Data Processing Agreement (DPA)
Accordo sul Trattamento dei Dati Personali ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR)
Documento in fase di redazione
Il testo completo del DPA è in fase di redazione da parte del consulente legale. Questa pagina contiene la struttura predisposta e la mappa dei sub-responsabili del trattamento. Il documento definitivo sarà pubblicato prima del lancio commerciale della piattaforma.
Parti dell'Accordo
Responsabile del Trattamento
PressTeam™
di Brizzi Comunicazione Lab
Fornitore della piattaforma SaaS di recruitment per agenzie di comunicazione
Titolare del Trattamento
L'Agenzia Cliente
Registrata sulla piattaforma PressTeam
Determina finalità e mezzi del trattamento dei dati dei propri candidati
Struttura del DPA
Definizioni e ambito
Definizione dei ruoli (Titolare/Responsabile), categorie di dati trattati, finalità
Obblighi del Responsabile
Trattamento solo su istruzioni documentate, riservatezza, misure di sicurezza Art. 32
Sub-responsabili
Elenco sub-responsabili autorizzati, procedura di notifica nuovi sub-responsabili
Trasferimenti internazionali
Garanzie per trasferimento dati extra-UE (SCC, decisioni di adeguatezza)
Diritti degli interessati
Assistenza al Titolare per richieste di accesso, rettifica, cancellazione, portabilità
Notifica violazioni
Procedura di notifica data breach entro 48 ore dalla scoperta
Audit e ispezioni
Diritto del Titolare di verificare la conformità del Responsabile
Durata e cessazione
Durata del trattamento, restituzione/cancellazione dati alla cessazione
Misure tecniche e organizzative
Allegato tecnico con dettaglio misure di sicurezza implementate
Mappa Sub-responsabili del Trattamento
Ai sensi dell'Art. 28(2) GDPR, il Responsabile del trattamento (PressTeam) si avvale dei seguenti sub-responsabili autorizzati per l'erogazione del servizio:
Abacus.AI
Finalità
Hosting applicazione, database PostgreSQL, infrastruttura server
Dati trattati
Tutti i dati della piattaforma (agenzie, candidati, candidature)
Garanzie
Standard Contractual Clauses (SCC)
Amazon Web Services (AWS S3)
Finalità
Archiviazione CV e documenti candidati
Dati trattati
File CV, documenti caricati dai candidati
Garanzie
AWS DPA, certificazioni ISO 27001/27017/27018
Resend
Finalità
Invio email transazionali e notifiche
Dati trattati
Nome, email destinatario, contenuto notifiche
Garanzie
Standard Contractual Clauses (SCC)
Stripe
Finalità
Elaborazione pagamenti e fatturazione
Dati trattati
Dati di pagamento, email agenzia, metadati transazione
Garanzie
Stripe DPA, certificazione PCI-DSS Level 1
OpenAI (tramite Abacus.AI)
Finalità
Analisi AI dei CV per scoring candidati
Dati trattati
Testo estratto dai CV (dati pseudonimizzati), criteri posizione
Garanzie
Zero data retention policy, Standard Contractual Clauses (SCC)
Misure Tecniche e Organizzative (Art. 32 GDPR)
Cifratura
TLS 1.3 in transit, AES-256 at rest per database e storage
Controllo accessi
Autenticazione JWT, RBAC (super_admin, agency_admin, candidate), bcrypt password hashing
Pseudonimizzazione
Dati inviati all'AI sono privi di identificativi diretti del candidato
Backup e resilienza
Backup automatici database, S3 versioning per documenti
Audit logging
Log accessi super admin, tracciamento operazioni su dati sensibili
Rate limiting
Protezione API con rate limit per prevenire abusi e data scraping
Data retention
Policy automatica GDPR con daemon di pulizia, retention 10 anni documenti fiscali
Monitoraggio
Error monitoring real-time, alert automatici per anomalie di sicurezza
PressTeam™ di Brizzi Comunicazione Lab
Per domande relative al trattamento dei dati: [email protected]