Data Processing Agreement (DPA)

1. Oggetto e durata

BustaIA tratta i dati personali per conto dello Studio limitatamente alle finalità necessarie all'erogazione del servizio: analisi AI delle buste paga dei clienti dello Studio, generazione lettere AI, gestione anagrafica clienti, archiviazione audit log delle azioni del team Studio.

Il presente DPA ha durata pari a quella del contratto sottostante (Termini di Servizio + abbonamento Studio attivo) e si rinnova tacitamente con il rinnovo dell'abbonamento.

2. Categorie di dati e di interessati

Categorie di interessati: dipendenti dei clienti dello Studio, clienti persona fisica dello Studio, persone di contatto presso clienti persona giuridica.

Categorie di dati personali:

• Dati identificativi: nome, cognome, codice fiscale, P.IVA, residenza/sede legale
• Dati relativi al rapporto di lavoro: CCNL, livello, qualifica, mansione, RAL, contributi INPS, IRPEF, addizionali
• Eventuali dati di categoria particolare (art. 9 GDPR) contenuti nelle buste paga (es. trattenute sindacali = appartenenza sindacale; voci malattia/maternità = dati salute), trattati esclusivamente sulla base giuridica fornita dallo Studio (consenso esplicito ex art. 9.2.a GDPR raccolto dal datore di lavoro o altra base appropriata)
• Dati audit log: chi ha effettuato l'analisi/lettera/azione, quando, su quale cliente

3. Obblighi di BustaIA (responsabile)

BustaIA si impegna a:

• Trattare i dati personali esclusivamente sulla base di istruzioni documentate dello Studio (Termini di Servizio + configurazione dashboard Studio costituiscono istruzioni documentate ex art. 28 par. 3 lett. a GDPR)
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
• Adottare tutte le misure di sicurezza richieste dall'art. 32 GDPR: cifratura AES-256-GCM dei dati sensibili (es. lettere AI, dati di fatturazione), TLS 1.3 per i dati in transito, isolamento RLS Postgres per cross-tenant separation, audit log immutabile
• Avvalersi solo dei sub-responsabili autorizzati indicati al successivo par. 6
• Assistere lo Studio, con misure tecniche e organizzative adeguate, nell'evasione delle richieste degli interessati ai sensi degli artt. 12-22 GDPR
• Assistere lo Studio nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazione d'impatto, consultazione preventiva)
• Cancellare o restituire i dati personali al termine del contratto, su scelta dello Studio, e cancellare le copie esistenti salvo obblighi di legge
• Mettere a disposizione le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA e consentire audit e ispezioni

4. Notifica violazioni dei dati (data breach)

BustaIA notificherà allo Studio qualsiasi violazione dei dati personali di cui venga a conoscenza senza ingiustificato ritardo, e comunque entro 48 oredalla scoperta, fornendo le informazioni di cui all'art. 33 par. 3 GDPR. La notifica avverrà all'email del Titolare/owner Studio registrato e, se grave, telefonicamente al numero registrato.

Lo Studio resterà responsabile delle eventuali notifiche al Garante e agli interessati ex artt. 33-34 GDPR.

5. Diritti degli interessati (lavoratori dei clienti dello Studio)

Le richieste degli interessati ex artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca consenso) devono essere indirizzate direttamente al Titolare (Studio o, in via ulteriormente terza, al cliente dello Studio = datore di lavoro del lavoratore-interessato).

BustaIA, in qualità di responsabile, fornirà al Titolare assistenza tecnica per evadere tali richieste entro i termini di legge (art. 12 par. 3 GDPR: di norma 30 giorni estendibili a 90).

