Documento legale

Data Processing Agreement

Accordo sul Trattamento dei Dati Personali ai sensi dell'Art. 28 GDPR (Reg. UE 2016/679)

Versione 1.0 In vigore dal 12 maggio 2026

Il presente DPA integra le Condizioni Generali di Contratto ForgiaLean e si applica automaticamente a tutti i Clienti. L'accettazione delle Condizioni Generali costituisce accettazione del DPA.

1. Parti

Titolare del trattamento

Il Cliente che sottoscrive le Condizioni Generali di Contratto ForgiaLean.

Responsabile del trattamento

ForgiaLean di Lica Marian Dutu, P.IVA 04336611209, Via Mezzo Ponente 520 Int. 02, 40014 Crevalcore (BO), info@forgialean.it.

2. Definizioni

Dati personali

Qualsiasi informazione riguardante persona fisica identificata o identificabile (Art. 4 par. 1 GDPR).

Trattamento

Qualsiasi operazione su dati personali (Art. 4 par. 2 GDPR).

Titolare

Il Cliente che determina finalità e mezzi del trattamento (Art. 4 par. 7 GDPR).

Responsabile

ForgiaLean che tratta i dati per conto del Titolare (Art. 4 par. 8 GDPR).

Interessati

Le persone fisiche i cui dati sono inseriti nella Piattaforma dal Cliente.

Violazione

Qualsiasi violazione di sicurezza sui dati personali (Art. 4 par. 12 GDPR).

3. Oggetto e Durata

Il DPA disciplina il trattamento dei dati effettuato da ForgiaLean come Responsabile nell'erogazione dei Servizi. Durata pari al contratto di abbonamento. Alla cessazione si applicano le disposizioni della Sezione 12.

4. Categorie di Dati e Interessati

Interessati

Operai e dipendenti del Cliente, subappaltatori e loro personale, referenti aziendali.

Dati particolari (art. 9 GDPR): la Piattaforma non è progettata per dati sanitari in senso clinico. Dati visite mediche riguardano scadenze amministrative di idoneità, non diagnosi cliniche. Per dati particolari eventualmente inseriti dal Cliente nei campi liberi, il Cliente ne assume piena responsabilità come Titolare.

5. Obblighi del Responsabile (art. 28.3 GDPR)

ForgiaLean si impegna a:

6. Sub-Responsabili

FornitoreServizioSede del trattamentoGaranzie
Render Services Inc.Hosting backend e DB PostgreSQLFrankfurt (UE)Trattamento in UE, ISO 27001
Anthropic PBCAI Auditor, elaborazione linguaggio naturaleUSASCCs art. 46.2.c, zero training su dati API, zero data retention
Brevo SAEmail transazionali e marketingUE (Francia)DPA Brevo, ISO 27001
Stripe Payments Europe LtdPagamentiUE (Irlanda) / USADPA Stripe, PCI DSS Level 1, SCCs
Cloudinary Ltd.Storage e ottimizzazione immaginiUSA / UEDPA Cloudinary, ISO 27001, SCCs
Cloudflare Inc.CDN, DNS, hosting landingUSA / UE (edge network)DPA Cloudflare, ISO 27001, SCCs
SignWell Inc.Firma elettronica contrattiUSASCCs art. 46.2.c, DPA SignWell

Notifica modifiche sub-responsabili: preavviso di 30 giorni. Il Titolare può opporsi entro 15 giorni.

7. Misure di Sicurezza (art. 32 GDPR)

8. Trasferimenti Internazionali

9. Notifica Violazione Dati (art. 33–34 GDPR)

ForgiaLean notifica il Titolare entro 48 ore dalla scoperta con: natura della violazione, categorie e numero approssimativo di interessati coinvolti, probabili conseguenze, misure adottate. Coopera con il Titolare per la notifica al Garante Privacy entro 72 ore. Documenta ogni violazione.

10. Assistenza Diritti Interessati (art. 15–22 GDPR)

DirittoTermine risposta
Accesso (art. 15)5 giorni lavorativi
Rettifica (art. 16)5 giorni lavorativi
Cancellazione (art. 17)10 giorni lavorativi
Limitazione (art. 18)5 giorni lavorativi
Portabilità (art. 20)10 giorni lavorativi (CSV/JSON)
Opposizione (art. 21)5 giorni lavorativi

Richieste via email a info@forgialean.it.

11. Audit (art. 28.3.h GDPR)

12. Restituzione e Cancellazione

Su richiesta entro 30 giorni dalla cessazione: restituzione dati in formato CSV/JSON. In assenza di richiesta: cancellazione entro 90 giorni. I backup vengono eliminati nel normale ciclo di rotazione (max 30 giorni). Eccezioni per obblighi di legge (documentazione fiscale). Cancellazione confermata per iscritto.

13. Responsabilità

Art. 82 GDPR. Ciascuna parte risponde per danni da trattamento non conforme nella propria sfera. Il Cliente garantisce le basi giuridiche per il trattamento dei dati del proprio personale.

14. Legge Applicabile

Legge italiana e Regolamento UE 2016/679. Foro: Tribunale di Bologna. Autorità di controllo: Garante Privacy, Piazza Venezia 11, 00187 Roma.

L'accettazione delle Condizioni Generali costituisce accettazione integrale del presente DPA.