Nexus Domus
D&J Corporate s.r.l.s
Accordo DPA — Data Processing Agreement ← Torna all'app

Accordo sul Trattamento dei Dati Personali

Data Processing Agreement (DPA) — ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR)

Documento interno riservato. Da allegare al contratto di licenza Nexus Domus e firmare con ogni cliente prima dell'attivazione del servizio. Versione 1.0 — Maggio 2026.

Parti contraenti

RuoloDati identificativi
Responsabile del trattamento D&J Corporate s.r.l.s
P.IVA 18242601005
Sede legale: Via delle Sterlizie 62, 00048 Nettuno (RM)
Email: [email protected]
Web: www.djcorporate.it
Titolare del trattamento Ragione sociale: ___________________________________
P.IVA / C.F.: ___________________________________
Sede legale: ___________________________________
Rappresentante legale: ___________________________________
Email: ___________________________________

Art. 1 — Oggetto e durata

Il presente Accordo disciplina il trattamento di dati personali effettuato da D&J Corporate s.r.l.s ("Responsabile") per conto del Titolare nell'ambito della fornitura del servizio Nexus Domus — software SaaS per la gestione condominiale.

Il presente Accordo ha la stessa durata del contratto di licenza del software. Alla cessazione del rapporto contrattuale, il Responsabile si impegna a cancellare o restituire tutti i dati personali entro 30 giorni, salvo diverso obbligo di legge.

Art. 2 — Natura dei dati trattati

CategoriaDati specificiInteressati
AnagraficiNome, cognomeResidenti, Amministratori
ContattoEmail, telefono, Telegram Chat IDResidenti, Amministratori
ImmobiliariPiano, interno, condominio, codice residenteResidenti
ComunicazioniTesto segnalazioni e conversazioni (incluse elaborazioni AI)Residenti
EconomiciQuote condominiali, stato pagamenti, spese condominialiResidenti, Condominio
TecniciIndirizzi IP, log di accesso, token di sessioneAmministratori
MultimedialiFotografie degli interventi di manutenzioneBeni del condominio
Non vengono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR.

Art. 3 — Finalità del trattamento

Il Responsabile tratta i dati personali per le seguenti finalità, esclusivamente su istruzione del Titolare:

Art. 4 — Obblighi del Responsabile

D&J Corporate s.r.l.s si impegna a:

  1. Trattare i dati personali esclusivamente su istruzione documentata del Titolare, salvo obbligo di legge
  2. Garantire che le persone autorizzate al trattamento abbiano sottoscritto un obbligo di riservatezza
  3. Adottare tutte le misure di sicurezza tecniche e organizzative di cui all'art. 32 GDPR (vedi art. 7)
  4. Non ricorrere a un altro responsabile senza previa autorizzazione scritta del Titolare, eccetto i sub-responsabili elencati nell'Allegato A
  5. Assistere il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati (artt. 15–22 GDPR)
  6. Assistere il Titolare nelle valutazioni d'impatto (DPIA, art. 35) e nelle notifiche di violazione (art. 33)
  7. Notificare senza ingiustificato ritardo (e comunque entro 24 ore dalla scoperta) qualsiasi violazione dei dati personali al Titolare
  8. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi GDPR e consentire ispezioni/audit
  9. Eliminare o restituire i dati al termine del contratto secondo le istruzioni del Titolare

Art. 5 — Obblighi del Titolare

Il Titolare si impegna a:

  1. Fornire al Responsabile istruzioni documentate, lecite e conformi al GDPR
  2. Garantire di avere una base giuridica valida per il trattamento dei dati dei residenti
  3. Informare i residenti del trattamento dei loro dati (consegnando o pubblicando l'informativa privacy)
  4. Comunicare tempestivamente al Responsabile eventuali richieste di esercizio dei diritti da parte degli interessati
  5. Non comunicare le credenziali di accesso a terzi non autorizzati

