Fibonacci
Home/Documentazione legale

Documentazione legale

Privacy, cookie, accordo art. 28 GDPR e termini di servizio del software Fibonacci. Tutti i documenti sono redatti secondo il diritto italiano e il GDPR.

Accordo per il Trattamento dei Dati (DPA)

Versione 0.1 (bozza interna) — Ultima revisione: 24 maggio 2026

Il presente Accordo per il Trattamento dei Dati (di seguito, "DPA" o "Accordo") è stipulato ai sensi e per gli effetti dell'articolo 28 del Regolamento (UE) 2016/679 (di seguito, "GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (di seguito, "Codice Privacy"), e disciplina i rapporti tra le Parti in relazione al trattamento dei dati personali svolto dal Responsabile per conto del Titolare nell'ambito del Servizio Fibonacci.

Il presente DPA costituisce parte integrante e sostanziale del Contratto di Servizio Fibonacci sottoscritto tra le Parti (di seguito, "Contratto di Servizio") ed ha durata coincidente con il medesimo.

Art. 1 — Premesse

1.1. Il Titolare ha sottoscritto con il Responsabile il Contratto di Servizio avente ad oggetto la fornitura del software Fibonacci, applicativo SaaS di cartella clinica digitale multi-specialità erogato dal Responsabile al Titolare in modalità cloud, accessibile all'indirizzo https://app.fibonacci.it.

1.2. L'esecuzione del Contratto di Servizio comporta il trattamento, da parte del Responsabile per conto del Titolare, di dati personali e di categorie particolari di dati ai sensi dell'art. 9 GDPR, riferiti ai pazienti del Titolare.

1.3. Le Parti riconoscono che il presente DPA è necessario per disciplinare gli obblighi e i diritti reciproci ai sensi dell'art. 28 GDPR e per garantire la conformità del trattamento alla normativa applicabile in materia di protezione dei dati personali.

1.4. Il presente DPA prevale, per le materie ivi disciplinate, su ogni eventuale disposizione contrastante contenuta nel Contratto di Servizio o in altri accordi tra le Parti.

1.5. La durata del presente DPA coincide con quella del Contratto di Servizio. Gli obblighi che per loro natura sono destinati a sopravvivere alla cessazione del rapporto (riservatezza, obblighi di restituzione e cancellazione dei dati, cooperazione con l'Autorità di controllo) rimangono efficaci anche dopo la cessazione del Contratto di Servizio.

Art. 2 — Identificazione delle Parti

2.1. Titolare del trattamento

CampoValore
Ragione sociale o titolo professionale{TITOLARE_RAGIONE_SOCIALE}
Sede legale o studio professionale{TITOLARE_SEDE}
Partita IVA{TITOLARE_PIVA}
Codice Fiscale{TITOLARE_CF}
Email di contatto{TITOLARE_EMAIL}
Telefono{TITOLARE_TELEFONO}
Legale rappresentante{TITOLARE_LEGALE_RAPPRESENTANTE}
Responsabile della protezione dei dati (DPO), se nominato{TITOLARE_DPO}

2.2. Responsabile del trattamento

CampoValore
Ragione socialeFibonacci
Sede legaleGenova, Italia
Partita IVAIT____________
Email di contattoprivacy@fibonacci.it
Responsabile della protezione dei dati (DPO)dpo@fibonacci.it

Nel prosieguo, il Titolare e il Responsabile sono congiuntamente denominati "Parti" e singolarmente "Parte".

Art. 3 — Definizioni

Ai fini del presente DPA, i termini utilizzati con lettera maiuscola hanno il significato di seguito indicato. Per quanto non espressamente definito, valgono le definizioni di cui all'art. 4 GDPR.

