Note legali

Ultima modifica: 29 dicembre, 2025

  • Termini & Condizioni
  • Privacy Policy
  • DPA
  • Informazioni di contatto
  • Proprietà intellettuale

Termini & Condizioni

I presenti Termini e Condizioni (i “Termini”) regolano il rapporto contrattuale tra Sefthy S.r.l. (“Sefthy” o “Fornitore”) e il soggetto che acquista e utilizza i Servizi in qualità di Managed Service Provider (MSP), System Integrator o società (“Cliente” o “Partner”).
I dettagli societari e i contatti legali del Fornitore sono disponibili nella pagina Note Legali sul sito web aziendale sefthy.com.

Accettando i Termini o utilizzando i Servizi, il Cliente dichiara di aver letto e accettato integralmente i Termini.

1. Struttura del Contratto e Documenti Incorporati (Incorporation by Reference)

Il contratto tra Sefthy e il Cliente (il “Contratto”) è composto da:

  1. questi Termini;

  2. eventuale Ordine/Offerta (anche via e-mail o portale) che definisce prezzi, durata, piani, quantità e specifiche;

  3. DPA / Data Processing Addendum (se e nella misura in cui Sefthy tratti Dati Personali per conto del Cliente): sefthy.com/legalnotice#dpa;

  4. eventuale Acceptable Use Policy (AUP);

Ordine di prevalenza. In caso di conflitto, prevale: Ordine/Offerta → DPA → Termini → AUP (salvo diversa indicazione espressa).

2. Conclusione del Contratto, Attivazione e Durata

Il Contratto si perfeziona al momento dell’accettazione online dei Termini (o equivalente meccanismo elettronico) e diventa efficace con la conferma d’ordine e/o l’attivazione dei Servizi da parte di Sefthy.

Salvo diversa previsione nell’Ordine/Offerta, il Contratto ha durata indeterminata. Il Cliente può recedere con efficacia alla fine del periodo di fatturazione in corso, comunicando il recesso per iscritto e/o disattivando i Servizi tramite portale. Sefthy può recedere con preavviso scritto di 30 giorni, fatti salvi i casi di sospensione o risoluzione immediata previsti dai Termini.

3. Oggetto e Descrizione dei Servizi

Sefthy fornisce servizi cloud professionali, inclusi a titolo esemplificativo:

  • Backup (spazio e piattaforme per copie e ripristino);

  • Disaster Recovery (DR) (replica e ripartenza su infrastruttura Sefthy);

  • Virtualizzazione / VM (CPU, RAM, storage e risorse correlate);

  • Cloud Storage e servizi correlati.

Caratteristiche tecniche, limiti e funzionalità sono descritti nelle Docs (sefthy.com/docs) e nelle schede ufficiali. Sefthy può aggiornare o modificare caratteristiche dei Servizi per miglioramenti tecnici, sicurezza o compliance, fermo restando SLA e obblighi contrattuali applicabili.

4. Modello MSP/SI – Rivendita e Assenza di Rapporto con gli End Customer

Il Cliente acquista i Servizi per erogarli e/o rivenderli a terzi (“End Customer”), o per proprio utilizzo interno. Il Cliente resta l’unico responsabile verso gli End Customer per gli obblighi contrattuali assunti nei loro confronti. Sefthy non instaura alcun rapporto contrattuale diretto con gli End Customer e non assume obbligazioni dirette verso di loro.

Il Cliente si impegna a prevedere nei contratti con gli End Customer condizioni coerenti con questi Termini, almeno in tema di uso lecito, limitazioni, sospensione/risoluzione, e trattamento dati.

5. Obblighi del Cliente e Uso Ammissibile

Il Cliente si impegna a:

  • usare i Servizi in conformità alle leggi applicabili e alle istruzioni tecniche;

  • non utilizzare i Servizi per finalità illecite o dannose (es. malware, hacking, phishing, spam, violazioni IP/copyright, contenuti illegali);

  • non interferire con l’infrastruttura Sefthy, non tentare accessi non autorizzati, e non eseguire penetration test/scansioni senza autorizzazione scritta.

Il Cliente è responsabile del contenuto dei dati e dei sistemi caricati, archiviati o trasmessi tramite i Servizi e manleva Sefthy da pretese derivanti dall’uso illecito o non conforme.

6. Credenziali e Sicurezza Operativa

Il Cliente è responsabile della custodia delle credenziali (utente/password/API key) e di tutte le attività svolte tramite il proprio account (incluse quelle di sub-utenti). In caso di compromissione sospetta o accesso non autorizzato, il Cliente deve informare tempestivamente Sefthy; Sefthy potrà adottare misure ragionevoli (sospensione credenziali, rigenerazione, ecc.).

