FunzionalitàConfrontoCasi d'usoPrezziSelf-hostedGarante 2025AccediInizia gratis
Legale · Art. 28 GDPR

Data Processing Agreement (DPA)

Il modello di accordo sul trattamento dei dati tra Tuelia (responsabile) e i clienti del prodotto SaaS (titolari). Versione firmabile in PDF su richiesta.

Richiedi versione PDF firmabile

Ultimo aggiornamento: 14 maggio 2026
Versione: 1.0 — template pubblico. La versione PDF firmabile è disponibile su richiesta a hello@tuelia.com.

Questo documento è un templatedel Data Processing Agreement che Tuelia sottoscrive con i clienti del proprio servizio CMP (Consent Management Platform). Una volta firmato dalle parti, costituisce l'accordo vincolante ai sensi dell'art. 28 GDPR. La versione pubblicata qui può essere oggetto di personalizzazione concordata per clienti enterprise, agenzie e settori regolati (es. sanità, finanza, PA).

Premesse

Il presente Data Processing Agreement (di seguito, "DPA") è stipulato tra:

  • Il Cliente, come identificato in fase di attivazione del servizio sul pannello di Tuelia (di seguito, il "Titolare"), e
  • Tuelia, P.IVA IT 04275470265, sede legale in Italia, email hello@tuelia.com(di seguito, il "Responsabile").

Le parti convengono che:

  • il Titolare gestisce uno o più siti web e applicazioni che richiedono la conformità a GDPR, ePrivacy e normativa nazionale equivalente in materia di consensi cookies e tecnologie di tracciamento;
  • il Titolare ha sottoscritto un piano del servizio Tuelia (di seguito, "Servizio") e utilizza la piattaforma app.tuelia.com per la creazione, gestione e archiviazione di banner di consenso, audit log, policy generati, scansione cookies e gestione delle richieste degli interessati;
  • nell'erogazione del Servizio, Tuelia tratta dati personali per conto del Titolare ed è dunque designato responsabile del trattamento ai sensi dell'art. 28 GDPR;
  • il presente DPA disciplina obblighi, garanzie e responsabilità reciproche relative al trattamento dei dati per la durata del Servizio.

1. Oggetto del trattamento

Il trattamento ha ad oggetto la raccolta, la conservazione, l'elaborazione e la cancellazione di dati personali necessari all'erogazione del Servizio CMP per conto del Titolare. In particolare:

  • raccolta e conservazione delle scelte di consenso espresse dai visitatori dei siti del Titolare;
  • generazione e archiviazione dell'audit log firmato HMAC dei consensi (per dimostrazione dell'onere della prova ex artt. 5(2) e 7(1) GDPR);
  • scansione automatizzata dei siti del Titolare per il rilevamento di cookies e tecnologie di tracciamento;
  • generazione automatica di Privacy Policy e Cookie Policy basata sulle informazioni fornite dal Titolare;
  • gestione del modulo DSAR (Data Subject Access Request) e relativo ticketing;
  • invio di notifiche tecniche al Titolare relative al Servizio.

2. Durata del trattamento

Il presente DPA ha efficacia dalla data di sottoscrizione (anche tramite accettazione elettronica in piattaforma) e rimane in vigore per tutto il periodo di sottoscrizione attiva del Servizio. In caso di cessazione del rapporto contrattuale, il trattamento prosegue per il solo tempo necessario al rispetto degli obblighi previsti dalla clausola 13 (Cessazione), per un periodo massimo di 90 giorni dalla data di disattivazione, salvo diverso accordo scritto.

3. Natura e finalità del trattamento

Il trattamento ha natura strumentalerispetto all'erogazione del Servizio e mira esclusivamente a:

  • consentire al Titolare di adempiere ai propri obblighi normativi in materia di acquisizione, prova, revoca e conservazione del consenso degli interessati;
  • fornire al Titolare strumenti di compliance (policy generator, scanner cookies, registro consensi, DSAR ticketing);
  • garantire la continuità, la sicurezza e la qualità del Servizio.

Il Responsabile non utilizza i dati per finalità proprie, non li condivide con terzi al di fuori dei sub-responsabili autorizzati di cui alla clausola 8, non li impiega per attività di marketing né per l'addestramento di modelli di intelligenza artificiale.

