Accedi

Accordo sul trattamento dei dati

Ultimo aggiornamento: 15 April 2026

Il presente Data Processing Agreement (“DPA”) costituisce parte integrante dell’accordo tra l’entità identificata nell’account Accsible (“Cliente”, “Titolare”) e Denizcom Ltd, operante come Accsible, con sede legale in 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Regno Unito (“Accsible”, “Responsabile”), e integra i Termini di Utilizzo e l’Informativa sulla Privacy (congiuntamente, il “Contratto Principale”).

Il presente DPA si applica laddove e nella misura in cui Accsible tratti Dati Personali per conto del Cliente nel corso della fornitura del Servizio. È concepito per garantire la conformità all’Articolo 28 dell’UK GDPR, dell’EU GDPR (Regolamento 2016/679) e ad altra normativa applicabile in materia di protezione dei dati.

1. Definizioni

Nel presente DPA, salvo che il contesto richieda diversamente:

  • “Leggi sulla Protezione dei Dati” — l’UK GDPR, l’EU GDPR, il Data Protection Act 2018, il Privacy and Electronic Communications Regulations 2003 e qualsiasi altra normativa applicabile in materia di protezione dei dati.
  • “Dati Personali” — qualsiasi informazione relativa a una persona fisica identificata o identificabile che sia trattata da Accsible per conto del Cliente ai sensi del Contratto Principale.
  • “Trattamento” — qualsiasi operazione eseguita sui Dati Personali, inclusa la raccolta, registrazione, conservazione, consultazione, utilizzo, divulgazione, cancellazione o distruzione.
  • “Sub-responsabile” — qualsiasi terza parte incaricata da Accsible di trattare Dati Personali per conto del Cliente.
  • “Interessato” — la persona fisica identificata o identificabile cui si riferiscono i Dati Personali.
  • “Utente Finale” — un visitatore del sito web del Cliente che interagisce con il Widget Accsible.
  • “Incidente di Sicurezza” — una violazione della sicurezza che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso non autorizzato, accidentali o illeciti, ai Dati Personali.
  • “SCC” — le Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914) o l’UK International Data Transfer Agreement (IDTA), a seconda dei casi.

2. Ambito e Dettagli del Trattamento

2.1 Oggetto

Accsible fornisce un widget di accessibilità e una piattaforma SaaS. Quando il Cliente integra il Widget sul proprio sito web (o sui propri siti web), Accsible tratta determinati Dati Personali degli Utenti Finali per conto del Cliente.

2.2 Durata

Il Trattamento inizia quando il Cliente attiva il Widget e prosegue per tutta la durata del Contratto Principale. Alla cessazione, si applica la Sezione 11 del presente DPA.

2.3 Natura e Finalità del Trattamento

Aspetto Dettaglio
Finalità Fornire e gestire il widget di accessibilità; fornire al Cliente, tramite la Dashboard, analisi di utilizzo e punteggi di accessibilità; trattare i feedback inviati dagli Utenti Finali.
Natura del trattamento Raccolta, conservazione, aggregazione, analisi e cancellazione dei Dati Personali nella misura necessaria a fornire il Servizio.

2.4 Tipologie di Dati Personali

  • Indirizzi IP (anonimizzati per le analisi; IP completo nei log di sicurezza fino a 90 giorni)
  • Tipo di browser, versione e stringa user agent
  • Tipo di dispositivo e sistema operativo
  • Pagine visitate e timestamp sul sito web del Cliente
  • Preferenze di accessibilità selezionate dagli Utenti Finali (memorizzate localmente sul dispositivo dell’Utente Finale; non trasmesse salvo invio di feedback)
  • Invii di feedback (nome e/o email se forniti volontariamente dall’Utente Finale)
  • Metriche aggregate delle visualizzazioni di pagina

2.5 Categorie di Interessati

  • Utenti Finali — visitatori del/dei sito/i web del Cliente che interagiscono con il Widget Accsible
  • Personale del Cliente — persone che accedono alla Dashboard Accsible per conto del Cliente

3. Obblighi del Cliente (Titolare)

Il Cliente deve:

  • Garantire di disporre di una base giuridica per il Trattamento dei Dati Personali e per incaricare Accsible di trattarli.
  • Fornire tutte le informative richieste e ottenere tutti i consensi necessari dagli Interessati come previsto dalle Leggi sulla Protezione dei Dati, incluso informare gli Utenti Finali sull’uso del Widget Accsible nella propria informativa sulla privacy.
  • Garantire che le proprie istruzioni ad Accsible siano conformi alle Leggi sulla Protezione dei Dati.
  • Informare tempestivamente Accsible di qualsiasi modifica delle Leggi sulla Protezione dei Dati applicabili che possa incidere sugli obblighi di trattamento di Accsible.

