Accordo sul trattamento dei dati personali
Data Processing Agreement (DPA) — art. 28 GDPR
Titolare del trattamento: il Cliente (associazione)
Responsabile del trattamento: Emilio Alfredo Lodigiani — P.IVA 01862980339 — Strada di Montevalle 397, 29010 Alseno (PC)
Contatti: privacy@tesserati.cloud
Versione in vigore dal 16 aprile 2026. Parte integrante delle Condizioni generali di servizio.
Premesse
Il Cliente utilizza la piattaforma Tesserati per gestire tesseramento, contabilità e comunicazioni dei propri soci. Per erogare il Servizio, il Fornitore tratta dati personali per conto del Cliente.
Il presente accordo, ex art. 28 GDPR, regola tale trattamento. Accettandolo, il Cliente conferisce al Fornitore la nomina formale a Responsabile del trattamento.
Art. 1 — Ruoli
1.1. Il Cliente è Titolare: decide quali dati raccogliere, per quali finalità e per quanto tempo.
1.2. Il Fornitore tratta i dati come Responsabile, solo su istruzione documentata del Titolare (accordo, Condizioni generali, istruzioni operative impartite tramite uso della Piattaforma).
Art. 2 — Oggetto e durata
2.1. Il trattamento ha ad oggetto archiviazione, elaborazione e trasmissione dei dati necessari al Servizio.
2.2. La durata coincide con il contratto; alla cessazione si applica l'Art. 10.
Art. 3 — Natura, finalità, categorie di dati e interessati
| Elemento | Descrizione |
|---|---|
| Natura | Raccolta, registrazione, strutturazione, conservazione, adattamento, estrazione, consultazione, uso, comunicazione, cancellazione. |
| Finalità | Gestione anagrafica soci, ricevute, pagamenti, comunicazioni, libro soci, documenti per commercialista. |
| Interessati | Soci, legali rappresentanti, consiglio direttivo, collaboratori, commercialisti, genitori/tutori di minori. |
| Dati comuni | Anagrafici, contatti, codice fiscale, dati di pagamento (riferimenti Stripe), tesseramento. |
| Dati particolari | Solo se inseriti dal Cliente: dati sanitari (certificati medici sportivi), documenti identificativi per tesseramento EPS. |
Art. 4 — Obblighi del Responsabile
Il Fornitore si impegna a:
- trattare i dati solo su istruzione del Titolare, salvo obblighi di legge;
- garantire la riservatezza delle persone autorizzate;
- adottare misure ex art. 32 GDPR (Art. 6);
- rispettare le condizioni sui sub-responsabili (Art. 5);
- assistere il Titolare nelle richieste degli interessati ex Capo III;
- assistere il Titolare nel rispetto degli artt. 32-36;
- comunicare data breach entro 72 ore ex art. 33;
- mettere a disposizione del Titolare le informazioni ex art. 28 e consentire audit ex Art. 8.
Art. 5 — Sub-responsabili
5.1. Il Cliente autorizza in via generale il Fornitore a ricorrere a sub-responsabili.
5.2. I sub-responsabili alla data del presente accordo:
| Sub-responsabile | Attività | Ubicazione |
|---|---|---|
| Laravel Cloud / Forge | Hosting applicativo e infrastruttura | UE |
| AWS EMEA SARL | Storage S3 e invio email (SES) | eu-south-1 (Milano) / eu-west-1 (Irlanda) |
| Stripe Payments Europe Ltd | Pagamenti e abbonamenti | Irlanda / USA (garanzie adeguate) |
| Google LLC | OAuth e, se consentito, Analytics | USA (SCC) |
5.3. Preavviso 30 giorni per modifiche all'elenco; il Cliente può opporsi per giustificato motivo e recedere senza penalità.
5.4. I sub-responsabili sono vincolati a obblighi almeno equivalenti ex art. 28, par. 4, GDPR.
Art. 6 — Misure di sicurezza (art. 32 GDPR)
- TLS 1.2+ su tutte le interfacce;
- cifratura dei backup e archivi con dati personali;
- isolamento logico multi-tenant;
- autenticazione forte (OTP via email, OAuth Google);
- account amministrativi nominativi con audit log;
- backup giornalieri cifrati, conservazione ruotata;
- gestione vulnerabilità e aggiornamento componenti;
- monitoraggio prestazioni e disponibilità.
Art. 7 — Trasferimenti extra-SEE
7.1. Per trasferimenti extra-SEE adottiamo le garanzie ex Capo V GDPR.
7.2. Con i sub-responsabili extra-SEE stipuliamo le Clausole Contrattuali Standard ex decisione 2021/914/UE.
Art. 8 — Audit
8.1. Audit tramite richiesta scritta a privacy@tesserati.cloud, preavviso 30 giorni.
8.2. Forniamo documentazione disponibile; accesso diretto agli ambienti di produzione escluso per sicurezza multi-tenant.
8.3. Audit in loco concordati e a spese del Cliente, senza compromettere la continuità del Servizio.
Art. 9 — Assistenza diritti degli interessati
9.1. Richieste ex artt. 15-22 ricevute dal Fornitore vengono inoltrate al Cliente, senza risposta diretta.
9.2. Il Cliente estrae autonomamente i dati dei soci (export CSV/PDF) per rispondere alle richieste.
Art. 10 — Sorte dei dati al termine
10.1. Alla cessazione, il Cliente può esportare i dati entro 90 giorni. Dopo, cancellazione da produzione e backup entro 30 giorni.
10.2. Salvi gli obblighi di conservazione amministrativo-contabile (art. 2220 c.c., D.P.R. 600/1973).
Art. 11 — Modifiche
11.1. L'accordo può essere modificato con le stesse modalità delle Condizioni generali (preavviso 30 giorni, diritto di recesso).
Art. 12 — Disposizioni finali
12.1. In caso di contrasto con le Condizioni generali prevale il presente accordo sul trattamento dati.
12.2. Per quanto non previsto, si applicano Condizioni generali e normativa privacy.