Contratto di Servizio

Data di entrata in vigore: 23/06/2026

Parte I

Termini e Condizioni di Servizio

Premesse e definizioni

Servizio: l’applicazione software di budgeting fornita dalla Società in modalità Software-as-a-Service (SaaS), accessibile tramite web app e mobile app, all’indirizzo www.simplebudgetapp.com.

Dati di Servizio: i dati personali del Cliente (persona fisica) o dei referenti del Cliente (persona giuridica) raccolti e trattati dalla Società in qualità di Titolare del Trattamento per finalità di registrazione, gestione contrattuale, fatturazione e assistenza (es. nome, email, dati di pagamento).

Dati del Cliente: qualsiasi dato, inclusi dati personali di terzi e categorie particolari di dati, che il Cliente o gli utenti da esso autorizzati inseriscono, caricano o gestiscono all’interno del Servizio per le proprie finalità di budgeting.

GDPR: il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

DPA (Data Processing Agreement): l’atto giuridico, allegato e parte integrante dei presenti T&C, che disciplina il trattamento dei Dati del Cliente effettuato dalla Società in qualità di Responsabile del Trattamento per conto del Cliente, ai sensi dell’art. 28 del GDPR.

Art. 1 – Oggetto del Contratto

1.1. La Società concede al Cliente una licenza d’uso non esclusiva, non trasferibile e limitata alla durata del presente contratto, per l’utilizzo del Servizio per le proprie finalità personali, professionali o aziendali di gestione e analisi finanziaria. 1.2. Il Servizio consente al Cliente di inserire manualmente dati finanziari, categorizzare entrate e uscite, monitorare conti e movimenti, e generare report ed esportazioni. 1.3. Qualsiasi funzionalità non esplicitamente menzionata è da considerarsi esclusa dal Servizio, incluse, a titolo esemplificativo, integrazioni automatiche con istituti bancari o servizi di terze parti, salvo diverso accordo scritto.

Art. 2 – Efficacia, Durata e Recesso

2.1. Il presente contratto si perfeziona e acquista efficacia al momento dell’accettazione online dei presenti T&C e del pagamento del corrispettivo, ove previsto. 2.2. La durata del contratto è specificata nel piano di abbonamento scelto dal Cliente e si intende tacitamente rinnovata per periodi uguali, salvo disdetta da comunicarsi da una delle parti con un preavviso di 30 giorni rispetto alla scadenza. 2.3. Il Cliente può recedere in qualsiasi momento. Il recesso non darà diritto a rimborsi per i periodi di servizio già pagati. A seguito del recesso, l’accesso al Servizio sarà disattivato al termine del periodo di fatturazione in corso.

Art. 3 – Registrazione e Gestione dell’Account

3.1. Il Cliente è l’unico responsabile della veridicità e dell’aggiornamento delle informazioni fornite in fase di registrazione. 3.2. Il Cliente si impegna a custodire con la massima diligenza le credenziali di accesso (username e password) e a mantenerle segrete. È interamente responsabile per qualsiasi attività svolta tramite il proprio account. 3.3. Il Cliente deve notificare immediatamente alla Società qualsiasi uso non autorizzato del proprio account o violazione della sicurezza di cui venga a conoscenza.

Art. 4 – Corrispettivi e Modalità di Pagamento

4.1. I corrispettivi per il Servizio sono quelli indicati nel piano tariffario scelto dal Cliente al momento della sottoscrizione. 4.2. Il pagamento avverrà con le modalità indicate sulla piattaforma (es. carta di credito, addebito diretto). Il Cliente autorizza la Società ad addebitare i corrispettivi secondo la periodicità prevista dal piano (es. mensile, annuale).

