Data Processing Agreement (DPA)

Ultimo aggiornamento: Gennaio 2026

📋 ACCORDO DI TRATTAMENTO DATI

ex art. 28 del Regolamento (UE) 2016/679 (GDPR)

Tra EquiTrack (Responsabile) e Organizzazione Cliente (Titolare)

🏢 TITOLARE DEL TRATTAMENTO

L'Organizzazione Cliente

Scuola di equitazione, maneggio o centro ippico che utilizza la piattaforma EquiTrack

  • Determina finalità e mezzi del trattamento
  • Decide quali dati inserire nel sistema
  • Responsabile della conformità GDPR

⚙️ RESPONSABILE DEL TRATTAMENTO

EquiTrack

Fornitore della piattaforma software per la gestione di scuole di equitazione

  • Tratta dati per conto del Titolare
  • Fornisce la piattaforma tecnologica
  • Implementa misure di sicurezza

1. Oggetto e Ambito di Applicazione

Il presente DPA regola il trattamento dei dati personali effettuato da EquiTrack per conto dell'Organizzazione Cliente nell'ambito della fornitura della piattaforma software.

ElementoDescrizione
Natura del trattamentoGestione dati anagrafici, lezioni, pagamenti, presenze tramite piattaforma SaaS
FinalitàDeterminate dall'Organizzazione Cliente secondo le proprie necessità operative
Categorie di datiDati anagrafici, dati di contatto, dati economici, dati relativi a cavalli
Categorie di interessatiStudenti, istruttori, proprietari di cavalli, personale dell'organizzazione
DurataPer tutta la durata del contratto di servizio + periodo di transizione

2. Obblighi delle Parti

🏢 Obblighi del Titolare (Organizzazione)

📋 Fornire istruzioni chiare e documentate per il trattamento
⚖️ Garantire la liceità del trattamento e informare gli interessati
🔍 Verificare periodicamente la conformità del Responsabile
📞 Gestire le richieste degli interessati sui loro diritti
🚨 Notificare eventuali violazioni all'Autorità Garante

⚙️ Obblighi del Responsabile (EquiTrack)

🔒 Implementare misure di sicurezza tecniche e organizzative
👥 Garantire che il personale sia formato e vincolato alla riservatezza
🤝 Assistere il Titolare nell'adempimento degli obblighi GDPR
🗑️ Cancellare o restituire i dati al termine del contratto
📊 Tenere un registro delle attività di trattamento

3. Misure di Sicurezza Tecniche e Organizzative

🛡️ Misure Implementate da EquiTrack

In conformità all'art. 32 GDPR, EquiTrack implementa le seguenti misure di sicurezza:

🔐 Crittografia

HTTPS/TLS per tutti i dati in transito. Crittografia database a riposo.

🏗️ Isolamento Dati

Row Level Security (RLS) per isolamento completo tra organizzazioni.

🔑 Controllo Accessi

Autenticazione multi-fattore e controlli di accesso basati su ruoli.

💾 Backup

Backup automatici giornalieri con crittografia e test di ripristino.

📊 Monitoraggio

Audit log completi e monitoraggio continuo delle attività.

🚨 Incident Response

Procedure documentate per la gestione delle violazioni di dati.

4. Sub-Responsabili del Trattamento

EquiTrack utilizza i seguenti sub-responsabili, tutti vincolati da accordi GDPR-compliant:

Sub-ResponsabileServizioUbicazioneGaranzie GDPR
Supabase Inc.Database hosting e gestione🇪🇺 UE / 🇺🇸 USADPA + Standard Contractual Clauses
Amazon Web ServicesHosting infrastruttura e asset🇪🇺 UE / 🇺🇸 USADPA + Standard Contractual Clauses
Clerk Inc.Autenticazione e gestione utenti🇺🇸 USADPA + Standard Contractual Clauses

Nota: EquiTrack si impegna a notificare l'Organizzazione Cliente di eventuali modifiche ai sub-responsabili con almeno 30 giorni di preavviso.

5. Assistenza al Titolare

EquiTrack assiste l'Organizzazione Cliente nei seguenti ambiti:

  • Diritti degli interessati: Fornisce strumenti tecnici per l'esercizio dei diritti (accesso, rettifica, cancellazione)
  • Valutazioni d'impatto: Fornisce documentazione tecnica per DPIA quando richiesto
  • Consultazioni preventive: Collabora nelle consultazioni con l'Autorità Garante
  • Violazioni di dati: Notifica tempestiva (entro 24h) di eventuali data breach

6. Trasferimenti Internazionali

Per i trasferimenti verso paesi terzi, EquiTrack garantisce:

  • Standard Contractual Clauses (SCC): Clausole approvate dalla Commissione Europea
  • Valutazione del rischio: Analisi continua delle condizioni di sicurezza nei paesi di destinazione
  • Misure supplementari: Crittografia aggiuntiva e controlli di accesso rafforzati

7. Durata e Cessazione

Al termine del contratto di servizio, EquiTrack:

  • Fornisce un periodo di transizione di 90 giorni per l'esportazione dei dati
  • Cancella definitivamente tutti i dati personali dai propri sistemi
  • Fornisce certificazione scritta della cancellazione
  • Mantiene solo i dati necessari per obblighi legali (es. fatturazione)

8. Audit e Controlli

L'Organizzazione Cliente ha il diritto di:

  • Richiedere documentazione sulle misure di sicurezza implementate
  • Effettuare audit delle attività di trattamento (previo accordo)
  • Ricevere report periodici sulle attività di trattamento
  • Essere informata tempestivamente di eventuali incidenti di sicurezza

9. Contatti e Comunicazioni

Per tutte le comunicazioni relative al presente DPA:

📧 EquiTrack (Responsabile)

Email DPO: privacy@equitrack.it

Email Tecnico: support@equitrack.it

Tempo di risposta: 48 ore lavorative

🏢 Organizzazione (Titolare)

I contatti dell'Organizzazione Cliente sono specificati nel contratto di servizio principale.

È responsabilità dell'Organizzazione mantenere aggiornati i propri contatti.

10. Modifiche e Aggiornamenti

Il presente DPA può essere modificato:

  • Per adeguamenti normativi (modifiche automatiche con notifica)
  • Per miglioramenti delle misure di sicurezza (modifiche automatiche con notifica)
  • Per modifiche sostanziali (previo accordo scritto delle parti)

Versione corrente: 2.0 - Gennaio 2026

Prossima revisione programmata: Gennaio 2027