Il presente Accordo sul Trattamento dei Dati (“DPA”) disciplina il rapporto tra NUBBLE S.R.L. in qualita di Responsabile del trattamento e il Cliente in qualita di Titolare del trattamento, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (“GDPR”).

1. Definizioni

Titolare del trattamento: il Cliente, persona fisica o giuridica, che determina le finalita e i mezzi del trattamento dei dati personali all'interno del proprio Workspace Nubble.
Responsabile del trattamento: NUBBLE S.R.L., che tratta i dati personali per conto del Titolare nell'ambito dell'erogazione del Servizio.
Interessato: la persona fisica i cui dati personali sono oggetto di trattamento (clienti del Titolare, dipendenti, contatti, ecc.).
Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile ai sensi dell'art. 4(1) GDPR.
Violazione dei dati personali: una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a dati personali trasmessi, conservati o altrimenti trattati.

2. Oggetto del trattamento

NUBBLE S.R.L. agisce in qualita di Responsabile del trattamento per conto del Cliente (Titolare) nel contesto dell'erogazione della piattaforma SaaS Nubble. Il trattamento riguarda i dati personali che il Titolare inserisce, carica o genera all'interno del proprio Workspace, tra cui, a titolo esemplificativo e non esaustivo:

Anagrafiche di clienti, fornitori e contatti commerciali;
Dati relativi ai dipendenti e collaboratori (presenze, buste paga, contratti);
Dati contabili e fiscali (fatture elettroniche, ricevute, DDT);
Dati relativi a ordini, spedizioni e giacenze di magazzino;
Dati derivanti dall'utilizzo delle App del Marketplace installate dal Titolare.

Il trattamento ha come base giuridica l'esecuzione del contratto di servizio tra le parti (art. 6(1)(b) GDPR).

3. Istruzioni del titolare

Il Responsabile tratta i dati personali esclusivamente su istruzione documentata del Titolare, come definita dai presenti Termini e dalle configurazioni impostate dal Titolare stesso all'interno del Workspace.

Il Responsabile non tratta i dati per finalita proprie diverse dall'erogazione del Servizio, salvo obbligo di legge. In tal caso il Responsabile ne informa il Titolare prima del trattamento, salvo che tale informativa sia vietata da disposizioni di legge.

Se il Responsabile ritiene che un'istruzione del Titolare violi il GDPR o la normativa italiana applicabile, ne informa tempestivamente il Titolare.

4. Misure di sicurezza

NUBBLE S.R.L. adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, ai sensi dell'art. 32 GDPR. Le misure attualmente in vigore includono:

Cifratura a riposo: AES-256 per tutti i dati archiviati nei database e nei file system;
Cifratura in transito: TLS 1.3 per tutte le comunicazioni tra client e server;
Controllo degli accessi: accesso ai dati basato sui ruoli (RBAC), principio del minimo privilegio, autenticazione a due fattori obbligatoria per gli amministratori di sistema;
Log degli accessi: registrazione immutabile di tutti gli accessi ai dati sensibili, conservata per 12 mesi;
Backup giornalieri: copie di backup cifrate con test di ripristino mensili, conservate per 30 giorni;
Vulnerability management: scansioni periodiche, patch entro 72h per vulnerabilita critiche;
Separazione dei dati tenant: ogni Workspace e isolato a livello di schema database separato.

5. Sub-responsabili

Il Titolare autorizza NUBBLE S.R.L. a ricorrere ai seguenti sub-responsabili del trattamento, con i quali sono stati stipulati accordi equivalenti al presente DPA:

Hetzner Online GmbH (Gunzenhausen, Germania) — Hosting e infrastruttura cloud. Server ubicati in Germania (UE).
Postmark / Wildbit LLC — Email transazionali (notifiche di sistema, conferme). SCC EU-US in vigore.
Stripe Inc. (San Francisco, USA) — Gestione pagamenti e fatturazione. Clausole Contrattuali Standard (SCC) EU-US in vigore ai sensi della decisione di adeguatezza EU-US Data Privacy Framework.