7. Software di Terze Parti e Licenze

Il Cliente è esclusivamente responsabile della corretta licenza e legittimità di software, sistemi operativi e contenuti utilizzati tramite i Servizi. In caso di segnalazioni credibili di violazioni, Sefthy può richiedere informazioni e adottare misure ragionevoli di mitigazione, inclusa la sospensione/limitazione delle risorse impattate.

8. Prezzi, Fatturazione, Pagamenti

I corrispettivi sono quelli indicati nel listino ufficiale Sefthy o nell’Ordine/Offerta. Salvo diverso accordo, sono al netto di IVA e imposte. Pagamenti tramite metodi indicati (es. carta o strumenti elettronici). Il Cliente autorizza gli addebiti secondo la periodicità prevista. In caso di ritardo maturano interessi di mora ai sensi del D.Lgs. 231/2002 (o diversa misura pattuita nell’Ordine/Offerta, se superiore), fatti salvi ulteriori rimedi.

9. Politica di Rimborso

Salvo diversa previsione nell’Ordine/Offerta, i corrispettivi pagati sono non rimborsabili. La cancellazione ha effetto al termine del periodo di fatturazione in corso e non dà diritto a rimborsi o accrediti pro-rata, restando salvi eventuali diritti inderogabili applicabili.

10. Sospensione del Servizio

Sefthy può sospendere i Servizi, in tutto o in parte, in caso di:

  • mancato pagamento;

  • violazioni gravi o ripetute dei Termini o dell’eventuale AUP;

  • necessità di protezione della sicurezza dei sistemi o prevenzione di danni;

  • ordini/richieste di autorità competenti.

Durante la sospensione per mancato pagamento, il Cliente resta tenuto al pagamento degli importi maturati e non ha diritto a rimborsi o estensioni per il periodo di sospensione.

11. Risoluzione per Mancato Pagamento e Cancellazione Dati

Se il Cliente non salda integralmente quanto dovuto entro 5 (cinque) giorni di calendario dalla sospensione (o comunque entro 5 giorni dal mancato pagamento della fattura), Sefthy può risolvere il Contratto limitatamente ai Servizi insoluti, con comunicazione scritta (anche via e-mail), e procedere alla disattivazione definitiva dei Servizi interessati.

Decorso tale termine, i dati e le configurazioni associate ai Servizi sospesi possono essere cancellati in modo irreversibile (inclusi backup, VM, volumi e archivi) senza ulteriore preavviso. Il Cliente riconosce che la perdita dei dati derivante dall’inadempimento di pagamento non dà diritto ad alcun indennizzo o risarcimento.

12. SLA – Service Level Agreement (99,7%) e Service Credit

Sefthy garantisce una disponibilità dei Servizi pari al 99,7% su base annuale.

Sono esclusi dal calcolo SLA: manutenzioni programmate comunicate con congruo preavviso; forza maggiore; cause non imputabili a Sefthy (es. problemi di rete del Cliente o internet globale); sospensioni previste dai Termini; ulteriori esclusioni indicate nello SLA.

Rimedio unico (Service Credit). In caso di mancato rispetto dell’SLA per cause imputabili a Sefthy, il Cliente ha diritto esclusivamente a un credito di servizio calcolato come segue:

  • 10% dell’importo della fattura mensile del Servizio impattato per ogni punto percentuale pieno di disponibilità al di sotto del 99,7%, fino a un massimo complessivo del 50% dell’importo della fattura mensile del Servizio impattato.

Termine richiesta. Il Cliente deve inviare richiesta scritta del Service Credit entro 30 giorni dall’evento di disservizio, indicando date/ore, Servizi impattati e descrizione dell’impatto. Il credito, se riconosciuto, verrà applicato alla prima fattura utile.
Il Service Credit costituisce il rimedio esclusivo per violazioni SLA.

13. Trial gratuito (7 giorni)

Sefthy può offrire un trial gratuito di 7 giorni riservato ai nuovi Clienti. Alla scadenza, se non si attiva un piano a pagamento, i Servizi trial saranno disattivati e i dati/configurazioni creati durante il trial potranno essere cancellati permanentemente.

14. Proprietà Intellettuale e Licenza d’Uso

Sefthy mantiene la titolarità di piattaforme, software, documentazione, marchi e know-how. Al Cliente è concessa una licenza non esclusiva, non trasferibile e limitata alla durata del Contratto per utilizzare i Servizi secondo i Termini.

Il Cliente mantiene la titolarità dei propri dati e contenuti (“Customer Content”).

15. Riservatezza

Ciascuna parte manterrà riservate le informazioni confidenziali dell’altra parte e le userà solo per l’esecuzione del Contratto. Restano escluse informazioni già pubbliche, ottenute legittimamente da terzi o sviluppate indipendentemente. È consentita la divulgazione se richiesta da legge/autorità.

