Versione 2.2 – Marzo 2026
Il presente Accordo sul Trattamento dei Dati (di seguito "DPA" o "Accordo") costituisce parte integrante del contratto di servizio SecBox Shield e regola il trattamento dei dati personali effettuato da SecBox per conto del Cliente ai sensi e per gli effetti dell'art. 28 del Regolamento (UE) 2016/679 (di seguito "GDPR").
Parti
Titolare del Trattamento: il Cliente, come identificato nel contratto di servizio SecBox Shield sottoscritto tra le parti (di seguito "Titolare").
Responsabile del Trattamento: SecBox, consulente informatico, P.IVA n. 03738170780, PEC [email protected], fornitore del servizio SecBox Shield (di seguito "Responsabile").
1. Oggetto e Durata
Il Responsabile tratta i dati personali del Titolare esclusivamente nell'ambito e nei limiti delle attività necessarie all'erogazione del servizio SecBox Shield, in conformità alle istruzioni documentate del Titolare e alle disposizioni del presente Accordo.
Il presente DPA entra in vigore contestualmente alla sottoscrizione del contratto di servizio e resta in vigore per tutta la sua durata. Le disposizioni di cui all'art. 7 (cancellazione e restituzione dei dati) continuano ad applicarsi anche successivamente alla cessazione del contratto.
2. Finalità e Limitazioni del Trattamento
Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità , strettamente connesse all'erogazione del servizio:
| Finalità | Descrizione |
|---|---|
| Gestione dell'infrastruttura di sicurezza | Configurazione, monitoraggio e aggiornamento del firewall next-generation, della VPN e dei sistemi di protezione DDoS |
| Raccolta e conservazione dei log di sicurezza | Acquisizione degli eventi di rete, tentativi di accesso, connessioni VPN, alert di sicurezza con tecnologia WORM |
| Supporto tecnico e gestione degli incidenti | Intervento in risposta a ticket e incidenti di sicurezza che richiedano l'analisi dei dati tecnici dell'infrastruttura |
| Reportistica periodica | Generazione di report sull'uptime e sugli eventi di sicurezza nei piani contrattuali che lo prevedono |
Il Responsabile non tratta i dati per finalità proprie, commerciali o di profilazione. Qualsiasi trattamento che esula dalle finalità sopra indicate richiede istruzione documentata del Titolare.
3. Natura dei Dati e Categorie di Interessati
3.1 Categorie di dati personali trattati
| Categoria | Tipologia di dati |
|---|---|
| Identificativi tecnici di rete | Indirizzi IP pubblici e privati, indirizzi MAC |
| Log di connessione VPN | Timestamp, utente autenticato, IP sorgente e di destinazione, durata della sessione |
| Dati di traffico di rete | Protocolli, porte, volumi (senza ispezione del contenuto dei pacchetti) |
| Log degli eventi di sicurezza | Tentativi di intrusione, regole firewall attivate, alert DDoS |
| Dati anagrafici dei referenti tecnici | Nome, cognome, indirizzo di posta elettronica, recapito telefonico |
Sono esclusi dal trattamento i dati appartenenti alle categorie particolari di cui all'art. 9 del GDPR, salvo che questi siano contenuti nel traffico dell'infrastruttura del Titolare. In tal caso, il Titolare è tenuto a informare preventivamente e per iscritto il Responsabile, al fine di concordare le misure aggiuntive necessarie.
3.2 Categorie di interessati
Rientrano nella sfera di applicazione del presente Accordo i dipendenti, i collaboratori e i terzi autorizzati dal Titolare che utilizzano l'infrastruttura di rete protetta da SecBox Shield, nonché gli eventuali utenti finali i cui dati transitino attraverso tale infrastruttura nell'ambito delle attività del Titolare.
4. Obblighi del Responsabile
Il Responsabile si impegna a:
a) Trattare i dati secondo le istruzioni del Titolare. Il Responsabile tratta i dati personali esclusivamente su istruzione documentata del Titolare, ivi incluse le istruzioni relative al trasferimento di dati verso paesi terzi. Qualora sia tenuto ad effettuare un trattamento imposto da una disposizione di legge applicabile, il Responsabile ne informa preventivamente il Titolare, salvo che il diritto applicabile lo vieti.
b) Garantire la riservatezza del personale autorizzato. Il Responsabile assicura che le persone autorizzate al trattamento abbiano assunto un impegno di riservatezza o siano soggette ad obblighi legali di riservatezza adeguati. L'accesso ai dati è limitato al personale che ne abbia necessità per l'espletamento delle proprie mansioni.
