Data Processing Agreement

Premessa e Ruoli

Parti del presente accordo

Il presente Data Processing Agreement ("DPA") disciplina il trattamento dei dati personali effettuato da ManueluxStudio per conto del cliente nell'ambito dell'erogazione del servizio HR RADAR. Il DPA costituisce parte integrante del contratto di servizio sottoscritto tra le parti.

Ai sensi del Regolamento (UE) 2016/679 ("GDPR"), le parti rivestono i seguenti ruoli:

Titolare del Trattamento (Art. 4 n.7 GDPR) — Il cliente che adotta la piattaforma HR RADAR per la gestione delle performance dei propri dipendenti e collaboratori. Il Titolare determina le finalità e i mezzi del trattamento.
Responsabile del Trattamento (Art. 4 n.8 GDPR) — ManueluxStudio (info@meridianhr.app), che tratta i dati personali per conto del Titolare conformemente alle istruzioni documentate nel presente DPA e nel contratto di servizio.

Il Responsabile tratta i dati personali esclusivamente su istruzione documentata del Titolare, salvo obblighi di legge ai quali il Responsabile è soggetto, nel qual caso ne informa il Titolare prima del trattamento, salvo divieti di legge.

Oggetto del Trattamento

Perimetro e finalità

Il Responsabile del Trattamento eroga e gestisce la piattaforma SaaS HR RADAR per conto del Titolare. Il trattamento dei dati personali è strumentale alla fornitura del servizio contrattualizzato.

Finalità del trattamento: gestione del feedback operativo e monitoraggio della performance dei collaboratori del Titolare tramite la piattaforma HR RADAR, incluse le funzionalità di inserimento valutazioni KPI settimanali, visualizzazione report e gestione degli accessi.

Esclusione del processo decisionale automatizzato: il trattamento effettuato dal Responsabile non costituisce processo decisionale automatizzato ai sensi dell'art. 22 GDPR. Nessuna decisione che produca effetti giuridici significativi sugli interessati viene adottata in modo automatizzato dalla piattaforma.

Tipologie di Dati Trattati

Categorie di dati personali

Nell'ambito dell'erogazione del servizio HR RADAR, il Responsabile tratta le seguenti categorie di dati personali per conto del Titolare:

Dati identificativi dei dipendenti — nome, cognome, ruolo professionale, sede/nodo organizzativo di appartenenza
Dati relativi alla prestazione lavorativa — score KPI settimanali, percentuali di performance, trend storici, dati comparativi aggregati per nodo
Note operative strutturate dei manager — annotazioni qualitative inserite dagli utenti autorizzati in relazione alle valutazioni dei collaboratori
Log di accesso alla piattaforma — registrazioni dei tentativi di autenticazione e delle sessioni attive, conservati a fini di sicurezza operativa

Il trattamento non include categorie particolari di dati personali ai sensi dell'art. 9 GDPR (dati sanitari, biometrici, genetici, relativi alle convinzioni religiose o all'orientamento sessuale), né dati relativi a condanne penali ai sensi dell'art. 10 GDPR.

Istruzioni del Titolare

Usi vietati al Responsabile

Il Titolare impartisce al Responsabile le seguenti istruzioni vincolanti. Il Responsabile si impegna a non effettuare, in nessun caso, le seguenti operazioni sui dati personali trattati per conto del Titolare:

Divieto di addestramento AI — è fatto assoluto divieto di utilizzare i dati personali del Titolare, in forma individuale o aggregata, per addestrare, affinare o validare modelli di intelligenza artificiale, algoritmi di machine learning o sistemi analitici automatizzati di qualsiasi natura
Divieto di condivisione non autorizzata — è fatto assoluto divieto di condividere, cedere, comunicare o rendere accessibili i dati personali a soggetti terzi non espressamente autorizzati dal presente DPA o da istruzione scritta del Titolare
Divieto di analisi cross-cliente — è fatto assoluto divieto di effettuare analisi aggregate, benchmarking o correlazioni che coinvolgano dati di più clienti distinti senza consenso esplicito e documentato di ciascun Titolare interessato
Divieto di conservazione oltre i termini — è fatto assoluto divieto di conservare i dati personali oltre i termini stabiliti dal Data Retention Schedule riportato nel presente DPA e dalle disposizioni contrattuali applicabili

Obblighi del Responsabile

Riservatezza

Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza. Il Responsabile limita l'accesso ai dati personali alle sole persone che necessitano di tale accesso per l'esecuzione del contratto di servizio.

Misure di sicurezza tecniche e organizzative

Il Responsabile adotta e mantiene misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio, ai sensi dell'art. 32 GDPR, tra cui:

HTTPS / TLS — cifratura del traffico in transito su tutti gli endpoint della piattaforma
Firebase / Google Cloud Platform — archiviazione su infrastruttura certificata ISO 27001, SOC 2 Type II, con cifratura at-rest dei dati
Autenticazione — sistema di autenticazione basato su ruoli (RBAC) con accesso per livelli gerarchici (Manager, GM, Holding, Super Admin); credenziali in forma cifrata
Cifratura at-rest — tutti i dati archiviati su Firestore sono cifrati a riposo secondo gli standard Google Cloud
Controllo degli accessi — principio del minimo privilegio applicato a tutti gli utenti della piattaforma e al personale tecnico del Responsabile

Notifica delle violazioni

Il Responsabile notifica al Titolare qualsiasi violazione dei dati personali (data breach) di cui venga a conoscenza, senza ingiustificato ritardo e comunque entro 72 ore dalla scoperta della violazione, conformemente all'art. 33 GDPR. La notifica contiene almeno le informazioni previste dall'art. 33 par. 3 GDPR disponibili al momento della comunicazione.

