Data Processing Agreement (DPA)

Ultimo aggiornamento: 3 maggio 2026 · Versione 1.0 · DockFM® è un marchio registrato.

A chi serve: a tutti i clienti business (emittenti radio, web radio, instore retail, agenzie, aziende) che, utilizzando DockFM®, trattano dati personali di terzi (ascoltatori, ospiti, dipendenti, contatti) attraverso la piattaforma. Questo DPA si attiva automaticamente alla sottoscrizione di un piano a pagamento e regola il rapporto fra te (Titolare) e DockFM (Responsabile) ai sensi dell'art. 28 GDPR. È integrato per riferimento nei Termini di Servizio.

1. Parti

Titolare del trattamento ("Cliente"): persona fisica/giuridica che sottoscrive un piano DockFM e carica/elabora dati personali di terzi.
Responsabile del trattamento ("DockFM"): il Team di DockFM®, contattabile a privacy@dockfm.it.

2. Oggetto, durata, natura e finalità

  • Oggetto: trattamento dei dati personali necessari all'erogazione del servizio SaaS DockFM® (regia radiofonica, automazione, streaming, AI, dashboard).
  • Durata: coincide con la durata dell'abbonamento attivo del Cliente, salvo periodi di conservazione ulteriore previsti dalla legge.
  • Natura: archiviazione, organizzazione, consultazione, elaborazione, trasmissione e cancellazione dei dati per conto del Cliente.
  • Finalità: esclusivamente erogazione del Servizio secondo le istruzioni documentate del Cliente.
  • Categorie di interessati: ascoltatori, dipendenti del Cliente, ospiti in onda, contatti commerciali, utenti finali del Cliente.
  • Categorie di dati: identificativi, di contatto, audio (voce), preferenze di ascolto, eventuali categorie particolari (es. opinioni politico/religiose desumibili da contenuti) solo se caricate dal Cliente sotto sua responsabilità.

3. Obblighi del Responsabile (DockFM)

DockFM si impegna a (art. 28.3 GDPR):

  • Trattare i dati esclusivamente sulla base di istruzioni documentate del Cliente, anche per i trasferimenti extra-UE, salvo obblighi legali.
  • Garantire che il personale autorizzato si impegni alla riservatezza o sia soggetto a obbligo legale di segretezza.
  • Adottare le misure di sicurezza ex art. 32 GDPR (cifratura TLS 1.3, AES-256 at-rest, hash argon2id, MFA, backup cifrati, audit log).
  • Assistere il Cliente, con misure tecniche e organizzative adeguate, nelle risposte alle richieste degli interessati (artt. 15-22 GDPR).
  • Assistere il Cliente nell'adempimento degli obblighi di sicurezza (art. 32), notifica violazioni (artt. 33-34) e DPIA (artt. 35-36).
  • Restituire o cancellare i dati personali al termine del Servizio, a scelta del Cliente, salvo obblighi legali di conservazione.
  • Mettere a disposizione del Cliente le informazioni necessarie a dimostrare la conformità e consentire audit (anche tramite terzo indipendente, max 1/anno, con preavviso 30gg, salvo violazione).

4. Sub-responsabili (sub-processors)

Il Cliente autorizza in via generale DockFM a impiegare i sub-responsabili elencati nella Privacy Policy sezione 4 (Lemon Squeezy, Supabase, Vercel, Cloudflare, Tawk.to, Microsoft, Resend/Postmark, Google).

DockFM informa il Cliente con almeno 30 giorni di anticipo di qualunque modifica all'elenco. Il Cliente ha diritto di obiettare per motivi legittimi; in tal caso le parti negozieranno in buona fede una soluzione, fermo restando il diritto di recesso del Cliente in caso di mancato accordo.

5. Trasferimenti extra-UE

I trasferimenti verso Paesi terzi avvengono esclusivamente sulla base di: (i) decisione di adeguatezza UE (incluso EU-US DPF); (ii) Clausole Contrattuali Standard UE 2021/914 modulo 3 (responsabile-sub-responsabile) integrate da misure tecniche supplementari; (iii) altre garanzie ex art. 46 GDPR.

6. Data Breach — Notifica

In caso di violazione dei dati personali, DockFM notifica al Cliente senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, fornendo: natura della violazione, categorie e numero approssimativo di interessati e record coinvolti, conseguenze probabili, misure adottate o proposte. Il Cliente resta responsabile della notifica all'autorità di controllo (art. 33) e agli interessati (art. 34).

7. Diritti degli interessati

DockFM mette a disposizione strumenti self-service (export JSON/CSV, cancellazione account, gestione sub-account) per consentire al Cliente di evadere autonomamente le richieste degli interessati. Per richieste complesse o particolari, DockFM fornisce assistenza tecnica entro 5 giorni lavorativi.

8. Cessazione e restituzione dei dati

Al termine del rapporto contrattuale, il Cliente può richiedere entro 30 giorni l'export integrale dei propri dati in formato strutturato. Decorso tale termine, DockFM cancella tutti i dati personali entro ulteriori 60 giorni, salvo obblighi legali di conservazione (es. fatturazione 10 anni). I backup vengono purgati al successivo ciclo di rotazione (max 90 giorni).

9. Audit e ispezioni

Il Cliente ha diritto, una volta all'anno (o con frequenza maggiore in caso di violazioni accertate), di verificare la conformità di DockFM, anche tramite revisore terzo indipendente vincolato da NDA. L'audit avviene con preavviso scritto di almeno 30 giorni, in orario lavorativo, senza interferire con la continuità del Servizio. I costi sono a carico del Cliente, salvo l'audit non riveli inadempimenti gravi.

10. Responsabilità

Ciascuna parte risponde dei danni cagionati dal proprio inadempimento agli obblighi GDPR/DPA secondo il regime dell'art. 82 GDPR. La limitazione di responsabilità di cui ai Termini di Servizio art. 17 si applica salvo i casi di dolo, colpa grave o violazione di obblighi inderogabili.

11. Legge applicabile e foro

Il presente DPA è disciplinato dalla legge italiana e dal Reg. UE 2016/679. Per le controversie si applica il foro indicato nei Termini di Servizio art. 28.

12. Accettazione del DPA

Il presente DPA si intende accettato e attivato:

  • al momento della sottoscrizione di un piano a pagamento DockFM®;
  • oppure tramite firma digitale richiesta a legal@dockfm.it (per clienti enterprise che richiedono copia controfirmata).

Per richiedere copia in PDF firmata digitalmente, contatta legal@dockfm.it indicando ragione sociale, P.IVA e ID account.