Documento legale
Data Processing Agreement
Accordo sul Trattamento dei Dati ai sensi dell'Art. 28 GDPR — Versione 1.0 — In vigore dal 1° marzo 2026
Art. 1 — Parti del Contratto
AgencyPilot — Juan Camilo Auriti
P.IVA: IT02540760697
Sede: Italia
Email DPO: privacy@agencypilot.it
L'agenzia o il professionista che stipula il contratto d'uso di AgencyPilot, identificato tramite le credenziali di accesso alla piattaforma.
Art. 2 — Oggetto e Durata del Trattamento
Il presente DPA regola il trattamento dei dati personali effettuato da AgencyPilot per conto del Titolare nell'ambito della fornitura del servizio di monitoraggio e gestione di siti WordPress (“Servizio”).
Durata
Il trattamento ha inizio contestualmente alla creazione dell'account e termina entro 30 giorni dalla cancellazione dell'account o dalla cessazione del Servizio, salvo obblighi di conservazione previsti dalla legge.
Art. 3 — Natura, Finalità e Categorie di Dati
3.1 Natura del trattamento
- Raccolta e archiviazione automatizzata di dati tecnici
- Analisi tramite sistemi di intelligenza artificiale (AI)
- Generazione di report e notifiche automatiche
- Archiviazione e backup di configurazioni WordPress
3.2 Finalità del trattamento
- Monitoraggio continuo dello stato di salute dei siti WordPress
- Rilevamento e notifica di aggiornamenti disponibili (core, plugin, temi)
- Scansione automatica delle vulnerabilità di sicurezza
- Generazione di report diagnostici con AI (solo previo consenso esplicito)
- Fornitura del portale clienti dedicato (white-label)
3.3 Categorie di dati trattati
| Categoria | Esempi | Finalità |
|---|---|---|
| Dati tecnici del sito | URL, versione WP, plugin attivi, temi, uptime | Monitoraggio e reportistica |
| Dati di account agenzia | Nome, email, API key | Autenticazione e fatturazione |
| Log operativi | Timestamp check, errori, alert inviati | Audit trail e debugging |
| Backup (se attivi) | File WordPress, dump DB | Ripristino e disaster recovery |
Art. 4 — Obblighi del Responsabile del Trattamento
AgencyPilot, in qualità di Responsabile del Trattamento, si impegna a:
- Trattare i dati personali esclusivamente su istruzione documentata del Titolare, salvo diversa previsione di legge dell'Unione o degli Stati membri
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza
- Adottare tutte le misure di sicurezza richieste dall'Art. 32 GDPR
- Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli Art. 32-36 GDPR, tenuto conto della natura del trattamento e delle informazioni disponibili
- Cancellare o restituire tutti i dati personali al termine della prestazione dei servizi, salvo diversa previsione normativa
- Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA
- Notificare al Titolare, senza ingiustificato ritardo e comunque entro 24 ore, qualsiasi violazione dei dati personali (data breach) di cui venga a conoscenza
Art. 5 — Sub-responsabili del TrattamentoArt. 28(2) GDPR
AgencyPilot si avvale dei seguenti sub-responsabili del trattamento. Il Titolare autorizza il ricorso a tali sub-responsabili, che operano in conformità a contratti che impongono loro gli stessi obblighi di protezione dei dati previsti dal presente DPA.
| Fornitore | Sede legale | Servizio fornito | Dati trattati | Base giuridica trasferimento |
|---|---|---|---|---|
| Hetzner Online GmbH | Germania 🇩🇪 (UE) | Hosting server (VPS, storage) | Tutti i dati della piattaforma | Nessun trasferimento extra-UE |
| Stripe Inc. | USA 🇺🇸 | Gestione pagamenti e fatturazione | Dati di pagamento, email agenzia | Standard Contractual Clauses (SCCs 2021/914/UE) + EU-U.S. Data Privacy Framework |
| Anthropic PBC | USA 🇺🇸 | Generazione report AI (Claude API) | Solo dati tecnici sito WP (versioni, plugin, stato salute) — mai dati personali utenti finali | Standard Contractual Clauses (SCCs 2021/914/UE) |
AgencyPilot notificherà al Titolare qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, offrendo al Titolare la possibilità di opporsi a tali modifiche.
Art. 6 — Trasferimenti di Dati verso Paesi TerziArt. 46 GDPR
6.1 Trasferimento verso Anthropic (USA)
I dati tecnici del sito WordPress (versione core, elenco plugin attivi con relative versioni, temi installati, uptime score, punteggi di sicurezza) possono essere trasferiti ad Anthropic PBC (USA) per la generazione di report diagnostici tramite Claude AI.
