NexiBook / Contratto DPA — Art. 28 GDPR
Documento legale — GDPR Art. 28(3)

Contratto di Trattamento dei Dati (DPA)

Accordo tra il Titolare del trattamento (Studio Cliente) e NexiBook come Responsabile esterno del trattamento — ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

Versione: 1.0 Data: Aprile 2026 Lingua: Italiano Ambito: Tenants italiani e UE Legge applicabile: Diritto italiano — Foro di Milano

Indice del documento

  1. Parti del contratto
  2. Oggetto del trattamento
  3. Durata
  4. Natura e finalità
  5. Tipi di dati e categorie
  6. Obblighi del Responsabile
  7. Sub-responsabili
  8. Trasferimenti extra-UE
  9. Diritti di audit
  10. Responsabilità e indennizzo
  11. Legge applicabile e foro
  12. Allegati

1Parti del Contratto

Il presente Contratto di Trattamento dei Dati («DPA») è stipulato tra le seguenti parti:

1.1 Titolare del trattamento (il «Cliente» o «Titolare»)

Lo studio o l'impresa che ha sottoscritto il contratto di abbonamento a NexiBook. Il Cliente determina le finalità e i mezzi del trattamento dei dati personali dei propri clienti finali, ai sensi dell'art. 4, par. 7, GDPR.

Da completare a cura del Cliente prima della firma
Compilare tutti i campi sottostanti. In caso di firma digitale qualificata (PAdES/CAdES), allegare il file firmato al ticket di attivazione NexiBook.

1.2 Responsabile esterno del trattamento (il «Responsabile» o «NexiBook»)

Ntelligence Insight S.R.L. (di seguito anche «NexiBook»)
CUI: 40963999 · Registro del Commercio: J35/1763/2019 · Romania
Indirizzo email: privacy@nexibookapp.com
Sito web: https://nexibookapp.com
Piattaforma: eu.nexibookapp.com

Il Responsabile tratta i dati personali dei clienti finali del Titolare esclusivamente per conto e su istruzione del Titolare, nell'ambito dell'erogazione del servizio SaaS NexiBook per la gestione di studi fitness, pilates, yoga, benessere e attività affini.

Premessa: Il presente DPA costituisce parte integrante del contratto di abbonamento stipulato tra le Parti («Contratto Principale»). In caso di conflitto tra il presente DPA e il Contratto Principale in materia di protezione dei dati, prevalgono le disposizioni del presente DPA. Il DPA ha effetto dalla data di firma del Contratto Principale o dalla data di sottoscrizione del presente documento, se successiva.

2Oggetto del Trattamento

Nell'ambito dell'erogazione dei propri servizi al Titolare, il Responsabile tratta i dati personali dei clienti finali dello studio per le seguenti macro-attività:

  • Gestione del sistema di prenotazione online: registrazione degli appuntamenti e delle sessioni di allenamento, invio di conferme, promemoria e notifiche ai clienti del Titolare tramite email, SMS e/o WhatsApp Business.
  • Hosting e memorizzazione dei dati dello studio: archiviazione sicura delle anagrafiche clienti, dello storico prenotazioni, dei profili abbonamento e delle relative impostazioni sulle infrastrutture cloud del Responsabile, interamente ubicate nell'Unione Europea.
  • Fatturazione elettronica (FatturaPA / SDI): trasmissione di fatture elettroniche al Sistema di Interscambio dell'Agenzia delle Entrate italiana per conto del Titolare, mediante il sub-responsabile autorizzato OpenAPI S.r.l., in qualità di intermediario accreditato SDI. Questa attività comporta il trattamento di dati fiscali e di fatturazione degli acquirenti finali del Titolare.
  • Elaborazione dei pagamenti: gestione dei flussi di pagamento per abbonamenti e prenotazioni tramite il sub-responsabile Stripe Inc., certificato PCI DSS Livello 1. Il Responsabile non conserva in proprio i numeri di carta completi (PAN) né i dati CVV.
  • Comunicazioni di marketing (opt-in): invio di email e messaggi promozionali ai clienti del Titolare che abbiano espresso il consenso esplicito ex art. 7 GDPR, su istruzione e configurazione del Titolare stesso, tramite il sub-responsabile MailerLite.
  • Sessioni video in diretta e contenuti registrati (funzionalità opzionali): se attivate dal Titolare, gestione di sessioni video online tramite Zoom e archiviazione/streaming di contenuti video tramite Mux Inc.
  • Analytics operativi della piattaforma: raccolta di log tecnici anonimi o pseudonimizzati per il monitoraggio delle performance del servizio e la prevenzione di frodi o abusi.

3Durata del Trattamento

Il presente DPA ha efficacia per l'intera durata del Contratto Principale (abbonamento attivo al servizio NexiBook). Il trattamento cessa automaticamente al momento della disdetta o della scadenza del contratto.