  • Titolare del trattamento: il soggetto identificato all'art. 2.1, che determina le finalità e i mezzi del trattamento dei dati personali dei pazienti, ai sensi dell'art. 4, n. 7 GDPR.
  • Responsabile del trattamento: Fibonacci, come identificata all'art. 2.2, che tratta i dati personali per conto del Titolare ai sensi dell'art. 4, n. 8 GDPR.
  • Sub-responsabile: ogni altro soggetto designato dal Responsabile per svolgere attività specifiche di trattamento per conto del Titolare, ai sensi dell'art. 28, par. 2 e 4 GDPR.
  • Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (l'Interessato), trattata nell'ambito del Servizio, ai sensi dell'art. 4, n. 1 GDPR.
  • Categorie particolari di dati: i dati personali di cui all'art. 9 GDPR, con particolare riferimento ai dati relativi alla salute trattati nell'ambito del Servizio.
  • Trattamento: qualsiasi operazione o insieme di operazioni effettuate sui Dati personali, ai sensi dell'art. 4, n. 2 GDPR.
  • Interessato: la persona fisica cui si riferiscono i Dati personali. Ai fini del presente DPA, gli Interessati sono i pazienti del Titolare e, ove pertinente, i loro tutori o familiari di riferimento.
  • Violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati personali, ai sensi dell'art. 4, n. 12 GDPR.
  • Software: l'applicativo SaaS di cartella clinica digitale Fibonacci, erogato dal Responsabile al Titolare in modalità cloud.
  • Servizio: l'insieme delle prestazioni rese dal Responsabile al Titolare in esecuzione del Contratto di Servizio, comprensive della messa a disposizione del Software, della sua manutenzione, dell'assistenza tecnica e delle funzionalità accessorie.

Art. 4 — Oggetto, natura, finalità e durata del trattamento

4.1. Oggetto. Il Responsabile tratta i Dati personali per conto del Titolare nella misura strettamente necessaria all'erogazione del Servizio Fibonacci, come definito nel Contratto di Servizio.

4.2. Natura del trattamento. Il trattamento ha natura informatica e automatizzata e comprende, a titolo esemplificativo e non esaustivo: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, raffronto, cancellazione e distruzione dei Dati personali.

4.3. Finalità del trattamento. Il trattamento è svolto al solo scopo di fornire al Titolare le funzionalità del Servizio Fibonacci, ed in particolare:

  • a) memorizzazione e gestione della cartella clinica digitale dei pazienti del Titolare;
  • b) generazione e archiviazione dei consensi informati in formato PDF;
  • c) trascrizione automatica di dettature audio del Titolare tramite servizio di intelligenza artificiale;
  • d) archiviazione cifrata di foto cliniche dei pazienti;
  • e) registrazione delle operazioni effettuate sull'account ai fini di audit;
  • f) erogazione di funzionalità accessorie previste dal Contratto di Servizio (notifiche, agenda, fatturazione clienti se attivata).

4.4. Durata. Il trattamento ha durata coincidente con quella del Contratto di Servizio. Al termine del Contratto di Servizio si applicano le previsioni dell'art. 12 del presente DPA.

Art. 5 — Categorie di Interessati e tipologie di Dati personali

5.1. Categorie di Interessati. Sono Interessati al trattamento:

  • a) i pazienti del Titolare, le cui informazioni cliniche e amministrative sono inserite nel Software;
  • b) i tutori legali, esercenti la potestà genitoriale o familiari di riferimento dei pazienti minori o incapaci, limitatamente ai dati di contatto e di relazione.

5.2. Tipologie di Dati personali trattati. Sono oggetto di trattamento le seguenti categorie di Dati personali riferite agli Interessati:

  • a) Dati anagrafici: nome, cognome, codice fiscale, data di nascita, sesso, luogo di nascita.
  • b) Dati di contatto: indirizzo postale, indirizzo email, recapito telefonico.
  • c) Dati sanitari (categoria particolare ex art. 9 GDPR): anamnesi clinica (allergie, patologie pregresse e in atto, farmaci assunti, familiarità, stile di vita), referti, diagnosi, trattamenti effettuati (data, prodotto, lotto, quantità, area corporea), prescrizioni, foto cliniche.
  • d) Audio temporanei di dettatura: tracce audio della voce del Titolare, inviate al sub-responsabile Mistral AI per la trascrizione automatica e non persistite oltre la sessione di processing.
  • e) Consensi informati: documenti PDF firmati dagli Interessati, comprensivi dei consensi informati per la medicina estetica e dei consensi generici per le altre specialità.
  • f) Audit log: registrazione delle operazioni di creazione, lettura, modifica e cancellazione effettuate sulle risorse cliniche dell'account del Titolare.
  • g) Dati di pagamento dei pazienti (eventuali, ove il Titolare attivi la funzionalità di fatturazione clienti tramite il Software, ad oggi non rilasciata): importi fatturati, riferimenti fiscali del paziente.

