Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Il presente Accordo di Trattamento (di seguito "DPA") integra le Condizioni Generali di Utilizzo di Aegirex e precisa gli obblighi rispettivi del Titolare del trattamento (il Cliente) e del Responsabile del trattamento (l'Editore di Aegirex) ai sensi del Regolamento (UE) 2016/679 (GDPR).
Responsabile del trattamento: ARDNTECH EI, iscritta al registro delle imprese con il n. 913308706, con sede legale in 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Titolare del trattamento: la persona giuridica o fisica che si abbona a Aegirex e utilizza il servizio per archiviare e condividere segreti digitali.
Aegirex è un servizio di archiviazione di segreti con crittografia end-to-end (zero-knowledge). Il Responsabile del trattamento tratta i dati per conto del Titolare del trattamento alle sole finalità seguenti:
Il Responsabile del trattamento tratta le seguenti categorie di dati, e solo queste:
| Categoria | Dati interessati | Base legale (art. 6 GDPR) |
|---|---|---|
| Account utente | Indirizzo e-mail, hash Argon2id della password principale, chiave pubblica OpenPGP, nome opzionale. | Esecuzione del contratto (art. 6.1.b) |
| Segreti archiviati | Blob OpenPGP opachi (cifrati). Il Responsabile del trattamento non può leggerli. | Esecuzione del contratto (art. 6.1.b) |
| Registri di audit | Eventi di connessione, creazione/lettura/condivisione/eliminazione di segreti, IP, user-agent, firme HMAC. | Interesse legittimo alla sicurezza (art. 6.1.f) |
| Fatturazione | Ragione sociale, numero di partita IVA/CF, indirizzo, e-mail fatturazione, storico pagamenti. | Obbligo legale contabile (art. 6.1.c) |
Le persone interessate sono: (a) gli utenti autorizzati dal Titolare del trattamento ad accedere a Aegirex; (b) se del caso, i destinatari di condivisioni di segreti avviate da tali utenti; (c) i contatti identificati sulle fatture emesse al Titolare del trattamento.
I dati vengono conservati per le seguenti durate:
Il Titolare del trattamento autorizza espressamente il Responsabile del trattamento a ricorrere ai seguenti subprocessori:
| Subprocessore | Finalità | Paese di trattamento |
|---|---|---|
| Brevo SAS | Invio delle e-mail transazionali (notifica, verifica e-mail). | FR |
| Stancer SAS | Trattamento dei pagamenti online. | FR |
| Hosting (da precisare nel contratto) | Hosting dell'infrastruttura applicativa e database. | FR / EU |
Qualsiasi modifica del subprocessore è oggetto di una notifica al Titolare del trattamento con un preavviso minimo di 30 giorni, consentendogli di esercitare un diritto di opposizione motivato.
Il Responsabile del trattamento implementa le seguenti misure (elenco indicativo non esaustivo):
Conformemente all'articolo 33 del GDPR, il Responsabile del trattamento notifica al Titolare del trattamento qualsiasi violazione di dati personali entro 48 ore dal momento in cui ne viene a conoscenza. La notifica precisa la natura, la portata, le probabili conseguenze e le misure adottate o previste.
Il Responsabile del trattamento fornisce al Titolare del trattamento gli strumenti per rispondere alle richieste delle persone interessate (diritto di accesso, rettifica, cancellazione, portabilità, opposizione) direttamente dall'interfaccia utente. Per qualsiasi richiesta non coperta dall'interfaccia, il Responsabile del trattamento assiste il Titolare entro 5 giorni lavorativi.
Alla fine del contratto (disdetta, mancato rinnovo), il Titolare del trattamento dispone di 30 giorni per esportare i propri dati tramite la funzionalità nativa di export portabilità. Trascorso questo termine, tutti i dati del Titolare vengono eliminati in modo irreversibile dai database di produzione. I backup cifrati vengono purgati entro 90 giorni aggiuntivi (rotazione retention standard).
Nessun trasferimento di dati verso un paese terzo fuori UE/SEE viene effettuato. Il Responsabile del trattamento non ricorre a prestatori soggetti al CLOUD Act (USA), al FISA Section 702, né a giurisdizioni equivalenti. Se tale trasferimento dovesse diventare tecnicamente necessario in futuro, il Responsabile del trattamento dovrebbe ottenere l'accordo espresso e preventivo del Titolare del trattamento.
Il Titolare del trattamento può incaricare un auditor indipendente (a proprie spese) per verificare la conformità del Responsabile del trattamento agli impegni del presente DPA, previo ragionevole preavviso di 15 giorni e un impegno di riservatezza. Il Responsabile del trattamento fornisce inoltre su richiesta qualsiasi documento che dimostri la sua conformità (registro dei trattamenti, rapporti di pentest, ecc.). Per qualsiasi richiesta: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