4. Obblighi di Accsible (Responsabile)

Accsible deve:

  • Trattare i Dati Personali solo sulla base di istruzioni documentate del Cliente (incluse le istruzioni contenute nel presente DPA e nel Contratto Principale), salvo ove richiesto dalla legge applicabile — in tal caso Accsible informerà il Cliente prima del trattamento, a meno che ciò non sia vietato dalla legge.
  • Garantire che le persone autorizzate a trattare i Dati Personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
  • Implementare e mantenere le misure di sicurezza tecniche e organizzative descritte nella Sezione 5.
  • Rispettare le condizioni per l’ingaggio dei Sub-responsabili stabilite nella Sezione 6.
  • Assistere il Cliente, mediante adeguate misure tecniche e organizzative, nell’adempimento del proprio obbligo di rispondere alle richieste degli Interessati (Sezione 7).
  • Assistere il Cliente nel garantire il rispetto dei propri obblighi ai sensi degli Articoli 32–36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d’impatto e consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni a disposizione di Accsible.
  • Su scelta del Cliente, cancellare o restituire tutti i Dati Personali alla cessazione del Contratto Principale (Sezione 11).
  • Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare la conformità agli obblighi di cui all’Articolo 28 del GDPR e consentire e contribuire ad audit e ispezioni (Sezione 10).
  • Informare immediatamente il Cliente qualora, a giudizio di Accsible, un’istruzione del Cliente violi le Leggi sulla Protezione dei Dati.

5. Misure di Sicurezza

Accsible implementa e mantiene le seguenti misure tecniche e organizzative per proteggere i Dati Personali da trattamenti non autorizzati o illeciti, nonché da perdita, distruzione o danneggiamento accidentali:

5.1 Misure Tecniche

  • Crittografia in transito tramite TLS/HTTPS per tutte le connessioni, inclusa la distribuzione via CDN, la comunicazione API e l’accesso alla Dashboard.
  • Hashing delle password mediante algoritmi crittografici unidirezionali con salt.
  • Header Content Security Policy (CSP) per mitigare attacchi di cross-site scripting e injection.
  • Protezione DDoS tramite Cloudflare.
  • Monitoraggio degli errori (Sentry) configurato per mascherare tutto il testo e bloccare tutti i contenuti multimediali nelle sessioni registrate.
  • Anonimizzazione degli indirizzi IP nel trattamento dei dati di analisi.
  • Preferenze di accessibilità degli Utenti Finali memorizzate nel local storage del browser (solo lato dispositivo; non trasmesse ai server salvo invio di feedback).

5.2 Misure Organizzative

  • Controlli di accesso basati sui ruoli; l’accesso ai Dati Personali è limitato al personale che ne necessita per svolgere le proprie mansioni.
  • Obblighi di riservatezza per tutto il personale e i collaboratori con accesso ai Dati Personali.
  • Valutazioni di sicurezza periodiche e monitoraggio dell’infrastruttura.
  • Procedure di risposta agli incidenti come descritto nella Sezione 8.
  • Politiche di conservazione che garantiscono che i Dati Personali non siano conservati più a lungo del necessario (vedere Sezione 9).

6. Sub-responsabili

6.1 Autorizzazione Generale

Il Cliente concede ad Accsible un’autorizzazione scritta generale a incaricare Sub-responsabili di svolgere specifiche attività di trattamento per conto del Cliente. Accsible imporrà a ciascun Sub-responsabile, mediante contratto scritto, obblighi in materia di protezione dei dati non meno protettivi di quelli previsti nel presente DPA.

6.2 Sub-responsabili Attuali

I seguenti Sub-responsabili sono incaricati alla data del presente DPA:

Sub-responsabile Finalità Luogo
Cloudflare, Inc. CDN, protezione DDoS, distribuzione dei contenuti per Widget e API Globale (sede centrale negli USA); trattamento dei dati UE/UK ai sensi delle SCC
Functional Software, Inc. (Sentry) Monitoraggio degli errori e diagnostica delle prestazioni USA; trattamento ai sensi delle SCC
Google LLC (Google Analytics) Analisi aggregate del traffico del sito web (solo previo consenso) USA; trattamento ai sensi delle SCC e dell’EU-US Data Privacy Framework
Stripe, Inc. Elaborazione dei pagamenti e gestione degli abbonamenti USA; certificata PCI DSS Livello 1; trattamento ai sensi delle SCC

6.3 Modifiche ai Sub-responsabili

Accsible informerà il Cliente via email almeno 30 giorni prima di aggiungere o sostituire un Sub-responsabile. La notifica includerà il nome del Sub-responsabile, il trattamento che svolgerà e il relativo luogo.