4. Categorie di dati personali

Nell'ambito del Servizio possono essere trattate le seguenti categorie di dati personali dei visitatori dei siti del Titolare:

  • indirizzo IP (intero o anonimizzato secondo configurazione scelta dal Titolare);
  • user-agent del browser, lingua, fuso orario, sistema operativo;
  • identificatori di consenso e identificatori di sessione;
  • timestamp dell'espressione, revoca o modifica del consenso;
  • versione del banner mostrato e set di finalità presentate;
  • scelta effettuata dall'interessato (accettazione, rifiuto, personalizzazione);
  • dati di geolocalizzazione approssimativa (livello Paese/regione), per la determinazione del set di regole applicabile;
  • eventuali dati conferiti tramite il modulo DSAR (nome, email, contenuto della richiesta).

Non sono di regola trattati dati appartenenti alle categorie particolari di cui all'art. 9 GDPR né dati relativi a condanne penali ex art. 10 GDPR. Il Titolare è tenuto a non conferire al Servizio dati di tali categorie al di fuori delle ipotesi espressamente concordate per iscritto.

5. Categorie di interessati

Il trattamento riguarda i visitatori dei siti web e applicazioni del Titolare, ossia le persone fisiche che interagiscono con le risorse online del Titolare alle quali è integrato il banner Tuelia, nonché gli interessati che esercitano i propri diritti tramite il modulo DSAR predisposto.

6. Obblighi del Responsabile (Tuelia)

In qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR, Tuelia si impegna a:

  • Trattare i dati solo sulla base di istruzioni documentate del Titolare, comprese quelle attinenti al trasferimento extra-UE, salvo che il diritto dell'Unione o dello Stato membro al quale Tuelia è soggetto lo richieda. In tal caso, Tuelia informa il Titolare prima del trattamento, salvo divieto di legge.
  • Garantire la riservatezza del personale autorizzato al trattamento, tramite obblighi contrattuali di riservatezza o specifiche disposizioni di legge.
  • Adottare misure tecniche e organizzative adeguateai sensi dell'art. 32 GDPR, dettagliate alla clausola 10 del presente DPA.
  • Avvalersi di sub-responsabili solo nel rispetto delle condizioni di cui alla clausola 8.
  • Assistere il Titolarecon misure tecniche e organizzative adeguate, nella misura del possibile, nell'evasione delle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR).
  • Assistere il Titolare nel rispetto degli obblighidi cui agli artt. 32-36 GDPR (sicurezza, notifica di violazione, valutazioni d'impatto, consultazione preventiva), tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
  • Restituire o cancellare i dati personali a fine del rapporto, secondo quanto previsto dalla clausola 13.
  • Mettere a disposizione del Titolaretutte le informazioni necessarie per dimostrare la conformità agli obblighi di cui all'art. 28 GDPR e consentire le attività di audit di cui alla clausola 12.
  • Informare immediatamenteil Titolare qualora, a parere del Responsabile, un'istruzione del Titolare violi il GDPR o altre disposizioni in materia di protezione dei dati.

7. Obblighi del Titolare

Il Titolare si impegna a:

  • fornire al Responsabile istruzioni complete, lecite e documentate;
  • garantire di aver fornito agli interessati informativa adeguata ex artt. 13-14 GDPR sul trattamento operato tramite il Servizio;
  • configurare correttamente le finalità di trattamento, le categorie di cookies, le impostazioni geografiche, i periodi di conservazione e le altre opzioni di configurazione disponibili sulla piattaforma;
  • non utilizzare il Servizio per finalità illecite, ingannevoli o lesive di diritti di terzi;
  • cooperare con il Responsabile nei casi previsti dal presente DPA, in particolare in caso di violazioni o di richieste delle autorità.