3.1 Periodo post-cessazione — estrazione e cancellazione dati

Entro 30 giorni dalla cessazione del contratto, il Titolare ha diritto a richiedere l'esportazione completa dei propri dati in formato machine-readable (CSV/JSON) attraverso il pannello di amministrazione NexiBook o via richiesta scritta a privacy@nexibookapp.com.

Decorso il termine di 30 giorni senza richiesta di esportazione, il Responsabile procede alla cancellazione automatica e irreversibile di tutti i dati personali riconducibili allo studio del Titolare, fatto salvo quanto previsto al paragrafo 3.2.

3.2 Obblighi di conservazione fiscale

I dati di fatturazione elettronica (FatturaPA trasmesse al SDI) sono soggetti all'obbligo legale di conservazione digitale per 10 anni ai sensi dell'art. 22, co. 2, D.P.R. 600/1973 e delle disposizioni del Codice Civile (artt. 2220, 2214). Tale conservazione avviene in conformità alle specifiche tecniche del Garante e dell'Agenzia delle Entrate; i dati conservati per obbligo fiscale rimangono inaccessibili per finalità commerciali.

Il Responsabile fornirà al Titolare, su richiesta, documentazione attestante le modalità e la base giuridica della conservazione residua post-cessazione.

4Natura e Finalità del Trattamento (Art. 28(3)(a) GDPR)

Ai sensi dell'art. 28(3)(a) GDPR, il Responsabile tratta i dati personali esclusivamente:

  • Su istruzione documentata del Titolare: le istruzioni sono costituite dal presente DPA, dal Contratto Principale, dai parametri di configurazione impostati dal Titolare nel pannello di amministrazione e da eventuali comunicazioni scritte successive (email a privacy@nexibookapp.com).
  • Per le sole finalità contrattuali: erogazione del servizio SaaS NexiBook (prenotazione, fatturazione SDI, pagamenti, comunicazioni ai clienti finali, analytics operativi).
  • Per obbligo di legge: ove il diritto dell'Unione Europea o italiano imponga obblighi specifici di trattamento o conservazione. In tal caso il Responsabile informa il Titolare prima di procedere, salvo che la legge lo vieti per motivi di pubblico interesse.

Il Responsabile non utilizzerà i dati personali trattati per conto del Titolare per finalità proprie (profilazione, marketing diretto verso i clienti finali del Titolare, cessione a terzi, addestramento di modelli di intelligenza artificiale), né trasferirà tali dati a soggetti non inclusi nell'elenco dei sub-responsabili di cui all'Allegato B senza previa autorizzazione scritta del Titolare.

Base giuridica rilevante: Art. 6(1)(b) GDPR — necessità contrattuale; art. 6(1)(c) — obbligo legale (SDI, conservazione fiscale); art. 6(1)(f) — legittimo interesse per la sicurezza della piattaforma. Il Titolare rimane responsabile dell'identificazione della corretta base giuridica per il trattamento effettuato verso i propri clienti finali.

5Tipi di Dati Personali e Categorie di Interessati (Art. 28(3)(b) GDPR)

5.1 Categorie di interessati

  • Clienti finali dello studio (persone fisiche che prenotano o frequentano le attività): categorie principali.
  • Dipendenti e collaboratori dello studio (istruttori, receptionist) per i quali il Titolare abbia creato un profilo utente nella piattaforma NexiBook.
  • Il Legale Rappresentante del Titolare stesso, limitatamente ai dati di fatturazione e alle credenziali dell'account principale.

5.2 Tipi di dati trattati

Categoria di dato Dettaglio Finalità
Anagrafica cliente Nome, cognome, indirizzo email, numero di telefono, data di nascita (se raccolta dallo studio) Gestione prenotazioni, comunicazioni, accesso portale clienti
Dati di fatturazione e fiscali Ragione sociale o nome/cognome, Partita IVA, Codice Fiscale, indirizzo di fatturazione Emissione FatturaPA SDI, adempimenti fiscali ex D.P.R. 600/1973
Dati di pagamento (metadati) Importi transazione, data, metodo di pagamento (tipo carta/bonifico), ultimi 4 cifre della carta, ID transazione Stripe Gestione abbonamenti, rimborsi, reportistica. I PAN completi e CVV sono gestiti esclusivamente da Stripe Inc. come responsabile autonomo PCI DSS L1 e non transitano nei sistemi NexiBook.
Storico prenotazioni e preferenze Corsi prenotati, istruttori preferiti, storico presenze, stato abbonamento, eventuali note cliniche inserite dallo studio (es. infortuni — se applicabile) Erogazione servizio, statistiche operative per il Titolare
Comunicazioni Email di conferma, promemoria SMS/email, comunicazioni marketing opt-in Gestione operativa, marketing su consenso
Dati video (opzionale) Metadati sessioni Zoom (durata, partecipanti), file video archiviati su Mux (contenuti corsi registrati) Sessioni live e video on-demand — attivazione richiesta esplicitamente dal Titolare
Log tecnici Indirizzo IP, user-agent browser, timestamp di accesso, log errori applicativi Sicurezza piattaforma, prevenzione frodi, debug operativo. Conservati per massimo 90 giorni.
Dati particolari (art. 9 GDPR): NexiBook non è progettato per il trattamento sistematico di categorie particolari di dati (dati sanitari, biometrici, ecc.). Qualora il Titolare intenda raccogliere tali dati tramite la piattaforma (es. note mediche dei clienti), è tenuto a informare previamente NexiBook e ad ottenere la valutazione di compatibilità. In assenza di accordo specifico, NexiBook non garantisce misure adeguate per il trattamento di dati ex art. 9 GDPR.

