Data Processing Agreement (DPA)

DATA PROCESSING AGREEMENT (DPA)

Accordo sul Trattamento dei Dati Personali

Data ultimo aggiornamento: 10 maggio 2026

Stipulato ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”) tra:

TRA

Il Cliente che ha sottoscritto il Servizio Agent-X, di seguito identificato in fase di iscrizione tramite i dati conferiti (nome, P.IVA o codice fiscale, email), nella sua qualità di Titolare del Trattamento (“Titolare” o “Cliente”) relativamente ai dati personali oggetto del presente Accordo;

E

DIGITLESS di Luca Papagni – Sede: Via Francesco De Sanctis 13, 00013 Fonte Nuova (RM), Italia – Partita IVA: IT17049331006 – PEC: luca.papagni@pec.it – Email: support@agent-x.it

nella sua qualità di Responsabile del Trattamento (“Responsabile” o “Agent-X” o “Fornitore”).

PREMESSO CHE

  1. Il Titolare ha sottoscritto con il Responsabile un contratto avente ad oggetto la fornitura del servizio di automazione editoriale Agent-X (di seguito il “Servizio Principale”), regolato dai relativi Termini e Condizioni;
  2. Per l’erogazione del Servizio Principale, il Responsabile tratterà alcuni dati personali per conto del Titolare;
  3. L’art. 28 GDPR richiede che tale trattamento sia disciplinato da un contratto scritto avente i contenuti minimi previsti dalla norma;
  4. Il presente Accordo costituisce il documento richiesto dall’art. 28 GDPR e prevale, per gli aspetti relativi alla protezione dei dati personali, sui Termini e Condizioni del Servizio Principale.

ARTICOLI

1. Oggetto e Durata del Trattamento

1.1 Oggetto del trattamento: il Responsabile tratterà, per conto del Titolare, i dati personali necessari all’erogazione del Servizio Principale (vedi Allegato A).

1.2 Durata: il presente Accordo ha la stessa durata del contratto del Servizio Principale e cessa con esso, fatti salvi gli obblighi residui di cancellazione dei dati e conservazione obbligatoria per legge.

1.3 Natura del trattamento: archiviazione, organizzazione, consultazione, utilizzo per esecuzione automatica di operazioni sugli asset digitali del Titolare, comunicazione a sub-processor per le finalità sotto indicate.

1.4 Finalità: esclusivamente l’erogazione del Servizio Principale (pubblicazione automatica di contenuti tramite agenti AI sui sistemi del Titolare). I dati non saranno utilizzati per finalità ulteriori se non previa autorizzazione scritta del Titolare.

2. Tipo di Dati Personali e Categorie di Interessati

2.1 Tipo di dati personali trattati:

  • Dati identificativi del Titolare (in qualità di interessato): nome, email, P.IVA, indirizzo, telefono;
  • Credenziali tecniche fornite dal Titolare per l’accesso ai propri asset digitali:
    • “Application Password” WordPress, con relativo username
    • Token di accesso per la piattaforma Meta/Facebook
  • Configurazioni del servizio (parametri di pubblicazione, tono, categoria, parole chiave);
  • Log di esecuzione (timestamp, esito pubblicazioni, errori);
  • Eventuali dati di terzi (lettori, visitatori) che dovessero risultare incidentalmente trattati nei contenuti pubblicati o nei log degli asset del Titolare (rilevanza marginale).

2.2 Categorie di interessati:

  • Il Titolare medesimo (persona fisica titolare di P.IVA);
  • Eventuali utenti finali / lettori / visitatori dei siti e delle pagine social gestiti dal Titolare, che possano essere indirettamente interessati dal trattamento dei contenuti.

3. Obblighi del Responsabile (art. 28.3 GDPR)

Il Responsabile si obbliga, nei confronti del Titolare, a:

a) Trattamento solo su istruzioni documentate del Titolare, conformemente al presente Accordo e ai Termini e Condizioni del Servizio. Eventuali istruzioni ulteriori dovranno essere comunicate per iscritto via email a support@agent-x.it.

b) Riservatezza del personale: il personale autorizzato al trattamento è vincolato a un obbligo di riservatezza giuridicamente assistito (NDA o equivalente).

c) Misure di sicurezza adeguate ai sensi dell’art. 32 GDPR, descritte nell’Allegato B del presente Accordo.

d) Sub-processor: il Responsabile è autorizzato a ricorrere a sub-processor secondo quanto previsto all’art. 4 del presente Accordo.

e) Assistenza al Titolare per le richieste degli interessati (artt. 15-22 GDPR), nei limiti tecnicamente possibili.

f) Assistenza al Titolare negli adempimenti di sicurezza (art. 32), notifica violazioni (artt. 33-34), DPIA (art. 35), prior consultation (art. 36).

g) Cancellazione o restituzione dei dati a fine contratto: vedi art. 8 del presente Accordo.

h) Disponibilità a fornire al Titolare ogni informazione necessaria a dimostrare il rispetto degli obblighi assunti, e a consentire audit, secondo quanto previsto all’art. 7.