6. Sub-responsabili autorizzati

Lo Studio autorizza in via generale BustaIA ad avvalersi dei seguenti sub-responsabili (lista aggiornata al 7 maggio 2026):

• Anthropic, PBC(USA) — analisi AI Claude
• Supabase Inc.(USA, hosting eu-central-1) — autenticazione e database
• Vercel Inc.(USA) — hosting frontend
• Render Services Inc.(USA) — hosting backend
• Stripe Inc.(USA) — elaborazione pagamenti (titolare autonomo per i dati di pagamento)
• Resend Inc.(USA) — invio email transazionali
• Beehiiv Inc.(USA) — newsletter (solo se consenso esplicito)

Tutti i sub-responsabili extra-UE sono coperti da Standard Contractual Clauses (Decisione di Esecuzione UE 2021/914) o EU-US Data Privacy Framework, ove applicabile.

BustaIA notificherà lo Studio almeno 30 giorni prima dell'aggiunta o sostituzione di un sub-responsabile, via email all'indirizzo del Titolare/owner. Lo Studio potrà opporsi entro 30 giorni dalla notifica; in caso di opposizione fondata e impossibilità di trovare una soluzione, lo Studio potrà recedere dal contratto.

7. Trasferimenti extra-UE

I dati personali potranno essere trasferiti in Paesi terzi esclusivamente verso destinatari elencati al par. 6, sulla base di:

• Standard Contractual Clauses (SCC) UE 2021/914 con misure supplementari ove necessarie (analisi di adeguatezza Schrems II)
• EU-US Data Privacy Framework (Decisione adeguatezza UE 2023/1795) per i fornitori USA che vi aderiscono

8. Conservazione e cancellazione

• Buste paga: elaborate in memoria, mai salvate su disco
• Risultati analisi: conservati per la durata dell'abbonamento + 30 giorni grace period
• Lettere AI generate: 24 mesi dalla generazione (cifrate AES-256-GCM)
• Anagrafiche clienti: durata abbonamento + cancellazione su richiesta dello Studio
• Audit log Studio: durata abbonamento (immutabile)
• Dati di fatturazione (pagamenti): 10 anni ex art. 2220 c.c. (obbligo legale del responsabile contabile fiscale)

Al termine del contratto BustaIA, su richiesta dello Studio entro 30 giorni dal termine, restituirà o cancellerà i dati personali (eccetto quelli soggetti a obblighi di conservazione legale).

9. Audit e ispezioni

Lo Studio ha diritto di verificare il rispetto del presente DPA mediante:

• Richiesta scritta di documentazione (DPIA, registri trattamento, report di sicurezza). BustaIA risponde entro 30 giorni
• Audit on-site con preavviso minimo di 30 giorni, durante orario di lavoro, a costo dello Studio richiedente, con modalità tali da non interferire eccessivamente con l'operatività di BustaIA (max 1 audit/anno salvo violazioni)

10. Limitazione di responsabilità

La responsabilità di BustaIA in qualità di responsabile del trattamento è limitata ai casi previsti dall'art. 82 par. 2 GDPR (mancato rispetto degli obblighi specificamente diretti ai responsabili o azione contro le istruzioni del Titolare). Resta ferma la disciplina di cui all'art. 82 par. 4 GDPR (responsabilità solidale per danno derivante dallo stesso trattamento) con diritto di regresso ex art. 82 par. 5.

11. Modifiche al DPA

BustaIA si riserva di modificare il presente DPA per adeguarlo a evoluzioni normative o operative. Le modifiche sostanziali verranno notificate via email allo Studio almeno 30 giorni prima dell'efficacia. L'utilizzo continuato del servizio dopo la data di efficacia costituisce accettazione tacita; in caso di disaccordo, lo Studio può recedere dal contratto ai sensi del Codice del Consumo.

12. Foro competente e legge applicabile

Il presente DPA è regolato dalla legge italiana e dal GDPR (Reg. UE 2016/679). Foro competente: Modena, salvo diverso foro inderogabile a tutela del consumatore.

13. Contatti

Per qualsiasi questione relativa al presente DPA contattare:

• Responsabile (BustaIA): privacy@bustaia.it
• PEC ufficiale: alessandrocolombo2002@pec.it