16. Limitazione di Responsabilità

Nei limiti massimi consentiti dalla legge, Sefthy non è responsabile per danni indiretti o consequenziali, perdita di profitti, opportunità, interruzione del business, perdita di avviamento o reputazione, o perdita di dati, salvo dolo o colpa grave quando inderogabile.

La responsabilità complessiva di Sefthy per danni diretti provati non potrà eccedere il 50% dei corrispettivi pagati dal Cliente per il Servizio che ha originato il danno nei 12 mesi precedenti l’evento (o, se inferiore, l’importo complessivamente pagato fino a quel momento per il Servizio interessato).

Decadenza comunicazione reclami. Eventuali contestazioni o richieste di risarcimento devono essere comunicate dal Cliente entro 30 giorni dalla conoscenza dell’evento, salvo diritti inderogabili.

17. Forza Maggiore

Nessuna parte è responsabile per ritardi o inadempimenti dovuti a eventi di forza maggiore fuori dal ragionevole controllo. Se l’evento dura oltre 60 giorni consecutivi, ciascuna parte può risolvere il Contratto con comunicazione scritta, restando dovuti i corrispettivi maturati fino a quel momento.

18. Protezione Dati (GDPR) – DPA Pubblico Incorporato

Per i dati personali trattati tramite i Servizi, il Cliente può agire come Titolare o come Responsabile verso i propri End Customer. In relazione ai dati personali caricati o trattati dal Cliente tramite i Servizi, Sefthy opera come Responsabile del trattamento (o Sub-responsabile, se il Cliente è Responsabile) limitatamente alle operazioni necessarie all’erogazione dei Servizi e secondo istruzioni documentate.

Il trattamento per conto del Cliente è disciplinato dal DPA pubblico disponibile al link sefthy.com/legalnotice#dpa, che è incorporato nel Contratto per riferimento e si applica automaticamente nella misura necessaria ai sensi dell’art. 28 GDPR. Il DPA include (anche tramite allegati aggiornabili) misure tecniche e organizzative, sub-responsabili, gestione richieste interessati e gestione incidenti/data breach.

I dati personali del Cliente relativi a registrazione, fatturazione e gestione contrattuale sono trattati da Sefthy in qualità di Titolare secondo la Privacy Policy: sefthy.com/legalnotice#privacy.

19. Cancellazione / Restituzione Dati alla Cessazione

Alla cessazione o scadenza del Contratto, o su richiesta scritta del Cliente, Sefthy procederà – nei limiti e secondo le modalità del DPA – alla cancellazione o anonimizzazione dei dati personali trattati per conto del Cliente dai sistemi di produzione. I dati presenti nei backup saranno eliminati alla scadenza del periodo di retention applicabile.

Eventuali attività di esportazione/restituzione dati possono essere fornite, ove tecnicamente disponibili, su richiesta e secondo condizioni concordate (es. costi e finestra temporale). Il Cliente resta responsabile dell’export durante la validità del Servizio, prima della cessazione o della cancellazione per mancato pagamento.

20. Modifiche ai Termini

Sefthy può aggiornare i Termini per motivi tecnici, sicurezza, legali o organizzativi. Le versioni aggiornate saranno pubblicate sul sito con versione e data. L’uso continuato dei Servizi dopo l’efficacia delle modifiche costituisce accettazione.

21. Legge Applicabile e Foro

Il Contratto è regolato dalla legge italiana. Per ogni controversia è competente in via esclusiva il Foro di Bari, fatto salvo il diritto di Sefthy di agire per misure urgenti o recupero crediti presso i fori competenti.

Le parti riconoscono che il Cliente agisce quale operatore professionale (B2B) e non come consumatore.

22. Comunicazioni e Contatti

Comunicazioni legali/contrattuali: [email protected]
Comunicazioni privacy/GDPR: [email protected]
Supporto tecnico: canale ticketing indicato in portale/Ordine (console.sefthy.cloud)

23. Clausole da approvare specificamente (artt. 1341 e 1342 c.c.)

Il Cliente dichiara di approvare specificamente, anche tramite checkbox dedicata, le seguenti clausole:

  • Art. 9 (Politica di rimborso – non rimborsabilità)

  • Art. 10 (Sospensione del servizio)

  • Art. 11 (Risoluzione per mancato pagamento e cancellazione irreversibile dei dati)

  • Art. 12 (SLA: rimedio unico, calcolo e termine di richiesta)

  • Art. 16 (Limitazione di responsabilità e decadenza comunicazione reclami)

  • Art. 20 (Modifiche ai Termini)

  • Art. 21 (Foro esclusivo)

Privacy Policy

Questa Privacy Policy descrive come Sefthy S.r.l. (“Sefthy”, “noi”) tratta i dati personali quando visiti il sito sefthy.com (il “Sito”) e quando accedi o utilizzi la Sefthy Console su console.sefthy.cloud (la “Piattaforma”). Sito e Piattaforma sono congiuntamente i “Servizi”.