Art. 5 – Ruoli e Responsabilità in materia di Protezione dei Dati Personali (GDPR)

5.1. Le parti riconoscono che, nell’ambito del presente contratto, la Società agisce con un duplice ruolo, nettamente distinto per finalità e tipologia di dati trattati: a) Titolare del Trattamento: la Società è Titolare del Trattamento per i Dati di Servizio, trattati per le proprie finalità di gestione del rapporto contrattuale, fatturazione, assistenza e adempimenti di legge. Tale trattamento è descritto in dettaglio nell’Informativa Privacy. b) Responsabile del Trattamento: la Società è Responsabile del Trattamento per tutti i Dati del Cliente che l’Utente inserisce nel Servizio. In questo contesto, il Cliente agisce come Titolare del Trattamento (o come Responsabile per conto di terzi), determinando le finalità e i mezzi del trattamento, mentre la Società tratta tali dati "per conto del" Cliente e su sua istruzione. 5.2. Con l’accettazione dei presenti T&C, il Cliente nomina la Società quale Responsabile del Trattamento per i Dati del Cliente. Tale nomina è disciplinata in modo esclusivo e completo dall’Atto di Nomina a Responsabile del Trattamento (DPA), che costituisce parte integrante e sostanziale del presente contratto ai sensi dell’art. 28 del GDPR.

Art. 6 – Obblighi e Condotte del Cliente

6.1. Il Cliente è l’unico responsabile della liceità, correttezza e pertinenza dei Dati del Cliente inseriti nel Servizio. Garantisce di disporre di un’idonea base giuridica (es. consenso, esecuzione contrattuale) per il trattamento di dati personali di terzi (es. familiari, clienti, fornitori) eventualmente inseriti. 6.2. Il Cliente si impegna a non utilizzare il Servizio per scopi illeciti o in violazione di qualsiasi normativa applicabile. 6.3. Il Cliente riconosce che il Servizio è progettato secondo i principi di minimizzazione dei dati e si impegna a non inserire dati personali non necessari o eccedenti rispetto alle finalità di budgeting perseguite.

Art. 7 – Trattamento di Categorie Particolari di Dati (Art. 9 GDPR)

7.1. Il Cliente prende atto che il Servizio non richiede né sollecita attivamente l’inserimento di categorie particolari di dati personali (es. dati relativi alla salute, all’appartenenza sindacale, alle convinzioni religiose o all’orientamento sessuale). 7.2. Qualora il Cliente, per le proprie esclusive finalità di budgeting, intenda inserire volontariamente tali dati, dovrà manifestare il proprio consenso esplicito tramite l’apposita funzionalità presente nell’applicazione. Tale consenso sarà specifico, libero, informato, revocabile in qualsiasi momento e registrato dalla Società. 7.3. In assenza di tale consenso esplicito, è fatto divieto al Cliente di inserire categorie particolari di dati. La Società declina ogni responsabilità derivante dall’inserimento di tali dati in violazione del presente articolo. 7.4. In caso di inserimento di dati di terzi, il Cliente, in qualità di Titolare, è responsabile di aver raccolto il consenso esplicito dei propri interessati prima dell’inserimento.

7.5. Il Cliente prende atto e accetta che la Società, nell’erogazione del Servizio, non accede ordinariamente ai Dati del Cliente, non monitora il contenuto testuale inserito nei campi del Servizio e non è tecnicamente in grado di verificare, in via preventiva o sistematica, la natura dei dati immessi dal Cliente nelle singole sessioni d’uso, ivi inclusa la presenza di categorie particolari di dati ai sensi dell’art. 9 GDPR o di dati relativi a condanne penali e reati ai sensi dell’art. 10 GDPR. La responsabilità esclusiva per la liceità, pertinenza e correttezza dei dati inseriti nel Servizio resta pertanto in capo al Cliente in qualità di Titolare del Trattamento, ai sensi degli artt. 5, par. 2, e 24 del GDPR. La Società interviene sui Dati del Cliente esclusivamente su istruzione documentata del Cliente ai sensi dell’art. 28, par. 3, lett. a), del GDPR, ovvero nei casi in cui sia obbligata dal diritto dell’Unione Europea o dello Stato membro cui è soggetta.