5.3. Il Titolare garantisce di aver acquisito dagli Interessati ogni necessario consenso o di disporre di altra valida base giuridica per il trattamento dei Dati personali, ivi inclusi i dati di cui all'art. 9 GDPR, e di aver fornito agli Interessati l'informativa privacy ai sensi degli artt. 13 e 14 GDPR.

Art. 6 — Obblighi del Responsabile

In conformità all'art. 28, par. 3 GDPR, il Responsabile si impegna a:

6.1. a) Istruzioni documentate. Trattare i Dati personali soltanto su istruzione documentata del Titolare, anche in caso di trasferimento di Dati personali verso un Paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile, nel qual caso quest'ultimo informa il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico. Costituiscono istruzione documentata del Titolare: il Contratto di Servizio, il presente DPA, le configurazioni del Software effettuate dal Titolare tramite l'interfaccia applicativa, le comunicazioni scritte indirizzate al supporto tecnico del Responsabile.

6.2. b) Riservatezza del personale. Garantire che le persone autorizzate al trattamento dei Dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e siano formate sulla protezione dei Dati personali.

6.3. c) Misure tecniche e organizzative. Adottare tutte le misure tecniche e organizzative adeguate, ai sensi dell'art. 32 GDPR, come dettagliate all'art. 9 del presente DPA, per garantire un livello di sicurezza adeguato al rischio.

6.4. d) Sub-responsabili. Avvalersi di Sub-responsabili soltanto previa autorizzazione del Titolare, nei termini di cui all'art. 7 del presente DPA, garantendo che i medesimi obblighi di protezione dei dati di cui al presente DPA siano imposti ai Sub-responsabili mediante apposito contratto o altro atto giuridico.

6.5. e) Assistenza ai diritti degli Interessati. Tenuto conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'Interessato di cui agli artt. 12-23 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Il Software mette a disposizione del Titolare specifiche funzionalità per estrarre, rettificare e cancellare i Dati degli Interessati.

6.6. f) Assistenza in materia di sicurezza, data breach, DPIA, consultazione preventiva. Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

6.7. g) Restituzione o cancellazione dei dati. Su scelta del Titolare, restituire o cancellare tutti i Dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o dello Stato membro preveda la conservazione dei dati, secondo le modalità di cui all'art. 12 del presente DPA.

6.8. h) Audit e informazioni. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato, secondo le modalità di cui all'art. 11 del presente DPA.

6.9. i) Segnalazione di istruzioni contrarie al GDPR. Informare immediatamente il Titolare qualora, a suo parere, un'istruzione impartita dal Titolare violi il GDPR, il Codice Privacy o altre disposizioni dell'Unione o dello Stato membro relative alla protezione dei dati.

6.10. j) Registro dei trattamenti. Tenere un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare, ai sensi dell'art. 30, par. 2 GDPR, mettendolo a disposizione del Titolare e dell'Autorità di controllo su richiesta.

6.11. k) Cooperazione con l'Autorità di controllo. Cooperare, su richiesta, con l'Autorità di controllo nell'esecuzione dei suoi compiti.

6.12. l) Designazione del DPO. Designare un Responsabile della protezione dei dati ove obbligato ai sensi dell'art. 37 GDPR e comunicare al Titolare i relativi recapiti. I recapiti del DPO del Responsabile sono indicati all'Allegato C del presente DPA.

