Accordo sul trattamento dei dati

Questo Accordo sul trattamento dei dati (DPA) è parte dei nostri termini di servizio e si applica automaticamente non appena, come cliente B2B, attivi un servizio in cui trattiamo dati personali dei tuoi utenti finali per tuo conto (GDPR art. 28). Non devi firmarlo separatamente — accettare i termini = accettare questo DPA.

1. Parti e ruoli

Titolare del trattamento: tu, il cliente (il "Cliente").

Responsabile del trattamento: InternalHost (ditta individuale Xaviero Kajafas, CCIAA NL 90174720).

InternalHost tratta i dati personali esclusivamente su istruzioni del Cliente e solo nella misura necessaria a erogare i servizi concordati (hosting, storage, mail, rete).

2. Oggetto e durata

• Oggetto: trattamento di dati personali nel contesto dei servizi di infrastruttura IT che eroghiamo.
• Natura del trattamento: archiviazione, trasmissione (all'interno della nostra infrastruttura), backup — nessun trattamento attivo del contenuto degli utenti finali da parte nostra.
• Finalità: rendere disponibili i servizi IT concordati.
• Categorie di interessati: stabilite dal Cliente. Noi non abbiamo visibilità (non guardiamo nei tuoi database).
• Tipi di dati personali: stabiliti dal Cliente. Le categorie particolari (salute, religione, ecc.) sono ammesse a condizione che il Cliente adotti misure tecniche e organizzative adeguate.
• Durata: per tutta la durata del contratto principale, più 14 giorni di recovery dopo la cessazione.

3. Misure di sicurezza

InternalHost adotta almeno le seguenti misure tecniche e organizzative:

• Cifratura in transito: TLS 1.2+ su tutti gli endpoint pubblici, WireGuard per la mesh interna.
• Cifratura at-rest: LUKS su tutti i volumi di storage. La cifratura a livello del Cliente è responsabilità del Cliente.
• Controllo accessi: SSH solo con chiavi ed25519, MFA obbligatoria per gli accessi admin, principio del minimo privilegio.
• Logging: gli accessi all'infrastruttura sono loggati (90 giorni).
• Backup: snapshot giornalieri cifrati dei volumi cliente, retention 7g/4s/12m (lato nostro — il backup applicativo è responsabilità del Cliente).
• Sicurezza fisica: Qupra DC ha accesso presidiato 24/7, certificazione ISO 27001 + 9001, accesso biometrico + mantrap.
• Aggiornamenti software: patch di sicurezza entro 7 giorni dal rilascio, quelle critiche entro 24 ore.
• Monitoring: CrowdSec + fail2ban su tutti i servizi esposti.

Una panoramica aggiornata delle misure tecniche è disponibile su richiesta a [email protected].

4. Sub-responsabili

Utilizziamo i seguenti sub-responsabili. Tutti nell'UE. Notifichiamo eventuali cambiamenti con almeno 30 giorni di anticipo, così il Cliente può opporsi.

5. Trasferimenti fuori UE

Non trasferiamo dati personali in paesi al di fuori di UE/SEE, tranne quando Cloudflare come CDN instrada necessariamente via PoP extra-UE in caso di DDoS. In quel caso si applicano le Clausole Contrattuali Standard tra noi e Cloudflare.

6. Procedura di data breach

In caso di violazione di dati personali che riguardi il Cliente, lo notifichiamo entro 24 ore dalla scoperta (all'email registrata) indicando:

• Natura della violazione
• Categorie e numero approssimativo di persone interessate
• Conseguenze probabili
• Misure adottate o proposte

Il Cliente decide se è necessaria una notifica all'Autorità di protezione dei dati. Supportiamo per quanto serve.

7. Cessazione e restituzione dei dati

Dopo la cessazione del contratto principale:

• Il Cliente ha 14 giorni per scaricare tutti i dati (via SSH/SFTP o tramite richiesta di export).
• Successivamente, tutti i dati personali vengono cancellati in modo permanente, salvo dove si applica una conservazione obbligatoria (fisco NL: dati di fatturazione 7 anni).
• Su richiesta forniamo un certificato scritto di distruzione.

Per contratti specifici (grandi B2B, sanità, settore finanziario) possiamo firmare un DPA personalizzato. Scrivi a [email protected].