7.6. Con specifico riferimento ai dati relativi a condanne penali e reati di cui all’art. 10 del GDPR, il Cliente prende atto che il trattamento di tali dati è soggetto a un regime giuridico distinto rispetto alle categorie particolari di cui all’art. 9 del GDPR. Il trattamento di dati ex art. 10 è ammesso esclusivamente nei casi previsti dal diritto dell’Unione Europea o dello Stato membro e, in ogni caso, non è consentito sulla base del solo consenso dell’interessato. Il Cliente, in qualità di Titolare del Trattamento, garantisce di trattare tali dati esclusivamente in presenza di una specifica autorizzazione di legge e di avere verificato preventivamente la sussistenza di tale base normativa. In assenza di tale presupposto, è fatto espresso divieto al Cliente di inserire nel Servizio dati di cui all’art. 10 GDPR. La Società non risponde di alcun danno, sanzione o pretesa derivante dall’inserimento di tali dati in violazione del presente divieto, fermo restando il limite di cui all’art. 82, par. 2, del GDPR.

Art. 8 – Garanzie e Misure di Sicurezza

8.1. La Società si impegna, in qualità di Responsabile del Trattamento, ad adottare e mantenere misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, ai sensi dell’art. 32 del GDPR. Tali misure, dettagliate nel DPA, includono, tra le altre: a) cifratura dei dati personali sia in transito (in-transit) che a riposo (at-rest); b) procedure per testare, verificare e valutare regolarmente l’efficacia delle misure di sicurezza; c) meccanismi per garantire la resilienza dei sistemi e la capacità di ripristinare la disponibilità dei dati in caso di incidente; d) segregazione logica dei dati per garantire che i Dati di ciascun Cliente siano isolati da quelli degli altri. 8.2. La Società offrirà funzionalità di sicurezza aggiuntive, come l’Autenticazione a Due Fattori (2FA). Qualora tale funzionalità sia resa disponibile, il Cliente riconosce che la sua mancata attivazione può comportare un livello di rischio più elevato per la sicurezza del proprio account, del quale si assume la piena responsabilità. La Società si riserva il diritto di rendere la 2FA obbligatoria per l’accesso al Servizio o a determinate sue funzionalità, dandone congruo preavviso al Cliente.

Art. 9 – Livelli di Servizio (SLA) e Manutenzione

9.1. La Società si impegna a garantire un’adeguata disponibilità del Servizio, fatti salvi gli interventi di manutenzione programmata, che saranno comunicati con congruo preavviso, e le interruzioni dovute a cause di forza maggiore o a eventi al di fuori del ragionevole controllo della Società. 9.2. Il supporto tecnico è fornito secondo le modalità e i tempi di risposta indicati nel piano di abbonamento scelto.

Art. 10 – Sub-Responsabili e Trasferimenti di Dati

10.1. Il Cliente autorizza la Società a ricorrere a sub-responsabili (es. fornitori di hosting, software house) per l’erogazione del Servizio. 10.2. Il Cliente prende atto che l’accesso ai Dati del Cliente da parte di personale della Società o di suoi sub-responsabili situato al di fuori dello Spazio Economico Europeo (SEE) costituisce un trasferimento di dati, anche qualora i server siano localizzati all’interno del SEE. La Società si impegna a garantire che tali trasferimenti avvengano nel rispetto del GDPR, come dettagliato nel DPA.

Art. 11 – Proprietà Intellettuale

11.1. La Società è e rimane l’unica titolare di tutti i diritti di proprietà intellettuale e industriale relativi al Servizio (software, loghi, marchi, design). Il presente contratto non conferisce al Cliente alcun diritto sul codice sorgente o su altri asset proprietari della Società. 11.2. Il Cliente è e rimane l’unico titolare dei Dati del Cliente.