Art. 7 — Sub-responsabili autorizzati

7.1. Il Titolare conferisce al Responsabile, ai sensi dell'art. 28, par. 2 GDPR, autorizzazione generale all'impiego dei Sub-responsabili indicati al successivo punto 7.2 per l'erogazione del Servizio, con l'obbligo per il Responsabile di informare il Titolare delle modifiche all'elenco secondo le modalità di cui al punto 7.3.

7.2. Elenco dei Sub-responsabili autorizzati alla data di sottoscrizione:

  • a) Hetzner Online GmbH, con sede in Industriestr. 25, 91710 Gunzenhausen, Germania. Attività: hosting dell'infrastruttura applicativa e dei database del Software. Server ubicati in Germania, sotto giurisdizione dell'Unione Europea. Trasferimenti extra-UE: nessuno.
  • b) Brevo SAS, con sede in 106 Boulevard Haussmann, 75008 Parigi, Francia. Attività: invio di email transazionali (conferme di appuntamento, notifiche di sistema, recupero password). Dati trattati: indirizzo email dei destinatari e contenuto del messaggio. Non riceve dati clinici di dettaglio.
  • c) Mistral AI SAS, con sede in 15 rue des Halles, 75001 Parigi, Francia. Attività: trascrizione in testo delle dettature audio del Titolare tramite servizio di intelligenza artificiale. L'audio è inviato in streaming via API e non è persistito da Mistral oltre la finestra di processing. Trasferimenti extra-UE: nessuno; ove applicabile, clausole contrattuali tipo della Commissione UE.
  • d) Stripe Payments Europe Ltd, con sede in 1 Grand Canal Street Lower, Dublino, Irlanda. Attività: gestione dell'abbonamento e della fatturazione del Titolare nei confronti del Responsabile. Non riceve dati clinici dei pazienti. Tratta esclusivamente dati di pagamento riferiti al Titolare medico.
  • e) Cloudflare Inc., con sede in 101 Townsend St, San Francisco, CA, USA. Attività: gestione DNS, proxy HTTPS, protezione DDoS e rete di distribuzione di contenuti per il dominio fibonacci.it ed i relativi sottodomini. Le operazioni avvengono sotto la copertura delle clausole contrattuali tipo di cui alla Decisione UE 2021/914 e con misure supplementari di sicurezza. I dati sanitari non sono mai esposti a Cloudflare in chiaro, in quanto il traffico è cifrato in modalità end-to-end con TLS sino al backend in Germania.

7.3. Modifiche all'elenco. Il Responsabile informa il Titolare di qualsiasi modifica all'elenco dei Sub-responsabili, sia in caso di aggiunta sia in caso di sostituzione, con preavviso di almeno 30 giorni rispetto alla data di efficacia della modifica. L'informativa è fornita tramite pubblicazione della scheda aggiornata all'indirizzo di cui all'Allegato B e mediante comunicazione email all'indirizzo del Titolare di cui all'art. 2.1.

7.4. Diritto di obiezione. Entro il termine di preavviso di 30 giorni, il Titolare può obiettare per iscritto e con motivazione fondata alla nomina di un nuovo Sub-responsabile. In tal caso, le Parti collaborano in buona fede per individuare soluzioni alternative. In mancanza di accordo, ciascuna Parte ha facoltà di recedere dal Contratto di Servizio con un preavviso di 30 giorni, senza penali a carico del Titolare e con restituzione pro quota dei corrispettivi pagati in anticipo per il periodo non goduto.

7.5. Obblighi contrattuali verso i Sub-responsabili. Il Responsabile garantisce di aver imposto contrattualmente ai Sub-responsabili obblighi di protezione dei dati equivalenti a quelli previsti dal presente DPA. Il Responsabile risponde nei confronti del Titolare dell'inadempimento dei Sub-responsabili agli obblighi in materia di protezione dei dati.

Art. 8 — Trasferimenti extra-UE/SEE

8.1. I Dati personali e, in particolare, i dati sanitari di cui all'art. 9 GDPR non sono trasferiti al di fuori dello Spazio Economico Europeo. Il database produttivo, i backup e le foto cliniche risiedono fisicamente in Germania.