6Obblighi del Responsabile (Art. 28(3)(c-h) GDPR)

6.1 Istruzioni documentate — Art. 28(3)(a)

Il Responsabile tratta i dati personali unicamente su istruzione documentata del Titolare. Se, a giudizio del Responsabile, un'istruzione specifica viola il GDPR o il D.Lgs. 196/2003 come modificato, il Responsabile ne informa immediatamente il Titolare per iscritto e può sospendere l'esecuzione di tale istruzione fino a chiarimento.

6.2 Riservatezza del personale — Art. 28(3)(b)

Il Responsabile si impegna a garantire che le persone autorizzate al trattamento dei dati personali abbiano assunto impegni di riservatezza o siano soggette a un obbligo legale di riservatezza. L'accesso ai dati del Titolare è consentito solo al personale che necessiti di tale accesso per l'esecuzione del servizio (need-to-know). Il Responsabile mantiene un registro aggiornato delle persone autorizzate.

6.3 Misure di sicurezza tecniche e organizzative (TOM) — Art. 28(3)(c) e Art. 32 GDPR

Il Responsabile applica le misure tecniche e organizzative descritte nell'Allegato A al presente DPA. In sintesi:

  • Cifratura dei dati in transito tramite TLS 1.2 o superiore su tutti gli endpoint pubblici
  • Cifratura dei dati a riposo (AES-256 o equivalente) per i database contenenti dati personali
  • Autenticazione a più fattori (MFA) obbligatoria per tutti gli amministratori di sistema
  • Backup giornaliero crittografato con conservazione minima di 7 giorni; test di ripristino trimestrale
  • Infrastruttura di hosting interamente ubicata nell'Unione Europea (data center Hetzner, Germania / UE)
  • Logging e monitoraggio degli accessi ai dati personali (accessi admin, query su dati sensibili)
  • Vulnerability scanning trimestrale e patch management per le vulnerabilità critiche entro 72 ore
  • Separazione logica (multi-tenancy isolata) dei dati tra studio e studio
  • Procedura documentata di gestione degli incidenti di sicurezza
  • Formazione annuale obbligatoria del personale in materia di protezione dei dati

6.4 Sub-responsabili — Art. 28(2)-(3)(d) e Art. 28(4)

Il Responsabile si avvale dei sub-responsabili elencati nell'Allegato B. La sottoscrizione del presente DPA costituisce autorizzazione generale del Titolare all'utilizzo di tali sub-responsabili.

In caso di sostituzione o aggiunta di un sub-responsabile, il Responsabile ne dà comunicazione scritta al Titolare (via email all'indirizzo indicato nel presente DPA) con almeno 30 giorni di preavviso, concedendo al Titolare la facoltà di sollevare obiezione motivata entro tale termine. Se il Titolare solleva obiezione e le Parti non trovano accordo, il Titolare ha diritto di recedere dal Contratto Principale senza penali.

Il Responsabile impone ai sub-responsabili obblighi di protezione dei dati equivalenti a quelli del presente DPA, ai sensi dell'art. 28(4) GDPR, e rimane pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi assunti.

6.5 Assistenza ai diritti degli interessati — Art. 28(3)(e) e Artt. 12-22 GDPR

Il Responsabile, tenuto conto della natura del trattamento, assiste il Titolare nell'adempimento degli obblighi di risposta alle richieste di esercizio dei diritti degli interessati (diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Tale assistenza comprende:

  • Trasmissione al Titolare, entro 5 giorni lavorativi, di qualsiasi richiesta pervenuta direttamente al Responsabile da un interessato riguardante dati trattati per conto del Titolare.
  • Fornitura degli strumenti tecnici nel pannello di amministrazione NexiBook per l'esportazione, la rettifica e la cancellazione dei dati degli interessati.
  • Supporto tecnico su richiesta per l'esecuzione di operazioni complesse di cancellazione o portabilità, soggetto ai limiti operativi del piano di abbonamento.

La competenza a rispondere agli interessati rimane in capo al Titolare, che è l'unico soggetto a conoscere la base giuridica e le finalità specifiche del trattamento.

