Accordo sul Trattamento dei Dati (DPA)
Ultimo aggiornamento: 25 marzo 2026
1. Introduzione
Il presente Accordo sul Trattamento dei Dati (di seguito, “DPA”) costituisce un allegato ai Termini e Condizionitra Digital Technologies OU (“Pilotium”, “Responsabile del trattamento”) e il cliente (“Cliente”, “Titolare del trattamento”). Il presente DPA ha lo scopo di garantire il rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679) e di qualsiasi altra normativa applicabile in materia di protezione dei dati.
Utilizzando i servizi di Pilotium, il Cliente accetta i termini del presente DPA.
2. Ruoli delle parti
- Titolare del trattamento (Controller):Il Cliente, che determina le finalità e i mezzi del trattamento dei dati personali dei propri lead, membri e clienti della palestra.
- Responsabile del trattamento (Processore): Pilotium (Digital Technologies OÜ), che tratta i dati personali per conto e su istruzione del Cliente conformemente alle disposizioni del presente DPA.
Pilotium agisce inoltre in qualità di titolare del trattamento dei propri dati (dati dell'account del Cliente, dati di fatturazione, dati di utilizzo della piattaforma), il cui trattamento è disciplinato dall'Informativa sulla Privacy.
3. Dati personali trattati
Nell'ambito della prestazione del Servizio, Pilotium può trattare le seguenti categorie di dati personali per conto del Cliente:
| Categoria di dati | Esempi |
|---|---|
| Dati identificativi dei lead | Nome, telefono, email, città |
| Dati di interazione | Messaggi WhatsApp con agenti di IA, risposte ai moduli di acquisizione, prenotazioni di lezioni di prova |
| Dati dei sondaggi | Risposte dei membri della palestra (anonimizzate per profili di audience) |
| Dati delle campagne | Metriche pubblicitarie associate ai lead (impression, clic, conversioni) |
Categorie di interessati: Lead (potenziali clienti della palestra), membri attuali della palestra (in caso di sondaggi), persone che interagiscono con gli annunci del Cliente.
4. Finalità e durata del trattamento
Pilotium tratterà i dati personali esclusivamente per le seguenti finalità:
- Gestione delle campagne pubblicitarie sulle Piattaforme Pubblicitarie (Meta, Google, TikTok, Snapchat) per conto del Cliente
- Qualificazione dei lead mediante agenti di intelligenza artificiale
- Gestione delle prenotazioni di lezioni di prova
- Generazione di report e analisi di rendimento per il Cliente
- Notifiche al Cliente riguardo a nuovi lead e stato delle campagne
Il trattamento sarà mantenuto per tutta la durata dell'abbonamento del Cliente e per i 30 giorni successivi alla cancellazione (periodo di conservazione). Trascorso tale periodo, i dati saranno eliminati conformemente al paragrafo 9.
5. Obblighi di Pilotium in qualità di Responsabile del trattamento
Pilotium si impegna a:
- Trattare i dati personali unicamente conformemente alle istruzioni documentate del Cliente e alle finalità stabilite nel presente DPA, salvo che un obbligo legale lo richieda (nel qual caso, Pilotium informerà preventivamente il Cliente, salvo che la legge lo vieti)
- Garantire che tutte le persone autorizzate a trattare i dati si siano impegnate alla riservatezza
- Implementare le misure tecniche e organizzative di sicurezza descritte al paragrafo 7
- Non subappaltare il trattamento senza la preventiva autorizzazione del Cliente, conformemente al paragrafo 6
- Assistere il Cliente nell'adempimento dei propri obblighi di risposta alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità, ecc.)
- Assistere il Cliente nell'adempimento dei propri obblighi in materia di sicurezza del trattamento, notifica delle violazioni di sicurezza, valutazioni d'impatto e consultazioni preventive con l'autorità di controllo
- A scelta del Cliente, cancellare o restituire tutti i dati personali al termine della prestazione del servizio, conformemente al paragrafo 9
- Mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti nel GDPR Art. 28
6. Sub-responsabili del trattamento
Il Cliente concede a Pilotium un'autorizzazione generale per avvalersi di sub-responsabili del trattamento. I sub-responsabili attuali sono:
| Sub-responsabile | Finalità | Ubicazione |
|---|---|---|
| Meta Platforms, Inc. | Pubblicazione e gestione degli annunci | UE/USA (DPF) |
| Google LLC | Pubblicazione e gestione degli annunci | UE/USA (DPF) |
| TikTok Inc. | Pubblicazione e gestione degli annunci | USA/Singapore (SCC) |
| Anthropic PBC | Agente conversazionale di IA | USA (DPF) |
| Hetzner Online GmbH | Hosting di server e database | UE (Germania) |
| Brevo (Sendinblue) SAS | Invio di email transazionali | UE (Francia) |
| Resend Inc. | Invio di email transazionali | USA (DPF) |
Pilotium informerà il Cliente di qualsiasi aggiunta o sostituzione di sub-responsabili con un preavviso minimo di 30 giorni. Qualora il Cliente si opponga a un nuovo sub-responsabile per motivi giustificati di protezione dei dati, e l'obiezione non venga risolta entro 30 giorni, il Cliente potrà risolvere il contratto senza penalità.