Art. 6 — Sub-responsabili (Allegato A)

Il Titolare autorizza il ricorso ai seguenti sub-responsabili del trattamento. D&J Corporate s.r.l.s garantisce che ciascun sub-responsabile offra garanzie sufficienti ai sensi dell'art. 28(4) GDPR:

Sub-responsabileServizioDati trattatiPaeseGaranzia
Supabase Inc. Database relazionale (PostgreSQL) e file storage Tutti i dati personali (primario) 🇪🇺 Irlanda (eu-west-1) Trasferimento intra-UE — DPA Supabase
Railway Corp. Hosting applicazione (backend Node.js + frontend) Dati in transito durante elaborazione 🇺🇸 USA SCCs (Dec. 2021/914/UE) — Privacy Railway
Anthropic PBC Modello linguistico Claude (assistente AI "Jessica") Testo delle conversazioni/segnalazioni 🇺🇸 USA SCCs — Privacy Anthropic
Resend Inc. Invio email transazionali Nome, cognome, email, testo notifiche 🇺🇸 USA SCCs — Privacy Resend
Twilio Inc. Messaggistica WhatsApp Business API Numero di telefono, testo messaggi 🇺🇸 USA SCCs — Privacy Twilio
Telegram Messenger LLP Messaggistica Telegram (notifiche e bot) Telegram Chat ID, testo messaggi 🇦🇪 Dubai SCCs — Privacy Telegram

D&J Corporate s.r.l.s si impegna a notificare al Titolare qualsiasi variazione all'elenco dei sub-responsabili con un preavviso di almeno 30 giorni, concedendo al Titolare la possibilità di opporsi.

Art. 7 — Misure di sicurezza

D&J Corporate s.r.l.s adotta le seguenti misure tecniche e organizzative (art. 32 GDPR):

Misure tecniche

Misure organizzative

Art. 8 — Violazione dei dati personali (Data Breach)

In caso di violazione dei dati personali, D&J Corporate s.r.l.s si impegna a:

  1. Notificare il Titolare entro 24 ore dalla scoperta della violazione
  2. Fornire nella notifica: natura della violazione, categorie e numero di interessati coinvolti, conseguenze probabili, misure adottate o proposte
  3. Collaborare con il Titolare nell'adempimento dell'obbligo di notifica all'Autorità Garante (art. 33 GDPR — entro 72 ore dalla conoscenza)
  4. Fornire assistenza nella comunicazione agli interessati (art. 34 GDPR) ove necessario

Art. 9 — Audit e ispezioni

Il Titolare ha il diritto di effettuare audit o ispezioni per verificare il rispetto del presente Accordo, previa comunicazione scritta con almeno 15 giorni di preavviso. Gli audit si svolgono nei normali orari lavorativi e senza interferire con le operazioni aziendali. I costi dell'audit sono a carico del Titolare.

Art. 10 — Responsabilità e indennizzi

Ciascuna parte è responsabile dei danni causati all'altra e agli interessati per violazioni del GDPR o del presente Accordo imputabili alla propria condotta. La responsabilità massima di D&J Corporate s.r.l.s è limitata all'importo corrisposto dal Titolare per il servizio negli ultimi 12 mesi, salvo dolo o colpa grave.

Art. 11 — Legge applicabile e foro competente

Il presente Accordo è regolato dalla legge italiana e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia è competente il Foro di Roma, salvo diverso accordo tra le parti.

Firme

Il presente Accordo viene sottoscritto in duplice copia, una per ciascuna parte.

D&J Corporate s.r.l.s — Legale rappresentante

Ragione sociale e legale rappresentante

⚠️ Nota legale: Il presente documento è un modello predisposto da D&J Corporate s.r.l.s a scopo orientativo. Non costituisce consulenza legale. Prima della firma è opportuno far revisionare il documento da un legale specializzato in protezione dei dati.
Vedi anche: Privacy Policy — Informativa agli interessati