6.6 Notifica violazione dati personali (Data Breach) — Art. 28(3)(f) e Artt. 33-34 GDPR

In caso di violazione della sicurezza che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trattati per conto del Titolare, il Responsabile:

  • Notifica al Titolare la violazione entro 72 ore dal rilevamento dell'incidente, mediante comunicazione scritta all'indirizzo PEC o email indicato nel presente DPA.
  • Fornisce, ove disponibili, le seguenti informazioni: natura della violazione, categorie e numero approssimativo di interessati e registrazioni coinvolti, conseguenze probabili, misure adottate o proposte per porre rimedio, referente per la gestione dell'incidente.
  • Collabora con il Titolare nella gestione dell'incidente e nella predisposizione delle eventuali comunicazioni al Garante (art. 33 GDPR) e agli interessati (art. 34 GDPR), la cui competenza rimane in capo al Titolare.
  • Conserva la documentazione relativa a tutti gli incidenti di sicurezza per un periodo minimo di 3 anni.

La notifica entro 72 ore non costituisce ammissione di responsabilità da parte del Responsabile.

6.7 Assistenza alla DPIA — Art. 28(3)(f) e Art. 35 GDPR

Ove il Titolare sia tenuto a effettuare una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) in relazione al trattamento effettuato tramite NexiBook, il Responsabile fornisce tutta la documentazione tecnica necessaria (architettura del sistema, misure di sicurezza, flussi di dati, elenco sub-responsabili) entro 15 giorni lavorativi dalla richiesta scritta.

6.8 Restituzione e cancellazione dei dati — Art. 28(3)(g)

Alla cessazione del contratto, e su esplicita istruzione del Titolare, il Responsabile:

  • Mette a disposizione del Titolare un'esportazione completa dei dati entro 30 giorni dalla cessazione, in formato CSV/JSON/Excel.
  • Procede alla cancellazione definitiva di tutti i dati personali dai sistemi produttivi entro 30 giorni dalla cessazione, salvo obbligo legale di conservazione (cfr. art. 3.2).
  • Fornisce al Titolare, su richiesta, un'attestazione scritta dell'avvenuta cancellazione.
  • I backup crittografati contenenti i dati del Titolare vengono soprascrittti/cancellati nei cicli ordinari di rotazione backup, comunque entro 90 giorni dalla cessazione.

6.9 Registro delle attività di trattamento — Art. 30(2) GDPR

Il Responsabile mantiene un registro delle categorie di attività di trattamento svolte per conto del Titolare, ai sensi dell'art. 30(2) GDPR, e lo mette a disposizione del Titolare e dell'Autorità Garante su richiesta.

7Sub-responsabili del Trattamento

Il Responsabile si avvale dei sub-responsabili elencati nell'Allegato B al presente DPA. Tutti i sub-responsabili sono stati selezionati in base alla loro capacità di offrire garanzie sufficienti ai sensi dell'art. 28(1) GDPR e sono vincolati da accordi di trattamento dati equivalenti al presente DPA.

Si riportano di seguito i sub-responsabili principali, con indicazione del ruolo rilevante per il Titolare italiano:

Sub-responsabile Sede Attività svolta Base trasferimento
OpenAPI S.r.l. Italia (UE) Trasmissione FatturaPA al Sistema di Interscambio (SDI) per conto del Titolare — intermediario accreditato Agenzia delle Entrate Nessun trasferimento extra-UE
Invopop Ltd. UK / UE Fatturazione elettronica per Titolari non IT (ES, PT, altri paesi UE) Standard Contractual Clauses (SCC)
Stripe, Inc. USA Elaborazione pagamenti con carta e bonifico, gestione abbonamenti SCC + EU-US Data Privacy Framework (DPF)
MailerLite UAB Lituania (UE) Invio email transazionali (conferme prenotazione, promemoria) e campagne marketing opt-in Nessun trasferimento extra-UE
Zoom Video Communications, Inc. USA Sessioni video live opzionali — solo se attivate dal Titolare SCC + garanzie aggiuntive
Mux, Inc. USA Hosting, transcodifica e streaming video per contenuti corsi registrati — solo se attivato SCC + garanzie aggiuntive
Hetzner Online GmbH Germania (UE) Infrastruttura cloud — server, storage, rete (hosting principale piattaforma NexiBook) Nessun trasferimento extra-UE
Google LLC USA Google Analytics per analytics aggregati del portale web NexiBook — solo con consenso dell'utente finale; dati pseudonimizzati SCC + DPF
Meta Platforms, Inc. USA Meta Pixel per misurazione campagne pubblicitarie — solo se attivato dal Titolare e con consenso dell'utente finale SCC + DPF
Nota per i Titolari italiani: OpenAPI S.r.l. è il sub-responsabile designato per la trasmissione delle fatture elettroniche al SDI. Tutti i dati fiscali dei clienti del Titolare (nome/ragione sociale, P.IVA/CF, indirizzo) transitano via OpenAPI esclusivamente per adempiere all'obbligo di fatturazione elettronica ex art. 1, co. 3, D.Lgs. 127/2015 e successive modifiche. I dati sono trasmessi cifrati (TLS 1.3) e OpenAPI è vincolato da accordo DPA con NexiBook ai sensi dell'art. 28 GDPR.