8. Sub-responsabili autorizzati

Il Titolare autorizza in via generale il Responsabile ad avvalersi di sub-responsabili per l'erogazione del Servizio, ai sensi dell'art. 28(2) GDPR. L'elenco aggiornato dei sub-responsabili è il seguente:

Sub-responsabileFinalitàLocalizzazione
Vercel Inc.Hosting front-end della piattaforma e CDNUE (Francoforte)
Cloudflare Inc.CDN, DNS, anti-DDoS, edge cache del banner scriptRete globale (DPA con SCC, EU-US DPF)
Provider PostgreSQL gestito (EU)Storage di consensi, audit log e configurazioniUE (Francoforte)
Provider object storage (EU)Backup criptati, export, asset statici dei bannerUE
Provider email transazionale (EU)Invio email di notifica e DSARUE
Provider monitoring & logging (EU)Diagnostica e disponibilità del ServizioUE

Il Responsabile si impegna a:

  • imporre ai sub-responsabili obblighi di protezione dei dati equivalenti a quelli previsti dal presente DPA, tramite contratto scritto ex art. 28(4) GDPR;
  • rimanere pienamente responsabile dell'adempimento degli obblighi del sub-responsabile nei confronti del Titolare;
  • comunicare al Titolare, con un preavviso di almeno 30 giorni, ogni modifica all'elenco dei sub-responsabili, mediante pubblicazione sul Sito o tramite comunicazione in piattaforma. Il Titolare ha diritto di opporsi entro 15 giorni dalla notifica. In caso di opposizione motivata e tecnicamente non superabile, le parti coopereranno in buona fede per individuare una soluzione; in mancanza, il Titolare potrà recedere dal Servizio con effetto immediato senza penali.

9. Trasferimenti di dati extra-UE

Il Servizio è progettato per trattare e conservare i dati personali all'interno dell'Unione Europea. Per impostazione predefinita, nessun dato personale viene trasferito al di fuori dell'UE/SEE.

Ove si rendesse necessario, in via incidentale, un trasferimento verso Paesi terzi (ad esempio per supporto da parte di un sub-responsabile con casa madre extra-UE), il Responsabile garantisce che il trasferimento avvenga in presenza di adeguate garanzie ai sensi del Capo V del GDPR, e in particolare tramite:

  • decisione di adeguatezza della Commissione Europea (art. 45 GDPR);
  • Standard Contractual Clauses ai sensi della Decisione di Esecuzione UE 2021/914 (art. 46(2)(c) GDPR);
  • EU-US Data Privacy Framework, ove applicabile;
  • eventuali misure supplementari (cifratura at-rest e in-transit, pseudonimizzazione, controlli di accesso) coerenti con le Raccomandazioni 01/2020 dell'EDPB.

10. Misure tecniche e organizzative (art. 32 GDPR)

Tenuto conto dello stato dell'arte, dei costi di attuazione, della natura e dei rischi del trattamento, il Responsabile adotta le seguenti misure di sicurezza:

  • Cifratura in transito tramite TLS 1.2+ per tutte le comunicazioni con la piattaforma, l'API e il banner script.
  • Cifratura at-rest dei dati persistenti, inclusi backup, snapshot di database e archivi di consensi.
  • Audit log immutabile dei consensi firmato HMAC con chiavi dedicate, con possibilità di esportazione opponibile.
  • Audit log degli accessi amministrativi alla piattaforma e ai sistemi di supporto.
  • Autenticazione a più fattori (MFA) obbligatoria per il personale autorizzato all'accesso ai dati di produzione.
  • Principio del minimo privilegio: accesso ai dati personali limitato al personale strettamente necessario, con revisione periodica dei permessi.
  • Segregazione dei dati per tenant: ogni cliente è isolato logicamente.
  • Backup criptati giornalieri con conservazione di 90 giorni, sottoposti a test periodici di ripristino.
  • Vulnerability scanning periodico e gestione delle patch di sicurezza secondo SLA interno.
  • Penetration test condotto da soggetto terzo qualificato con cadenza almeno annuale.
  • Procedura di gestione degli incidenti documentata, con runbook per la notifica di data breach.
  • Formazione periodica del personale in materia di protezione dei dati.
  • Cancellazione sicura dei supporti dismessi.

Il dettaglio aggiornato delle misure è disponibile su richiesta a hello@tuelia.com.

11. Notifica di violazioni dei dati personali

In caso di violazione dei dati personali ai sensi dell'art. 4(12) GDPR che coinvolga dati trattati per conto del Titolare, il Responsabile notifica al Titolare la violazione senza ingiustificato ritardo e, comunque, entro 24 ore dal momento in cui ne è venuto a conoscenza, fornendo le informazioni necessarie a consentire al Titolare di adempiere agli obblighi di cui agli artt. 33 e 34 GDPR.

