Accedi

Accordo sul trattamento dei dati

Ultimo aggiornamento: 15 April 2026

Il presente Accordo sul Trattamento dei Dati (“DPA”) costituisce parte integrante dell'accordo tra l'entità identificata nell' account Accsible (“Cliente”, “Titolare del trattamento”) e Denizcom Ltd, operante come Accsible, registrata presso 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Responsabile del trattamento”), e integra i Termini di utilizzo e l'Informativa sulla privacy (insieme, il “Contratto principale”).

Il presente DPA si applica laddove e nella misura in cui Accsible tratta Dati personali per conto del Cliente nel corso della fornitura del Servizio. È concepito per garantire la conformità all'Articolo 28 del UK GDPR, al GDPR UE (Regolamento 2016/679) e ad altra normativa applicabile in materia di protezione dei dati.

1. Definizioni

Nel presente DPA, salvo che il contesto richieda diversamente:

  • “Leggi sulla protezione dei dati” — il UK GDPR, il GDPR UE, il Data Protection Act 2018, il Privacy and Electronic Communications Regulations 2003 e qualsiasi altra normativa applicabile in materia di protezione dei dati.
  • “Dati personali” — qualsiasi informazione relativa a una persona fisica identificata o identificabile trattata da Accsible per conto del Cliente ai sensi del Contratto principale.
  • “Trattamento” — qualsiasi operazione eseguita sui Dati personali, inclusi raccolta, registrazione, conservazione, consultazione, utilizzo, comunicazione, cancellazione o distruzione.
  • “Sub-responsabile del trattamento” — qualsiasi terza parte incaricata da Accsible di trattare Dati personali per conto del Cliente.
  • “Interessato” — la persona fisica identificata o identificabile cui si riferiscono i Dati personali.
  • “Utente finale” — un visitatore del sito web del Cliente che interagisce con il Widget Accsible.
  • “Incidente di sicurezza” — una violazione della sicurezza che comporta la distruzione, perdita, alterazione, divulgazione non autorizzata o l'accesso, accidentali o illeciti, ai Dati personali.
  • “SCCs” — le Clausole Contrattuali Standard approvate dalla Commissione europea (Decisione 2021/914) o l'UK International Data Transfer Agreement (IDTA), a seconda dei casi.

2. Ambito e dettagli del trattamento

2.1 Oggetto

Accsible fornisce un widget di accessibilità e una piattaforma SaaS. Quando il Cliente integra il Widget sul proprio sito web, Accsible tratta determinati Dati personali degli Utenti finali per conto del Cliente.

2.2 Durata

Il trattamento inizia quando il Cliente attiva il Widget e continua per la durata del Contratto principale. Alla cessazione, si applica la Sezione 11 del presente DPA.

2.3 Natura e finalità del trattamento

Aspetto Dettaglio
Finalità Fornitura e gestione del widget di accessibilità; fornitura al Cliente, tramite la Dashboard, di analisi di utilizzo e punteggi di accessibilità; trattamento dei feedback inviati dagli Utenti finali.
Natura del trattamento Raccolta, conservazione, aggregazione, analisi e cancellazione dei Dati personali nella misura necessaria a fornire il Servizio.

2.4 Tipi di Dati personali

  • Indirizzi IP (anonimizzati per l'analisi; IP completo nei log di sicurezza per un massimo di 90 days)
  • Tipo di browser, versione e stringa user agent
  • Tipo di dispositivo e sistema operativo
  • Pagine visitate e timestamp sul sito web del Cliente
  • Preferenze di accessibilità selezionate dagli Utenti finali (memorizzate localmente sul dispositivo dell'Utente finale; non trasmesse salvo invio di feedback)
  • Invii di feedback (nome e/o email se forniti volontariamente dall'Utente finale)
  • Metriche aggregate delle visualizzazioni di pagina

2.5 Categorie di interessati

  • Utenti finali — visitatori del/i sito/i web del Cliente che interagiscono con il Widget Accsible
  • Personale del Cliente — persone che accedono alla Dashboard Accsible per conto del Cliente

3. Obblighi del Cliente (Titolare del trattamento)

Il Cliente dovrà:

  • Garantire di disporre di una base giuridica per il Trattamento dei Dati personali e per impartire ad Accsible istruzioni in merito.
  • Fornire tutte le informative richieste e ottenere tutti i consensi necessari dagli Interessati come richiesto dalle Leggi sulla protezione dei dati, incluso informare gli Utenti finali sull'uso del Widget Accsible nella propria informativa privacy.
  • Garantire che le proprie istruzioni ad Accsible siano conformi alle Leggi sulla protezione dei dati.
  • Notificare tempestivamente ad Accsible eventuali modifiche alle Leggi sulla protezione dei dati applicabili che possano incidere sugli obblighi di trattamento di Accsible.