8Trasferimenti di Dati verso Paesi Terzi (Artt. 44-49 GDPR)

Il Responsabile assicura che qualsiasi trasferimento di dati personali verso paesi terzi (extra-UE/SEE) avvenga nel rispetto del Capo V del GDPR. Le basi giuridiche applicabili sono le seguenti:

Destinatario Paese Base giuridica trasferimento Garanzie aggiuntive
Stripe, Inc. USA Decisione di adeguatezza EU-US Data Privacy Framework (DEC. 2023/1795) + Standard Contractual Clauses (Modulo 2, Art. 46(2)(c) GDPR) Certificazione PCI DSS L1; cifratura end-to-end; SOC 2 Type II
Zoom Video Communications USA Standard Contractual Clauses (Modulo 2) Cifratura in transito TLS 1.2+; opzione attivazione AES-256 end-to-end; SOC 2 Type II; ISO 27001
Mux, Inc. USA Standard Contractual Clauses (Modulo 2) Cifratura storage AES-256; SOC 2 Type II; possibilità di CDN con PoP europei
Google LLC (Analytics) USA SCC + EU-US DPF Anonimizzazione IP attiva; dati aggregati/pseudonimizzati; trasferimento condizionato al consenso utente finale
Meta Platforms, Inc. USA SCC + EU-US DPF Trasferimento condizionato al consenso utente finale; dati limitati agli eventi di conversione (no profili completi)

Tutti gli altri sub-responsabili (OpenAPI S.r.l., MailerLite UAB, Hetzner Online GmbH, Invopop Ltd.) hanno sede nell'Unione Europea o nel SEE. Il trattamento principale avviene su server europei (Hetzner, Germania).

Il Responsabile si impegna a notificare al Titolare qualsiasi modifica nelle basi giuridiche dei trasferimenti extra-UE e a fornire copia delle Clausole Contrattuali Standard applicabili su richiesta scritta del Titolare.

Invalidazione del DPF: Nel caso in cui la Corte di Giustizia dell'Unione Europea o la Commissione Europea invalidassero il Data Privacy Framework, il Responsabile si impegna a fare affidamento sulle SCC già in vigore come base alternativa di trasferimento, senza interruzione del servizio, e a notificarne le implicazioni al Titolare entro 15 giorni.

9Diritti di Ispezione e Audit (Art. 28(3)(h) GDPR)

Il Titolare ha diritto di verificare il rispetto degli obblighi del presente DPA da parte del Responsabile. A tal fine si applicano le seguenti modalità:

9.1 Audit documentale (preferenziale)

Il Titolare può richiedere, con preavviso di almeno 20 giorni lavorativi, la trasmissione di documentazione attestante la conformità del Responsabile (es. certificazioni ISO 27001, SOC 2, report di vulnerability scan, log di accesso anonimizzati, dichiarazioni dei sub-responsabili). Il Responsabile risponde entro 15 giorni lavorativi dalla richiesta. Questa modalità non comporta costi aggiuntivi per il Titolare, salvo richieste che richiedano elaborazione straordinaria superiore a 8 ore, che saranno quotate previamente.

9.2 Audit in loco / tramite terza parte

Il Titolare ha diritto a un (1) audit annuale condotto da una terza parte indipendente (auditor esterno certificato CISA o equivalente), previa:

  • Comunicazione scritta con almeno 30 giorni di preavviso
  • Sottoscrizione di NDA da parte dell'auditor esterno
  • Concordato piano di audit per limitare l'impatto sulle operazioni del Responsabile

I costi dell'audit (compenso auditor, spese di trasferta, ecc.) sono a carico del Titolare richiedente, salvo il caso in cui l'audit accerti una non conformità grave del Responsabile agli obblighi del presente DPA, nel qual caso le spese sono a carico del Responsabile.

9.3 Audit regolatorio

In caso di ispezione da parte dell'Autorità Garante per la protezione dei dati personali o di altra autorità competente, il Responsabile coopera pienamente e ne dà comunicazione immediata al Titolare, nella misura in cui la legge lo consenta.

10Responsabilità e Limitazione di Responsabilità

10.1 Regime generale

Ciascuna Parte è responsabile del trattamento che effettua in conformità al proprio ruolo (Titolare / Responsabile) ai sensi degli artt. 82 e 83 GDPR e delle norme del D.Lgs. 196/2003. Ove un interessato subisca un danno materiale o immateriale, la ripartizione interna della responsabilità tra le Parti è disciplinata dall'art. 82(5) GDPR.

10.2 Limitazione contrattuale di responsabilità

Fermo restando il regime legale di cui all'art. 10.1, e salvo dolo o colpa grave, la responsabilità contrattuale del Responsabile nei confronti del Titolare ai sensi del presente DPA è limitata al maggiore tra:

  • (a) il totale dei canoni di abbonamento pagati dal Titolare a NexiBook nei 12 mesi precedenti all'evento che ha causato il danno; oppure
  • (b) € 10.000 (diecimila euro).

