Accordo sul Trattamento dei Dati (DPA)

Il presente Accordo sul Trattamento dei Dati (di seguito "DPA" o "Accordo") integra il contratto di servizi esistente tra HOSTON SRL (in qualità di Responsabile del trattamento) e il Cliente (in qualità di Titolare del trattamento) ed è concluso ai sensi dell<b>Art. 28 del Regolamento (UE) 2016/679 (GDPR)</b>.

L'Accordo si applica quando il Cliente archivia o elabora sull'infrastruttura HostON dati personali appartenenti a terzi (es. visitatori del sito, clienti di un negozio online, membri di un portale, ecc.).

Utilizzando i servizi HostON e accettando i Termini e Condizioni, il Cliente accetta anche i termini del presente DPA. Se sei un cliente aziendale e hai bisogno di una versione firmata di questo accordo, contattaci all'indirizzo info@hoston.ro.

• Titolare del trattamento — il Cliente che determina le finalità e i mezzi del trattamento dei dati personali di terzi
• Responsabile del trattamento — HOSTON SRL, che tratta dati personali per conto del Titolare
• Dati personali — qualsiasi informazione relativa a una persona fisica identificata o identificabile, archiviata sull'infrastruttura HostON
• Interessato — l'utente finale del Cliente (visitatore del sito, cliente e-commerce, ecc.) i cui dati sono archiviati sui server HostON
• Incidente di sicurezza — qualsiasi violazione della sicurezza che porta alla distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato ai dati personali

• Natura del trattamento: archiviazione, elaborazione, trasmissione e backup di dati personali sull'infrastruttura HostON (server, VPS, hosting)
• Finalità del trattamento: esclusivamente la fornitura di servizi di hosting ai sensi del contratto — HostON non tratta i dati per scopi propri
• Tipi di dati: qualsiasi dato personale che il Cliente archivia sui server HostON (es. nomi, e-mail, indirizzi, dati di pagamento, dati comportamentali, ecc.)
• Categorie di interessati: i visitatori, clienti, utenti o dipendenti del Cliente
• Durata: per la durata del contratto di servizi, più il periodo di conservazione post-contratto specificato nel presente accordo

Il Cliente, in qualità di Titolare del trattamento, garantisce che:

• Il trattamento dei dati sull'infrastruttura HostON ha una base giuridica valida ai sensi del GDPR (Art. 6 e/o Art. 9)
• Ha informato gli interessati del trattamento dei dati, incluso l'uso di servizi di hosting come sub-responsabili
• Ha implementato misure tecniche e organizzative adeguate a livello applicativo (password forti, autenticazione 2FA, crittografia a livello applicativo, ecc.)
• Notificherà HostON di eventuali istruzioni specifiche di trattamento che vanno oltre gli obblighi standard di hosting
• È responsabile del contenuto archiviato sui server HostON e della liceità dei trattamenti che effettua

HOSTON SRL, in qualità di Responsabile del trattamento, si impegna a:

• Trattare i dati esclusivamente secondo le istruzioni del Cliente, senza utilizzarli per scopi propri o di terzi
• Garantire la riservatezza — tutto il personale autorizzato ad accedere ai dati è contrattualmente vincolato alla riservatezza
• Implementare misure di sicurezza adeguate: isolamento degli account (CageFS), crittografia in transito (TLS/SSL), firewall, backup automatico, protezione DDoS tramite Cloudflare, monitoraggio continuo
• Assistere il Cliente nell'adempimento degli obblighi verso gli interessati (diritto di accesso, rettifica, cancellazione, portabilità) nei limiti delle possibilità tecniche
• Non trasferire i dati senza il consenso del Cliente, salvo nei casi previsti dalla legge
• Notificare il Cliente senza ingiustificato ritardo (entro 72 ore) di qualsiasi incidente di sicurezza che riguardi i dati archiviati sull'infrastruttura HostON
• Cancellare o restituire i dati su richiesta del Cliente o alla scadenza del contratto, secondo la scelta del Cliente
• Mettere a disposizione informazioni per dimostrare la conformità e consentire audit ragionevoli