4. Sub-processor (Responsabili Sub-incaricati)

4.1 Il Titolare autorizza il Responsabile a ricorrere a Sub-processor per l’esecuzione del Servizio. La lista dei Sub-processor attualmente in uso è riportata nell’Allegato C ed è altresì consultabile alla pagina agent-x.it/sub-processors/.

4.2 Per ogni Sub-processor, il Responsabile garantisce: – La sottoscrizione di un contratto che impone obblighi di protezione dei dati equivalenti a quelli del presente Accordo; – La verifica preventiva delle misure di sicurezza adottate; – La presenza di adeguate garanzie per i trasferimenti extra-UE (DPF / SCC).

4.3 Notifica modifiche Sub-processor: il Responsabile comunicherà al Titolare ogni intenzione di aggiungere o sostituire Sub-processor con preavviso di almeno 30 giorni tramite email o pagina dedicata. Il Titolare avrà facoltà di obiettare per giustificati motivi, entro 15 giorni dalla notifica. In caso di obiezione non superabile, il Titolare avrà diritto di recedere dal contratto senza penali.

5. Trasferimenti Extra-UE

5.1 Alcuni Sub-processor del Responsabile hanno sede o possono trasferire dati al di fuori dell’Unione Europea (in particolare verso gli Stati Uniti).

5.2 Tali trasferimenti avvengono in conformità al Data Privacy Framework UE-USA per i Sub-processor che vi hanno aderito, o in via subordinata sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea ai sensi dell’art. 46 GDPR.

5.3 Una Transfer Impact Assessment (TIA) è disponibile su richiesta scritta del Titolare.

6. Notifica di Violazione di Dati Personali (Data Breach)

6.1 Il Responsabile, in caso di violazione di dati personali (“data breach”) che coinvolga i dati trattati per conto del Titolare, notificherà l’evento al Titolare senza ingiustificato ritardo e in ogni caso entro 72 ore dalla scoperta.

6.2 La notifica conterrà almeno: – Descrizione della natura della violazione; – Categorie e numero approssimativo di interessati e dati coinvolti; – Probabili conseguenze; – Misure adottate o proposte per attenuare gli effetti; – Recapiti del Responsabile per ulteriori informazioni.

6.3 Il Responsabile presterà al Titolare ogni assistenza necessaria per gli adempimenti del Titolare ai sensi degli artt. 33-34 GDPR (notifica al Garante e agli interessati).

7. Audit e Verifiche

7.1 Il Titolare ha il diritto di verificare il rispetto degli obblighi del presente Accordo da parte del Responsabile, anche mediante audit o ispezioni.

7.2 Le modalità sono le seguenti: – L’audit può essere richiesto non più di una volta all’anno, salvo casi di sospetta violazione; – La richiesta deve essere comunicata con preavviso di almeno 30 giorni via PEC; – L’audit può essere svolto direttamente dal Titolare o tramite ispettore terzo indipendente di sua scelta, vincolato a riservatezza; – I costi dell’audit sono a carico del Titolare richiedente, salvo che l’audit rilevi inadempimenti del Responsabile; – Il Responsabile può, in alternativa, fornire al Titolare relazioni periodiche di audit di terze parti (es. ISO 27001, SOC 2) ove disponibili.

8. Restituzione e Cancellazione dei Dati

8.1 Al termine del contratto, su scelta del Titolare comunicata via email, il Responsabile provvederà entro 30 giorni a: – Restituire al Titolare i dati personali trattati, in formato strutturato e leggibile (export CSV/JSON), oppure – Cancellare definitivamente tutti i dati personali del Titolare dai propri sistemi e da quelli dei Sub-processor (salvo obblighi di conservazione di legge — es. fatturazione 10 anni).

8.2 In assenza di scelta del Titolare entro 30 giorni dalla cessazione, il Responsabile procederà alla cancellazione automatica.

8.3 Il Responsabile fornirà conferma scritta dell’avvenuta cancellazione su richiesta del Titolare.

9. Responsabilità

9.1 Ciascuna Parte risponde dei danni causati dal trattamento svolto in violazione del GDPR e del presente Accordo, secondo quanto previsto dall’art. 82 GDPR.

9.2 Le limitazioni di responsabilità contrattuali previste nei Termini e Condizioni del Servizio Principale si applicano anche alle obbligazioni derivanti dal presente Accordo, fatto salvo quanto previsto dalla normativa in materia di protezione dei dati personali (art. 82 GDPR e disposizioni inderogabili).