Dati trasferiti — elenco tassativo
- URL del sito WordPress (solo dominio, senza percorsi)
- Versione di WordPress Core installata
- Elenco plugin attivi con versione (nomi tecnici, non dati utente)
- Elenco temi installati con versione
- Punteggi aggregati: uptime %, security score, performance score
- Elenco aggiornamenti disponibili
- Risultati delle scansioni di vulnerabilità (CVE ID, gravità)
6.2 Base giuridica del trasferimento
Il trasferimento si basa sulle Clausole Contrattuali Standard (SCCs) adottate dalla Commissione Europea con Decisione 2021/914/UE del 4 giugno 2021, modulo da responsabile a sub-responsabile.
6.3 Misure supplementari adottate
- Crittografia in transito: tutte le richieste verso le API Anthropic avvengono tramite HTTPS (TLS 1.2+) con verifica del certificato
- Minimizzazione dei dati: vengono inviati solo i campi strettamente necessari per la generazione del report (selezione manuale pre-invio)
- Consenso esplicito opt-in: il trasferimento avviene solo dopo consenso esplicito dell'agenzia per ogni singolo sito (campo AI Insights nelle impostazioni sito)
- Nessuna conservazione da parte di Anthropic: i dati inviati tramite API non sono utilizzati per addestrare modelli AI, come previsto dai termini di servizio API di Anthropic
- Pseudonimizzazione: l'URL del sito viene inviato come identificatore tecnico, senza informazioni sull'intestatario o sui dati personali associati
6.4 Trasferimento verso Stripe (USA)
Stripe Inc. opera sotto il EU-U.S. Data Privacy Framework (certificazione attiva) e garantisce un livello di protezione adeguato ai sensi dell'Art. 45 GDPR. I dati di pagamento sono trattati esclusivamente per finalità di fatturazione e non vengono condivisi con terze parti.
Art. 7 — Misure di SicurezzaArt. 32 GDPR
AgencyPilot adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:
- Crittografia in transito: TLS 1.2+ su tutte le comunicazioni (HTTPS obbligatorio, HTTP redirect automatico)
- Crittografia a riposo: credenziali WordPress dei siti connessi cifrate con AES-256 prima dell'archiviazione
- Autenticazione sicura: password hashate con bcrypt, API key hashate con SHA-256, sessioni con scadenza configurabile
- Isolamento multi-tenant: ogni agenzia accede esclusivamente ai propri dati (controllo user_id su ogni query)
- Rate limiting: limiti di velocità su tutte le API per prevenire abusi
- Backup crittografati: backup regolari del database con accesso ristretto
- Monitoraggio continuo: log di sicurezza, alert automatici, scansione vulnerabilità
- Principio del privilegio minimo: accesso ai dati limitato alle sole funzioni necessarie per il servizio
Art. 8 — Assistenza nell'Esercizio dei Diritti
AgencyPilot fornisce al Titolare gli strumenti tecnici per adempiere alle richieste degli interessati entro i termini previsti dal GDPR (30 giorni):
- Accesso (Art. 15): export completo dei dati disponibile tramite API
GET /api/v1/auth/export - Cancellazione (Art. 17): eliminazione completa e permanente tramite
DELETE /api/v1/auth/accountcon conferma password e cancellazione a cascata su tutti i sistemi (incluso Stripe) - Portabilità (Art. 20): export in formato JSON strutturato
- Revoca consenso AI: possibile in qualsiasi momento dalle impostazioni del singolo sito, con effetto immediato e cancellazione dei report precedenti
Art. 9 — Notifica Violazioni dei Dati (Data Breach)
In caso di violazione dei dati personali, AgencyPilot:
- Notifica il Titolare entro 24 ore dalla scoperta dell'incidente, tramite email all'indirizzo registrato
- Fornisce nella notifica: natura della violazione, categorie e numero approssimativo di interessati coinvolti, probabile conseguenza, misure adottate o proposte
- Assiste il Titolare nella notifica all'Autorità di controllo (Garante Privacy) entro le 72 ore previste dall'Art. 33 GDPR
- Documenta ogni violazione nel proprio registro interno degli incidenti di sicurezza
Art. 10 — Contatti e Aggiornamenti
Per qualsiasi richiesta relativa al presente DPA, al trattamento dei dati o per esercitare i propri diritti GDPR:
- Email: privacy@agencypilot.it
- Portale clienti: sezione Impostazioni > Privacy
AgencyPilot si riserva il diritto di aggiornare il presente DPA per riflettere modifiche normative o tecniche. Il Titolare sarà notificato tramite email con almeno 30 giorni di preavviso. L'utilizzo continuato del Servizio dopo tale periodo costituisce accettazione delle modifiche.