Art. 12 – Limitazioni di Responsabilità e Disclaimer

12.1. Disclaimer Fiscale e Finanziario: il Cliente riconosce e accetta che qualsiasi stima o calcolo (inclusi, a titolo esemplificativo, quelli relativi alla tassazione) fornito dal Servizio ha natura puramente indicativa e non costituisce in alcun modo consulenza fiscale, legale o finanziaria. La Società non garantisce l’accuratezza, la completezza o l’attualità di tali stime. Il Cliente è l’unico responsabile delle proprie decisioni finanziarie e fiscali e si impegna a consultare professionisti qualificati prima di intraprendere qualsiasi azione basata sulle informazioni del Servizio. 12.2. La responsabilità della Società per eventuali danni diretti subiti dal Cliente a causa di un inadempimento contrattuale imputabile alla Società sarà limitata, per ogni anno contrattuale, a un importo massimo pari al corrispettivo annuale pagato dal Cliente per il Servizio. 12.3. La Società non sarà in alcun caso responsabile per danni indiretti, quali perdita di profitto, di dati, di opportunità commerciali o di avviamento. 12.4. Ai sensi dell’art. 82 del GDPR, la Società, in qualità di Responsabile del Trattamento, risponde del danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Cliente (Titolare). La Società non risponde se dimostra che l’evento dannoso non le è in alcun modo imputabile.

12.5. La Società non è responsabile per la liceità, pertinenza e correttezza dei dati inseriti dal Cliente nel Servizio, ivi inclusi i dati di cui agli artt. 9 e 10 del GDPR inseriti in violazione delle previsioni contrattuali o senza la necessaria base giuridica. Tale esonero opera nei limiti in cui la Società abbia adempiuto agli obblighi a essa specificatamente diretti in qualità di Responsabile del Trattamento ai sensi dell’art. 82, par. 2, del GDPR, e in particolare agli obblighi di sicurezza dell’infrastruttura di cui all’art. 32 del GDPR. In caso di inserimento di dati in violazione del presente articolo, il Cliente è tenuto a manlevare e tenere indenne la Società da qualsiasi pretesa, sanzione, richiesta risarcitoria o costo sostenuto a causa di tale violazione, incluse le spese legali ragionevolmente sostenute.

Art. 13 – Clausola Risolutiva Espressa

13.1. Il presente contratto si intenderà risolto di diritto, ai sensi dell’art. 1456 c.c., qualora il Cliente violi gli obblighi di cui agli articoli 3 (Gestione dell’Account), 4 (Corrispettivi), 6 (Obblighi e Condotte), 7 (Categorie Particolari di Dati) e 11 (Proprietà Intellettuale). La risoluzione opererà tramite semplice comunicazione scritta da parte della Società.

Art. 14 – Modifiche Contrattuali

14.1. La Società si riserva il diritto di modificare i presenti T&C, il DPA e i prezzi del Servizio. Qualsiasi modifica sarà comunicata al Cliente con un preavviso di almeno 30 giorni. In caso di mancata accettazione delle modifiche, il Cliente avrà facoltà di recedere dal contratto senza penalità. La prosecuzione dell’utilizzo del Servizio dopo l’entrata in vigore delle modifiche ne costituirà accettazione.

Art. 15 – Comunicazioni

15.1. Tutte le comunicazioni relative al presente contratto dovranno avvenire per iscritto tramite posta elettronica certificata (PEC) o tramite le funzionalità di comunicazione presenti all’interno della piattaforma del Servizio.

Art. 16 – Legge Applicabile e Foro Competente

16.1. Il presente contratto è regolato dalla legge italiana. 16.2. Per qualsiasi controversia derivante dal presente contratto, sarà competente in via esclusiva il Foro di Palermo, fatto salvo il foro inderogabile del consumatore, qualora il Cliente agisca in tale veste.

Approvazione specifica delle clausole — artt. 1341 e 1342 c.c.

Ai sensi e per gli effetti degli articoli 1341 e 1342 del Codice Civile, il Cliente dichiara di aver letto attentamente e di approvare specificamente le seguenti clausole: Art. 2 (Durata e Recesso); Art. 8.2 (Responsabilità per mancata attivazione 2FA); Art. 12 (Limitazioni di Responsabilità e Disclaimer); Art. 13 (Clausola Risolutiva Espressa); Art. 14 (Modifiche Contrattuali); Art. 16 (Foro Competente).

