Data Processing Agreement (DPA) — ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR)
Documento interno riservato. Da allegare al contratto di licenza Nexus Domus e firmare con ogni cliente prima dell'attivazione del servizio. Versione 1.0 — Maggio 2026.
Parti contraenti
Ruolo
Dati identificativi
Responsabile del trattamento
D&J Corporate s.r.l.s
P.IVA 18242601005
Sede legale: Via delle Sterlizie 62, 00048 Nettuno (RM)
Email: [email protected]
Web: www.djcorporate.it
Il presente Accordo disciplina il trattamento di dati personali effettuato da D&J Corporate s.r.l.s ("Responsabile") per conto del Titolare nell'ambito della fornitura del servizio Nexus Domus — software SaaS per la gestione condominiale.
Il presente Accordo ha la stessa durata del contratto di licenza del software. Alla cessazione del rapporto contrattuale, il Responsabile si impegna a cancellare o restituire tutti i dati personali entro 30 giorni, salvo diverso obbligo di legge.
Art. 2 — Natura dei dati trattati
Categoria
Dati specifici
Interessati
Anagrafici
Nome, cognome
Residenti, Amministratori
Contatto
Email, telefono, Telegram Chat ID
Residenti, Amministratori
Immobiliari
Piano, interno, condominio, codice residente
Residenti
Comunicazioni
Testo segnalazioni e conversazioni (incluse elaborazioni AI)
Residenti
Economici
Quote condominiali, stato pagamenti, spese condominiali
Residenti, Condominio
Tecnici
Indirizzi IP, log di accesso, token di sessione
Amministratori
Multimediali
Fotografie degli interventi di manutenzione
Beni del condominio
Non vengono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR.
Art. 3 — Finalità del trattamento
Il Responsabile tratta i dati personali per le seguenti finalità, esclusivamente su istruzione del Titolare:
Gestione del ciclo di vita delle segnalazioni condominiali
Invio di notifiche ai residenti (email, WhatsApp, Telegram)
Classificazione automatica delle segnalazioni tramite IA
Gestione di assemblee condominiali e relative convocazioni
Gestione di scadenzario, documenti, contabilità e quote
Erogazione del portale self-service residenti
Art. 4 — Obblighi del Responsabile
D&J Corporate s.r.l.s si impegna a:
Trattare i dati personali esclusivamente su istruzione documentata del Titolare, salvo obbligo di legge
Garantire che le persone autorizzate al trattamento abbiano sottoscritto un obbligo di riservatezza
Adottare tutte le misure di sicurezza tecniche e organizzative di cui all'art. 32 GDPR (vedi art. 7)
Non ricorrere a un altro responsabile senza previa autorizzazione scritta del Titolare, eccetto i sub-responsabili elencati nell'Allegato A
Assistere il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati (artt. 15–22 GDPR)
Assistere il Titolare nelle valutazioni d'impatto (DPIA, art. 35) e nelle notifiche di violazione (art. 33)
Notificare senza ingiustificato ritardo (e comunque entro 24 ore dalla scoperta) qualsiasi violazione dei dati personali al Titolare
Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi GDPR e consentire ispezioni/audit
Eliminare o restituire i dati al termine del contratto secondo le istruzioni del Titolare
Art. 5 — Obblighi del Titolare
Il Titolare si impegna a:
Fornire al Responsabile istruzioni documentate, lecite e conformi al GDPR
Garantire di avere una base giuridica valida per il trattamento dei dati dei residenti
Informare i residenti del trattamento dei loro dati (consegnando o pubblicando l'informativa privacy)
Comunicare tempestivamente al Responsabile eventuali richieste di esercizio dei diritti da parte degli interessati
Non comunicare le credenziali di accesso a terzi non autorizzati
Art. 6 — Sub-responsabili (Allegato A)
Il Titolare autorizza il ricorso ai seguenti sub-responsabili del trattamento. D&J Corporate s.r.l.s garantisce che ciascun sub-responsabile offra garanzie sufficienti ai sensi dell'art. 28(4) GDPR:
D&J Corporate s.r.l.s si impegna a notificare al Titolare qualsiasi variazione all'elenco dei sub-responsabili con un preavviso di almeno 30 giorni, concedendo al Titolare la possibilità di opporsi.
Art. 7 — Misure di sicurezza
D&J Corporate s.r.l.s adotta le seguenti misure tecniche e organizzative (art. 32 GDPR):
Misure tecniche
Cifratura delle comunicazioni in transito (HTTPS/TLS 1.2+) su tutti gli endpoint
Autenticazione JWT con scadenza, refresh token e revoca immediata (lista di revoca su DB)
Row Level Security (RLS) su tutte le tabelle del database — nessun accesso diretto dall'esterno
Separazione logica dei dati per cliente (ogni istanza ha il proprio database isolato)
Storage fotografie in bucket privato con URL firmati a scadenza
Rate limiting sulle API pubbliche (portale residenti, chat AI)
Log di audit immutabili per ogni operazione sensibile
Build frontend minificato senza source map (riduzione superficie di attacco)
Header di sicurezza HTTP (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
Misure organizzative
Accesso al codice sorgente limitato al personale autorizzato (repository privato)
Nessuna credenziale nei file di codice sorgente (variabili d'ambiente su Railway)
Procedura di risposta agli incidenti con notifica entro 24 ore al Titolare
Backup automatici giornalieri del database (Supabase, conservati 7 giorni)
Art. 8 — Violazione dei dati personali (Data Breach)
In caso di violazione dei dati personali, D&J Corporate s.r.l.s si impegna a:
Notificare il Titolare entro 24 ore dalla scoperta della violazione
Fornire nella notifica: natura della violazione, categorie e numero di interessati coinvolti, conseguenze probabili, misure adottate o proposte
Collaborare con il Titolare nell'adempimento dell'obbligo di notifica all'Autorità Garante (art. 33 GDPR — entro 72 ore dalla conoscenza)
Fornire assistenza nella comunicazione agli interessati (art. 34 GDPR) ove necessario
Art. 9 — Audit e ispezioni
Il Titolare ha il diritto di effettuare audit o ispezioni per verificare il rispetto del presente Accordo, previa comunicazione scritta con almeno 15 giorni di preavviso. Gli audit si svolgono nei normali orari lavorativi e senza interferire con le operazioni aziendali. I costi dell'audit sono a carico del Titolare.
Art. 10 — Responsabilità e indennizzi
Ciascuna parte è responsabile dei danni causati all'altra e agli interessati per violazioni del GDPR o del presente Accordo imputabili alla propria condotta. La responsabilità massima di D&J Corporate s.r.l.s è limitata all'importo corrisposto dal Titolare per il servizio negli ultimi 12 mesi, salvo dolo o colpa grave.
Art. 11 — Legge applicabile e foro competente
Il presente Accordo è regolato dalla legge italiana e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia è competente il Foro di Roma, salvo diverso accordo tra le parti.
Firme
Il presente Accordo viene sottoscritto in duplice copia, una per ciascuna parte.
D&J Corporate s.r.l.s — Legale rappresentante
Ragione sociale e legale rappresentante
⚠️ Nota legale: Il presente documento è un modello predisposto da D&J Corporate s.r.l.s a scopo orientativo. Non costituisce consulenza legale. Prima della firma è opportuno far revisionare il documento da un legale specializzato in protezione dei dati.