Gestio← Torna a gestio.studio

Data Processing Agreement (DPA)

Accordo sul trattamento dei dati personali ai sensi dell'art. 28 GDPR — Ultimo aggiornamento: 5 aprile 2026

A chi si applica questo documento

Il presente DPA disciplina il rapporto tra Gestio (Responsabile del trattamento) e ogni studio professionale che utilizza la piattaforma (Titolare del trattamento), in conformità all'art. 28 del Regolamento UE 2016/679 (GDPR).

Accettando i Termini di Servizio, lo studio accetta automaticamente anche il presente DPA, che ne costituisce parte integrante.

1. Definizioni

  • Titolare del trattamento (“Controller”): lo studio professionale che ha sottoscritto i Termini di Servizio di Gestio e inserisce dati di propri clienti nella piattaforma.
  • Responsabile del trattamento (“Processor”): Gestio, che tratta i dati personali per conto del Titolare nell'ambito del servizio.
  • Sub-responsabile (“Sub-processor”): terza parte a cui Gestio delega specifiche operazioni di trattamento.
  • Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definita dall'art. 4 GDPR.
  • Interessati: le persone fisiche i cui dati sono inseriti nella piattaforma dal Titolare (es. clienti persone fisiche dello studio, dipendenti dei clienti).

2. Oggetto e istruzioni per il trattamento

Gestio tratta i dati personali esclusivamente per finalità connesse all'erogazione del Servizioe secondo le istruzioni documentate del Titolare, che consistono nell'utilizzo delle funzionalità della piattaforma (gestione clienti, fatture, adempimenti, attività, collaboratori).

Gestio non utilizza i dati personali del Titolare per scopi propri, né li vende o cede a terzi per finalità commerciali.

3. Categorie di dati trattati e interessati

Categoria interessatiCategorie di dati
Utenti dello studio (titolari, collaboratori)Nome, cognome, email, ruolo, log di accesso
Clienti dello studio (persone fisiche)Dati anagrafici, codice fiscale, P.IVA, indirizzo, email, dati economici (fatture, importi)
Clienti dello studio (persone giuridiche)Ragione sociale, P.IVA, codice fiscale, indirizzo, referenti aziendali, dati economici

Non vengono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR.

4. Obblighi di Gestio (Responsabile)

Gestio si impegna a:

  • Trattare i dati personali solo per le finalità e secondo le istruzioni del Titolare.
  • Garantire la riservatezza dei dati, anche mediante accordi di riservatezza con il personale autorizzato.
  • Implementare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (cifratura, controllo accessi, backup, monitoraggio sicurezza).
  • Assistere il Titolare nel rispondere alle richieste degli interessati (diritti GDPR), nei limiti di quanto tecnicamente possibile.
  • Assistere il Titolare nel rispetto degli obblighi di sicurezza, notifica violazioni, DPIA.
  • Cancellare o restituire tutti i dati personali al termine del contratto, secondo le istruzioni del Titolare.
  • Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA.

5. Sub-responsabili del trattamento

Il Titolare autorizza Gestio a ricorrere ai seguenti sub-responsabili:

Supabase Inc.

Sede: San Francisco, CA, USA | Servizio: database, autenticazione, storage

Trasferimento extra-UE basato su Standard Contractual Clauses (SCC)

supabase.com/privacy

Resend Inc.

Sede: USA | Servizio: invio email transazionali

Trasferimento extra-UE basato su Standard Contractual Clauses (SCC)

resend.com/legal/privacy-policy

Intermediario SDI (fatturazione elettronica)

Solo per studi che attivano l'integrazione SDI. Dettagli forniti nelle impostazioni della piattaforma.

Gestio si impegna a informare il Titolare con almeno 30 giorni di preavviso in caso di aggiunta o sostituzione di sub-responsabili. Il Titolare ha il diritto di opporsi.

6. Misure di sicurezza (art. 32 GDPR)

Gestio adotta le seguenti misure tecniche e organizzative:

  • Cifratura dei dati a riposo e in transito (HTTPS/TLS 1.3).
  • Autenticazione con hashing delle password (bcrypt via Supabase Auth).
  • Controllo degli accessi basato su ruolo (Row Level Security — RLS) con isolamento multi-tenant per studio.
  • Backup automatici periodici dell'infrastruttura.
  • Monitoraggio della sicurezza e rilevamento anomalie.
  • Accesso ai dati limitato al personale strettamente necessario.

7. Notifica di violazioni dei dati (data breach)

In caso di violazione della sicurezza dei dati personali (art. 33 GDPR), Gestio notifica il Titolare entro 72 ore dalla scoperta della violazione, fornendo le informazioni necessarie per consentire al Titolare di adempiere ai propri obblighi di notifica verso il Garante Privacy e, se necessario, verso gli interessati.

La notifica dovrà essere inviata a: andrea@gestio.studio

8. Diritto di audit

Il Titolare ha il diritto di verificare il rispetto del presente DPA da parte di Gestio. Le richieste di audit devono essere presentate per iscritto a andrea@gestio.studio con almeno 30 giorni di preavviso. Gestio fornirà la documentazione necessaria o, previo accordo, consentirà ispezioni in loco (massimo una volta l'anno, salvo sospetti di violazioni).

9. Durata e cancellazione dati

Il presente DPA ha la stessa durata del contratto di servizio tra il Titolare e Gestio. Alla risoluzione del contratto, Gestio cancella o restituisce tutti i dati personali entro 30 giorni, salvo obblighi di conservazione previsti dalla legge (es. conservazione delle fatture per 10 anni ai sensi del D.P.R. 633/1972).

10. Contatti e riferimento DPA

Per qualsiasi questione relativa al presente DPA, contattare: andrea@gestio.studio

Il Titolare che necessita di una versione firmata del DPA per adempiere ai propri obblighi interni può richiederla al medesimo indirizzo.

Documento redatto in conformità all'art. 28 del Regolamento (UE) 2016/679 (GDPR).