Se il Cliente ha un’obiezione ragionevole a un nuovo Sub-responsabile basata su motivi di protezione dei dati, dovrà informare Accsible per iscritto entro 14 giorni dal ricevimento della notifica. Le parti discuteranno la questione in buona fede. Se le parti non riescono a risolvere l’obiezione entro 30 giorni, il Cliente potrà risolvere il Servizio interessato mediante comunicazione scritta e Accsible rimborserà eventuali corrispettivi pagati in anticipo per la parte inutilizzata del periodo di abbonamento.

7. Diritti degli Interessati

Accsible, tenendo conto della natura del trattamento, assisterà il Cliente mediante adeguate misure tecniche e organizzative per adempiere ai propri obblighi di rispondere alle richieste degli Interessati che esercitano i propri diritti ai sensi delle Leggi sulla Protezione dei Dati, inclusi:

  • Diritto di accesso
  • Diritto di rettifica
  • Diritto alla cancellazione (“diritto all’oblio”)
  • Diritto alla limitazione del trattamento
  • Diritto alla portabilità dei dati
  • Diritto di opposizione

Se Accsible riceve direttamente una richiesta da un Interessato relativa ai dati del Cliente, Accsible reindirizzerà tempestivamente l’Interessato al Cliente e informerà il Cliente della richiesta, salvo che ciò sia vietato dalla legge. Accsible non risponderà direttamente a tali richieste se non su istruzione del Cliente o se richiesto dalla legge.

8. Notifica degli Incidenti di Sicurezza

8.1 Notifica

Accsible informerà il Cliente di qualsiasi Incidente di Sicurezza confermato senza ingiustificato ritardo e in ogni caso entro 48 ore da quando ne è venuta a conoscenza. La notifica sarà inviata all’indirizzo email associato all’account del Cliente (o a un indirizzo alternativo designato dal Cliente a tal fine).

8.2 Contenuto della Notifica

La notifica includerà, nella misura in cui le informazioni siano disponibili al momento:

  • Una descrizione della natura dell’Incidente di Sicurezza, incluse le categorie e il numero approssimativo di Interessati e di record di dati coinvolti.
  • Il nome e i dati di contatto del punto di contatto presso Accsible.
  • Una descrizione delle probabili conseguenze dell’incidente.
  • Una descrizione delle misure adottate o proposte per affrontare l’incidente, incluse le misure per mitigarne gli effetti.

8.3 Obblighi Continuativi

Accsible fornirà ulteriori informazioni man mano che diventeranno disponibili e coopererà con le ragionevoli richieste del Cliente per indagare, porre rimedio e mitigare gli effetti dell’Incidente di Sicurezza. Accsible assisterà inoltre il Cliente nell’adempimento dei propri obblighi di notifica delle violazioni alle autorità di controllo e agli Interessati ai sensi degli Articoli 33 e 34 del GDPR.

8.4 Conservazione delle Registrazioni

Accsible manterrà un registro di tutti gli Incidenti di Sicurezza, incluse le circostanze dell’incidente, i suoi effetti e le azioni correttive intraprese.

9. Conservazione dei Dati

Accsible conserva i Dati Personali trattati ai sensi del presente DPA come segue:

  • Log di sicurezza (indirizzi IP completi): Fino a 90 giorni, quindi cancellati in modo permanente.
  • Dati di analisi aggregati: Anonimizzati su base mensile; i dati delle singole sessioni non sono conservati.
  • Feedback degli Utenti Finali: Conservati per la durata del Contratto Principale; cancellati entro 30 giorni dalla cessazione.
  • Dati di monitoraggio degli errori (Sentry): Fino a 90 giorni.
  • Metriche di utilizzo del Widget: Aggregate e anonimizzate; nessun dato a livello individuale è conservato oltre il tempo necessario al trattamento.

Accsible non conserverà i Dati Personali più a lungo di quanto necessario per le finalità di fornitura del Servizio o di quanto richiesto dalla legge applicabile.