1. Titolare del trattamento e contatti

Il Titolare del trattamento è Sefthy S.r.l. I dettagli societari completi (sede, P.IVA e ulteriori contatti) sono disponibili nella sezione “Note Legali” del sito.
Per richieste Privacy/GDPR puoi scrivere a: [email protected]

2. Ruoli: quando Sefthy è Titolare e quando è Responsabile (DPA)

Sefthy tratta dati personali in ruoli diversi a seconda del contesto:

a) Sefthy come Titolare: tratta i dati dei visitatori del Sito e dei referenti del Cliente/Partner (account, fatturazione, amministrazione, supporto, sicurezza della Piattaforma e comunicazioni).

b) Sefthy come Responsabile/Sub-responsabile: quando il Cliente utilizza i Servizi (ad es. Backup, Disaster Recovery, macchine virtuali, cloud storage) e carica o fa trattare dati personali (“Dati del Cliente”), Sefthy tratta tali dati per conto del Cliente secondo il Data Processing Addendum (“DPA”) pubblicato nella sezione Note Legali e incorporato nei Termini e Condizioni di Servizio.

La presente Privacy Policy riguarda principalmente i trattamenti in cui Sefthy agisce come Titolare; per i Dati del Cliente fa fede il DPA.

3. Quali dati personali trattiamo (come Titolare)

A seconda dell’uso dei Servizi, possiamo trattare:

  • Dati di account e contatto: nome/cognome, e-mail aziendale, telefono, ruolo, società, credenziali (password conservata in forma cifrata/hashata).

  • Dati amministrativi e di fatturazione: indirizzo di fatturazione, P.IVA, storico ordini/abbonamenti, pagamenti (in genere tramite tokenizzazione, senza memorizzare i dati completi della carta).

  • Dati di supporto: comunicazioni via e-mail/ticket/chat, contenuto delle richieste e feedback.

  • Dati tecnici e di utilizzo del Sito/Piattaforma: log di accesso, indirizzo IP, identificativi di sessione, informazioni su browser/dispositivo, pagine o funzionalità utilizzate.

  • Cookie e strumenti simili: secondo quanto indicato nella sezione “Cookie e strumenti di tracciamento”.

4. Finalità e basi giuridiche del trattamento

Trattiamo i dati personali per le seguenti finalità:

a) Erogazione dei Servizi e gestione dell’account (creazione account, autenticazione, funzionalità della Console).
Base giuridica: esecuzione del contratto e/o misure precontrattuali.

b) Amministrazione, fatturazione, pagamenti, adempimenti fiscali e contabili.
Base giuridica: obbligo legale ed esecuzione del contratto.

c) Supporto tecnico e customer care.
Base giuridica: esecuzione del contratto e/o legittimo interesse a gestire richieste e migliorare il servizio.

d) Sicurezza, prevenzione abusi e tutela dei diritti (es. logging, prevenzione frodi, gestione incidenti, continuità operativa).
Base giuridica: legittimo interesse e, quando necessario, obbligo legale.

e) Comunicazioni commerciali (marketing) e attività promozionali.
Base giuridica: consenso quando richiesto; in contesti B2B, alcune comunicazioni strettamente connesse al rapporto contrattuale possono basarsi su legittimo interesse, nei limiti consentiti, con possibilità di opposizione (opt-out).

f) Analisi statistiche e misurazione (analytics) sul Sito/Piattaforma.
Base giuridica: consenso quando gli strumenti comportano tracciamento non tecnico; in caso di strumenti strettamente tecnici/aggregati necessari al funzionamento o alla sicurezza, legittimo interesse, ove applicabile.

5. Modalità del trattamento e misure di sicurezza

Adottiamo misure tecniche e organizzative ragionevoli per proteggere i dati (ad esempio cifratura in transito, controlli di accesso, principio del minimo privilegio, monitoraggio e logging di sicurezza). Nessun sistema può garantire sicurezza assoluta: esiste un rischio residuo legato alla trasmissione via Internet.

6. Destinatari dei dati (fornitori e terze parti)

Non vendiamo né affittiamo i dati personali. Possiamo condividere dati con:

  • fornitori tecnici necessari a erogare Sito e Piattaforma (ad es. hosting, CDN, sicurezza);

  • fornitori di pagamento e fatturazione;

  • fornitori di supporto e comunicazione (ticketing, e-mail, chat), se utilizzati;

  • fornitori di autenticazione (SSO) opzionali, se attivati dal Cliente;

  • consulenti professionali (legali, contabili, revisori) vincolati da riservatezza;

  • autorità o soggetti terzi quando richiesto dalla legge o necessario per tutelare i nostri diritti.

Per i sub-responsabili che trattano i Dati del Cliente nell’ambito dei Servizi cloud, si rimanda all’elenco e alle regole di aggiornamento previste nel DPA.

