Accordo per il Trattamento dei Dati (Data Processing Agreement — DPA)

ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR)

Data ultimo aggiornamento: 08 Febbraio 2026

Art. 1 — Oggetto, Durata, Finalità e Natura del Trattamento

1.1. Il presente Accordo (DPA) disciplina gli obblighi del Fornitore in qualità di Responsabile del Trattamento (di seguito "Responsabile") quando tratta dati personali per conto del Cliente, che agisce in qualità di Titolare del Trattamento (di seguito "Titolare"), nell'ambito dell'erogazione dei servizi previsti dal Contratto Principale.

1.2. Il presente DPA è parte integrante e sostanziale dei Termini e Condizioni Generali di Servizio.

1.3. Oggetto del trattamento: I dati personali caricati o generati dal Titolare nel proprio account sulla Piattaforma ("Contenuti del Cliente").

1.4. Durata del trattamento: La durata del trattamento coincide con la durata del Contratto Principale.

1.5. Natura e finalità del trattamento: Il trattamento è finalizzato esclusivamente a consentire al Titolare di utilizzare le funzionalità della Piattaforma per le proprie finalità di comunicazione e analisi politica.

1.6. Tipologia di dati personali e categorie di interessati: La tipologia di dati e le categorie di interessati sono determinate e controllate esclusivamente dal Titolare, e possono includere, a titolo esemplificativo, dati anagrafici, dati di contatto, opinioni politiche, dati relativi a commenti e interazioni online di elettori, giornalisti, avversari politici e altri soggetti.

1.7. Il Titolare istruisce il Responsabile a trattare i dati personali, incluse le categorie particolari di dati di cui all'art. 9 del GDPR, per le finalità descritte nel Contratto Principale. Il Titolare garantisce di disporre di una base giuridica idonea per ogni trattamento da lui configurato, in particolare per il trattamento di dati di terzi (es. commenti pubblici, articoli di stampa, contatti caricati nella KB Locale), e si assume la piena ed esclusiva responsabilità di tale scelta, riconoscendo che il Fornitore fornisce uno strumento tecnico e non una licenza sul trattamento di tali dati.

Art. 2 — Obblighi del Responsabile del Trattamento

2.1. Il Responsabile si impegna a:

a) Trattare i dati personali esclusivamente su istruzione documentata del Titolare, salvo che lo richieda il diritto dell'Unione o nazionale. In tal caso, il Responsabile informerà il Titolare di tale obbligo giuridico prima del trattamento, a meno che la legge non lo vieti per rilevanti motivi di interesse pubblico.

b) Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

c) Adottare tutte le misure di sicurezza richieste ai sensi dell'art. 32 del GDPR, come descritto nell'Allegato 1 al presente DPA.

d) Rispettare le condizioni di cui ai paragrafi 2 e 4 dell'art. 28 del GDPR per ricorrere a un altro responsabile del trattamento (sub-responsabile).

e) Assistere il Titolare, tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, a soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.

f) Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

g) Su scelta del Titolare, cancellare o restituire tutti i dati personali al Titolare dopo la fine della prestazione dei servizi relativi al trattamento, e cancellare le copie esistenti, salvo che il diritto dell'Unione o nazionale preveda la conservazione dei dati.

h) Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire e contribuire alle attività di revisione, comprese le ispezioni, condotte dal Titolare o da un altro soggetto da questi incaricato.

2.2. Il Responsabile si impegna a non utilizzare i Contenuti del Cliente per addestrare o migliorare modelli di AI. Qualsiasi utilizzo per finalità di addestramento sarà soggetto a opt-in esplicito.

Art. 3 — Obblighi del Titolare del Trattamento

3.1. Il Titolare è l'unico responsabile della liceità, correttezza e pertinenza dei dati personali trattati tramite la Piattaforma.

3.2. Il Titolare garantisce di aver adempiuto a tutti gli obblighi informativi nei confronti degli interessati e di disporre di una base giuridica idonea per ogni trattamento effettuato.

3.3. Il Titolare si impegna a utilizzare la Piattaforma in conformità con le normative applicabili in materia di protezione dei dati personali.

Art. 4 — Sub-Responsabili del Trattamento

4.1. Il Titolare autorizza il Responsabile a ricorrere a sub-responsabili per l'erogazione del servizio. Un elenco aggiornato dei sub-responsabili è disponibile alla pagina https://candidati.ai/sub-processors.

4.2. Il Responsabile si impegna a informare il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando così al Titolare l'opportunità di opporsi a tali modifiche.

4.3. Il Responsabile imporrà ai sub-responsabili, tramite contratto, gli stessi obblighi in materia di protezione dei dati contenuti nel presente DPA.

Allegato 1 al DPA: Misure Tecniche e Organizzative di Sicurezza (TOMs)

1. Pseudonimizzazione e Cifratura dei Dati — I dati personali sono protetti tramite cifratura sia a riposo (at-rest) utilizzando lo standard AES-256, sia in transito (in-transit) utilizzando i protocolli TLS 1.2 o superiori.

2. Riservatezza, Integrità, Disponibilità e Resilienza — L'infrastruttura è progettata per garantire alta disponibilità e resilienza, con ridondanza dei componenti critici e meccanismi di failover automatico. L'integrità dei dati è protetta tramite checksum e controlli di versione.

3. Ripristino della Disponibilità e dell'Accesso ai Dati — Vengono eseguiti backup regolari e automatizzati dei dati, conservati in una posizione geograficamente separata. Le procedure di ripristino vengono testate periodicamente per garantire un rapido recupero in caso di disastro.

4. Controllo degli Accessi Fisici — I data center dei nostri fornitori cloud (es. AWS, Google Cloud) sono protetti da rigorose misure di sicurezza fisica, inclusi controlli perimetrali, sorveglianza 24/7 e accesso biometrico.

5. Controllo degli Accessi Logici — L'accesso ai dati è limitato al personale autorizzato sulla base del principio del "minimo privilegio" (least privilege). L'autenticazione a più fattori (MFA) è obbligatoria per l'accesso ai sistemi di produzione.

6. Controllo della Separazione dei Dati — I dati di ciascun Cliente sono logicamente separati e isolati dagli altri Clienti a livello di database e di applicazione per prevenire accessi non autorizzati.

7. Procedure di Test e Valutazione — Il Responsabile si impegna a condurre periodicamente test di sicurezza, inclusi vulnerability assessment e, ove opportuno, penetration test, per verificare l'efficacia delle misure di sicurezza implementate. Le vulnerabilità identificate saranno gestite secondo un processo di remediation con priorità basata sulla gravità.

8. Gestione degli Incidenti di Sicurezza — Il Responsabile ha implementato una procedura di gestione degli incidenti di sicurezza (Incident Response Plan) che prevede: (a) identificazione e contenimento dell'incidente; (b) valutazione dell'impatto; (c) notifica al Titolare entro 48 ore; (d) remediation e ripristino; (e) analisi post-incidente e miglioramento delle misure.

9. Formazione del Personale — Il personale del Responsabile autorizzato al trattamento dei dati personali riceve formazione periodica in materia di protezione dei dati personali e sicurezza informatica.