La limitazione non si applica in caso di: (i) violazione intenzionale degli obblighi del presente DPA; (ii) violazione degli obblighi di riservatezza; (iii) danni causati da condotta fraudolenta del Responsabile.

10.3 Manleva

Il Titolare manleva e tiene indenne il Responsabile da qualsiasi rivendicazione, sanzione o danno derivante da istruzioni del Titolare stesso che siano in violazione del GDPR o del D.Lgs. 196/2003, o da trattamenti effettuati autonomamente dal Titolare al di fuori del servizio NexiBook.

11Legge Applicabile e Foro Competente

Il presente DPA è disciplinato dal diritto italiano, in particolare da:

  • Regolamento (UE) 2016/679 (GDPR), direttamente applicabile in tutta l'Unione Europea;
  • D.Lgs. 30 giugno 2003, n. 196 (Codice della Privacy), come modificato dal D.Lgs. 10 agosto 2018, n. 101 di adeguamento al GDPR;
  • Provvedimenti e linee guida del Garante per la protezione dei dati personali;
  • Normativa applicabile in materia di fatturazione elettronica (D.Lgs. 127/2015 e successive modifiche).

Per le controversie relative al presente DPA tra Titolari aventi sede in Italia, il foro esclusivamente competente è il Tribunale di Milano.

Per Titolari aventi sede in altri Paesi dell'Unione Europea, le controversie sono regolate dalla legge italiana e deferite al Tribunale di Milano, salvo diverse disposizioni inderogabili della normativa del Paese di residenza del Titolare.

Autorità di controllo: L'autorità di controllo competente per i Titolari italiani è il Garante per la protezione dei dati personali (www.garanteprivacy.it). Il Titolare ha diritto di proporre reclamo all'autorità di controllo competente nel proprio Paese di stabilimento, ai sensi dell'art. 77 GDPR.

12Allegati al Contratto

I seguenti allegati formano parte integrante e sostanziale del presente DPA:

  • Allegato A — Misure Tecniche e Organizzative di Sicurezza (TOM)
  • Allegato B — Elenco completo dei Sub-responsabili del trattamento
  • Allegato C — Modulo di adesione e firma del Titolare

Firme delle Parti

Le Parti dichiarano di aver letto e compreso il presente Contratto di Trattamento dei Dati e di accettarne integralmente il contenuto.

Il Titolare del trattamento

Da compilare a cura del Cliente

Luogo e data
Firma (o firma digitale qualificata)

Il Responsabile esterno — NexiBook

Ntelligence Insight S.R.L.

Per NexiBook — Mihai Prisecaru, CEO

Data

____________________

Firma / Firma digitale qualificata

Firma digitale qualificata (PAdES) disponibile su richiesta. Per il processo di firma digitale contattare: privacy@nexibookapp.com

Modalità di sottoscrizione: Il presente DPA può essere sottoscritto (1) tramite firma digitale qualificata (PAdES/CAdES), (2) stampando, firmando manualmente e inviando copia scansionata a privacy@nexibookapp.com, oppure (3) accettando le condizioni tramite il pannello di amministrazione NexiBook (accettazione elettronica con registrazione di data/ora/IP, equivalente a firma semplice ai sensi dell'art. 1326 c.c.).
Allegato A

Misure Tecniche e Organizzative di Sicurezza (TOM)

Ai sensi dell'art. 32 GDPR e dell'art. 28(3)(c) GDPR. Versione: 1.0 — Aprile 2026.

A.1 Sicurezza della rete e delle comunicazioni

  • Cifratura di tutti i dati in transito con TLS 1.2 o superiore (TLS 1.3 preferenziale) su ogni endpoint pubblico e API
  • Certificati SSL/TLS emessi da autorità di certificazione riconosciuta, con rinnovo automatico
  • HTTP Strict Transport Security (HSTS) attivo con max-age ≥ 31536000
  • Firewall applicativo (WAF) attivo su tutti gli endpoint pubblici
  • DDoS protection a livello rete e applicativo
  • Segmentazione di rete tra ambienti di produzione, staging e sviluppo
  • Monitoraggio continuo del traffico di rete con alerting su anomalie

A.2 Cifratura dei dati a riposo

  • Database contenenti dati personali cifrati con AES-256 (o equivalente) a livello di volume/storage
  • Backup cifrati con chiavi separate dai dati di produzione
  • Gestione sicura delle chiavi crittografiche (HSM o KMS cloud-grade)