c) Adottare misure di sicurezza adeguate. Il Responsabile adotta e mantiene le misure tecniche e organizzative descritte all'art. 5 del presente Accordo, garantendo un livello di sicurezza adeguato al rischio ai sensi dell'art. 32 del GDPR.
d) Rispettare le condizioni per il ricorso a sub-responsabili. Il Responsabile non può ricorrere a un altro responsabile del trattamento senza previa autorizzazione scritta del Titolare. Per i sub-responsabili già elencati nell'art. 6, l'autorizzazione si intende prestata con la sottoscrizione del presente Accordo. Per ogni ulteriore sub-responsabile, il Responsabile provvede a darne comunicazione al Titolare con un preavviso di almeno 30 giorni, consentendo al Titolare di opporsi per iscritto entro detto termine. In caso di opposizione, le parti si impegnano a trovare una soluzione alternativa in buona fede. Il Responsabile rimane pienamente responsabile nei confronti del Titolare degli obblighi dei sub-responsabili da esso nominati.
e) Assistere il Titolare nell'adempimento dei diritti degli interessati. Il Responsabile, nei limiti della propria sfera di attività e in misura proporzionata alle finalità del trattamento, assiste il Titolare nel dare seguito alle richieste di esercizio dei diritti degli interessati ai sensi degli artt. 15-22 del GDPR. Laddove il Responsabile riceva direttamente una richiesta da un interessato, ne informa il Titolare senza ritardo.
f) Assistere il Titolare negli adempimenti di legge. Il Responsabile, tenuto conto della natura del trattamento e delle informazioni di cui dispone, assiste il Titolare nel garantire il rispetto degli obblighi previsti dagli artt. 32-36 del GDPR, in particolare in materia di misure di sicurezza, notifica delle violazioni, valutazione d'impatto sulla protezione dei dati (DPIA) e consultazione preventiva dell'Autorità di controllo.
g) Cancellare o restituire i dati al termine del contratto. Alla cessazione del contratto di servizio, il Responsabile, su scelta del Titolare comunicata entro 30 giorni dalla cessazione, provvede alternativamente: (i) alla cancellazione sicura e certificata di tutti i dati personali del Titolare presenti nei propri sistemi, con rilascio di attestazione scritta entro 60 giorni dalla richiesta; ovvero (ii) alla consegna di un export completo dei dati in formato strutturato e leggibile da macchina entro 30 giorni dalla richiesta. I dati la cui conservazione sia imposta da disposizioni di legge applicabili sono esclusi dall'obbligo di cancellazione immediata ma, una volta terminato l'obbligo di conservazione, sono eliminati senza ritardo.
h) Cooperare con il Titolare e agevolare le verifiche. Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi di cui al presente Accordo e consente e agevola le attività di verifica, ivi compresi gli audit, condotte dal Titolare o da un revisore da quest'ultimo incaricato. Le verifiche sono concordate tra le parti per iscritto con un preavviso di almeno 15 giorni lavorativi e si svolgono in modo da non pregiudicare la continuità operativa del Responsabile. I costi delle attività di verifica sono a carico del Titolare.
5. Misure di Sicurezza Tecniche e Organizzative
In conformità all'art. 32 del GDPR, il Responsabile adotta e mantiene le seguenti misure di sicurezza:
Misure tecniche
| Misura | Specifiche tecniche |
|---|---|
| Cifratura in transito | Protocollo TLS 1.3 per tutte le comunicazioni tra sistemi |
| Cifratura a riposo | Algoritmo AES-256 per dati archiviati e backup |
| Autenticazione delle connessioni VPN | Autenticazione multi-fattore (MFA) obbligatoria |
| Immutabilità dei log | Tecnologia WORM (Write Once Read Many): i log non possono essere alterati o cancellati retroattivamente |
| Controllo degli accessi | RBAC (Role-Based Access Control) con principio del privilegio minimo |
| Backup cifrato | Backup giornalieri con cifratura AES-256 e retention policy documentata |
| Monitoraggio dell'infrastruttura | Monitoraggio continuativo automatizzato dell'infrastruttura con alerting attivo; intervento tecnico umano secondo i tempi SLA del piano sottoscritto |
Misure organizzative
Il Responsabile adotta procedure interne documentate per la gestione degli incidenti di sicurezza, la separazione dei ruoli, la revisione periodica dei privilegi di accesso e la formazione del personale in materia di sicurezza informatica e protezione dei dati personali.