7. Trasferimenti extra SEE

Se alcuni fornitori sono situati fuori dallo Spazio Economico Europeo, adottiamo garanzie adeguate (ad esempio decisioni di adeguatezza o Clausole Contrattuali Standard). È possibile richiedere maggiori informazioni scrivendo a [email protected]

8. Conservazione dei dati

Conserviamo i dati per il tempo necessario alle finalità indicate e agli obblighi di legge. Indicativamente:

  • Dati di fatturazione e documentazione contabile/fiscale: fino a 10 anni.

  • Dati di account e contrattuali: per la durata del rapporto e, successivamente, per il tempo necessario alla tutela dei diritti e agli obblighi applicabili.

  • Dati di supporto: per un periodo proporzionato alla gestione del ticket e alla tutela del servizio (ad es. fino a 36 mesi, salvo necessità ulteriori).

  • Dati di log e sicurezza: per periodi coerenti con finalità di sicurezza e compliance, variabili in base al tipo di log e al rischio.

  • Cookie e identificativi: secondo quanto indicato nella sezione Cookie e nelle preferenze impostate.

Quando i tempi di conservazione terminano, cancelliamo o rendiamo anonimi i dati, salvo obblighi di legge o necessità di tutela in sede giudiziaria.

9. Diritti dell’interessato

Nei limiti e alle condizioni del GDPR, hai diritto di chiedere: accesso, rettifica, cancellazione, limitazione, opposizione (in particolare al marketing), portabilità, e di revocare il consenso (senza pregiudicare il trattamento precedente). Puoi inoltre proporre reclamo all’Autorità di controllo competente.
Per esercitare i diritti: [email protected]

10. Cookie e strumenti di tracciamento

Utilizziamo cookie e tecnologie simili per funzionalità tecniche (sessione, autenticazione, preferenze), misurazione/analytics e, se attivati, strumenti marketing.

Gli strumenti non tecnici (ad esempio analytics avanzati e pixel marketing) vengono attivati solo previo consenso tramite banner/cookie management. Le preferenze possono essere modificate in qualsiasi momento tramite l’apposita funzione “Gestisci preferenze cookie” disponibile nel footer del Sito. Se rifiuti i cookie non tecnici, la navigazione e le funzionalità essenziali restano disponibili, ma alcune misurazioni potrebbero non essere possibili.

11. Modifiche alla presente Privacy Policy

Possiamo aggiornare questa Privacy Policy per adeguamenti normativi o cambiamenti dei trattamenti. Pubblicheremo la versione aggiornata con data di aggiornamento. Per modifiche sostanziali potremo notificare via e-mail o messaggio in Piattaforma, con congruo preavviso.

DPA

Il presente Data Processing Addendum (“DPA”) disciplina il trattamento dei dati personali effettuato da Sefthy S.r.l. (“Sefthy” o “Responsabile”) per conto del Cliente/Partner (“Titolare”) nell’ambito dei Servizi forniti da Sefthy.

Il DPA è parte integrante dei Termini e Condizioni di Servizio (“ToS”) accettati dal Titolare ed è efficace dalla data di attivazione/uso dei Servizi o dalla data di accettazione elettronica dei ToS, se precedente. In caso di conflitto tra DPA e ToS in materia di protezione dei dati, prevale il presente DPA; per ogni altro aspetto restano applicabili i ToS.

Il presente DPA è pubblicato in forma standard e si applica automaticamente a ciascun Titolare che accetta i ToS; i dati identificativi del Titolare non sono riportati nel DPA pubblico e risultano dai dati di registrazione e/o dall’Ordine/Offerta.

1. Definizioni

Salvo quanto diversamente definito nel presente DPA, i termini “dati personali”, “trattamento”, “violazione dei dati personali”, “titolare”, “responsabile”, “sub-responsabile”, “interessato” hanno il significato attribuito dal Regolamento (UE) 2016/679 (“GDPR”).

Per “Dati del Cliente” si intendono i dati personali (se presenti) contenuti o trattati nei sistemi, backup, volumi, macchine virtuali, archivi e log generati o trasferiti dal Titolare e/o dai suoi utenti/finali (“End Customer”) tramite i Servizi.

2. Oggetto, natura, finalità e durata del trattamento

2.1 Oggetto e natura. Sefthy tratta i Dati del Cliente esclusivamente per fornire i Servizi (es. backup, disaster recovery, virtualizzazione/VM, cloud storage, gestione e monitoraggio tecnico, supporto), secondo le istruzioni documentate del Titolare.

2.2 Finalità. Le finalità del trattamento sono: (i) erogazione, gestione, manutenzione e sicurezza dei Servizi; (ii) assistenza tecnica; (iii) prevenzione e gestione incidenti, anomalie e abusi; (iv) adempimenti legali applicabili a Sefthy come fornitore dei Servizi.

