitale: link, articoli, URL o pubblicazioni online collegate al cliente.
- Dati tecnici: indirizzi IP, metadati o registri di accesso.
- Dati di verifica KYC/AML: immagini facciali e documenti ufficiali.
4. Obblighi del Responsabile (World Delete)
World Delete si impegna a:
- Trattare i dati personali unicamente in conformità alle istruzioni documentate del Titolare.
- Garantire che il personale autorizzato al trattamento dei dati sia soggetto a riservatezza contrattuale.
- Implementare misure tecniche e organizzative adeguate in conformità alle norme ISO 27001:2022 e ISO 9001:2015, per garantire la sicurezza, l'integrità e la disponibilità dei dati.
- Assistere il Titolare nella gestione delle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, opposizione, limitazione o portabilità).
- Notificare senza indebito ritardo qualsiasi violazione di sicurezza dei dati personali e collaborare alla sua mitigazione.
- Non trasferire dati personali a terzi o sub-responsabili senza previa autorizzazione del Titolare, salvo per motivi legali o tecnici imprescindibili.
- Mantenere un registro aggiornato delle attività di trattamento, disponibile per l'ispezione delle autorità competenti.
5. Sub-responsabili autorizzati
Il Titolare autorizza espressamente il Responsabile a ricorrere ai seguenti sub-responsabili del trattamento, unicamente per fini tecnici o operativi:
Fornitore / Sub-responsabile | Finalità del trattamento | Ubicazione / Informativa sulla privacy |
Amazon Web Services (AWS) | Infrastruttura e archiviazione in cloud. | https://aws.amazon.com/privacy/ |
Contabo GmbH | Hosting secondario e copie di backup. | |
Cloudflare, Inc. | Sicurezza, mitigazione DDoS e CDN. | https://www.cloudflare.com/privacypolicy/ |
Microsoft Corporation | Strumenti analitici (Clarity) e sistemi IA reputazionali. | https://privacy.microsoft.com |
Google LLC | Analisi web, Tag Manager, prestazioni e pubblicità. | https://policies.google.com/privacy |
Automattic Inc. (WordPress) | CMS, plugin e moduli. | https://automattic.com/privacy/ |
Markets Prolive 360, S.L. (Didit.me) | Verifica KYC/AML e validazione dell'identità. | https://didit.me/privacy-policy |
World Delete garantirà che tutti i sub-responsabili rispettino obblighi equivalenti a quelli stabiliti nel presente DPA.
6. Trasferimenti internazionali di dati
Qualsiasi trasferimento al di fuori dello Spazio Economico Europeo sarà effettuato ai sensi delle Clausole Contrattuali Tipo (SCC) approvate dalla Commissione Europea o mediante meccanismi equivalenti di adeguatezza. Nel caso di fornitori stabiliti negli USA, si verificherà l'adesione al quadro EU-US Data Privacy Framework, ove applicabile.
7. Misure di sicurezza
World Delete applica misure di sicurezza tecniche e organizzative basate sulle proprie certificazioni ISO 27001 e ISO 9001, tra cui:
- Cifratura dei dati in transito e a riposo (TLS 1.3 / AES-256).
- Controllo degli accessi e autenticazione multifattore.
- Copie di backup cifrate e ridondanti.
- Audit interni e test di penetrazione (Netitude).
- Registrazione e monitoraggio degli accessi ai sistemi critici.
8. Assistenza al Titolare
World Delete assisterà il Titolare in:
- Notifiche di violazioni di sicurezza.
- Valutazioni d'impatto (DPIA).
- Adempimento di audit o requisiti normativi.
I costi derivanti da richieste straordinarie o al di fuori dell'ambito contrattuale potranno essere fatturati previa approvazione scritta del Titolare.
9. Audit e verifiche
Il Titolare potrà richiedere una verifica o audit documentale sulle misure tecniche e organizzative adottate. World Delete potrà fornire le proprie certificazioni ISO, i rapporti Netitude o la documentazione di conformità come prova sufficiente. Gli audit in loco richiederanno un coordinamento preventivo con almeno 30 giorni di preavviso e dovranno essere effettuati senza interferire con le operazioni di sicurezza.
10. Restituzione o eliminazione dei dati
Terminato il rapporto contrattuale, World Delete procederà, secondo quanto indicato dal Titolare, a:
- Eliminare tutti i dati personali trattati, oppure
- Restituirli in modo sicuro in formato strutturato e leggibile.
L'eliminazione sarà effettuata mediante cancellazione sicura certificata (wipe 3-pass) in conformità alla norma ISO 27040, con documentazione a riprova dell'operazione.
11. Riservatezza
Tutte le informazioni, la documentazione o i dati a cui World Delete abbia accesso saranno considerati riservati. Il Responsabile garantirà che tutto il proprio personale e i sub-responsabili mantengano obblighi di segreto professionale a tempo indeterminato, anche dopo la cessazione del contratto.
12. Legge applicabile e giurisdizione
Il presente Accordo sarà disciplinato dalle leggi dello Stato della Florida (USA), fatte salve le norme imperative del Regolamento (UE) 2016/679 (GDPR). Le parti si sottopongono ai tribunali della Contea di Miami-Dade, Florida, con rinuncia a qualsiasi altro foro. In caso di conflitto di interpretazione, prevarrà la versione in inglese del documento.