A.3 Controllo degli accessi

  • Autenticazione a più fattori (MFA/2FA) obbligatoria per tutti gli account amministrativi (infrastruttura, database, pannello NexiBook)
  • Principio del minimo privilegio: gli accessi ai dati personali sono concessi solo ove strettamente necessario (RBAC — Role-Based Access Control)
  • Password policy: lunghezza minima 12 caratteri, complessità obbligatoria, rotazione ogni 90 giorni per account privilegiati
  • Logging completo degli accessi amministrativi ai database contenenti dati personali (chi, quando, quale query)
  • Sessioni admin con timeout automatico dopo 30 minuti di inattività
  • Accesso SSH solo con chiave pubblica; accesso password SSH disabilitato

A.4 Backup e continuità operativa

  • Backup automatici giornalieri di tutti i database contenenti dati personali
  • Conservazione dei backup per almeno 7 giorni (backup giornaliero) e 4 settimane (backup settimanale)
  • Backup archiviati in data center geograficamente separato dall'ambiente di produzione, all'interno dell'UE
  • Test di ripristino (restore test) eseguiti almeno con cadenza trimestrale; risultati documentati
  • Recovery Time Objective (RTO): ≤ 4 ore; Recovery Point Objective (RPO): ≤ 24 ore

A.5 Gestione delle vulnerabilità e patch management

  • Vulnerability scanning automatizzato su tutta l'infrastruttura con cadenza trimestrale
  • Patch per vulnerabilità critiche (CVSS ≥ 9.0) applicate entro 72 ore dall'emissione
  • Patch per vulnerabilità alte (CVSS 7.0-8.9) applicate entro 14 giorni
  • Gestione delle dipendenze software con aggiornamenti automatici per le librerie di sicurezza
  • Penetration test annuale condotto da terza parte specializzata; risultati disponibili per il Titolare su richiesta

A.6 Separazione dei dati (multi-tenancy)

  • I dati di ciascun Titolare (studio) sono logicamente isolati tramite schema di database separato e namespace dedicato
  • Impossibilità tecnica di accesso cross-tenant a livello applicativo (verificata con test automatizzati CI/CD)
  • Audit di sicurezza applicativa che include test specifici di boundary isolation multi-tenant

A.7 Gestione degli incidenti di sicurezza

  • Procedura documentata di gestione degli incidenti di sicurezza (IRP — Incident Response Plan)
  • Team di risposta agli incidenti designato con ruoli e responsabilità definiti
  • Registro degli incidenti conservato per almeno 3 anni
  • Simulazione di scenario di violazione dati (tabletop exercise) almeno una volta l'anno
  • Notifica al Titolare entro 72 ore dalla rilevazione, ai sensi dell'art. 33 GDPR

A.8 Sicurezza fisica e organizzativa

  • Infrastruttura hosted su data center certificati ISO 27001 e SOC 2 Type II (Hetzner, Germania)
  • Accesso fisico ai server gestito dal provider di hosting; NexiBook non gestisce hardware fisico
  • Formazione annuale obbligatoria del personale su protezione dei dati e sicurezza informatica
  • Accordi di riservatezza firmati da tutti i dipendenti e collaboratori con accesso ai sistemi
  • Politica di clean desk e blocco automatico dello schermo dopo 5 minuti di inattività per i workstation admin
  • Procedure di offboarding sicuro per dipendenti e collaboratori (revoca immediata degli accessi)
Allegato B

Elenco dei Sub-responsabili del Trattamento

Ai sensi dell'art. 28(2)-(4) GDPR. Versione: 1.0 — Aprile 2026. Aggiornamento: 30 giorni di preavviso al Titolare prima di qualsiasi modifica.