2.3 Durata. Il trattamento dura per l’intera durata dei Servizi e, successivamente, per il periodo necessario alla cancellazione/restituzione secondo l’art. 11 e secondo le retention tecniche applicabili (incluse quelle di backup), salvo obblighi di legge.

2.4 Descrizione dettagliata. Categorie di interessati, categorie di dati e operazioni di trattamento sono descritte nell’Allegato II.

3. Istruzioni del Titolare

3.1 Istruzioni documentate. Sefthy tratta i Dati del Cliente solo su istruzione documentata del Titolare. Le istruzioni sono normalmente impartite: (i) tramite configurazioni e comandi nella Console; (ii) tramite ticket/supporto; (iii) tramite ordini/offerte e documentazione tecnica applicabile.

3.2 Istruzioni illecite. Se Sefthy ritiene che un’istruzione violi il GDPR o altra normativa applicabile, ne informa il Titolare e può sospendere l’esecuzione dell’istruzione fino a chiarimento.

3.3 Divieto di uso autonomo. Sefthy non accede ai Dati del Cliente né li usa per finalità proprie, salvo quanto necessario per erogare i Servizi, garantire sicurezza e adempiere obblighi legali.

4. Obblighi e garanzie del Titolare

4.1 Il Titolare dichiara e garantisce che: (i) i Dati del Cliente sono trattati lecitamente e con idonea base giuridica; (ii) ha fornito le informative necessarie agli interessati e raccolto consensi ove richiesti; (iii) le istruzioni fornite a Sefthy sono lecite; (iv) ha facoltà di nominare Sefthy responsabile/sub-responsabile.

4.2 Categorie particolari e dati giudiziari. Il Titolare si impegna a non trattare tramite i Servizi categorie particolari di dati (art. 9 GDPR) o dati relativi a condanne penali e reati (art. 10 GDPR), salvo che ciò sia strettamente necessario, lecito e accompagnato da adeguate misure e istruzioni specifiche; in tal caso il Titolare ne informa preventivamente Sefthy e concorda eventuali garanzie aggiuntive.

5. Riservatezza e personale autorizzato

Sefthy garantisce che le persone autorizzate al trattamento dei Dati del Cliente: (i) sono vincolate a obblighi di riservatezza; (ii) accedono ai dati solo nella misura necessaria; (iii) ricevono istruzioni e formazione adeguata.

6. Misure tecniche e organizzative di sicurezza

6.1 Sefthy implementa misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio ai sensi dell’art. 32 GDPR. Le misure minime applicate sono descritte nell’Allegato III.

6.2 Il Titolare riconosce che la sicurezza è anche funzione delle sue configurazioni e del suo ambiente (es. credenziali, endpoint/connector on-premise, reti del Cliente, policy di accesso). Il Titolare è responsabile di configurare e usare i Servizi in modo conforme e sicuro.

7. Sub-responsabili (autorizzazione generale)

7.1 Autorizzazione generale. Il Titolare autorizza Sefthy a ricorrere a sub-responsabili per l’erogazione dei Servizi, secondo l’elenco in Allegato IV.

7.2 Aggiornamenti e opposizione. Sefthy può aggiungere o sostituire sub-responsabili informando il Titolare con un preavviso di almeno 15 giorni (salvo urgenze di sicurezza o sostituzioni equivalenti). Entro tale termine il Titolare può opporsi per iscritto per motivi ragionevoli legati alla protezione dei dati. In caso di opposizione non risolvibile, il Titolare può cessare il solo Servizio impattato (o il Contratto) secondo i ToS.

7.3 Flusso contrattuale. Sefthy impone ai sub-responsabili obblighi sostanzialmente equivalenti a quelli del presente DPA e resta responsabile verso il Titolare per l’operato dei sub-responsabili.

8. Trasferimenti internazionali

Qualora l’erogazione dei Servizi comporti trasferimenti di Dati del Cliente verso Paesi extra SEE, Sefthy assicura che tali trasferimenti avvengano sulla base di un meccanismo valido ai sensi del Capo V GDPR (ad es. decisione di adeguatezza o Clausole Contrattuali Standard) e adotta misure supplementari ove necessario.

9. Assistenza al Titolare

9.1 Diritti degli interessati. Sefthy assiste il Titolare, nei limiti ragionevoli e tecnicamente possibili, per adempiere alle richieste degli interessati. Sefthy non risponde direttamente agli interessati salvo autorizzazione del Titolare o obbligo di legge.

9.2 DPIA e consultazione preventiva. Sefthy fornisce al Titolare informazioni ragionevolmente disponibili per supportare DPIA e consultazioni con Autorità, limitatamente ai Servizi e alle misure applicate.

9.3 Costi. Attività straordinarie o eccessive possono essere fatturate ai prezzi professionali di Sefthy o secondo accordo.