La notifica include, nella misura possibile al momento della comunicazione:

  • la descrizione della natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti;
  • i dati di contatto del Responsabile per ulteriori informazioni;
  • le probabili conseguenze della violazione;
  • le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e per attenuarne gli effetti negativi.

Resta in capo al Titolare la valutazione circa l'eventuale notifica alla competente autorità di controllo e la comunicazione agli interessati.

12. Audit

Il Titolare ha diritto di verificare il rispetto degli obblighi del Responsabile, ai sensi dell'art. 28(3)(h) GDPR. A tale scopo, il Responsabile mette a disposizione del Titolare, su richiesta scritta:

  • la documentazione delle misure tecniche e organizzative adottate;
  • l'elenco aggiornato dei sub-responsabili;
  • eventuali certificazioni, attestati o report di audit indipendenti (es. ISO 27001, SOC 2 quando disponibili).

Su richiesta motivata e con un preavviso di almeno 30 giorni lavorativi, il Titolare può effettuare un audit on-site o tramite questionario approfondito, anche per il tramite di un auditor terzo indipendente vincolato a obblighi di riservatezza. L'audit avviene durante l'orario lavorativo, in modo da non pregiudicare l'operatività del Servizio, e non più di una volta l'anno, salvo violazioni accertate o richieste motivate dell'autorità di controllo.

I costi di un audit on-site sono di norma a carico del Titolare richiedente, salvo che l'audit faccia emergere violazioni non marginali del DPA, nel qual caso i costi sono a carico del Responsabile.

13. Cessazione del trattamento

Alla cessazione del Servizio, per qualsiasi causa, il Responsabile, su scelta del Titolare comunicata per iscritto entro 30 giorni dalla cessazione:

  • Restituisce i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV o JSON), entro 90 giorni dalla data di cessazione; oppure
  • Cancella in modo sicuro i dati personali e ne dà conferma per iscritto al Titolare.

In assenza di scelta espressa entro 30 giorni dalla cessazione, il Responsabile procederà alla cancellazione sicura dei dati allo scadere del periodo di conservazione transitorio di 90 giorni, salvi i casi in cui la conservazione sia richiesta da obblighi di legge o per la difesa in giudizio.

I backup criptati possono permanere fino al naturale ciclo di rotazione (massimo 90 giorni) e sono inaccessibili a fini di trattamento.

14. Responsabilità e termini economici

Le attività ordinarie previste dal presente DPA sono comprese nel canone del piano del Servizio sottoscritto dal Titolare. Eventuali attività straordinarie — quali audit on-site, supporto a DSAR complesse oltre il volume standard, redazione di documentazione legale personalizzata, consulenze esterne — sono concordate per iscritto e fatturate separatamente secondo le tariffe vigenti.

Ciascuna parte è responsabile dei danni causati dalla violazione dei propri obblighi, ai sensi degli artt. 82-84 GDPR e della normativa nazionale applicabile. Il regime di responsabilità è disciplinato anche dai Terms of Service del Servizio: in caso di conflitto, prevale quanto previsto dal GDPR e dal presente DPA per le materie attinenti al trattamento dei dati.

15. Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana e dal Regolamento (UE) 2016/679. Per ogni controversia relativa all'interpretazione, esecuzione o validità del DPA è competente l'autorità giudiziaria italiana, secondo le norme generali del codice di procedura civile, salva l'eventuale applicazione del foro inderogabile del consumatore.

16. Disposizioni finali

In caso di conflitto tra il presente DPA e altre pattuizioni contrattuali tra le parti relative al trattamento dei dati personali, prevale il DPA. L'eventuale invalidità o inefficacia di una clausola non comporta l'invalidità del DPA nel suo complesso: le parti coopereranno in buona fede per sostituirla con una clausola valida che persegua, nei limiti consentiti dalla legge, gli stessi obiettivi.

Il DPA è redatto in italiano. La versione PDF firmabile, disponibile su richiesta, costituisce il testo ufficiale ai fini della sottoscrizione tra le parti.

Vedi anche: Privacy Policy · Cookie Policy · Termini di utilizzo

Firma la versione ufficiale del DPA.

Ti rispondiamo entro un giorno lavorativo con il PDF firmabile, le specifiche del piano e — se serve — una chiamata con il nostro responsabile compliance per chiarire dubbi prima della sottoscrizione.

Richiedi DPA firmabileContattaci