Pilotium garantisce che tutti i sub-responsabili sono vincolati da obblighi di protezione dei dati equivalenti a quelli stabiliti nel presente DPA.
7. Misure di sicurezza
Pilotium implementa le seguenti misure tecniche e organizzative per proteggere i dati personali:
- Cifratura: TLS 1.2+ in transito, AES-256-CBC a riposo
- Controllo degli accessi: Accesso basato su ruoli (principio del minimo privilegio), autenticazione tramite chiave SSH, password cifrate con bcrypt
- Sicurezza di rete: Firewall (UFW), protezione contro le intrusioni (fail2ban), protezione DDoS (Cloudflare)
- Hosting:Server ubicati nell'UE (Hetzner Online GmbH, Germania)
- Backup:Copie di sicurezza periodiche nell'UE
- Dati di pagamento: Elaborati da Stripe (certificato PCI-DSS); i dati delle carte non sono memorizzati sui server di Pilotium
- Riservatezza:Tutto il personale con accesso a dati personali è soggetto a obblighi di riservatezza
- Monitoraggio: Supervisione continua dei sistemi e avvisi di sicurezza
8. Violazioni di sicurezza
In caso di violazione di sicurezza che coinvolga dati personali trattati per conto del Cliente, Pilotium:
- Notificherà il Cliente senza indebito ritardo, e in ogni caso entro un termine massimo di 48 ore dal momento in cui ne sia venuta a conoscenza
- Fornirà al Cliente tutte le informazioni disponibili sulla natura della violazione, le categorie di dati interessati, le conseguenze probabili e le misure adottate o proposte per porvi rimedio
- Coopererà pienamente con il Cliente per adempiere agli obblighi di notifica all'autorità di controllo (Art. 33 GDPR) e agli interessati (Art. 34 GDPR)
- Documenterà tutte le violazioni di sicurezza e le misure correttive adottate
9. Restituzione e cancellazione dei dati
A seguito della cancellazione dell'abbonamento del Cliente:
- Il Cliente potrà richiedere l'esportazione dei propri dati sui lead e sulle campagne durante i 30 giorni successivi alla cancellazione
- Trascorso il periodo di conservazione di 30 giorni, Pilotium cancellerà tutti i dati personali trattati per conto del Cliente, salvo che un obbligo legale ne richieda la conservazione (nel qual caso, i dati saranno mantenuti bloccati e accessibili esclusivamente per adempiere a tale obbligo)
- Pilotium fornirà al Cliente conferma scritta della cancellazione, su richiesta
10. Diritti degli interessati
Qualora Pilotium riceva una richiesta da un interessato (lead o altra persona i cui dati siano trattati per conto del Cliente) per l'esercizio dei propri diritti ai sensi del GDPR (accesso, rettifica, cancellazione, portabilità, opposizione, ecc.):
- Pilotium informerà il Cliente di tale richiesta senza indebito ritardo
- Pilotium non risponderà direttamente alla richiesta, salvo che il Cliente lo autorizzi o la legge lo richieda
- Pilotium presterà al Cliente l'assistenza ragionevolmente necessaria per dare risposta alla richiesta
11. Trasferimenti internazionali
Qualora il trattamento di dati personali per conto del Cliente comporti trasferimenti al di fuori dello Spazio Economico Europeo, Pilotium garantisce che si applicano le salvaguardie adeguate:
- Decisioni di adeguatezza della Commissione Europea (Art. 45 GDPR)
- EU-U.S. Data Privacy Framework (DPF) per i fornitori aderenti
- Clausole contrattuali tipo (SCC) approvate dalla Commissione Europea per gli altri casi
12. Audit
Pilotium metterà a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi stabiliti nel presente DPA e nel GDPR Art. 28. Il Cliente (o un revisore designato, soggetto a riservatezza) potrà effettuare un audit annuale, con un preavviso minimo di 30 giorni, in orario lavorativo e senza interferire con le operazioni di Pilotium.
13. Responsabilità
La responsabilità di ciascuna parte in relazione al presente DPA è disciplinata dalle limitazioni stabilite nei Termini e Condizioni. Nulla nel presente DPA limita la responsabilità di nessuna delle parti nei confronti degli interessati né dinanzi alle autorità di protezione dei dati ai sensi del GDPR.
14. Vigenza
Il presente DPA entra in vigore con l'accettazione dei Termini e Condizioni e resterà in vigore fintantoché Pilotium tratti dati personali per conto del Cliente. Gli obblighi di riservatezza e quelli relativi alla cancellazione dei dati sopravvivranno alla cessazione del presente DPA.
15. Legislazione applicabile
Il presente DPA è disciplinato dalla medesima legislazione applicabile ai Termini e Condizioni(legislazione della Repubblica d'Estonia per i clienti dell'UE).
16. Contatti
Per qualsiasi domanda relativa al presente DPA o al trattamento dei dati personali, ci contatti all'indirizzo [email protected].