Il Cliente autorizza in modo generale HostON a utilizzare sub-responsabili per la fornitura dei servizi. I sub-responsabili attuali sono:

• Centro dati in Romania — colocation server (archiviazione fisica dei dati)
• Cloudflare Inc. — protezione DDoS e CDN (elaborazione indirizzi IP)
• Brevo (Sendinblue) — notifiche e-mail operative (indirizzo e-mail del cliente)

HostON notificherà il Cliente almeno 14 giorni prima dell'aggiunta o sostituzione di un sub-responsabile. Il Cliente ha il diritto di opporsi, nel qual caso può risolvere il contratto senza penali.

HostON impone ai sub-responsabili obblighi equivalenti di protezione dei dati tramite contratti dedicati.

HostON implementa e mantiene misure tecniche e organizzative adeguate per proteggere i dati, tra cui:

• Crittografia in transito (TLS 1.2/1.3) e per i backup
• Isolamento completo degli account tramite CloudLinux CageFS
• Firewall di rete e applicativo (ModSecurity WAF)
• Backup automatico giornaliero con conservazione 7 giorni (JetBackup)
• Monitoraggio 24/7 e allerta automatica per anomalie
• Accesso limitato del personale in base al principio need-to-know
• Scansione antivirus e antimalware tramite Imunify360

In caso di incidente di sicurezza che interessi i dati del Cliente, HostON:

1. Notificherà il Cliente senza ingiustificato ritardo e entro un massimo di 72 ore dalla constatazione
2. Fornirà tutte le informazioni disponibili: la natura dell'incidente, le categorie di dati interessati, il numero stimato di interessati, le probabili conseguenze, le misure adottate o proposte
3. Coopererà pienamente con il Cliente nella gestione dell'incidente e nella notifica all'ANSPDCP

La notifica viene inviata all'indirizzo e-mail associato all'account cliente nel sistema HostON.

I dati archiviati sui server HostON si trovano in Romania (UE). I trasferimenti effettuati dai sub-responsabili (Cloudflare, Brevo) verso paesi terzi avvengono nel rispetto dei meccanismi di trasferimento previsti dal GDPR (Decisioni di adeguatezza, Clausole Contrattuali Standard — SCC). Dettagli nell<privLink>Informativa sulla Privacy</privLink>.

HostON fornirà su richiesta la documentazione necessaria per dimostrare la conformità con l'Art. 28 GDPR.

Gli audit fisici o tecnici presso la sede/infrastruttura di HostON sono possibili con un preavviso minimo di 30 giorni, una volta all'anno, a spese del Cliente, e non devono disturbare le operazioni degli altri clienti. HostON può rifiutare audit eccessivi o irragionevoli.

Alla scadenza del contratto di servizi (per scadenza, risoluzione o richiesta espressa):

• Il Cliente dispone di 14 giorni di calendario dalla sospensione per scaricare i dati dal pannello di controllo (cPanel/DirectAdmin)
• Dopo questo periodo, i dati verranno eliminati definitivamente dai server HostON
• Su richiesta esplicita, HostON può fornire una conferma scritta della cancellazione dei dati
• I backup di sistema vengono conservati per un massimo di 30 giorni dopo la cancellazione dell'account, poi distrutti definitivamente

Il presente DPA è valido per tutta la durata del contratto di servizi HostON e si risolve automaticamente con esso. HostON può modificare il presente DPA con una notifica di 30 giorni via e-mail. Il proseguimento dell'utilizzo dei servizi dopo questo periodo costituisce accettazione delle modifiche. Se le modifiche non sono accettabili, il Cliente può risolvere il contratto senza penali entro il periodo di notifica.

Per richieste relative a questo accordo, per richieste di DPA firmato o per esercitare diritti ai sensi dell'Art. 28 GDPR, contattaci all'indirizzo info@hoston.ro con oggetto "DPA / Accordo GDPR".