8.2. L'unica entità con sede negli Stati Uniti d'America inclusa nella filiera è Cloudflare Inc., la quale opera esclusivamente come proxy di rete e gestore DNS. Cloudflare riceve traffico cifrato in transito con TLS, senza accesso ai contenuti applicativi né ai dati clinici in chiaro. La crittografia end-to-end è garantita tra il client del Titolare ed il backend ubicato in Germania.

8.3. Per il trasferimento eventuale di dati tecnici e di telemetria di rete a Cloudflare Inc., le Parti danno atto che lo stesso avviene sulla base delle clausole contrattuali tipo di cui alla Decisione UE 2021/914 (modulo Titolare-Responsabile e, ove applicabile, modulo Responsabile-Sub-responsabile), integrate da misure supplementari di natura tecnica, organizzativa e contrattuale conformi alle Raccomandazioni 01/2020 dell'EDPB.

8.4. Qualora in futuro il Responsabile dovesse far ricorso ad altri Sub-responsabili con sede al di fuori dell'UE/SEE, troveranno applicazione le previsioni dell'art. 7 del presente DPA e saranno adottati i meccanismi di trasferimento previsti dal Capo V del GDPR.

Art. 9 — Misure tecniche e organizzative (art. 32 GDPR)

Il Responsabile adotta e mantiene per tutta la durata del DPA le seguenti misure tecniche e organizzative, parametrate al rischio del trattamento di categorie particolari di dati ex art. 9 GDPR.

9.1. Cifratura.

  • a) Cifratura a riposo dei database produttivi e dei backup con algoritmo AES-256.
  • b) Cifratura a riposo delle foto cliniche con algoritmo AES-256.
  • c) Cifratura del traffico in transito con TLS 1.3.
  • d) Gestione della Key Encryption Key (KEK) lato server, custodita esclusivamente dal sidecar di firma, separato dall'applicativo principale.

9.2. Controllo degli accessi.

  • a) Autenticazione obbligatoria per tutti gli utenti del Software.
  • b) Autenticazione a più fattori (MFA TOTP) obbligatoria per i ruoli amministrativi e fortemente raccomandata per gli utenti medici.
  • c) Compartimentazione FHIR per studio del medico: un Titolare non ha visibilità sui pazienti di un diverso Titolare.
  • d) Gestione granulare dei ruoli e dei permessi (RBAC) all'interno dello studio del Titolare.

9.3. Integrità.

  • a) Audit log immutabile con hash-chain di tutte le operazioni CRUD effettuate sulle risorse FHIR.
  • b) Retention dell'audit log per 10 anni.
  • c) Accessibilità dell'audit log al Titolare tramite l'interfaccia /audit dell'applicazione.

9.4. Disponibilità.

  • a) Backup giornaliero crittografato dei database produttivi.
  • b) Retention dei backup di 30 giorni in rotazione continua.
  • c) Procedure di ripristino periodicamente testate.

9.5. Sviluppo sicuro.

  • a) Pen test annuale di tipo OWASP ZAP baseline e analisi dinamica continuativa (rolling DAST).
  • b) Code review obbligatoria per ogni modifica al codice sorgente del Software.
  • c) Monitoraggio automatizzato delle dipendenze e gestione delle vulnerabilità note.

9.6. Pseudonimizzazione. Adozione di tecniche di pseudonimizzazione, ove possibile, per le foto cliniche e per la generazione di dati statistici aggregati.

9.7. Formazione. Formazione periodica del personale del Responsabile in materia di GDPR, sicurezza informatica e gestione di dati sanitari.

9.8. Continuità operativa. Piano di disaster recovery con obiettivi di RTO (Recovery Time Objective) di 24 ore e di RPO (Recovery Point Objective) di 24 ore.

9.9. La descrizione tecnica di dettaglio delle misure di sicurezza è disponibile e costantemente aggiornata all'indirizzo indicato all'Allegato A.

