Data Processing Agreement

Capital Studio TS · Capital Hospitality · GDPR art. 28 e ss.

Modello v.1.0 · Data: 15 maggio 2026 · Diritto applicabile: Regolamento UE 2016/679 (GDPR)

1. Premessa

Il presente documento ha natura dichiarativa e ricognitiva della posizione di Costantini & Partners rispetto al trattamento dei dati personali nell'ambito della fornitura delle applicazioni operative del sub-cluster Capital & Performance. Non costituisce nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR, in quanto Costantini & Partners non riceve, non conserva, non accede e non dispone in alcun modo dei dati personali trattati dal cliente tramite l'applicazione.

2. Parti

Costantini & Partners (di seguito "Fornitore") — Studio di Consulenza Legale, P.IVA IT 03923370542, con sede in Perugia (PG), Italia — fornitore in licenza d'uso delle applicazioni Capital Studio TS e Capital Hospitality.

Il Cliente professionista (di seguito "Titolare") — soggetto identificato nel contratto di licenza, in qualità di esclusivo titolare del trattamento dei dati personali dei propri pazienti od ospiti registrati nell'applicazione.

3. Oggetto e finalità del trattamento

L'applicazione costituisce uno strumento software messo a disposizione del Titolare per l'adempimento di obblighi di legge specifici cui il Titolare è tenuto in virtù della propria attività professionale, nello specifico:

• Capital Studio TS: invio telematico dei dati di spesa sanitaria al Sistema Tessera Sanitaria di Sogei S.p.A. (ex D.M. 31 luglio 2015), fatturazione, conservazione documentale
• Capital Hospitality: comunicazione delle generalità degli alloggiati al portale Alloggiati Web della Polizia di Stato (ex art. 109 TULPS, R.D. 18 giugno 1931 n. 773), conservazione delle ricevute

4. Architettura local-first — dichiarazione tecnica

5. Conseguenza giuridica — assenza del ruolo di responsabile

In ragione dell'architettura di cui all'art. 4, il Fornitore non riveste il ruolo di responsabile del trattamento ex art. 28 GDPR, in quanto non tratta i dati personali per conto del Titolare. Il rapporto si configura come mera fornitura di software in licenza d'uso, non integrante trattamento di dati personali ai sensi dell'art. 4(2) GDPR.

Tale qualificazione è coerente con le Linee Guida 07/2020 dell'EDPB ("Guidelines on the concepts of controller and processor in the GDPR"), § 30, ove si afferma che il mero fornitore di software che non accede né processa i dati non assume il ruolo di responsabile.

6. Obblighi del Titolare

Il Titolare riconosce e accetta che, in qualità di esclusivo titolare del trattamento, è personalmente responsabile per:

• Adempimento degli obblighi informativi verso gli interessati (artt. 13-14 GDPR), inclusa la redazione dell'informativa privacy specifica del proprio studio o struttura
• Tenuta del registro delle attività di trattamento ex art. 30 GDPR
• Identificazione corretta della base giuridica per ciascun trattamento
• Garanzia della sicurezza fisica e logica del dispositivo su cui l'applicazione è installata (custodia del dispositivo, scelta del PIN, blocco schermo, aggiornamenti del sistema operativo)
• Conservazione e custodia dei backup esportati dall'applicazione
• Adempimenti in caso di data breach (notifica al Garante entro 72h ex art. 33 GDPR, eventuale comunicazione agli interessati ex art. 34)
• Esercizio dei diritti degli interessati (artt. 15-22 GDPR)
• Eventuale designazione di un Data Protection Officer ex art. 37

7. Obblighi del Fornitore

Pur non rivestendo il ruolo di responsabile del trattamento, il Fornitore si impegna contrattualmente a:

• Mantenere l'architettura local-first dichiarata, comunicando preventivamente al Titolare con almeno 30 giorni di anticipo qualsiasi eventuale modifica sostanziale che dovesse comportare un'alterazione del modello (es. introduzione di servizi cloud sync, OCR cloud, ecc.) — con facoltà del Titolare di rifiutare l'aggiornamento e/o recedere senza penali
• Rendere ispezionabile il codice eseguito sul dispositivo del Titolare mediante gli strumenti standard del browser, a fini di audit indipendente
• Fornire assistenza tecnica entro tempi ragionevoli (best effort, esclusi malfunzionamenti dei servizi istituzionali Sistema TS / Alloggiati Web)
• Trattare i soli dati di iscrizione del Titolare (ragione professionale, P.IVA, contatti) ai fini contrattuali, contabili e di assistenza, secondo la Privacy Policy estesa di cui si dà atto al Titolare

8. Sub-fornitori del Fornitore (lato sito istituzionale)

Il sito istituzionale costantinilawfirm.capital si appoggia ai seguenti sub-fornitori, che non hanno alcun accesso ai dati operativi delle applicazioni:

• Netlify Inc. (San Francisco, USA — DPF certified) — hosting statico del sito e delle PWA
• Plausible Insights OÜ (Tallinn, Estonia — UE) — analytics cookie-less di sole pagine viste, dati anonimizzati

9. Durata, modifiche, recesso

Il presente documento ha durata pari al contratto di licenza dell'applicazione. Modifiche sostanziali sono comunicate via email con preavviso di 30 giorni, con diritto di recesso del Titolare in caso di disaccordo. Le modifiche meramente formali e migliorative sono efficaci dalla pubblicazione sul sito.

10. Legge applicabile e foro

Il presente documento è regolato dal diritto italiano. Foro competente esclusivo: Tribunale di Perugia.

11. Sottoscrizione

La sottoscrizione del contratto di licenza dell'applicazione vale come accettazione integrale del presente DPA. Su richiesta scritta del Titolare, il Fornitore rilascia copia controfirmata.