# Sub-responsabile Sede legale Ruolo nel trattamento Dati trasferiti Sito web / DPA
1 OpenAPI S.r.l. Italia (UE) — sede a Trento Trasmissione FatturaPA al SDI (intermediario Agenzia delle Entrate accreditato); emissione e conservazione fatture elettroniche per conto del Titolare italiano Dati fiscali fattura: nome/rag.soc., P.IVA/CF, indirizzo, importi openapi.com
2 Invopop Ltd. UK (con operatività UE) Fatturazione elettronica per Titolari non-IT (ES, PT, altri paesi UE); orchestrazione e validazione delle fatture elettroniche secondo gli standard nazionali Dati fiscali fattura analogici a riga 1 invopop.com
3 Stripe, Inc. USA — 354 Oyster Point Blvd, South San Francisco, CA Elaborazione pagamenti con carta di credito/debito e addebiti SEPA; gestione abbonamenti ricorrenti; prevenzione frodi; emissione ricevute pagamento Dati pagamento (Stripe gestisce direttamente i PAN — NexiBook riceve solo token e metadati); email fatturazione; importo transazione stripe.com/privacy-center
4 MailerLite UAB Lituania (UE) — J. Basanavičiaus g. 15, Vilnius Invio email transazionali (conferme prenotazione, promemoria appuntamento, notifiche cancellazione) e campagne email di marketing opt-in su configurazione del Titolare Nome, cognome, indirizzo email del cliente finale del Titolare; dati di tracking email (apertura, click — solo con consenso) mailerlite.com/legal/gdpr
5 Zoom Video Communications, Inc. USA — 55 Almaden Blvd, San Jose, CA Infrastruttura per sessioni video in diretta (corsi live online) — funzionalità opzionale, attivabile su scelta del Titolare Metadati sessione (durata, n. partecipanti, timestamp); eventuale nome/email dei partecipanti se forniti dal Titolare zoom.us/privacy
6 Mux, Inc. USA — 325 Hudson St, New York, NY Hosting, transcodifica e streaming dei contenuti video registrati (video on-demand per corsi) — funzionalità opzionale File video caricati dal Titolare; metadati visualizzazione (IP anonimizzato, timestamp, durata riproduzione) mux.com/legal/privacy-policy
7 Hetzner Online GmbH Germania (UE) — Industriestr. 25, 91710 Gunzenhausen Infrastruttura cloud principale: server dedicati e cloud, storage persistente, rete. Tutti i dati personali sono archiviati su server Hetzner ubicati in Germania (data center Falkenstein/Nuremberg) Tutti i dati personali gestiti da NexiBook in qualità di provider hosting hetzner.com/legal/privacy-policy
8 Google LLC USA — 1600 Amphitheatre Pkwy, Mountain View, CA Google Analytics 4 per l'analisi aggregata dell'utilizzo del portale web e dell'app NexiBook — solo con consenso esplicito dell'utente finale, ai sensi del Garante Privacy Dati di navigazione pseudonimizzati (ID sessione anonimo, pagine visitate, durata sessione, fonte traffico); IP anonimizzato policies.google.com/privacy
9 Meta Platforms Ireland Ltd. Irlanda (UE) — 4 Grand Canal Square, Dublin — con trasferimento verso Meta USA Meta Pixel per la misurazione delle campagne pubblicitarie a pagamento del Titolare — solo se attivato esplicitamente dal Titolare e con consenso dell'utente finale Dati di conversione (eventi: visualizzazione pagina, registrazione, acquisto) associati a hash pseudonimizzati (email hashed SHA-256 se abilitato Conversions API) facebook.com/policy/cookies

Nota: I sub-responsabili n. 5 (Zoom) e n. 6 (Mux) vengono attivati solo se il Titolare abilita esplicitamente le funzionalità video nel pannello di amministrazione NexiBook. I sub-responsabili n. 8 (Google Analytics) e n. 9 (Meta) sono attivi solo previa accettazione dei cookie analitici/marketing da parte dell'utente finale tramite il banner cookie conforme al Garante Privacy.

Allegato C

Modulo di Adesione — Dichiarazione del Titolare del Trattamento

Da compilare e firmare (digitalmente o manualmente) dal Legale Rappresentante del Titolare.

Il/La sottoscritto/a

in qualità di Legale Rappresentante di:

dichiara di:

  • Aver letto integralmente il Contratto di Trattamento dei Dati (DPA) versione 1.0 — Aprile 2026 di NexiBook, comprendente le Sezioni da 1 a 11 e gli Allegati A, B e C;
  • Accettarne integralmente le condizioni senza riserve;
  • Essere legittimato/a a sottoscrivere il presente accordo in nome e per conto del Titolare;
  • Aver verificato che i dati identificativi del Titolare riportati nella Sezione 1.1 siano corretti e aggiornati;
  • Impegnarsi a notificare tempestivamente a NexiBook (privacy@nexibookapp.com) qualsiasi modifica dei dati del Titolare rilevante ai fini del presente DPA (cambio legale rappresentante, trasferimento di sede, cessione dell'azienda, ecc.).

Firma del Legale Rappresentante

Firma autografa (su stampa) o firma digitale qualificata (PAdES/CAdES su PDF)

Nome e Cognome in stampatello

Per NexiBook — Accettazione

Ntelligence Insight S.R.L.

Mihai Prisecaru, CEO

Data di accettazione

____________________

Firma / firma digitale qualificata

La controfirma NexiBook viene apposta entro 5 giorni lavorativi dalla ricezione del modulo compilato.

Invio del modulo firmato:
  • Firma digitale: Inviare il PDF firmato (PAdES) via email a privacy@nexibookapp.com con oggetto «DPA NexiBook — [Ragione Sociale] — [P.IVA]».
  • Firma autografa: Stampare, firmare in originale e inviare copia scansionata a privacy@nexibookapp.com. Su richiesta, è possibile richiedere la firma in originale per posta raccomandata A/R.
  • Accettazione digitale (pannello NexiBook): Accedere al pannello di amministrazione > Impostazioni > Privacy & GDPR > Firma DPA. L'accettazione viene registrata con data/ora e indirizzo IP del firmatario e ha valore di firma semplice ai sensi dell'art. 1326 c.c.

NexiBook — Contratto di Trattamento dei Dati (DPA) — Versione 1.0 — Aprile 2026
Ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
Per domande: privacy@nexibookapp.com · nexibookapp.com/it/dpa.html