Art. 10 — Violazione dei dati personali (data breach)

10.1. Obbligo di notifica del Responsabile al Titolare. Il Responsabile notifica al Titolare ogni Violazione dei dati personali di cui venga a conoscenza, entro 24 ore dalla scoperta, mediante comunicazione scritta all'indirizzo email del Titolare di cui all'art. 2.1, contenente:

  • a) descrizione della natura della violazione, incluse, ove possibile, le categorie e il numero approssimativo di Interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni di Dati personali interessate;
  • b) nome e dati di contatto del DPO o di altro punto di contatto per ottenere informazioni;
  • c) descrizione delle conseguenze probabili della violazione;
  • d) descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.

10.2. Aggiornamenti. Qualora non sia possibile fornire contestualmente tutte le informazioni di cui al punto 10.1, il Responsabile trasmette al Titolare informazioni parziali iniziali ed integra successivamente con aggiornamenti tempestivi non appena le informazioni siano disponibili.

10.3. Obblighi residui del Titolare. Resta in capo al Titolare l'obbligo di notifica della violazione all'Autorità di controllo competente entro 72 ore ai sensi dell'art. 33 GDPR ed alla comunicazione agli Interessati ai sensi dell'art. 34 GDPR, ove ne ricorrano i presupposti.

10.4. Cooperazione. Il Responsabile coopera attivamente con il Titolare nella gestione della violazione, fornendo le informazioni e l'assistenza tecnica e organizzativa necessarie ad adempiere agli obblighi di cui ai punti precedenti.

Art. 11 — Audit e ispezioni

11.1. Il Titolare ha diritto di richiedere al Responsabile informazioni utili a dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR e dal presente DPA, nonché di effettuare audit di conformità.

11.2. L'audit è effettuabile non più di una volta all'anno, salvo casi di urgenza motivata (ad esempio Violazione dei dati personali grave o ordine dell'Autorità di controllo), con preavviso scritto di almeno 30 giorni.

11.3. L'audit può essere svolto direttamente dal Titolare o da un revisore terzo indipendente, accettato da entrambe le Parti e tenuto a vincoli di riservatezza equivalenti a quelli del presente DPA.

11.4. Il Responsabile può assolvere all'obbligo di audit mediante la presentazione di una certificazione di sicurezza in corso di validità accettata dal Titolare (a titolo esemplificativo, ISO/IEC 27001, SOC 2 Tipo II o equivalente), unitamente alla documentazione di sintesi della conformità.

11.5. I costi dell'audit sono a carico del Titolare, salvo che dall'audit emergano violazioni significative del presente DPA o del GDPR ad opera del Responsabile, nel qual caso i costi restano a carico del Responsabile.

11.6. L'audit non può comportare accesso a dati di altri clienti del Responsabile, a segreti industriali, a codice sorgente proprietario o a informazioni la cui divulgazione comprometterebbe la sicurezza del Servizio per altri clienti.

Art. 12 — Termine del trattamento

12.1. Restituzione dei dati. Alla cessazione del Contratto di Servizio, su richiesta scritta del Titolare da formularsi entro 30 giorni dalla data di cessazione, il Responsabile restituisce al Titolare tutti i Dati personali trattati per conto del medesimo in formato ZIP strutturato secondo lo standard FHIR R4.

12.2. Cancellazione dei dati produttivi. Decorsi 30 giorni dalla cessazione del Contratto di Servizio, ovvero, qualora il Titolare non abbia richiesto la restituzione, decorsi 90 giorni dalla cessazione, il Responsabile procede alla cancellazione di tutti i Dati clinici del Titolare dai sistemi produttivi.

12.3. Cancellazione dei backup. I backup contenenti Dati personali del Titolare sono cancellati entro 30 giorni aggiuntivi rispetto alla data di cancellazione dai sistemi produttivi, secondo il naturale ciclo di rotazione della retention dei backup (30 giorni).

12.4. Eccezioni. Sono escluse dall'obbligo di cancellazione le sole copie eventualmente conservate per obbligo di legge, ed in particolare l'audit log conservato per la durata di 10 anni ove imposto da normativa di settore. Tali copie restano comunque protette dalle misure di sicurezza di cui all'art. 9 e non sono oggetto di alcuna ulteriore attività di trattamento al di fuori dell'adempimento dell'obbligo legale.