10. Violazioni dei dati personali (Data Breach)

Sefthy notifica al Titolare una violazione dei Dati del Cliente senza ingiustificato ritardo dopo esserne venuta a conoscenza e, ove possibile, entro 48 ore, fornendo le informazioni disponibili. Sefthy coopera ragionevolmente per consentire la gestione dell’evento e gli adempimenti ex artt. 33–34 GDPR.

11. Restituzione e cancellazione dei dati alla cessazione

11.1 Alla cessazione/scadenza dei Servizi o su richiesta scritta del Titolare, Sefthy, a scelta del Titolare e ove tecnicamente disponibile, (i) restituisce i Dati del Cliente in un formato ragionevole e/o (ii) li cancella dai sistemi di produzione.

11.2 Backup e retention. I Dati del Cliente presenti in backup/snapshot o sistemi di protezione saranno cancellati secondo le retention tecniche applicabili e/o quelle configurate dal Titolare, salvo obblighi legali.

11.3 Responsabilità export. Il Titolare è responsabile di effettuare l’esportazione dei dati prima della cessazione o cancellazione e di mantenere copie esterne dei dati critici.

12. Audit e dimostrazione della conformità

Sefthy mette a disposizione del Titolare le informazioni ragionevolmente necessarie a dimostrare il rispetto del presente DPA. Audit del Titolare: preavviso 30 giorni, orari lavorativi, massimo 1/anno salvo incidenti o obblighi normativi, vincoli di riservatezza e senza impatto sui dati di altri clienti. Se disponibili report/certificazioni equivalenti, le parti li privilegiano rispetto a ispezioni fisiche.

13. Responsabilità tra le parti

La responsabilità tra le parti derivante dal presente DPA segue quanto previsto dai ToS, salvo responsabilità inderogabili ai sensi del GDPR. Nulla nel presente DPA limita i diritti degli interessati o gli obblighi inderogabili delle parti.

14. Disposizioni finali

14.1 Modifiche. Sefthy può aggiornare il presente DPA per adeguamenti normativi o evoluzioni dei Servizi, pubblicando una nuova versione con data e versione. Per modifiche sostanziali, Sefthy fornirà un preavviso ragionevole tramite comunicazione in portale o e-mail al referente contrattuale.

14.2 Contatti DPA. Per comunicazioni relative al presente DPA: [email protected]

ALLEGATO I – PARTI

  1. Titolare del trattamento (Cliente/Partner)
    Il “Titolare” è il soggetto giuridico (MSP/System Integrator/società) che:
    (i) ha accettato i Termini e Condizioni di Servizio di Sefthy e il presente DPA tramite meccanismo elettronico (es. checkbox/accettazione online), e
    (ii) ha attivato o utilizza i Servizi, come identificato dai dati dell’account in Piattaforma e/o dall’Ordine/Offerta e/o dalla documentazione contrattuale o amministrativa associata (es. fatturazione).

I riferimenti del Titolare (ragione sociale, sede, P.IVA/C.F., referente e contatti) sono quelli comunicati dal Titolare in fase di registrazione/ordine e conservati nei sistemi amministrativi e/o nella Piattaforma.

  1. Responsabile del trattamento
    Sefthy S.r.l. (“Responsabile”)
    Contatto privacy/DPA: [email protected]

ALLEGATO II – DESCRIZIONE DEL TRATTAMENTO

Categorie di interessati:
Dipendenti/collaboratori del Titolare e/o degli End Customer; clienti finali del Titolare; utenti dei sistemi del Titolare; eventuali soggetti i cui dati siano presenti nei sistemi sottoposti a backup/DR o nei contenuti archiviati.

Categorie di dati personali:
Dati anagrafici e di contatto; dati identificativi (username/ID); dati professionali; dati presenti nei file e database sottoposti a backup; log tecnici (IP, timestamp, identificativi di dispositivo/istanza); metadati di servizio (hostnames, configurazioni, schedule di backup, storage usage).
Categorie particolari (art. 9) o dati ex art. 10: non previsti di default; solo se inseriti dal Titolare sotto sua responsabilità e secondo art. 4.2.

Natura delle operazioni di trattamento:
Raccolta/ingestione; trasferimento; registrazione; organizzazione; conservazione; consultazione tecnica (per supporto e sicurezza); replica; ripristino; cancellazione.

Finalità del trattamento per conto del Titolare:
Erogazione dei Servizi e relativi componenti; gestione operativa, manutenzione e sicurezza; supporto tecnico; monitoraggio e prevenzione incidenti.

Durata del trattamento:
Per la durata dei Servizi e secondo le retention configurate dal Titolare; cancellazione/restituzione secondo art. 11.