Il canale di notifica è: info@meridianhr.app con oggetto "[DATA BREACH] HR RADAR — [data]".

Sub-responsabili Autorizzati

Elenco dei sub-responsabili

Il Titolare autorizza il Responsabile ad avvalersi dei seguenti sub-responsabili del trattamento. Il Responsabile impone ai sub-responsabili, mediante contratto, gli stessi obblighi in materia di protezione dei dati previsti dal presente DPA e rimane pienamente responsabile nei confronti del Titolare per l'adempimento da parte dei sub-responsabili.

Google LLC (Firebase / Google Cloud Platform)
- Regione di archiviazione: EU (europe-west) o equivalente con Standard Contractual Clauses (SCCs) approvate dalla Commissione Europea
- Finalità: hosting dei dati, database Firestore, autenticazione Firebase Auth, Cloud Functions
- Garanzie: Google Cloud Data Processing Addendum, ISO 27001, SOC 2 Type II

Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi a tali modifiche. La comunicazione avviene con preavviso minimo di 30 giorni.

Standard Contractual Clauses (SCCs)

Server in Europa (europe-west)

ISO 27001 · SOC 2

Diritti degli Interessati

Supporto alle richieste DSAR

Il Responsabile assiste il Titolare, nella misura del possibile, per permettergli di adempiere all'obbligo di dare seguito alle richieste degli interessati per l'esercizio dei seguenti diritti ai sensi del Capo III GDPR:

Accesso (art. 15) — fornitura dei dati trattati relativi all'interessato richiedente
Rettifica (art. 16) — correzione di dati inesatti o incompleti
Cancellazione (art. 17) — rimozione dei dati nei casi previsti dalla normativa ("diritto all'oblio")
Portabilità (art. 20) — esportazione dei dati in formato strutturato, leggibile da macchina e di uso comune

Tempi di risposta: il Responsabile fornisce riscontro alla richiesta del Titolare entro 10 giorni lavorativi dal ricevimento della stessa. Le richieste vanno inoltrate a info@meridianhr.app con oggetto "[DSAR] HR RADAR — [tipo richiesta]".

Qualora il Responsabile riceva direttamente richieste da parte degli interessati, ne informa tempestivamente il Titolare senza fornire riscontro autonomo, salvo diversa istruzione scritta del Titolare.

Data Retention Schedule

Periodi di conservazione per collezione

La tabella seguente definisce i periodi di conservazione predefiniti per ciascuna collezione di dati gestita dalla piattaforma HR RADAR. Trascorso il periodo indicato, i dati vengono eliminati automaticamente o manualmente secondo il metodo specificato.

Collezione	Dato	Retention default	Motivazione	Metodo cancellazione
evaluations	Score KPI settimanali	730 giorni	Ciclo valutativo biennale	Automatica
notes	Note operative manager	365 giorni	Un ciclo valutativo	Automatica
login_log	Tentativi di accesso	90 giorni	Sicurezza operativa	Automatica
data_exports	Log export dati	365 giorni	Accountability	Automatica (immodificabile)
agent_alerts	Alert sistema	30 giorni	Debug operativo	Automatica
employees	Anagrafica dipendenti	Durata contratto + 60 giorni	Richieste DSAR	Manuale a fine contratto
users	Credenziali accesso	Durata contratto	Accesso sistema	Manuale a fine contratto

Cancellazione a Fine Contratto

Restituzione e cancellazione dei dati

Alla cessazione del contratto di servizio, il Responsabile, su scelta del Titolare comunicata per iscritto:

Restituisce al Titolare tutti i dati personali trattati per suo conto, in formato esportabile (JSON/CSV), entro 30 giorni dalla cessazione del servizio
Procede alla cancellazione sicura e definitiva di tutti i dati personali del Titolare dai sistemi del Responsabile e dei sub-responsabili autorizzati, entro 30 giorni dalla cessazione del servizio o dalla restituzione

Il Responsabile fornisce attestazione scritta dell'avvenuta cancellazione su richiesta del Titolare. I log di accountability (data_exports) sono mantenuti immodificabili per il periodo previsto dal retention schedule e cancellati allo scadere dello stesso.

Audit e Verifica

Diritti di controllo del Titolare

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti dall'art. 28 GDPR e dal presente DPA, e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.

Documentazione sulle misure di sicurezza — il Titolare può richiedere in qualsiasi momento documentazione scritta sulle misure tecniche e organizzative adottate dal Responsabile. Il Responsabile risponde entro 15 giorni lavorativi dalla richiesta.
Audit fisici — il Titolare ha diritto di richiedere audit fisici o verifiche in loco delle procedure operative del Responsabile con un preavviso minimo di 30 giorni. Gli audit si svolgono durante il normale orario lavorativo, senza interferire con le attività operative, e i relativi costi sono a carico del Titolare richiedente.
Certificazioni di terze parti — il Responsabile rende disponibili al Titolare le certificazioni di sicurezza pertinenti (es. certificazioni Google Cloud) in sostituzione o a complemento degli audit fisici, ove ritenute adeguate dal Titolare.

Legge Applicabile e Foro Competente

Giurisdizione

Il presente DPA è regolato dalla legge italiana, in conformità con il Regolamento (UE) 2016/679 (GDPR) e il D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Per qualsiasi controversia relativa all'interpretazione, all'esecuzione o alla risoluzione del presente DPA, le parti riconoscono la competenza esclusiva del Foro di Milano.

Per questioni relative alla protezione dei dati personali è possibile rivolgersi all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Legge italiana

Foro di Milano

GDPR (UE) 2016/679