NUBBLE S.R.L. si impegna a notificare al Titolare l'aggiunta o la sostituzione di sub-responsabili con un preavviso di almeno 30 giorni, consentendo al Titolare di opporsi. In assenza di obiezioni entro tale termine, la modifica si intende approvata.

6. Diritti degli interessati

NUBBLE S.R.L. assiste il Titolare nell'adempimento degli obblighi di risposta alle richieste di esercizio dei diritti degli interessati previsti dagli artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilita, limitazione del trattamento, opposizione).

Le richieste ricevute direttamente da NUBBLE S.R.L. sono inoltrate al Titolare entro 72 ore. NUBBLE S.R.L. non risponde autonomamente alle richieste degli interessati se non su esplicita istruzione del Titolare, salvo obbligo di legge.

Gli strumenti tecnici necessari per soddisfare le richieste (esportazione dati, anonimizzazione, cancellazione) sono messi a disposizione del Titolare tramite il pannello di amministrazione del Workspace o tramite richiesta a privacy@nubble.it.

7. Violazioni dei dati personali

In caso di violazione dei dati personali che coinvolga dati del Workspace del Titolare, NUBBLE S.R.L. notifica il Titolare entro 24 ore dalla scoperta dell'incidente, fornendo le informazioni disponibili sulla natura della violazione, le categorie di dati coinvolte, il numero approssimativo di interessati e le misure adottate o in corso di adozione.

NUBBLE S.R.L. supporta il Titolare nella predisposizione della notifica al Garante per la protezione dei dati personali entro 72 ore dalla scoperta, come previsto dall'art. 33 GDPR, e nella eventuale comunicazione agli interessati ai sensi dell'art. 34 GDPR.

8. Trasferimento dati extra-UE

I dati personali sono trattati prevalentemente all'interno dell'Unione Europea (server Hetzner in Germania). I trasferimenti verso paesi terzi avvengono esclusivamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR:

Stripe Inc. (USA): trasferimento coperto dalle Clausole Contrattuali Standard (SCC) e dall'EU-US Data Privacy Framework (decisione di adeguatezza della Commissione Europea del 10 luglio 2023).
Eventuali nuovi trasferimenti extra-UE sono comunicati al Titolare con almeno 30 giorni di preavviso e sono attivati solo in presenza delle garanzie richieste dal GDPR.

9. Durata e cancellazione

Il presente DPA ha la stessa durata del contratto di servizio principale tra le parti. Alla cessazione del contratto — per qualsiasi causa — NUBBLE S.R.L. provvede alla cancellazione sicura e definitiva di tutti i dati personali del Titolare entro 30 giorni, salvo che la normativa applicabile imponga una conservazione piu lunga.

Su richiesta del Titolare, prima della cancellazione NUBBLE S.R.L. mette a disposizione un'esportazione completa dei dati in formato standard (CSV, JSON o XML). La richiesta va inoltrata a legal@nubble.it prima della scadenza del contratto.

Il Titolare puo richiedere attestazione scritta dell'avvenuta cancellazione entro 10 giorni dal completamento della stessa.

10. Responsabilita

Ciascuna parte e responsabile nei confronti dell'altra e degli interessati per le violazioni del GDPR e del presente DPA direttamente imputabili alla propria condotta.

La responsabilita complessiva di NUBBLE S.R.L. in relazione al presente DPA non puo in nessun caso superare il totale dei canoni effettivamente pagati dal Titolare nei 12 mesi precedenti all'evento che ha generato la responsabilita. Tale limitazione non si applica in caso di dolo o colpa grave.

11. Contatti DPA

Per qualsiasi questione relativa al presente Accordo:

Questioni legali: legal@nubble.it
Questioni privacy e protezione dati: privacy@nubble.it
Sede legale: NUBBLE S.R.L., Via Spartaco 30, 81055 Santa Maria Capua Vetere (CE), P.IVA 04806580611

Accordo sul trattamento dei dati