Data Processing Agreement

Template DPA ex art. 28 GDPR — versione 1.0 · 14 luglio 2026

Quando si applica

Questo DPA regola il trattamento dei dati personali nei rapporti tra EV Guard (Responsabile del trattamento) e i clienti business — Comuni / Polizia Locale, operatori CPO, gestori di parcheggi privati — che agiscono come Titolari del trattamento per i dati delle proprie segnalazioni, dashboard e report.

Per gli utenti consumer (cittadini che inviano segnalazioni dal sito pubblico) il Titolare è EV Guard stessa: si applica la Privacy Policy.

1. Definizioni

I termini "Titolare", "Responsabile", "Sub-responsabile", "Interessato", "Dato personale", "Trattamento", "Violazione" hanno il significato di cui all'art. 4 del Regolamento UE 2016/679 (GDPR).

2. Oggetto e durata

EV Guard tratta i dati personali per conto del Titolare per la durata del contratto di servizio sottoscritto (piano Pro Polizia, Pro CPO, Pro Parcheggi o equivalente). Il trattamento cessa alla risoluzione del contratto.

3. Natura e finalità del trattamento

  • Ricezione, archiviazione e visualizzazione delle segnalazioni di occupazione abusiva.
  • Generazione di dashboard, KPI e report PDF per l'autorità competente.
  • Invio di notifiche via email/PEC ai destinatari designati dal Titolare.
  • Conservazione delle prove (foto, GPS, timestamp) ai fini sanzionatori o gestionali.

4. Tipologia di dati e categorie di interessati

  • Dati identificativi del segnalante (email, eventualmente nome).
  • Targhe di veicoli (mascherate in UI pubblica, in chiaro per autorità).
  • Foto del veicolo e della colonnina.
  • Geolocalizzazione e timestamp dell'evento.
  • Categorie di interessati: cittadini segnalanti, intestatari dei veicoli segnalati, operatori del Titolare.

5. Obblighi del Responsabile (EV Guard)

  1. Tratta i dati solo su istruzione documentata del Titolare e ai fini sopra indicati.
  2. Garantisce che il personale autorizzato sia vincolato a riservatezza.
  3. Adotta misure tecniche e organizzative adeguate (art. 32 GDPR): crittografia AES-256 a riposo, TLS 1.2+ in transito, Row-Level Security su PostgreSQL, audit log immutabile, MFA per accessi amministrativi.
  4. Assiste il Titolare nel rispondere alle richieste degli interessati (art. 15-22 GDPR).
  5. Notifica al Titolare ogni violazione di dati personali entro 24 ore dalla scoperta.
  6. Mette a disposizione del Titolare le informazioni necessarie per dimostrare la conformità e consente audit (con preavviso di 30 giorni, max 1 audit/anno).
  7. Al termine del contratto cancella o restituisce i dati entro 60 giorni.

6. Sub-responsabili

Il Titolare autorizza in via generale EV Guard a ricorrere ai sub-responsabili elencati nella pagina pubblica /legal/sub-responsabili. Ogni variazione viene notificata con almeno 30 giorni di preavviso; il Titolare può opporsi entro tale termine.

7. Trasferimenti extra-UE

I dati di produzione sono ospitati in UE (Francoforte). Eventuali trasferimenti extra-UE (es. invio email transazionali, validazione AI delle foto) avvengono esclusivamente verso Paesi con decisione di adeguatezza o sulla base delle Standard Contractual Clauses UE 2021/914 + EU-US Data Privacy Framework.

8. Conservazione

  • Foto e dati grezzi delle segnalazioni: 90 giorni, poi anonimizzazione automatica (foto eliminate, targa/IP nullificati, GPS arrotondato a 3 decimali).
  • Dati aggregati / statistici: conservati a tempo indeterminato in forma anonima.
  • Audit log e dati contabili: 10 anni (obblighi di legge).

9. Responsabilità

Ciascuna parte risponde dei danni causati da violazione dei propri obblighi ai sensi dell'art. 82 GDPR. La responsabilità di EV Guard è limitata, salvo dolo o colpa grave, al corrispettivo pagato dal Titolare nei 12 mesi precedenti.

10. Legge applicabile e foro

Legge italiana. Foro esclusivo: Milano.

Richiedi copia firmata

Inviamo il DPA in PDF firmato digitalmente entro 2 giorni lavorativi.

Contatta il DPO

privacy@evguard.it