Le misure di sicurezza sono soggette a revisione periodica, con frequenza almeno annuale o in presenza di significative variazioni tecnologiche o normative, al fine di garantire un livello di protezione adeguato al rischio nel tempo.
6. Sub-Responsabili del Trattamento
Con la sottoscrizione del presente Accordo, il Titolare autorizza preventivamente il ricorso ai seguenti sub-responsabili:
| Sub-responsabile | Ruolo | Sede | Garanzie |
|---|---|---|---|
| Fornitore del servizio di hosting (cPanel) | Gestione dell'infrastruttura server | Unione Europea / SEE | Contratto DPA conforme all'art. 28 GDPR |
| Fornitore del servizio di backup | Archiviazione cifrata dei dati di backup | Unione Europea / SEE | Contratto DPA conforme all'art. 28 GDPR |
La lista aggiornata dei sub-responsabili è disponibile su richiesta scritta inviata a [email protected]. Il Responsabile aggiorna la lista entro 5 giorni lavorativi dall'ingresso o dall'uscita di un sub-responsabile.
7. Notifica delle Violazioni dei Dati Personali
In caso di violazione dei dati personali ai sensi dell'art. 4, par. 12, del GDPR, che coinvolga dati trattati per conto del Titolare, il Responsabile:
a) Notifica al Titolare la violazione, tramite comunicazione scritta all'indirizzo di posta elettronica del referente indicato nel contratto, entro 24 ore dalla presa di conoscenza della violazione stessa, anche laddove le informazioni disponibili siano ancora incomplete.
b) Fornisce, non appena disponibili e comunque entro 72 ore dalla presa di conoscenza, le informazioni richieste dall'art. 33, par. 3, del GDPR, tra cui: natura della violazione, categorie e numero approssimativo di interessati e di registrazioni di dati coinvolti, probabili conseguenze della violazione, misure adottate o proposte per porvi rimedio e, ove possibile, per attenuarne i possibili effetti negativi.
c) Coopera con il Titolare nell'adempimento degli obblighi di notifica all'Autorità di controllo ai sensi dell'art. 33 del GDPR e, ove ne ricorrano i presupposti, nella comunicazione agli interessati ai sensi dell'art. 34 del GDPR.
La notifica effettuata dal Responsabile non implica alcun riconoscimento di responsabilità in relazione alla violazione. L'obbligo di notifica all'Autorità Garante entro 72 ore dalla presa di conoscenza compete in via esclusiva al Titolare del trattamento.
8. Trasferimento di Dati verso Paesi Terzi
Il Responsabile non trasferisce i dati personali trattati per conto del Titolare verso paesi terzi al di fuori dello Spazio Economico Europeo, salvo previa autorizzazione scritta del Titolare e nel rispetto delle garanzie previste dagli artt. 44-49 del GDPR (decisione di adeguatezza, clausole contrattuali standard, norme vincolanti d'impresa o altre garanzie appropriate).
Qualora il Responsabile sia tenuto a trasferire dati verso un paese terzo in esecuzione di un obbligo di legge, ne informa il Titolare prima di procedere al trasferimento, salvo che la legge applicabile lo vieti per rilevanti motivi di interesse pubblico.
9. ResponsabilitÃ
Il Responsabile è responsabile nei confronti del Titolare per i danni causati da trattamenti effettuati in violazione del presente Accordo o del GDPR, nei limiti e alle condizioni di cui all'art. 82 del GDPR e delle clausole di limitazione della responsabilità previste nel contratto di servizio SecBox Shield, che prevalgono in caso di conflitto.
10. Modifiche al Presente Accordo
Il Responsabile si riserva la facoltà di aggiornare il presente DPA per adeguarlo a modifiche normative, giurisprudenziali o tecnologiche. Le modifiche sono comunicate al Titolare con un preavviso di almeno 30 giorni tramite posta elettronica. Il proseguimento del rapporto contrattuale oltre tale termine costituisce accettazione delle modifiche. Qualora le modifiche abbiano impatto sostanziale sulle obbligazioni del Titolare, quest'ultimo ha la facoltà di recedere dal contratto senza penali entro il termine di preavviso.
11. Legge Applicabile e Foro Competente
Il presente Accordo è regolato dalla legge italiana e dal GDPR. Per ogni controversia relativa all'interpretazione, all'esecuzione o alla risoluzione del presente Accordo è competente, in via esclusiva, il Foro di Milano, fermo restando il diritto del Titolare di proporre reclamo all'Autorità Garante per la protezione dei dati personali.
Per qualsiasi questione relativa al presente Accordo contattare: [email protected]