Data Processing Agreement
Versione 1.0 - Ultimo aggiornamento: 2026-04-20
Bozza in revisione legale. Scaffolding allineato ad Art. 28 GDPR e SCC 2021/914. Versione controfirmata disponibile per clienti enterprise su richiesta a legal@expandigo.com.
In parole semplici
Quando usi Expandigo, tu (Titolare) ci affidi (Responsabile) dati personali relativi al tuo team, ai tuoi prospect e ai tuoi clienti. Questo DPA spiega come li trattiamo, quali sub-responsabili usiamo e i meccanismi giuridici per eventuali trasferimenti fuori dallo Spazio Economico Europeo.
1. Parti e ambito
Questo Accordo sul trattamento dei dati (il "DPA") integra i Termini di servizio tra il Cliente ("Titolare") e Huberway LLC, EIN 35-2903558, 1309 Coffeen Avenue, Suite 1200, Sheridan, WY 82801, USA ("Responsabile", "Huberway"). Disciplina il trattamento di dati personali effettuato da Huberway per conto del Titolare ai fini dell'erogazione del Servizio.
2. Oggetto e durata
Oggetto: trattamento dei dati personali contenuti
nei Contenuti del Cliente per consentire l'uso di Expandigo
(workspace sales B2B).
Durata: per la durata del Servizio piu 30 giorni di
grace period, piu i tempi di conservazione previsti dalla Privacy
policy.
Natura e finalita: hosting, archiviazione, ricerca,
arricchimento, generazione con LLM, analytics, notifiche.
Categorie di dati: dati account, contenuti
workspace, dati di contatto professionale, metadati d'uso.
Categorie di interessati: dipendenti del Cliente,
prospect, contatti professionali.
3. Obblighi del Responsabile
Huberway si impegna a:
- Trattare i dati personali solo su istruzioni documentate del Titolare, anche per i trasferimenti.
- Garantire che il personale autorizzato sia vincolato da obblighi di riservatezza.
- Adottare misure tecniche e organizzative adeguate (vedi sezione 6).
- Assistere il Titolare nel rispondere alle richieste degli interessati.
- Supportare DPIA e consultazioni con l'autorita di controllo.
- A scelta del Titolare, cancellare o restituire i dati personali al termine del Servizio.
- Mettere a disposizione tutte le informazioni necessarie a dimostrare la conformita e consentire audit.
4. Sub-responsabili
Il Titolare rilascia autorizzazione generale all'impiego dei sub-responsabili elencati nella sezione 9. Comunicheremo l'aggiunta di nuovi sub-responsabili con almeno 30 giorni di anticipo via email agli amministratori del workspace. Il Titolare puo opporsi per motivi ragionevoli di protezione dei dati; in caso di mancato accordo, il Titolare puo recedere dalla porzione di Servizio interessata, con rimborso proratato.
5. Trasferimenti internazionali
Huberway e stabilita negli Stati Uniti. Quando dati personali sono trasferiti dallo SEE, dal Regno Unito o dalla Svizzera verso un Paese terzo privo di decisione di adeguatezza, le parti si basano sulle Clausole Contrattuali Standard adottate con Decisione di Esecuzione della Commissione 2021/914 (Modulo Due, Titolare verso Responsabile), qui incorporate per rinvio. Le misure tecniche includono crittografia in transito (TLS 1.2+) e a riposo (AES-256), controlli d'accesso rigorosi e data residency UE ove disponibile.
6. Misure di sicurezza
Huberway adotta:
- Crittografia - TLS 1.2+ in transito, AES-256 a riposo, backup cifrati.
- Controllo accessi - permessi basati su ruoli, principio del minimo privilegio, MFA obbligatoria per il personale Huberway.
- Autenticazione - one-time passcode; nessuna password conservata per gli utenti finali.
- Rete - VPC privata, WAF, mitigazione DDoS, ambiente di produzione segmentato.
- Operativo - audit logging, vulnerability management, penetration test trimestrali.
- Persone - background check per accesso in produzione, formazione continua in sicurezza.
- Conformita - roadmap SOC 2 Type II, allineamento ISO 27001.
7. Notifica data breach
Huberway notifichera al Titolare senza ingiustificato ritardo e comunque entro 72 ore dalla presa di conoscenza di una violazione di dati personali che interessi i dati del Titolare, fornendo le informazioni richieste dall'Art. 33 GDPR per consentire al Titolare di adempiere ai propri obblighi di notifica.
8. Diritti degli interessati e cancellazione
Expandigo mette a disposizione funzionalita in piattaforma che permettono agli amministratori del Cliente di esportare, rettificare o cancellare dati personali senza contattare il supporto. Alla chiusura dell'account i dati passano in una finestra read-only di 30 giorni per l'export, poi sono cancellati definitivamente dai sistemi di produzione e rimossi dai backup cifrati entro 30 giorni.
9. Sub-responsabili attuali
La tabella sotto elenca tutti i sub-responsabili che possono trattare dati personali in base a questo DPA. La "Localizzazione" e la regione primaria di elaborazione.
| Sub-responsabile | Finalita | Localizzazione | Meccanismo di trasferimento |
|---|---|---|---|
| Amazon Web Services, Inc. | Hosting cloud, compute, storage, database gestiti. | UE (Francoforte, Dublino); regioni US per disaster recovery. | SCC 2021/914 + AWS GDPR DPA + policy EU-first. |
| Cloudflare, Inc. | CDN, DNS, mitigazione bot, WAF. | Rete edge globale; data localization UE abilitata. | SCC 2021/914 + Cloudflare DPA. |
| Stripe, Inc. | Elaborazione pagamenti e fatturazione. | US + Irlanda (elaborazione UE). | SCC 2021/914 + Stripe DPA. |
| Resend, Inc. | Invio email transazionali. | US (regione UE disponibile). | SCC 2021/914 + Resend DPA. |
| Plausible Insights OU | Analytics sito privacy-friendly e cookieless. | Germania (UE). | Elaborazione solo UE, nessun trasferimento extra-SEE. |
| Anthropic, PBC | Inferenza Large Language Model (Claude). | US. | SCC 2021/914 + impostazione zero-retention API di Anthropic. |
| OpenAI, L.L.C. | Inferenza Large Language Model (GPT). | US (data residency UE disponibile sul piano enterprise). | SCC 2021/914 + OpenAI DPA + opt-out dal training. |
| Apollo.io (ZenProspect, Inc.) | Arricchimento contatti B2B e dati firmografici. | US. | SCC 2021/914 + Apollo DPA. |
10. Diritti di audit
Il Titolare puo, a proprio costo e con ragionevole preavviso (almeno 30 giorni, non piu di una volta l'anno salvo dopo un data breach), effettuare audit sulla conformita di Huberway a questo DPA. Huberway puo soddisfare le richieste fornendo i piu recenti report di audit indipendenti (es. SOC 2 Type II) quando coprono ragionevolmente l'ambito richiesto.
11. Responsabilita e conflitti
La responsabilita derivante da questo DPA e soggetta ai limiti previsti nei Termini di servizio, salvo ove tali limiti non siano consentiti dalla legge. In caso di conflitto tra questo DPA e i Termini, prevale questo DPA per le materie di protezione dei dati.
12. Contatti
Huberway LLC - 1309 Coffeen Avenue, Suite 1200, Sheridan, WY 82801, USA
Richieste DPA e privacy: privacy@expandigo.com
Incidenti di sicurezza: security@expandigo.com