Accordo sul trattamento dei dati

Ultimo aggiornamento: 23 maggio 2026

Il presente Data Processing Agreement ("DPA") è stipulato tra Monoid ("Responsabile del trattamento") e il proprietario del sito web che utilizza il servizio di analitica di Monoid ("Titolare del trattamento"). Costituisce parte integrante dei Termini d'uso e regola il trattamento dei dati personali effettuato da Monoid per conto del Titolare.

1. Definizioni

I termini "Dati personali", "Titolare", "Responsabile", "Interessato", "Trattamento" e "Autorità di controllo" hanno il significato attribuito loro nel Regolamento generale sulla protezione dei dati dell'UE (GDPR) 2016/679. "Sub-responsabile" indica qualsiasi terza parte ingaggiata dal Responsabile per trattare Dati personali ai sensi del presente DPA.

2. Oggetto e natura del trattamento

Il Responsabile fornisce analitiche web orientate alla privacy. Il trattamento consiste in: ricezione di segnali anonimizzati di pagine viste dai visitatori del sito web del Titolare, calcolo di un hash SHA-256 del visitatore a rotazione giornaliera (IP + User-Agent + salt lato server + data), archiviazione di dati analitici aggregati (percorsi delle pagine, hostname dei referrer, codici paese, tipi di dispositivo, famiglie di browser, conteggi giornalieri dei visitatori) e messa a disposizione di statistiche aggregate nella dashboard del Titolare. Gli indirizzi IP grezzi e le stringhe User-Agent vengono utilizzati solo in memoria per calcolare l'hash e non vengono mai memorizzati.

3. Durata

Il presente DPA è in vigore per tutto il tempo in cui il Titolare mantiene un account Monoid. Cessa automaticamente al momento dell'eliminazione dell'account.

4. Obblighi del Responsabile (art. 28(3) GDPR)

Il Responsabile dovrà:

  • Trattare i Dati personali solo sulla base di istruzioni documentate dal Titolare, salvo quanto richiesto dalla legge applicabile.
  • Garantire che le persone autorizzate a trattare i Dati personali si siano impegnate alla riservatezza o siano soggette a un appropriato obbligo statutario di riservatezza.
  • Implementare misure tecniche e organizzative adeguate (art. 32 GDPR) — incluse trasmissione solo HTTPS, hashing delle password PBKDF2-SHA256, cookie di sessione httpOnly, validazione delle richieste con Zod e rate-limiting su tutti gli endpoint sensibili.
  • Non ingaggiare un Sub-responsabile senza previa autorizzazione scritta del Titolare (l'autorizzazione è data dall'accettazione di questi Termini e del DPA; i Sub-responsabili elencati nella Sezione 6 sono qui pre-autorizzati).
  • Assistere il Titolare nell'adempimento delle richieste degli interessati (accesso, cancellazione, portabilità, opposizione) fornendo gli strumenti a livello di account documentati su /privacy e, laddove tecnicamente impossibile, rispondendo alle richieste via email entro 30 giorni.
  • Assistere il Titolare nei suoi obblighi ai sensi degli art. 32–36 GDPR, includendo la fornitura delle informazioni necessarie per dimostrare la conformità, il supporto alle Valutazioni d'impatto sulla protezione dei dati e la cooperazione con le autorità di controllo.
  • Cancellare o restituire tutti i Dati personali al Titolare al termine del servizio e cancellare le copie esistenti, salvo che l'archiviazione sia richiesta dalla legge applicabile. L'eliminazione dell'account attiva la rimozione immediata a cascata di tutti i dati analitici.
  • Rendere disponibili tutte le informazioni necessarie per dimostrare la conformità al presente DPA e consentire e contribuire ad audit e ispezioni effettuati dal Titolare o da un auditor incaricato dal Titolare.

5. Obblighi del Titolare

Il Titolare dovrà: (a) assicurarsi di avere una base giuridica per istruire il Responsabile a trattare i Dati personali; (b) assicurarsi che lo script di tracciamento sia distribuito solo su siti web posseduti o controllati dal Titolare; (c) includere un'adeguata informativa sul servizio di analitica nella propria privacy policy; e (d) notificare tempestivamente al Responsabile eventuali modifiche alle istruzioni di trattamento.

6. Sub-responsabili

Il Titolare autorizza i seguenti Sub-responsabili:

  • Cloudflare, Inc. (USA) — edge compute e infrastruttura del database D1. Meccanismo di trasferimento: Clausole Contrattuali Standard (SCC) dell'UE, EU–US Data Privacy Framework, Swiss–US DPF, UK IDTA. DPA: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (USA) — consegna di email transazionali. Meccanismo di trasferimento: SCC UE. DPA: resend.com/legal/dpa
  • Stripe, Inc. (USA) — elaborazione dei pagamenti (solo fatturazione del Titolare; nessun dato analitico dei visitatori viene condiviso con Stripe). Meccanismo di trasferimento: SCC UE, EU–US DPF, UK IDTA. DPA: stripe.com/legal/dpa

Il Responsabile fornirà un preavviso scritto di almeno 30 giorni (tramite l'email dell'account registrato) di qualsiasi modifica prevista ai Sub-responsabili, dando al Titolare l'opportunità di opporsi.

7. Trasferimenti internazionali

I Dati personali possono essere trasferiti negli Stati Uniti tramite i Sub-responsabili elencati nella Sezione 6. Ogni trasferimento è coperto da una garanzia adeguata (SCC UE, EU–US Data Privacy Framework, Swiss–US DPF o UK IDTA) come indicato sopra. Non si verificano altri trasferimenti verso paesi terzi.

8. Sicurezza e notifica delle violazioni

Il Responsabile dovrà notificare al Titolare senza indebito ritardo, e in ogni caso entro 24 ore, dopo essere venuto a conoscenza di una violazione dei Dati personali che interessa i dati trattati ai sensi del presente DPA. La notifica sarà effettuata all'email dell'account registrato del Titolare e includerà: la natura della violazione, le categorie e il numero approssimativo di interessati e record interessati, le probabili conseguenze e le misure adottate o proposte.

9. Diritti di audit

Il Titolare può richiedere un riepilogo scritto delle misure di sicurezza del Responsabile una volta per anno solare. Laddove un requisito normativo imponga un audit in loco, le parti concorderanno in anticipo tempistiche, ambito e obblighi di riservatezza.

10. Legge applicabile

Il presente DPA è regolato dalle leggi del Brasile, salvo i casi in cui le leggi obbligatorie dell'UE, del Regno Unito o della Svizzera sulla protezione dei dati conferiscano al Titolare diritti aggiuntivi irrinunciabili.

11. Contatti

Domande su questo DPA: monoid@monoid.website