ALLEGATO III – MISURE TECNICHE E ORGANIZZATIVE (TOMs)

Misure applicate da Sefthy (in funzione dei Servizi attivi e dell’architettura):

  1. Controllo accessi: RBAC, minimo privilegio, MFA ove applicabile, segregazione ambienti.

  2. Cifratura: in transito; a riposo ove applicabile; gestione sicura delle chiavi (segregazione accessi e rotazione ove applicabile).

  3. Sicurezza rete: segmentazione, firewall, hardening, protezioni anti-abuso e DDoS ove applicabile.

  4. Logging e monitoraggio: raccolta log di sistema/sicurezza, alerting verso personale autorizzato, retention coerente con sicurezza.

  5. Gestione vulnerabilità e patching: manutenzioni programmate, aggiornamenti e controlli di sicurezza ove applicabile.

  6. Backup e resilienza interna: controlli di integrità, procedure di ripristino, test periodici dove applicabile.

  7. Sicurezza fisica: controlli di accesso e misure ambientali tramite provider data center ove applicabile.

  8. Gestione incidenti: procedure di incident response, canali di escalation e registrazione eventi.

  9. Formazione e riservatezza: obblighi di confidenzialità e formazione per personale autorizzato.

ALLEGATO IV – ELENCO SUB-RESPONSABILI

Di seguito i sub-responsabili autorizzati dal Titolare. I servizi indicati sono utilizzati da Sefthy per l’erogazione e la sicurezza dei Servizi; ove un fornitore sia utilizzato solo per attività non inerenti ai Dati del Cliente, non opera come sub-responsabile ai sensi del presente DPA.

  1. Servereasy S.r.l.

  • Paese/Area: Italia (UE)

  • Ruolo/Servizio: Data center / colocation

  • Finalità: ospitalità fisica, continuità operativa, manutenzione fisica e sicurezza infrastrutturale

  • Tipologia dati: possibile accesso fisico a sistemi che ospitano dati/backup/VM (in misura necessaria e controllata)

  1. Scaleway

  • Paese/Area: UE

  • Ruolo/Servizio: Object Storage (S3)

  • Finalità: archiviazione/replica di dati e metadati del servizio, ove applicabile

  • Tipologia dati: dati e metadati del servizio potenzialmente contenenti Dati del Cliente

  1. Cloudflare

  • Paese/Area: UE + possibili trasferimenti extra-UE (in base al routing globale)

  • Ruolo/Servizio: CDN / WAF / Reverse proxy / DDoS mitigation

  • Finalità: sicurezza e disponibilità dei servizi esposti (protezione DDoS/WAF, caching, mitigazione abusi)

  • Tipologia dati: traffico web/API e log tecnici (es. IP, header, timestamp) potenzialmente riferibili a utenti/sistemi del Cliente

  • Nota: Sefthy applica minimizzazione e configurazioni di sicurezza coerenti con i Servizi

  1. TIM S.p.A.

  • Paese/Area: Italia (UE)

  • Ruolo/Servizio: telecomunicazioni / Data center / colocation

  • Finalità: ospitalità fisica, continuità operatica, servizi di telecomunicazione

  • Tipologia dati: possibile accesso fisico a sistemi che ospitano dati/backup/VM (in misura necessaria e controllata)

  1. Telegram (piattaforma di messaggistica)

  • Paese/Area: vari + possibili trasferimenti extra-UE

  • Ruolo/Servizio: notifiche operative/incident response (alert)

  • Finalità: invio alert di sicurezza e operativi al personale autorizzato

  • Tipologia dati: contenuto dei messaggi; Sefthy adotta principi di minimizzazione (preferibilmente ID evento e informazioni tecniche essenziali)

  1. Microsoft (Microsoft 365)

  • Paese/Area: UE + possibili trasferimenti extra-UE (in base ai termini del fornitore)

  • Ruolo/Servizio: collaborazione/incident response (canali Teams)

  • Finalità: gestione operativa incidenti, coordinamento e notifiche interne al personale autorizzato

  • Tipologia dati: contenuto dei messaggi e allegati; Sefthy applica minimizzazione (preferibilmente informazioni tecniche essenziali e link a Console autenticata)

Informazioni di contatto

Sefthy S.r.l.
Sede legale: Contrada di Mezzo SNC Noicattaro (BA) 70016 Apulia, Italy
PIVA: IT09061070729 – Capitale Sociale interamente versato: €20.000,00

Proprietà intellettuale (IP)

Se ritieni che contenuti, software o altri materiali resi disponibili tramite i Servizi violino diritti di proprietà intellettuale, oppure se devi segnalare un problema di conformità delle licenze, contattaci all’indirizzo [email protected].

La segnalazione dovrebbe includere: i tuoi recapiti; una descrizione dei diritti che si ritiene siano stati violati; informazioni sufficienti a identificare l’account/tenant/risorsa interessati; ed eventuale documentazione di supporto. Potremmo richiedere ulteriori informazioni e gestiremo la segnalazione in buona fede adottando, ove opportuno, misure proporzionate.