Accordo sul Trattamento dei Dati (DPA) — eSay CRM

Accordo ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR) tra:

• Titolare del trattamento ("Titolare"): l'utente eSay che inserisce e gestisce i dati dei propri contatti/clienti nel CRM;
• Responsabile del trattamento ("Responsabile"): LANGA Corp. Srl, Piazza IV Novembre, 4 — 20124 Milano (MI), Italia, P.IVA IT10637600965.

Il presente DPA integra le Condizioni specifiche eSay (ES.2) e i Termini Galaxy.

DPA.1 Oggetto e durata del trattamento

Il Responsabile tratta dati personali per conto del Titolare al solo scopo di erogare il servizio eSay CRM (gestione contatti, comunicazioni, pipeline, automazioni marketing). Il trattamento dura per l'intera durata del servizio e per il periodo di conservazione post-cessazione (60 giorni, cfr. ES.3).

DPA.2 Categorie di dati e interessati

Categoria di dati	Interessati
Dati anagrafici (nome, cognome, email, telefono, indirizzo)	Contatti/clienti del Titolare
Dati commerciali (pipeline, note, storico comunicazioni)	Contatti/clienti del Titolare
Dati di comunicazione (email inviate/ricevute, automazioni)	Contatti/clienti del Titolare

Non vengono trattati dati particolari (art. 9 GDPR) salvo che il Titolare li inserisca volontariamente (nel qual caso il Titolare ne è esclusivamente responsabile).

DPA.3 Obblighi del Responsabile

LANGA Corp. Srl, in qualità di Responsabile, si impegna a:

• Trattare i dati esclusivamente su istruzione documentata del Titolare e per le finalità del servizio eSay;
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza;
• Adottare le misure di sicurezza di cui al punto DPA.5;
• Non trasferire dati al di fuori del SEE senza le garanzie adeguate (DPA.7);
• Assistere il Titolare nell'adempimento degli obblighi di risposta alle richieste degli interessati (accesso, rettifica, cancellazione, portabilità);
• Assistere il Titolare nella valutazione d'impatto (DPIA) e nella consultazione preventiva, ove necessario;
• Al termine del servizio, restituire o cancellare tutti i dati personali (cfr. DPA.8);
• Mettere a disposizione del Titolare le informazioni necessarie per dimostrare il rispetto degli obblighi ex art. 28 GDPR.

DPA.4 Sub-responsabili

Il Titolare autorizza LANGA Corp. Srl a ricorrere ai seguenti sub-responsabili:

Sub-responsabile	Finalità	Sede
Hetzner Online GmbH	Hosting infrastruttura server	Germania (UE)
Infrastruttura Easy (Hetzner Online GmbH)	Email transazionali	Germania (UE)
Hetzner Online GmbH	Backup/disaster recovery	Germania (UE)

LANGA Corp. Srl informa il Titolare con almeno 30 giorni di preavviso prima di aggiungere o sostituire un sub-responsabile. Il Titolare può opporsi per motivi ragionevoli; in caso di opposizione non risolta, il Titolare può recedere dal servizio. Ogni sub-responsabile è vincolato agli stessi obblighi del presente DPA.

DPA.5 Misure di sicurezza (art. 32 GDPR)

LANGA Corp. Srl adotta le seguenti misure tecniche e organizzative:

• Crittografia: dati in transito via TLS 1.2+; dati a riposo crittografati su disco;
• Controllo accessi: autenticazione multi-fattore per amministratori; principio del minimo privilegio; log degli accessi;
• Backup: backup giornaliero con conservazione 30 giorni; test di restore periodico;
• Isolamento: dati di ciascun Titolare logicamente separati;
• Monitoraggio: sistema Shield AEGIS Tech per monitoraggio continuo stato e sicurezza;
• Aggiornamenti: patching di sicurezza applicato entro 14 giorni dalla pubblicazione;
• Formazione: personale autorizzato formato su protezione dati.

DPA.6 Notifica violazioni (data breach)

In caso di violazione dei dati personali (data breach), LANGA Corp. Srl notifica il Titolare senza ingiustificato ritardo e comunque entro 72 ore dalla scoperta, fornendo:

• Natura della violazione e categorie/numero approssimativo di interessati coinvolti;
• Dati di contatto del DPO/referente;
• Probabili conseguenze della violazione;
• Misure adottate o proposte per porre rimedio.

Il Titolare resta responsabile della notifica all'autorità di controllo (art. 33 GDPR) e della comunicazione agli interessati (art. 34 GDPR).

DPA.7 Trasferimenti internazionali

I dati sono trattati su server ubicati nell'Unione Europea (Hetzner, Germania). In caso di necessità di trasferimento verso paesi terzi (es. per sub-responsabili extra-UE), LANGA Corp. Srl garantisce l'adozione delle garanzie adeguate ai sensi del Capo V GDPR (decisioni di adeguatezza, clausole contrattuali tipo, BCR).

DPA.8 Restituzione e cancellazione dei dati

Al termine del servizio eSay: il Titolare può esportare tutti i propri dati in formato CSV/JSON (cfr. ES.3); LANGA Corp. Srl mantiene i dati accessibili per 60 giorni dalla scadenza; trascorsi i 60 giorni, i dati sono cancellati definitivamente da tutti i sistemi, salvo obblighi di conservazione legale (es. fiscale 10 anni per dati di fatturazione). Su richiesta, LANGA Corp. Srl fornisce conferma scritta della cancellazione.

DPA.9 Diritto di audit

Il Titolare ha il diritto di verificare il rispetto del presente DPA tramite:

• Richiesta di informazioni e documentazione a LANGA Corp. Srl;
• Audit condotto dal Titolare o da un revisore terzo indipendente, previo preavviso ragionevole (almeno 30 giorni) e nel rispetto della riservatezza.

LANGA Corp. Srl collabora ragionevolmente all'audit. I costi dell'audit sono a carico del Titolare, salvo che l'audit riveli una non conformità sostanziale.

DPA.10 Contatto e legge applicabile

Referente protezione dati: legal@langa.tv. Il presente DPA è regolato dalla legge italiana e dal GDPR; foro competente: Tribunale di Milano.