Data Processing Agreement (DPA)

Accordo sul Trattamento dei Dati Personali ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR)

Versione v1.0
Data: 2026-04-16

Documento in fase di redazione

Il testo completo del DPA è in fase di redazione da parte del consulente legale. Questa pagina contiene la struttura predisposta e la mappa dei sub-responsabili del trattamento. Il documento definitivo sarà pubblicato prima del lancio commerciale della piattaforma.

Parti dell'Accordo

Responsabile del Trattamento

PressTeam™

di Brizzi Comunicazione Lab

Fornitore della piattaforma SaaS di recruitment per agenzie di comunicazione

Titolare del Trattamento

L'Agenzia Cliente

Registrata sulla piattaforma PressTeam

Determina finalità e mezzi del trattamento dei dati dei propri candidati

Struttura del DPA

1

Definizioni e ambito

Definizione dei ruoli (Titolare/Responsabile), categorie di dati trattati, finalità

2

Obblighi del Responsabile

Trattamento solo su istruzioni documentate, riservatezza, misure di sicurezza Art. 32

3

Sub-responsabili

Elenco sub-responsabili autorizzati, procedura di notifica nuovi sub-responsabili

4

Trasferimenti internazionali

Garanzie per trasferimento dati extra-UE (SCC, decisioni di adeguatezza)

5

Diritti degli interessati

Assistenza al Titolare per richieste di accesso, rettifica, cancellazione, portabilità

6

Notifica violazioni

Procedura di notifica data breach entro 48 ore dalla scoperta

7

Audit e ispezioni

Diritto del Titolare di verificare la conformità del Responsabile

8

Durata e cessazione

Durata del trattamento, restituzione/cancellazione dati alla cessazione

9

Misure tecniche e organizzative

Allegato tecnico con dettaglio misure di sicurezza implementate

Mappa Sub-responsabili del Trattamento

Ai sensi dell'Art. 28(2) GDPR, il Responsabile del trattamento (PressTeam) si avvale dei seguenti sub-responsabili autorizzati per l'erogazione del servizio:

Abacus.AI

📍 USA

Finalità

Hosting applicazione, database PostgreSQL, infrastruttura server

Dati trattati

Tutti i dati della piattaforma (agenzie, candidati, candidature)

Garanzie

Standard Contractual Clauses (SCC)

Amazon Web Services (AWS S3)

📍 EU (Frankfurt)

Finalità

Archiviazione CV e documenti candidati

Dati trattati

File CV, documenti caricati dai candidati

Garanzie

AWS DPA, certificazioni ISO 27001/27017/27018

Resend

📍 USA

Finalità

Invio email transazionali e notifiche

Dati trattati

Nome, email destinatario, contenuto notifiche

Garanzie

Standard Contractual Clauses (SCC)

Stripe

📍 USA/EU

Finalità

Elaborazione pagamenti e fatturazione

Dati trattati

Dati di pagamento, email agenzia, metadati transazione

Garanzie

Stripe DPA, certificazione PCI-DSS Level 1

OpenAI (tramite Abacus.AI)

📍 USA

Finalità

Analisi AI dei CV per scoring candidati

Dati trattati

Testo estratto dai CV (dati pseudonimizzati), criteri posizione

Garanzie

Zero data retention policy, Standard Contractual Clauses (SCC)

Misure Tecniche e Organizzative (Art. 32 GDPR)

Cifratura

TLS 1.3 in transit, AES-256 at rest per database e storage

Controllo accessi

Autenticazione JWT, RBAC (super_admin, agency_admin, candidate), bcrypt password hashing

Pseudonimizzazione

Dati inviati all'AI sono privi di identificativi diretti del candidato

Backup e resilienza

Backup automatici database, S3 versioning per documenti

Audit logging

Log accessi super admin, tracciamento operazioni su dati sensibili

Rate limiting

Protezione API con rate limit per prevenire abusi e data scraping

Data retention

Policy automatica GDPR con daemon di pulizia, retention 10 anni documenti fiscali

Monitoraggio

Error monitoring real-time, alert automatici per anomalie di sicurezza

PressTeam™ di Brizzi Comunicazione Lab

Per domande relative al trattamento dei dati: [email protected]