Perito Logo
MyPerito
Torna alla home

DOCUMENTO LEGALE — TEMPLATE

Accordo sul Trattamento dei Dati (DPA)

Versione: 1.0 (template) · Ultimo aggiornamento: 2026-05-04 · Riferimento normativo: Art. 28 GDPR (Reg. UE 2016/679)

TRA

MyPerito— di seguito "il Responsabile del Trattamento"
[Ragione sociale, sede legale, P.IVA, codice fiscale, legale rappresentante — indicati nel footer del sito e nelle copie controfirmate.]

E

[Cliente]— di seguito "il Titolare del Trattamento"
[Ragione sociale, sede legale, P.IVA, codice fiscale, legale rappresentante — compilati al momento della firma.]

(collettivamente, "le Parti")

Premesse

A.Il Titolare ha sottoscritto con MyPerito un contratto di servizio per l'utilizzo della piattaforma MyPerito per la generazione di perizie assicurative (di seguito, "il Servizio").

B.Nell'erogazione del Servizio, MyPerito tratta dati personali per conto del Titolare ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 ("GDPR").

C. Le Parti intendono regolare i termini di tale trattamento, conformemente alla normativa applicabile.

Articolo 1 — Oggetto e durata

1.1 Oggetto del trattamento: dati personali contenuti nei documenti caricati dal Titolare nella piattaforma (fascicoli peritali, fotografie, polizze, verbali, anagrafiche di clienti del Titolare), nonché dati estratti automaticamente dai documenti.

1.2 Categorie di interessati: clienti del Titolare, controparti, periti, testimoni, periti terzi, soggetti coinvolti nei sinistri oggetto delle perizie.

1.3 Durata: il trattamento ha durata pari al contratto principale; le obbligazioni di riservatezza e di restituzione/cancellazione sopravvivono alla cessazione.

Articolo 2 — Natura e finalità

Il Responsabile tratta i dati personali esclusivamente per:

  • estrazione strutturata dei dati dai documenti caricati;
  • generazione automatizzata della bozza di perizia;
  • archiviazione, accesso e download dei documenti e dei report da parte del Titolare;
  • supporto tecnico richiesto dal Titolare;
  • assolvimento degli obblighi legali a cui MyPerito è tenuta.

Il Responsabile non utilizza i dati per finalità proprie, marketing, profilazione, o per addestrare modelli di intelligenza artificiale.

Articolo 3 — Obblighi del Responsabile

Il Responsabile si impegna a:

a) trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, comprese quelle relative ai trasferimenti extra-UE; il contratto principale e questo DPA costituiscono le istruzioni iniziali;

b) garantire che le persone autorizzate al trattamento siano tenute alla riservatezza;

c)adottare misure tecniche e organizzative adeguate ai sensi dell'Art. 32 GDPR (vedi Articolo 5 e Allegato A);

d)assistere il Titolare nell'evasione delle richieste degli interessati (Artt. 12–22 GDPR), entro tempi ragionevoli e proporzionati;

e) notificare al Titolare, senza ingiustificato ritardo e comunque entro 72 ore dalla scoperta, eventuali violazioni di dati personali, fornendo le informazioni richieste dall'Art. 33 GDPR;

f) restituire o cancellare i dati personali al termine del contratto, secondo le tempistiche definite nella Politica di Conservazione e Cancellazione dei Dati di MyPerito;

g) mettere a disposizione del Titolare le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA, e consentire audit (anche tramite terzi qualificati incaricati dal Titolare) con preavviso ragionevole e nel rispetto della riservatezza degli altri clienti del Servizio.

Articolo 4 — Sub-Responsabili

4.1Il Titolare autorizza in via generale il Responsabile a ricorrere a Sub-Responsabili per l'erogazione del Servizio. L'elenco aggiornato è:

  • Google LLC / Google Cloud EMEA Limited (Google Cloud Platform, Vertex AI, Cloud SQL, Cloud Storage, Firebase) — regione di trattamento: europe-west1 (Belgio).
  • Resend, Inc. (recapito email transazionali) — soli metadati di consegna; nessun contenuto di fascicolo.

4.2Il Responsabile notifica al Titolare con almeno 30 giorni di anticipo qualsiasi modifica all'elenco dei Sub-Responsabili. Il Titolare può opporsi con motivazione documentata; in tal caso le Parti negozieranno una soluzione alternativa o, in difetto, il Titolare potrà recedere dal contratto principale.

4.3 Il Responsabile impone ai propri Sub-Responsabili obblighi di protezione dei dati equivalenti a quelli del presente DPA.

Articolo 5 — Misure di sicurezza (Art. 32 GDPR)

Le misure tecniche e organizzative adottate sono descritte nell'Allegato A e includono, in sintesi:

  • cifratura AES-256 a riposo, TLS 1.2+ in transito;
  • isolamento multi-tenant a livello di database (Row Level Security) e di storage (path-tenancy);
  • autenticazione su ogni richiesta API; link di download firmati con scadenza 15 minuti;
  • residenza dati esclusivamente UE (europe-west1, Belgio);
  • accesso interno tracciato e ristretto al personale autorizzato;
  • backup automatici Cloud SQL con rotazione 60 giorni;
  • pulizia automatica dei file temporanei al termine dell'elaborazione.

Articolo 6 — Trasferimenti extra-UE

Il trattamento avviene esclusivamente nell'Unione Europea (europe-west1, Belgio). Eventuali sub-processor con sede extra-UE (es. Google LLC per servizi ausiliari di autenticazione) operano sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, e con misure supplementari laddove richieste dalla giurisprudenza applicabile.

Articolo 7 — Cancellazione e restituzione

Alla cessazione del contratto principale, il Responsabile:

a)consente al Titolare l'export dei dati in formato strutturato (JSON/CSV per dati strutturati; formati originali per i documenti) per 90 giorni dalla cessazione;

b) cancella in modo irreversibile tutti i dati personali al termine del periodo di 90 giorni, salvo dati soggetti a obblighi legali di conservazione (es. fatturazione);

c)su richiesta scritta del Titolare, fornisce conferma documentata dell'avvenuta cancellazione.

Articolo 8 — Responsabilità

Le responsabilità delle Parti sono regolate dal contratto principale e dalla normativa applicabile. Nessuna disposizione del presente DPA modifica i limiti di responsabilità ivi previsti.

Articolo 9 — Modifiche

Eventuali modifiche al presente DPA richiedono accordo scritto tra le Parti. In caso di evoluzione normativa, le Parti si impegnano a rinegoziarlo in buona fede.

Articolo 10 — Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana. Per ogni controversia è competente in via esclusiva il Foro di [da definire al momento della firma].

Allegato A — Misure tecniche e organizzative

Sintetizzato dal documento Security one-pager (PDF) v1.1 e dalla Politica di Conservazione v1.0. In allegato al presente DPA al momento della firma.

  • Crittografia: AES-256 a riposo, TLS 1.2+ in transito.
  • Isolamento: PostgreSQL Row Level Security multi-tenant; path-tenancy GCS.
  • Autenticazione: Firebase Authentication su ogni richiesta API; signed URL con TTL 15 min.
  • Residenza: Google Cloud europe-west1 (Belgio).
  • Vertex AI Enterprise: clausola contrattuale di non-training sui dati cliente.
  • Pulizia: automatica al termine elaborazione per file temp; 90 gg post-cessazione per dati persistenti.
  • Tracciamento: ogni accesso interno ai dati di produzione è loggato.

Template a uso interno MyPerito. Da personalizzare con dati controparte e riferimenti contrattuali al momento della firma. Per richieste: andrea@salomone.io.