BOZZA in revisione legale — non vincolante. Sarà validato da avvocato CH prima della pubblicazione definitiva.
Data Processing Agreement (DPA)
Versione 1.0 · Ultima revisione: 04 giugno 2026
1. Parti contraenti
Titolare del trattamento (Cliente): l'organizzazione che ha sottoscritto un piano SwissWork (di seguito "Cliente").
Responsabile del trattamento (Fornitore): DCS Consulting Sagl, Via Giuseppe Motta 4, 6850 Mendrisio (TI), Svizzera, IDE CHE-198.307.480 (di seguito "SwissWork").
2. Oggetto e durata
Il presente DPA regola il trattamento dei dati personali che SwissWork elabora per conto del Cliente nell'ambito della fornitura del servizio (gestione clienti, fornitori, dipendenti, fatture, documenti contabili). Il DPA è efficace per tutta la durata del contratto principale e fino alla restituzione o cancellazione di tutti i dati.
3. Categorie di dati e interessati
- Dati identificativi (nome, indirizzo, email, telefono)
- Dati fiscali (IVA, IDE, codice fiscale)
- Dati contabili (fatture, scontrini, transazioni)
- Dati dei dipendenti (cedolini, AHV, dati bancari per stipendi)
- Interessati: clienti del Cliente, fornitori, dipendenti, collaboratori
4. Sub-processor autorizzati
SwissWork si avvale dei seguenti sub-processor, tutti vincolati a obblighi contrattuali equivalenti (DPA + SCC UE dove applicabile):
| Fornitore | Servizio | Sede |
|---|---|---|
| Supabase Inc. | Database, Auth, Storage | Zurigo (CH) |
| Vercel Inc. | Hosting frontend | Francoforte (DE) |
| Resend Inc. | Invio email transazionali | USA (SCC) |
| Anthropic PBC | AI per OCR scontrini | USA (SCC) |
| Stripe Inc. | Pagamenti | USA (SCC + PCI-DSS) |
SwissWork notificherà il Cliente con preavviso di 30 giorni prima di aggiungere nuovi sub-processor.
5. Misure di sicurezza
- Cifratura TLS 1.2+ in transito, AES-256 a riposo
- Row-Level Security (RLS) PostgreSQL su tutte le tabelle
- Backup giornaliero automatico con retention 30 giorni
- Audit log esteso (system_audit_log) su tabelle critiche, retention 10 anni
- Soft delete su dati critici (fatture, payroll, contabilità)
- Accesso ai dati limitato a personale autorizzato con MFA
6. Diritti del Cliente
- Audit: il Cliente può richiedere, con preavviso di 30 giorni e a proprie spese, un audit annuale delle misure di sicurezza
- Export dati: in qualsiasi momento, formato CSV/JSON, gratuito
- Cancellazione: alla cessazione del contratto, tutti i dati saranno cancellati entro 30 giorni (o restituiti su richiesta scritta)
7. Notifica violazioni
In caso di violazione dei dati personali, SwissWork notificherà il Cliente entro 72 oredalla scoperta, fornendo natura della violazione, dati interessati, misure intraprese. Il Cliente resta responsabile di eventuali notifiche all' autorità di controllo (PFPDT in CH, garante locale in UE).
8. Restituzione e cancellazione
Alla cessazione del contratto, SwissWork:
- Mette a disposizione il download integrale dei dati per 30 giorni
- Cancella tutti i dati dal database e backup entro 90 giorni
- Conserva esclusivamente i metadati richiesti per legge (es. fatture emesse a SwissWork, 10 anni ex CO art. 958f)
9. Foro competente e diritto applicabile
Il presente DPA è regolato dal diritto svizzero. Foro competente esclusivo: Mendrisio, Svizzera. Per clienti UE si applicano le Standard Contractual Clauses UE (Decisione (UE) 2021/914).
10. Accettazione
L'accettazione del presente DPA avviene tramite click-wrap all'interno dell'applicazione SwissWork da parte di un owner o admin dell'organizzazione. La data, l'indirizzo IP e lo user-agent dell'accettazione sono registrati e conservati come prova ai sensi dell'art. 28(9) GDPR.