4. Obblighi di Accsible (Responsabile del trattamento)

Accsible dovrà:

  • Trattare i Dati personali solo su istruzioni documentate del Cliente (incluse le istruzioni stabilite nel presente DPA e nel Contratto principale), salvo che sia richiesto dalla legge applicabile — in tal caso Accsible informerà il Cliente prima del trattamento, salvo che ciò sia vietato dalla legge.
  • Garantire che le persone autorizzate a trattare i Dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
  • Implementare e mantenere le misure di sicurezza tecniche e organizzative descritte nella Sezione 5.
  • Rispettare le condizioni per il coinvolgimento di Sub-responsabili del trattamento stabilite nella Sezione 6.
  • Assistere il Cliente, mediante misure tecniche e organizzative adeguate, nell'adempimento del proprio obbligo di rispondere alle richieste degli Interessati (Sezione 7).
  • Assistere il Cliente nel garantire la conformità ai propri obblighi ai sensi degli Articoli 32–36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto e consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni disponibili ad Accsible.
  • A scelta del Cliente, cancellare o restituire tutti i Dati personali alla cessazione del Contratto principale (Sezione 11).
  • Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare la conformità agli obblighi previsti dall'Articolo 28 del GDPR e consentire e contribuire ad audit e ispezioni (Sezione 10).
  • Informare immediatamente il Cliente se, a parere di Accsible, un'istruzione del Cliente viola le Leggi sulla protezione dei dati.

5. Misure di sicurezza

Accsible implementa e mantiene le seguenti misure tecniche e organizzative per proteggere i Dati personali contro il trattamento non autorizzato o illecito, la perdita accidentale, la distruzione o il danneggiamento:

5.1 Misure tecniche

  • Crittografia in transito mediante TLS/HTTPS per tutte le connessioni, inclusa la distribuzione CDN, la comunicazione API e l'accesso alla Dashboard.
  • Hashing delle password mediante algoritmi crittografici one-way con salt.
  • Intestazioni Content Security Policy (CSP) per mitigare attacchi di cross-site scripting e injection.
  • Protezione DDoS tramite Cloudflare.
  • Monitoraggio degli errori (Sentry) configurato per mascherare tutto il testo e bloccare tutti i media nelle session replay.
  • Anonimizzazione degli indirizzi IP nel trattamento analitico.
  • Preferenze di accessibilità dell'Utente finale memorizzate nel local storage del browser (solo sul dispositivo; non trasmesse ai server salvo invio di feedback).

5.2 Misure organizzative

  • Controlli di accesso basati sui ruoli; accesso ai Dati personali limitato al personale che ne ha necessità per svolgere le proprie mansioni.
  • Obblighi di riservatezza per tutto il personale e i collaboratori con accesso ai Dati personali.
  • Valutazioni di sicurezza e monitoraggio regolari dell'infrastruttura.
  • Procedure di risposta agli incidenti come descritto nella Sezione 8.
  • Politiche di conservazione che garantiscono che i Dati personali non siano conservati più a lungo del necessario (vedere Sezione 9).

6. Sub-responsabili del trattamento

6.1 Autorizzazione generale

Il Cliente concede ad Accsible un'autorizzazione generale scritta a incaricare Sub-responsabili del trattamento per svolgere specifiche attività di trattamento per conto del Cliente. Accsible imporrà a ciascun Sub-responsabile, mediante contratto scritto, obblighi in materia di protezione dei dati non meno protettivi di quelli previsti nel presente DPA.