Parte II

Atto di Nomina a Responsabile del Trattamento (DPA)

ai sensi dell’art. 28 del Regolamento UE 2016/679

Il presente Atto di Nomina a Responsabile del Trattamento ("DPA") è stipulato tra:

Il Cliente (come definito nei Termini e Condizioni di Servizio), in qualità di Titolare del Trattamento (di seguito, il "Titolare")

e Simple Budget Excel di Nicoletta Massimino, con sede legale in Via Lanza di Scalea 530, 90146 Palermo (PA), C.F. MSSNLT89C51G273R e P.IVA IT07279300821, in qualità di Responsabile del Trattamento (di seguito, il "Responsabile" o il "Fornitore") — congiuntamente, le "Parti".

Premesso che:

Il Titolare ha sottoscritto con il Fornitore i Termini e Condizioni di Servizio ("T&C") per la fruizione di un’applicazione software di budgeting (il "Servizio"). Nell’ambito dell’erogazione del Servizio, il Fornitore tratterà dati personali per conto del Titolare. Il presente DPA costituisce parte integrante e sostanziale dei T&C e ha lo scopo di disciplinare tale trattamento in conformità all’articolo 28 del GDPR. Con la sottoscrizione dei T&C, il Titolare nomina il Fornitore quale proprio Responsabile del Trattamento per tutte le attività descritte nel presente DPA.

Art. 1 – Oggetto, Durata, Natura e Finalità del Trattamento

1.1. Oggetto: il trattamento ha per oggetto i dati personali che il Titolare, o gli utenti da esso autorizzati, inseriscono e gestiscono all’interno del Servizio. 1.2. Durata: la durata del trattamento coincide con la durata del contratto principale definito nei T&C. 1.3. Natura: le operazioni di trattamento includono, a titolo esemplificativo: raccolta, registrazione, organizzazione, strutturazione, conservazione, elaborazione, modifica, estrazione, consultazione, utilizzo, comunicazione mediante trasmissione, blocco, cancellazione e distruzione dei dati. 1.4. Finalità: l’unica finalità del trattamento da parte del Responsabile è quella di erogare il Servizio al Titolare, consentendogli di perseguire le proprie finalità di gestione e analisi finanziaria, contabile e amministrativa, come determinate dal Titolare stesso.

Art. 2 – Tipo di Dati Personali e Categorie di Interessati

2.1. Tipo di Dati Personali: il trattamento riguarda le categorie di dati personali che il Titolare inserisce nel Servizio, tra cui, a titolo esemplificativo e non esaustivo: dati anagrafici e identificativi (del Titolare, dei suoi familiari, clienti, fornitori, dipendenti); dati di contatto; dati economici e finanziari (movimenti di conto, saldi, dettagli di transazioni, fatture); dati relativi a debiti, crediti e investimenti; potenzialmente, categorie particolari di dati personali (art. 9 GDPR) e dati relativi a condanne penali e reati (art. 10 GDPR), qualora inseriti volontariamente dal Titolare nei campi del Servizio (es. spese mediche, contributi sindacali, multe), con le precisazioni ed entro i limiti di cui all’art. 7.6 della Parte I (Termini e Condizioni), che si intendono qui trascritti.

2.2. Categorie di Interessati: le categorie di interessati sono determinate dal Titolare e possono includere, a titolo esemplificativo: il Titolare stesso, i suoi familiari, clienti, fornitori, dipendenti, collaboratori e qualsiasi altra persona fisica i cui dati siano inseriti dal Titolare nel Servizio.

Art. 3 – Obblighi del Responsabile del Trattamento

Il Responsabile si impegna a:

3.1. Istruzione Documentata: trattare i dati personali esclusivamente su istruzione documentata del Titolare, che si manifesta con l’utilizzo stesso del Servizio e con le configurazioni scelte dal Titolare. Il Responsabile informerà immediatamente il Titolare qualora un’istruzione, a suo parere, violi il GDPR o altre disposizioni normative.

3.2. Riservatezza: garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e siano state debitamente istruite ai sensi dell’art. 32, par. 4, del GDPR.

