Data Processing Agreement

Il Data Processing Agreement (DPA) regola il rapporto Titolare-Responsabile tra il Cliente (Titolare) e Reliyre (Responsabile) ai sensi dell'art. 28 GDPR. Definisce oggetto, durata, natura e finalità del trattamento, le categorie di dati, gli obblighi del Responsabile, le misure di sicurezza e le clausole sui sub-Responsabili.

A partire dal piano Growth, il DPA viene generato automaticamente con i dati della tua organizzazione dalla dashboard (Compliance → DPA Generator). La generazione comporta accettazione dei termini standard pubblicati.

Per scaricare il template generico (con i campi del Titolare lasciati in bianco):

Scarica DPA template (PDF)

Per le organizzazioni in piano Enterprise o per clienti che richiedono clausole custom, è possibile negoziare un DPA con il legal team di Reliyre. Le clausole più comunemente personalizzate includono: SLA contrattuale, notifica violazioni con preavvisi più stringenti, audit on-site, data residency.

L'elenco aggiornato dei sub-Responsabili è pubblicato su /compliance#sub-processors. Ogni modifica viene notificata ai clienti con almeno 30 giorni di preavviso, durante i quali il Cliente può opporsi per giustificato motivo.

L'Allegato B del DPA elenca le misure tecniche e organizzative ai sensi dell'art. 32 GDPR (cifratura AES-256 at-rest, TLS 1.3 in transit, RBAC granulare, audit log immodificabile, hosting interamente UE, backup giornalieri cifrati, segregation degli ambienti, vulnerability management continuo). Le misure sono descritte in dettaglio su /security.

Alla cessazione del rapporto contrattuale, su scelta del Cliente, Reliyre restituirà o cancellerà tutti i dati personali entro 30 giorni — salvo diverse disposizioni di legge che richiedano la conservazione (es. obblighi fiscali). La cancellazione genera un certificato firmato con SHA-256 scaricabile dalla dashboard.