10. Audit e Conformità

10.1 Informazioni

Accsible metterà a disposizione del Cliente, su richiesta ragionevole, tutte le informazioni ragionevolmente necessarie a dimostrare la conformità ai propri obblighi ai sensi del presente DPA e dell’Articolo 28 del GDPR.

10.2 Diritti di Audit

Il Cliente (o un revisore terzo indipendente nominato dal Cliente) può effettuare un audit delle attività di trattamento e delle misure di sicurezza di Accsible, alle seguenti condizioni:

  • Il Cliente fornirà un preavviso scritto di almeno 30 giorni per la richiesta di audit.
  • Gli audit saranno effettuati durante il normale orario lavorativo (lunedì–venerdì, 09:00–18:00 GMT) e non dovranno ostacolare irragionevolmente le operazioni di Accsible.
  • Il Cliente potrà effettuare non più di un audit ogni 12 mesi, salvo ove richiesto da un’autorità di controllo o a seguito di un Incidente di Sicurezza confermato.
  • Il revisore sarà vincolato da obblighi di riservatezza non meno protettivi di quelli previsti nel Contratto Principale.
  • Accsible potrà soddisfare una richiesta di audit fornendo un report SOC 2 Type II aggiornato, un certificato ISO 27001 o una certificazione indipendente equivalente, se disponibile.

10.3 Cooperazione

Accsible coopererà con il Cliente e con qualsiasi autorità di controllo che richieda l’accesso alle strutture o ai registri di Accsible in relazione al presente DPA.

11. Restituzione e Cancellazione dei Dati

Alla cessazione o alla scadenza del Contratto Principale, il Cliente può richiedere, entro 30 giorni, che Accsible:

  • Restituisca tutti i Dati Personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico; oppure
  • Cancelli tutti i Dati Personali e ne confermi la cancellazione per iscritto.

Se il Cliente non presenta alcuna richiesta entro 30 giorni dalla cessazione, Accsible cancellerà in modo permanente tutti i Dati Personali, salvo nella misura in cui la conservazione sia richiesta dalla legge applicabile (ad es. registri di fatturazione per la conformità fiscale). Ove la conservazione sia legalmente richiesta, Accsible isolerà e proteggerà i dati e limiterà il trattamento alla finalità imposta dalla legge.

12. Trasferimenti Internazionali

Accsible ha sede nel Regno Unito. Quando i Dati Personali sono trasferiti a Sub-responsabili situati al di fuori del Regno Unito o dello SEE, Accsible garantisce che siano in atto adeguate garanzie, tra cui:

  • UK International Data Transfer Agreement (IDTA) o UK Addendum alle SCC
  • Clausole Contrattuali Standard UE (SCC) — Decisione della Commissione 2021/914
  • Decisioni di adeguatezza del Segretario di Stato del Regno Unito o della Commissione Europea
  • Ove applicabile, ulteriori misure supplementari raccomandate dall’ICO o dall’EDPB

Una copia del meccanismo di trasferimento pertinente sarà messa a disposizione del Cliente su richiesta scritta.

13. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità previste nel Contratto Principale (Termini di Utilizzo), fermo restando che nessuna delle parti esclude o limita la responsabilità per violazioni delle Leggi sulla Protezione dei Dati nella misura in cui tale esclusione o limitazione non sia consentita dalla legge applicabile.

14. Durata e Prevalenza

14.1 Durata

Il presente DPA entra in vigore alla data in cui il Cliente integra per la prima volta il Widget Accsible e rimane in vigore per tutta la durata del Contratto Principale e, successivamente, fino a quando tutti i Dati Personali non siano stati cancellati o restituiti in conformità con la Sezione 11.

14.2 Prevalenza

In caso di conflitto tra il presente DPA e il Contratto Principale, il presente DPA prevarrà per quanto riguarda il trattamento e la protezione dei Dati Personali.

14.3 Modifiche

Accsible può aggiornare il presente DPA per riflettere modifiche alle Leggi sulla Protezione dei Dati o alle attività di trattamento. Le modifiche sostanziali saranno comunicate al Cliente con un preavviso di almeno 30 giorni via email. L’uso continuato del Servizio dopo la data di efficacia delle modifiche costituisce accettazione delle stesse.

15. Contatti

Per domande o richieste relative al presente DPA, contattaci a:

  • Contatto per la Protezione dei Dati: [email protected]
  • Incidenti di Sicurezza: [email protected]
  • Sede Legale: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Regno Unito
  • Registrazione ICO: ZC114350