Data Processing Agreement

Il presente Data Processing Agreement (DPA) integra i Termini di servizio e regola il trattamento dei dati personali da parte di Christian Calabrò ("Responsabile") per conto del Cliente business ("Titolare"). Si applica automaticamente con la sottoscrizione di un piano Studio o Enterprise; per piani Pro è disponibile su richiesta a supporto@estrattocontoexcel.com.

1. Oggetto e ruoli privacy

Il Cliente opera come Titolare del trattamento dei documenti dei propri clienti (estratti conto bancari, dati contabili). EstrattoContoExcel agisce come Responsabile del trattamento limitatamente alle operazioni di conversione, archiviazione temporanea e consegna dell'output. Il Responsabile tratta i dati esclusivamente sulla base di istruzioni documentate del Titolare.

2. Categorie di dati e interessati

Le categorie di dati personali trattati possono includere:

• nome del titolare del conto bancario;
• causali di operazioni (che possono contenere nomi di terzi);
• importi, date valuta e date contabili;
• IBAN o estremi di conto.

Gli interessati sono i clienti del Cliente Titolare, i loro dipendenti o contatti commerciali. Non vengono trattate categorie particolari ai sensi dell'art. 9 GDPR.

3. Durata del trattamento

Il trattamento dura per l'intera vigenza del contratto di servizio sottoscritto dal Cliente. La retention dei file caricati e dell'output è configurabile dall'area amministrativa del Cliente, con un massimo di 90 giorni salvo diverso accordo scritto.

4. Sub-responsabili EU

Per erogare il servizio, il Responsabile si avvale dei seguenti sub-responsabili, tutti localizzati o operanti in Unione Europea (con clausole contrattuali standard ove necessario):

• Hosting + CDN + R2 storage

  Cloudflare

  EU

  Vedi DPA →
• Auth + Database

  Supabase

  EU (eu-central-1)

  Vedi DPA →
• Pagamenti

  Stripe

  US + SCC + Data Privacy Framework

  Vedi DPA →
• Email transazionali

  Resend

  EU

  Vedi DPA →

L'elenco aggiornato è disponibile su richiesta. Modifiche ai sub-responsabili sono comunicate al Cliente con preavviso di 30 giorni e diritto di obiezione motivata.

5. Misure tecniche e organizzative

• cifratura TLS 1.3 in transito e AES-256 a riposo;
• isolamento per tenant a livello applicativo e di storage;
• worker isolato per il parsing dei PDF (sandbox);
• log redatti, senza IBAN completi e senza contenuto del documento;
• accessi minimi e revisione trimestrale dei diritti di accesso;
• backup cifrati con retention 30 giorni;
• notifica al Titolare di violazioni entro 24 ore dalla scoperta.

6. Cancellazione e restituzione

Alla cessazione del rapporto contrattuale, il Cliente può richiedere via email la cancellazione o la restituzione dei dati personali entro 30 giorni. Il Responsabile cancella o restituisce i dati secondo le istruzioni documentate del Cliente, salvo i dati che devono essere conservati per obblighi legali (es. fatturazione). I file di output e gli originali caricati sono cancellati in modo irreversibile dai sistemi di produzione e backup.