Allegato A — Accordo sul Trattamento dei Dati (art. 28 GDPR)
Versione 1.0 · aggiornata a giugno 2026
Parte integrante dei Termini e Condizioni di Servizio di Briska.
1. Parti e oggetto
1.1 Il presente accordo («DPA») disciplina il trattamento dei Dati dei Lead effettuato da ContinDigital di Marco Contin, P.IVA 05752110287(il «Responsabile» o «Fornitore»), per conto dell'Utente del Servizio Briska(il «Titolare»), ai sensi dell'art. 28 del Regolamento (UE) 2016/679.
1.2 Il DPA si applica esclusivamente ai Dati dei Lead come definiti nei Termini. Il trattamento dei dati personali dell'Utente da parte del Fornitore in qualità di titolare autonomo (account, fatturazione, utilizzo) è disciplinato dalla Privacy Policy.
1.3 L'accettazione dei Termini comporta la stipula del presente DPA.
2. Caratteristiche del trattamento
| Elemento | Descrizione |
|---|---|
| Oggetto | Raccolta da fonti pubbliche, organizzazione, conservazione, elaborazione (anche tramite modelli di intelligenza artificiale) ed estrazione dei Dati dei Lead; generazione di schede informative e bozze di messaggio; esportazione; cancellazione |
| Durata | 30 giorni dalla creazione di ciascuna lista, e comunque non oltre la durata del rapporto contrattuale |
| Natura e finalità | Erogazione del Servizio: preparazione dell'attività commerciale del Titolare |
| Categorie di interessati | Titolari, esercenti e referenti di attività locali, in quanto ditte individuali o professionisti |
| Categorie di dati | Dati identificativi e di contatto a carattere professionale pubblicamente disponibili (denominazione, indirizzo, telefono, email, contatto WhatsApp, sito web); contenuti testuali pubblicati sui siti web delle attività; contenuti generati a partire da essi. Nessuna categoria particolare di dati (art. 9 GDPR) |
3. Istruzioni del Titolare
3.1 Il Responsabile tratta i Dati dei Lead soltanto su istruzione documentata del Titolare. Costituiscono istruzioni documentate: i presenti Termini, il presente DPA e i comandi impartiti dal Titolare attraverso l'interfaccia del Servizio (selezione di parole chiave, località, singoli lead, esportazioni, cancellazioni).
3.2 Il Responsabile informa il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati.
4. Obblighi del Responsabile
4.1 Riservatezza: il Responsabile garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
4.2 Sicurezza (art. 32 GDPR): il Responsabile adotta misure tecniche e organizzative adeguate, tra cui: cifratura dei dati in transito (TLS), controllo degli accessi su base nominativa, autenticazione senza password tramite collegamenti monouso, isolamento logico dei dati per Account, hosting presso data center nell'Unione europea (Hetzner, Germania), backup periodici, cancellazione automatica al termine di conservazione, registrazione dei log applicativi.
4.3 Assistenza: il Responsabile assiste il Titolare, tenuto conto della natura del trattamento, nel dare seguito alle richieste degli interessati (artt. 15-22 GDPR) e negli adempimenti di cui agli artt. 32-36 GDPR, per quanto di propria competenza.
4.4 Violazioni di dati: il Responsabile notifica al Titolare, senza ingiustificato ritardo dopo esserne venuto a conoscenza, ogni violazione dei dati personali che riguardi i Dati dei Lead, fornendo le informazioni utili agli adempimenti del Titolare.
4.5 Cancellazione: al termine dei 30 giorni, e comunque alla cessazione del rapporto, i Dati dei Lead sono cancellati automaticamente, salvo l'identificativo tecnico della scheda Google (place id) conservato a fini di deduplicazione e salvi gli obblighi di conservazione previsti dalla legge. Le copie di backup sono sovrascritte secondo i cicli tecnici ordinari, entro un termine massimo di 35 giorni.
4.6 Dimostrabilità e verifiche: il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente verifiche, anche mediante questionari scritti o documentazione, con preavviso ragionevole e senza pregiudicare la sicurezza degli altri Utenti.
5. Sub-responsabili
5.1 Il Titolare autorizza in via generale il ricorso ai seguenti sub-responsabili:
| Sub-responsabile | Funzione | Sede |
|---|---|---|
| Interrogazione Places API | USA/UE | |
| Anthropic | Elaborazione testi tramite modello di intelligenza artificiale | USA |
| Hetzner Online GmbH | Hosting e conservazione | UE (Germania) |
5.2 Il Responsabile impone ai sub-responsabili, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta pienamente responsabile verso il Titolare dell'adempimento dei sub-responsabili.
5.3 Il Responsabile comunica al Titolare ogni modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili con almeno 15 giorni di anticipo; il Titolare può opporsi per motivi legittimi e, in tal caso, recedere dal Servizio con rimborso dei Crediti non utilizzati.
5.4 I dati trasmessi al fornitore del modello di intelligenza artificiale non sono utilizzati per l'addestramento dei modelli, secondo i termini commerciali applicabili al rapporto tra Responsabile e sub-responsabile.
6. Trasferimenti extra-UE
I trasferimenti verso sub-responsabili stabiliti negli Stati Uniti avvengono sulla base della decisione di adeguatezza UE-USA (EU-US Data Privacy Framework) per i soggetti certificati, ovvero delle clausole contrattuali standard della Commissione europea (art. 46.2.c GDPR), integrate ove necessario da misure supplementari.
7. Responsabilità del Titolare
7.1 Il Titolare garantisce di disporre di un'idonea base giuridica per il trattamento dei Dati dei Lead e di adempiere agli obblighi informativi verso gli interessati (art. 14 GDPR), nonché di utilizzare i dati nel rispetto della normativa sulle comunicazioni commerciali (incluso l'art. 130 del Codice Privacy).
7.2 Resta ferma la manleva di cui all'art. 8 dei Termini.
8. Durata e disposizioni finali
8.1 Il DPA ha la stessa durata del rapporto contrattuale e cessa con la cancellazione integrale dei Dati dei Lead.
8.2 In caso di contrasto tra il DPA e i Termini, prevale il DPA limitatamente alla materia della protezione dei dati.