12.5. Attestazione. A completamento delle operazioni di cancellazione, il Responsabile fornisce al Titolare, su richiesta, attestazione scritta delle attività eseguite.

Art. 13 — Responsabilità

13.1. Ciascuna Parte risponde dei danni causati a terzi nei limiti di quanto previsto dall'art. 82 GDPR e secondo la propria sfera di responsabilità. Il Titolare risponde della liceità del trattamento e della correttezza delle istruzioni impartite al Responsabile; il Responsabile risponde del rispetto degli obblighi specificamente posti a suo carico dal presente DPA, dall'art. 28 GDPR e dall'art. 32 GDPR.

13.2. Nei rapporti interni tra le Parti, eventuali rivalse per danni cagionati a Interessati o sanzioni irrogate dall'Autorità di controllo sono regolate secondo il principio della responsabilità proporzionata, in funzione del contributo causale di ciascuna Parte alla determinazione dell'evento dannoso.

13.3. La responsabilità complessiva del Responsabile nei confronti del Titolare per inadempimenti agli obblighi del presente DPA è regolata, per quanto non disposto dalla normativa imperativa, dalle previsioni di limitazione di responsabilità contenute nel Contratto di Servizio.

13.4. Le previsioni del presente articolo non limitano in alcun modo i diritti degli Interessati ai sensi del GDPR.

Art. 14 — Legge applicabile e foro competente

14.1. Il presente DPA è regolato dalla legge italiana.

14.2. Per ogni controversia tra le Parti relativa all'interpretazione, esecuzione o risoluzione del presente DPA è competente in via esclusiva il Foro di Genova.

Art. 15 — Allegati

Costituiscono parte integrante del presente DPA i seguenti Allegati, sempre aggiornati alla versione più recente pubblicata dal Responsabile:

  • Allegato A — Descrizione tecnica del trattamento e delle misure di sicurezza: scheda tecnica di dettaglio pubblicata all'indirizzo https://fibonacci.it/sicurezza.
  • Allegato B — Scheda dei Sub-responsabili: elenco sempre aggiornato dei Sub-responsabili autorizzati, pubblicato all'indirizzo https://fibonacci.it/sub-responsabili.
  • Allegato C — Contatti operativi: Responsabile della protezione dei dati (DPO) del Responsabile: dpo@fibonacci.it; supporto Privacy del Responsabile: privacy@fibonacci.it.

Art. 16 — Sottoscrizione

Il presente Accordo per il Trattamento dei Dati è sottoscritto dalle Parti come segue. La sottoscrizione può essere effettuata mediante firma autografa su supporto cartaceo ovvero mediante firma elettronica avanzata o firma elettronica qualificata, con piena efficacia giuridica equivalente.

Per il Titolare del trattamento

CampoValore
Data{DATA_FIRMA_TITOLARE}
Luogo{LUOGO_FIRMA_TITOLARE}
Ragione sociale o titolo professionale{TITOLARE_RAGIONE_SOCIALE}
Legale rappresentante{TITOLARE_LEGALE_RAPPRESENTANTE}
Firma_____________________________

Per il Responsabile del trattamento

CampoValore
Data{DATA_FIRMA_RESPONSABILE}
LuogoGenova
Ragione socialeFibonacci
Legale rappresentante{RESPONSABILE_LEGALE_RAPPRESENTANTE}
Firma_____________________________

Art. 17 — Ultima revisione

Ultima revisione del presente documento: 24 maggio 2026.

Avvertenza. Il presente documento costituisce un modello template adattato al contesto del Servizio Fibonacci ed alla configurazione tecnica attualmente in esercizio. Esso richiede revisione legale prima della sottoscrizione con clienti ed eventuali adattamenti al caso concreto del singolo Titolare. La presente versione 0.1 ha natura di bozza interna ed è soggetta a successive revisioni.