6.2 Sub-responsabili del trattamento attuali

I seguenti Sub-responsabili del trattamento sono incaricati alla data del presente DPA:

Sub-responsabile del trattamento Finalità Ubicazione
Cloudflare, Inc. CDN, protezione DDoS, distribuzione dei contenuti per Widget e API Globale (con sede negli USA); trattamento dei dati UE/UK ai sensi delle SCCs
Functional Software, Inc. (Sentry) Monitoraggio degli errori e diagnostica delle prestazioni USA; trattamento ai sensi delle SCCs
Google LLC (Google Analytics) Analisi aggregata del traffico del sito web (solo basata sul consenso) USA; trattamento ai sensi delle SCCs e del EU-US Data Privacy Framework
Stripe, Inc. Elaborazione dei pagamenti e gestione degli abbonamenti USA; certificazione PCI DSS Level 1; trattamento ai sensi delle SCCs

6.3 Modifiche ai Sub-responsabili del trattamento

Accsible notificherà al Cliente via email almeno 30 days prima di aggiungere o sostituire un Sub-responsabile del trattamento. La notifica includerà il nome del Sub-responsabile, il trattamento che svolgerà e la sua ubicazione.

Se il Cliente ha un'obiezione ragionevole a un nuovo Sub-responsabile del trattamento basata su motivi di protezione dei dati, il Cliente dovrà notificare per iscritto ad Accsible entro 14 days dal ricevimento della notifica. Le parti discuteranno la questione in buona fede. Se le parti non riescono a risolvere l'obiezione entro 30 days, il Cliente potrà risolvere il Servizio interessato mediante comunicazione scritta e Accsible rimborserà eventuali corrispettivi prepagati per la parte non utilizzata del periodo di abbonamento.

7. Diritti degli Interessati

Accsible dovrà, tenendo conto della natura del trattamento, assistere il Cliente mediante misure tecniche e organizzative adeguate per adempiere ai propri obblighi di rispondere alle richieste degli Interessati che esercitano i propri diritti ai sensi delle Leggi sulla protezione dei dati, inclusi:

  • Diritto di accesso
  • Diritto di rettifica
  • Diritto alla cancellazione (“diritto all'oblio”)
  • Diritto di limitazione del trattamento
  • Diritto alla portabilità dei dati
  • Diritto di opposizione

Se Accsible riceve direttamente una richiesta da un Interessato relativa ai dati del Cliente, Accsible dovrà indirizzare tempestivamente l'Interessato al Cliente e notificare al Cliente la richiesta, salvo che ciò sia vietato dalla legge. Accsible non risponderà direttamente a tali richieste salvo istruzione del Cliente o obbligo di legge.

8. Notifica degli incidenti di sicurezza

8.1 Notifica

Accsible notificherà al Cliente qualsiasi Incidente di sicurezza confermato senza ingiustificato ritardo e in ogni caso entro 48 hours dal momento in cui ne viene a conoscenza. La notifica sarà inviata all'indirizzo email associato all'account del Cliente (o a un indirizzo alternativo designato dal Cliente a tale scopo).

8.2 Contenuto della notifica

La notifica includerà, nella misura disponibile al momento:

  • Una descrizione della natura dell'Incidente di sicurezza, incluse le categorie e il numero approssimativo di Interessati e di registrazioni di dati coinvolti.
  • Il nome e i recapiti del referente presso Accsible.
  • Una descrizione delle probabili conseguenze dell'incidente.
  • Una descrizione delle misure adottate o proposte per affrontare l'incidente, incluse le misure per mitigarne gli effetti.

8.3 Obblighi continuativi

Accsible fornirà ulteriori informazioni non appena disponibili e collaborerà con le ragionevoli richieste del Cliente per indagare, porre rimedio e mitigare gli effetti dell'Incidente di sicurezza. Accsible assisterà inoltre il Cliente nell'adempimento dei propri obblighi di notifica delle violazioni alle autorità di controllo e agli Interessati ai sensi degli Articoli 33 e 34 del GDPR.

8.4 Tenuta dei registri

Accsible manterrà un registro di tutti gli Incidenti di sicurezza, inclusi i fatti relativi all'incidente, i suoi effetti e le azioni correttive intraprese.

9. Conservazione dei dati

Accsible conserva i Dati personali trattati ai sensi del presente DPA come segue:

  • Log di sicurezza (indirizzi IP completi): Fino a 90 days, quindi cancellati definitivamente.
  • Dati analitici aggregati: Anonimizzati su base mensile; i dati delle singole sessioni non sono conservati.
  • Invii di feedback degli Utenti finali: Conservati per la durata del Contratto principale; cancellati entro 30 days dalla cessazione.
  • Dati di monitoraggio degli errori (Sentry): Fino a 90 days.
  • Metriche di utilizzo del Widget: Aggregate e anonimizzate; nessun dato a livello individuale conservato oltre il trattamento.

Accsible non conserverà i Dati personali più a lungo di quanto necessario per le finalità di fornitura del Servizio o come richiesto dalla legge applicabile.

