Data Processing Agreement (DPA)

Titolare del trattamento ("Cliente" / "Titolare"):

Il centro sportivo, circolo, organizzatore o altro soggetto giuridico che utilizza la piattaforma Smatch nell'ambito della propria attività.

Responsabile del trattamento ("Fornitore" / "Responsabile"):

Il Responsabile tratta i dati personali esclusivamente per consentire l'erogazione della piattaforma SaaS Smatch per la gestione di tornei sportivi.

Il Responsabile non determina autonomamente le finalità del trattamento né i mezzi essenziali dello stesso.

Il trattamento dura per tutta la durata del rapporto contrattuale tra Titolare e Responsabile. Alla cessazione del rapporto si applica quanto previsto all'art. 15 (Restituzione e cancellazione).

Il trattamento può includere le seguenti operazioni:

• raccolta
• registrazione
• organizzazione
• conservazione
• consultazione
• elaborazione
• cancellazione

Finalità:

• gestione tornei, squadre, gironi e partite
• organizzazione risultati e classifiche
• elaborazione statistiche interne al centro
• gestione tecnica del servizio (hosting, autenticazione, logging)
• sicurezza e prevenzione abusi

I dati trattati possono includere:

• nome e cognome dei partecipanti
• livello sportivo
• sesso (se inserito facoltativamente dal Titolare)
• dati relativi a squadre, tornei, risultati e classifiche
• dati tecnici (log, sessioni, metadati)
• dati account del Cliente (email, identificativo di accesso)

Non sono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR.

• partecipanti ai tornei (giocatori)
• utenti del Cliente (staff, organizzatori)

Il Responsabile tratta i dati personali esclusivamente su istruzione documentata del Titolare. Costituiscono istruzioni documentate:

• il contratto o i Termini di Servizio accettati
• il presente DPA
• la configurazione della piattaforma effettuata dal Titolare
• le richieste di supporto formulate dal Titolare

Qualora il Responsabile ritenga che un'istruzione violi la normativa applicabile, informerà il Titolare senza ingiustificato ritardo, salvo divieto di legge.

Il Responsabile garantisce che le persone autorizzate al trattamento siano vincolate da obblighi di riservatezza contrattuale o da obblighi legali equivalenti, e accedano ai dati solo nella misura necessaria all'erogazione o alla sicurezza del servizio.

Il Responsabile adotta misure tecniche e organizzative adeguate al rischio, tenendo conto della natura dei dati, del contesto e delle finalità del trattamento. Le misure includono, tra le altre:

• trasmissione dati cifrata (HTTPS/TLS)
• autenticazione e controllo accessi (AWS Cognito)
• separazione logica dei dati per cliente (multi-tenant)
• logging tecnico e monitoraggio
• protezione infrastruttura cloud (AWS)
• aggiornamenti di sicurezza periodici

Il Titolare autorizza il Responsabile a ricorrere ai sub-responsabili elencati nell'Allegato A per attività di hosting, infrastruttura cloud, sicurezza e supporto tecnico. Il Responsabile garantisce che tali soggetti siano vincolati da obblighi di protezione dei dati non meno protettivi di quelli previsti nel presente DPA.

Il Responsabile informerà il Titolare di eventuali modifiche rilevanti all'elenco dei sub-responsabili (aggiunta o sostituzione) aggiornando l'Allegato A con la versione del DPA aggiornata. L'utilizzo continuato della piattaforma costituisce accettazione delle modifiche.

Il Responsabile assiste il Titolare, per quanto ragionevolmente possibile, in:

• gestione delle richieste di esercizio dei diritti degli interessati
• adempimenti connessi alla sicurezza del trattamento
• notifica e gestione di data breach
• valutazioni d'impatto sulla protezione dei dati (DPIA)
• consultazione preventiva dell'autorità di controllo, ove necessaria

In caso di violazione dei dati personali riguardante dati trattati per conto del Titolare, il Responsabile:

• informa il Titolare senza ingiustificato ritardo dalla presa di coscienza dell'incidente
• fornisce le informazioni disponibili utili a valutare natura, portata e probabili conseguenze
• collabora con il Titolare per contenere l'incidente e adottare misure correttive

La valutazione sull'obbligo di notifica all'autorità di controllo (Garante Privacy) entro 72 ore ai sensi dell'art. 33 GDPR, e agli interessati ai sensi dell'art. 34 GDPR, compete al Titolare. Il Responsabile supporta tale valutazione fornendo le informazioni disponibili.

Il Responsabile mette a disposizione le informazioni ragionevolmente necessarie a dimostrare la conformità agli obblighi del presente DPA.

Eventuali richieste di audit devono essere:

• proporzionate e ragionevoli
• compatibili con la sicurezza del sistema e la tutela dei dati di altri clienti
• concordate con anticipo ragionevole

I costi di audit straordinari richiesti dal Titolare potranno essere addebitati se ragionevoli e previamente comunicati.

I dati applicativi della piattaforma sono trattati su infrastrutture situate nell'Unione Europea (Regione AWS EU). Il Responsabile non trasferisce dati fuori dallo SEE salvo necessità tecnica connessa all'erogazione del servizio.

Ove necessari, i trasferimenti avvengono nel rispetto del GDPR e con garanzie adeguate (es. Clausole Contrattuali Standard approvate dalla Commissione Europea).

Alla cessazione del rapporto contrattuale, il Responsabile su richiesta del Titolare:

• cancella o restituisce i dati personali trattati per conto del Titolare
• cancella le copie esistenti, salvo obblighi di conservazione imposti dalla legge

In assenza di istruzioni diverse entro 90 giorni dalla cessazione del rapporto, il Responsabile potrà procedere alla cancellazione secondo i propri tempi tecnici e le proprie policy interne.

In modalità locale, i dati conservati nel browser o dispositivo del Titolare restano sotto la piena responsabilità materiale del Titolare stesso.

Il Titolare garantisce:

• la liceità dei dati inseriti nella piattaforma
• l'esistenza di una base giuridica adeguata per il trattamento
• di aver fornito agli interessati le informazioni previste dagli artt. 13-14 GDPR

Il Responsabile non è responsabile per dati inseriti dal Titolare né per l'utilizzo improprio del sistema. La responsabilità complessiva del Responsabile è soggetta ai limiti previsti nei Termini e Condizioni di Servizio.

Il presente DPA è regolato dalla legge italiana, fatto salvo quanto direttamente previsto dal GDPR e dalla normativa europea applicabile.