3.3. Misure di Sicurezza: adottare e mantenere misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, ai sensi dell’art. 32 del GDPR. Tali misure sono descritte in dettaglio nell’Allegato A al presente DPA e sono soggette a riesame periodico.

3.4. Sub-responsabili (Art. 28, parr. 2 e 4, GDPR): a) non ricorrere ad altri responsabili del trattamento ("Sub-responsabili") senza la previa autorizzazione scritta, specifica o generale, del Titolare. Con la sottoscrizione del presente DPA, il Titolare concede un’autorizzazione generale al Responsabile a ricorrere ai Sub-responsabili elencati nell’Allegato B. b) Informare il Titolare di ogni modifica prevista riguardante l’aggiunta o la sostituzione di Sub-responsabili, dando al Titolare la possibilità di opporsi. c) Imporre ai Sub-responsabili, tramite contratto scritto, i medesimi obblighi in materia di protezione dei dati contenuti nel presente DPA. d) Il Responsabile rimane pienamente responsabile nei confronti del Titolare dell’inadempimento dell’obbligo di protezione dei dati da parte del Sub-responsabile.

3.5. Trasferimenti di Dati Extra-SEE: non trasferire dati personali verso un paese terzo o un’organizzazione internazionale, se non su istruzione del Titolare o se richiesto dal diritto dell’Unione o degli Stati membri. In tal caso, il Responsabile garantisce che ogni trasferimento avvenga nel rispetto del Capo V del GDPR, utilizzando strumenti idonei quali decisioni di adeguatezza (es. Data Privacy Framework UE-USA), Clausole Contrattuali Standard (SCCs) integrate da una valutazione d’impatto sul trasferimento (TIA) e misure supplementari.

3.6. Assistenza al Titolare (Diritti degli Interessati): assistere il Titolare, per quanto possibile, con misure tecniche e organizzative adeguate, a dare seguito alle richieste degli interessati per l’esercizio dei loro diritti (artt. 15-22 GDPR).

3.7. Assistenza al Titolare (Conformità): assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR (sicurezza, notifica di data breach, DPIA), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

3.8. Gestione delle Violazioni di Dati (Data Breach): in caso di violazione dei dati personali trattati per conto del Titolare, informare il Titolare senza ingiustificato ritardo, fornendo tutte le informazioni necessarie per consentirgli di adempiere ai propri obblighi di notifica all’autorità di controllo (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR).

3.9. Cancellazione e Restituzione dei Dati: al termine della prestazione dei servizi, su scelta del Titolare, cancellare in modo sicuro o restituire tutti i dati personali e cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri ne preveda la conservazione. Le modalità operative sono definite nei T&C.

3.10. Audit e Ispezioni: mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire e contribuire alle attività di revisione, comprese le ispezioni, condotte dal Titolare o da un altro soggetto da esso incaricato, previo congruo preavviso e nel rispetto delle policy di sicurezza del Responsabile.

3.11. Registro delle Attività: tenere un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare, come previsto dall’art. 30, par. 2, del GDPR.

3.12. Il Cliente prende atto e accetta che la Società, nell’erogazione del Servizio, non accede ordinariamente ai Dati del Cliente, non monitora il contenuto testuale inserito nei campi del Servizio e non è tecnicamente in grado di verificare, in via preventiva o sistematica, la natura dei dati immessi dal Cliente nelle singole sessioni d’uso, ivi inclusa la presenza di categorie particolari di dati ai sensi dell’art. 9 GDPR o di dati relativi a condanne penali e reati ai sensi dell’art. 10 GDPR. La responsabilità esclusiva per la liceità, pertinenza e correttezza dei dati inseriti nel Servizio resta in capo al Cliente in qualità di Titolare del Trattamento, ai sensi degli artt. 5, par. 2, e 24 del GDPR. La Società interviene sui Dati del Cliente esclusivamente su istruzione documentata del Cliente ai sensi dell’art. 28, par. 3, lett. a), del GDPR, ovvero nei casi in cui sia obbligata dal diritto dell’Unione Europea o dello Stato membro cui è soggetta.