10. Audit e conformità

10.1 Informazioni

Accsible metterà a disposizione del Cliente, su ragionevole richiesta, tutte le informazioni ragionevolmente necessarie a dimostrare la conformità ai propri obblighi ai sensi del presente DPA e dell'Articolo 28 del GDPR.

10.2 Diritti di audit

Il Cliente (o un revisore indipendente di terza parte nominato dal Cliente) potrà effettuare un audit delle attività di trattamento e delle misure di sicurezza di Accsible, nel rispetto delle seguenti condizioni:

  • Il Cliente dovrà fornire un preavviso scritto di almeno 30 days’ per una richiesta di audit.
  • Gli audit dovranno essere condotti durante il normale orario di lavoro (Monday–Friday, 09:00–18:00 GMT) e non dovranno interrompere irragionevolmente le operazioni di Accsible.
  • Il Cliente potrà effettuare non più di one audit per 12-month period, salvo richiesta di un'autorità di controllo o a seguito di un Incidente di sicurezza confermato.
  • Il revisore sarà vincolato da obblighi di riservatezza non meno protettivi di quelli previsti nel Contratto principale.
  • Accsible potrà soddisfare una richiesta di audit fornendo un rapporto SOC 2 Type II aggiornato, un certificato ISO 27001 o una certificazione indipendente equivalente, se disponibile.

10.3 Cooperazione

Accsible coopererà con il Cliente e con qualsiasi autorità di controllo che richieda accesso alle strutture o ai registri di Accsible in relazione al presente DPA.

11. Restituzione e cancellazione dei dati

Alla cessazione o scadenza del Contratto principale, il Cliente potrà richiedere, entro 30 days, che Accsible:

  • Restituisca tutti i Dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico; oppure
  • Cancelli tutti i Dati personali e confermi per iscritto la cancellazione.

Se il Cliente non presenta una richiesta entro 30 days dalla cessazione, Accsible cancellerà definitivamente tutti i Dati personali, salvo nella misura in cui la conservazione sia richiesta dalla legge applicabile (ad es. registri di fatturazione per conformità fiscale). Laddove la conservazione sia richiesta per legge, Accsible isolerà e proteggerà i dati e limiterà il trattamento alla finalità imposta dalla legge.

12. Trasferimenti internazionali

Accsible è stabilita nel Regno Unito. Laddove i Dati personali siano trasferiti a Sub-responsabili del trattamento situati al di fuori del Regno Unito o del SEE, Accsible garantisce che siano in atto adeguate garanzie, tra cui:

  • UK International Data Transfer Agreement (IDTA) o Addendum UK alle SCCs
  • Clausole Contrattuali Standard UE (SCCs) — Decisione della Commissione 2021/914
  • Decisioni di adeguatezza del Segretario di Stato del Regno Unito o della Commissione europea
  • Ove applicabile, ulteriori misure supplementari raccomandate dall'ICO o dall'EDPB

Una copia del relativo meccanismo di trasferimento sarà resa disponibile al Cliente su richiesta scritta.

13. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità stabilite nel Contratto principale (Termini di utilizzo), salvo che nessuna delle parti escluda o limiti la responsabilità per violazioni delle Leggi sulla protezione dei dati nella misura in cui tale esclusione o limitazione non sia consentita dalla legge applicabile.

14. Durata e prevalenza

14.1 Durata

Il presente DPA entra in vigore alla data in cui il Cliente integra per la prima volta il Widget Accsible e rimane in vigore per la durata del Contratto principale, e successivamente fino a quando tutti i Dati personali non siano stati cancellati o restituiti in conformità alla Sezione 11.

14.2 Prevalenza

In caso di conflitto tra il presente DPA e il Contratto principale, il presente DPA prevarrà con riferimento al trattamento e alla protezione dei Dati personali.

14.3 Modifiche

Accsible può aggiornare il presente DPA per riflettere modifiche alle Leggi sulla protezione dei dati o alle attività di trattamento. Le modifiche sostanziali saranno comunicate al Cliente con almeno 30 days di anticipo via email. L'uso continuato del Servizio dopo la data di efficacia delle modifiche costituisce accettazione.

15. Contatti

Per domande o richieste relative al presente DPA, contattaci a:

  • Contatto per la protezione dei dati: [email protected]
  • Incidenti di sicurezza: [email protected]
  • Sede legale: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Registrazione ICO: ZC114350