10. Modifiche dell’Accordo

Il presente Accordo può essere modificato unicamente in forma scritta, anche tramite comunicazione email al Titolare con preavviso di almeno 30 giorni. Modifiche imposte da norme di legge si applicano automaticamente.

11. Foro Competente e Legge Applicabile

Il presente Accordo è regolato dalla legge italiana. Per ogni controversia derivante dal presente Accordo, è competente il foro indicato nei Termini e Condizioni del Servizio Principale.

ALLEGATO A — DETTAGLI DEL TRATTAMENTO

Voce Contenuto
Tipo di dati personali Credenziali tecniche del Titolare per accesso a WordPress e Meta; dati identificativi e contatto del Titolare; configurazioni; log di esecuzione
Categorie di interessati Titolare; eventuali terzi indirettamente coinvolti nei contenuti pubblicati
Operazioni di trattamento Raccolta, archiviazione cifrata, consultazione automatica, utilizzo per esecuzione di chiamate API verso WordPress e Meta, comunicazione a Sub-processor
Finalità Erogazione del Servizio Principale
Durata Per la durata del contratto, salvo cancellazione anticipata o conservazione obbligatoria

ALLEGATO B — MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

Misure tecniche

  • Cifratura at-rest delle credenziali tecniche tramite Google Cloud KMS (per i dati su Hostinger/N8N) e/o N8N Credentials cifrate
  • Cifratura in transito (TLS 1.2 o superiore) su tutte le comunicazioni
  • Accesso ai dati riservato al solo personale autorizzato, con autenticazione a due fattori (2FA)
  • Sistema di trasmissione one-time cifrato (OneTimeSecret) per il trasferimento iniziale di credenziali dal Titolare al Responsabile
  • Backup periodici dei dati, conservati cifrati e in localizzazione UE
  • Logging delle operazioni sensibili e revisione periodica
  • Hardening dei sistemi (firewall, WAF, anti-malware) sui server di erogazione

Misure organizzative

  • Procedure interne documentate per gestione data breach (con notifica entro 72h)
  • Procedura DSAR per gestione richieste interessati (artt. 15-22)
  • Formazione del personale in materia di protezione dati personali
  • Vincolo di riservatezza del personale autorizzato
  • Selezione dei Sub-processor con due diligence sulla loro idoneità tecnica e organizzativa
  • Aggiornamento periodico delle misure di sicurezza in base all’evoluzione tecnologica e normativa

ALLEGATO C — LISTA SUB-PROCESSOR

Sub-processor Finalità Sede / Region Meccanismo trasferimento dati
Hostinger International Ltd. Hosting sito web agent-x.it Lituania (UE) Trasferimento intra-UE
N8N GmbH (n8n Cloud, Region EU) Esecuzione workflow di automazione, archiviazione credentials cifrate Germania (UE) Trasferimento intra-UE
Stripe Inc. Elaborazione pagamenti elettronici USA Data Privacy Framework / SCC
PayPal (Europe) S.à r.l. et Cie, S.C.A. Elaborazione pagamenti elettronici Lussemburgo (UE) Trasferimento intra-UE
OpenAI Ireland Ltd. Generazione contenuti tramite AI UE/USA Data Privacy Framework / SCC
HighLevel Inc. (GoHighLevel) CRM, gestione comunicazioni cliente USA Data Privacy Framework / SCC
Google Cloud EMEA Ltd. Servizi di cifratura crittografica (KMS) UE/USA Data Privacy Framework / SCC
Meta Platforms Ireland Ltd. Esecuzione pubblicazioni su Facebook Irlanda (UE) Trasferimento intra-UE
Bitwarden Inc. Strumento gestione credenziali interne UE (Region EU) / USA Data Privacy Framework / SCC
OneTimeSecret Trasmissione one-time cifrata di credenziali (cifratura end-to-end client-side) USA Cifratura end-to-end + SCC

La lista è costantemente aggiornata. Versione corrente sempre disponibile su agent-x.it/sub-processors/.

SOTTOSCRIZIONE

Il presente Accordo è considerato sottoscritto e accettato dal Titolare al momento della spunta della casella di accettazione del DPA in fase di iscrizione al Servizio.

Il Responsabile considera l’Accordo accettato dalla propria parte all’attivazione del Servizio.

Documento redatto il 10 maggio 2026 — DIGITLESS di Luca Papagni — P.IVA IT17049331006 PEC: luca.papagni@pec.it — Email: support@agent-x.it

Carrello
Torna in alto
Agent-X
Powered by  GDPR Cookie Compliance
Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.