Art. 4 – Obblighi del Titolare del Trattamento

4.1. Il Titolare è l’unico responsabile della liceità dei dati personali inseriti nel Servizio e garantisce di disporre di un’idonea base giuridica per il trattamento di tali dati. 4.2. Il Titolare si impegna a fornire al Responsabile solo le istruzioni conformi al GDPR e a manlevare e tenere indenne il Responsabile da qualsiasi sanzione, reclamo o richiesta di risarcimento derivante da una violazione dei propri obblighi di Titolare.

Art. 5 – Responsabilità e Manleva

5.1. La responsabilità del Responsabile per i danni causati dal trattamento è disciplinata dall’art. 82 del GDPR. Il Responsabile risponde solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili o se ha agito in modo difforme o contrario alle legittime istruzioni del Titolare. 5.2. Il Responsabile non è esonerato dalla sua responsabilità per il solo fatto che il danno sia stato causato da un errore di una persona che agisce sotto la sua autorità.

Art. 6 – Disposizioni Finali

6.1. Il presente DPA è parte integrante dei T&C e ne segue le sorti. 6.2. Qualsiasi modifica al presente DPA dovrà essere effettuata per iscritto e accettata da entrambe le Parti. 6.3. Per tutto quanto non espressamente previsto, si fa rinvio al GDPR, alla normativa nazionale applicabile e ai T&C. 6.4. Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia è competente il foro indicato nei T&C.

Allegato A – Misure Tecniche e Organizzative di Sicurezza (Art. 32 GDPR)

Il Responsabile si impegna a implementare e mantenere le seguenti misure:

Pseudonimizzazione e cifratura

• Cifratura dei dati personali in transito (protocollo TLS 1.2 o superiore).
• Cifratura dei dati personali a riposo (at-rest) a livello di database e/o storage.
• Cifratura dei backup.

Riservatezza, integrità, disponibilità e resilienza

• Controllo degli accessi: autenticazione forte (inclusa la disponibilità di 2FA), gestione granulare dei ruoli e dei permessi e logica di accesso basata sul principio del "need-to-know".
• Segregazione dei dati: misure logiche per garantire che i dati di ciascun Titolare siano isolati e non accessibili ad altri Titolari.
• Logging e monitoraggio: log dettagliati (audit trail) per gli accessi e le operazioni critiche sui dati.
• Protezione dell’infrastruttura: firewall, sistemi di prevenzione delle intrusioni e protezione contro malware.

Ripristino e continuità operativa

• Procedure di backup regolari e automatizzate.
• Procedure per testare, verificare e valutare regolarmente l’efficacia delle misure di backup e ripristino.

Sicurezza dello sviluppo e gestione delle vulnerabilità

• Applicazione di pratiche di sviluppo sicuro (secure coding).
• Esecuzione di test di vulnerabilità e penetration test periodici.

Sicurezza fisica

• Utilizzo di data center che garantiscono elevati standard di sicurezza fisica e ambientale.

Allegato B – Elenco dei Sub-responsabili Autorizzati

Con la sottoscrizione del DPA, il Titolare autorizza il Responsabile a ricorrere ai seguenti Sub-responsabili:

Approvazione specifica (per Clienti non consumatori) — artt. 1341 e 1342 c.c.

Ai sensi e per gli effetti degli articoli 1341 e 1342 del Codice Civile, il Titolare dichiara di aver letto attentamente e di approvare specificamente le seguenti clausole: Art. 3.4 (Autorizzazione generale ai Sub-responsabili); Art. 3.10 (Limiti e modalità di Audit); Art. 5 (Responsabilità e Manleva); Art. 6.4 (Foro Competente).

Simple Budget

Domande sul contratto o sulla privacy? Scrivici a privacy@simplebudgetapp.com

Simple Budget Excel di Nicoletta Massimino — Via Lanza di Scalea 530, 90146 Palermo (PA) — P.IVA IT07279300821