Content Autopilot per coach · Hosting nell'UE · Conforme al GDPR
CastLoop
Italiano
DeutschEnglishEspañolItalianoFrançais
Accedi
· Art. 28 GDPR

Contratto di trattamento dati (DPA)

Modello di DPA tra CastLoop (responsabile del trattamento) e il cliente business (titolare del trattamento) ai sensi dell'art. 28 GDPR.

Questa è una traduzione di cortesia. La versione giuridicamente vincolante è l'originale tedesco: versione tedesca.

⚠️ Avviso legale: questo modello di DPA è stato creato sulla base di un modello, a partire dai consueti blocchi modello dell'EDPB / del BayLDA, e necessita, prima della prima firma con un cliente, di una revisione da parte di un avvocato specializzato in diritto IT / protezione dei dati. Fino ad allora funge da informazione di trasparenza verso i partner commerciali. Un esemplare giuridicamente vincolante viene fornito su richiesta informale via e-mail all'indirizzo info@castloop.de.

Parti contraenti

Questo DPA è concluso tra:

Responsabile del trattamento:
Daniel Ovadia — CastLoop (impresa individuale)
Eugen-Richter-Str. 159, 76187 Karlsruhe, Germania
E-mail: info@castloop.de

— e il titolare del trattamento (cliente CastLoop, di seguito: „il cliente"), la cui identità risulta dall' account cliente e che, alla prima richiesta di questo esemplare, deve essere indicato nominalmente nel preambolo.

§ 1 Oggetto & durata

Oggetto di questo contratto è il trattamento di dati personali da parte del responsabile del trattamento per conto del cliente nell'ambito dell'utilizzo del servizio „CastLoop" secondo le condizioni generali (AGB) tra le parti.

Questo DPA si applica per l'intera durata del contratto principale (l' abbonamento SaaS) e termina automaticamente con la cessazione dello stesso.

§ 2 Diritto di istruzione del cliente

Il responsabile del trattamento tratta i dati personali esclusivamente nell'ambito degli accordi contrattuali e delle istruzioni documentate del cliente. Qualora il responsabile del trattamento ritenga che un'istruzione del cliente violi il diritto in materia di protezione dei dati, ne informerà il cliente.

Le istruzioni vengono di norma documentate elettronicamente tramite (a) le configurazioni effettuate nella dashboard SaaS, (b) le basi contrattuali (AGB, DPA) e (c) istruzioni ad hoc via e-mail all'indirizzo info@castloop.de.

§ 3 Natura e finalità del trattamento

Il responsabile del trattamento tratta i dati personali allo scopo di fornire il servizio SaaS „CastLoop" (Content Autopilot per la pubblicazione sui social media). Concretamente ciò comprende in particolare:

  • il download e la memorizzazione dei contenuti di partenza YouTube / podcast che il cliente mette a disposizione per il trattamento;
  • la trascrizione automatizzata e l'analisi assistita da IA tramite Google Gemini 2.5 Flash (Google Ireland Ltd.);
  • la creazione di varianti di clip con sottotitoli animati (FFmpeg);
  • la pubblicazione dei clip sugli account social collegati dal cliente (YouTube, Instagram, Facebook, TikTok, LinkedIn, X, Threads) per conto del cliente;
  • la memorizzazione di token di autenticazione, metadati e dati di analytics per l'erogazione del servizio.

§ 4 Luogo del trattamento

Il trattamento avviene principalmente su server di IONOS SE in Germania (UE). Per i trasferimenti verso paesi terzi, inevitabili in caso di pubblicazione multipiattaforma (X, Meta, gruppo TikTok), vedi § 13.

§ 5 Categorie di interessati e di dati

Categorie di interessati:

  • il cliente stesso in quanto persona fisica (qualora impresa individuale);
  • collaboratori / incaricati del cliente che operano nell'account cliente;
  • persone che compaiono nei contenuti forniti dal cliente (video, podcast) o che vi sono riconoscibili acusticamente/visivamente (ad es. ospiti di interviste);
  • utenti finali / spettatori dei clip pubblicati, qualora i dati di engagement (visualizzazioni, like, commenti) vengano restituiti dalle piattaforme.

Categorie di dati personali:

  • dati anagrafici (nome, e-mail, azienda, indirizzo di fatturazione);
  • dati di utilizzo (orari di accesso, hash degli IP, token di sessione);
  • dati di contenuto (audio, video, trascrizioni, sottotitoli, metadati);
  • token di accesso OAuth degli account social collegati (cifrati con AES-256-GCM);
  • dati di performance (impression, visualizzazioni, reach — aggregati dalle piattaforme).

§ 6 Misure tecnico-organizzative (TOM)

Il responsabile del trattamento adotta le misure tecniche e organizzative richieste dall'art. 32 GDPR. Un elenco dettagliato è contenuto nel separato allegato TOM, che in quanto Allegato 1 a questo DPA è parte integrante di questo contratto. Le TOM vengono regolarmente verificate e, se necessario, adeguate allo stato della tecnica.

§ 7 Subfornitori (sub-responsabili del trattamento)

Con la conclusione del contratto il cliente acconsente all'impiego dei seguenti subfornitori:

Subfornitore Sede Scopo
IONOS SE Montabaur, DE (UE) Hosting, relay SMTP, backup snapshot delle VM
Google Ireland Ltd. Dublino, IE (UE) Trascrizione & analisi IA (Gemini 2.5 Flash), YouTube Data API, Google Sign-In
Mollie B.V. Amsterdam, NL (UE) Elaborazione dei pagamenti (titolare autonomo del trattamento ai sensi del § 9 comma 3 KWG)
Microsoft Ireland Operations Ltd. Dublino, IE (UE) SSO (Sign in with Microsoft)
Apple Distribution International Ltd. Cork, IE (UE) SSO (Sign in with Apple)
Meta Platforms Ireland Ltd. Dublino, IE (UE) Pubblicazioni su Instagram, Facebook e Threads (per conto del cliente)
TikTok Technology Ltd. Dublino, IE (UE) Pubblicazioni su TikTok
LinkedIn Ireland Unlimited Company Dublino, IE (UE) Pubblicazioni su LinkedIn
X Corp. San Francisco, USA (paese terzo!) Pubblicazioni su X/Twitter, tutelate dalle SCC 2021/914

Il responsabile del trattamento informerà il cliente almeno 30 giorni prima di un previsto cambiamento o dell'inserimento di ulteriori subfornitori. Il cliente può opporsi all'impiego; in caso di motivo di opposizione legittimo e fondato sulla protezione dei dati, entrambe le parti hanno il diritto di recedere in via straordinaria dal contratto principale.

§ 8 Obblighi di assistenza

Il responsabile del trattamento assiste il cliente nell'adempimento dei propri obblighi ai sensi degli artt. 12 ss. GDPR (diritti degli interessati), artt. 33/34 GDPR (violazione dei dati personali), art. 35 GDPR (valutazione d'impatto sulla protezione dei dati) e art. 36 GDPR (consultazione preventiva).

§ 9 Obbligo di notifica in caso di violazione dei dati

Il responsabile del trattamento notifica al cliente ogni violazione dei dati di cui sia venuto a conoscenza ai sensi dell'art. 4 n. 12 GDPR, che riguardi dati personali del cliente, senza indebito ritardo, al più tardi entro 48 ore dalla conoscenza, via e-mail. La notifica contiene le informazioni indicate all'art. 33 comma 3 GDPR, nella misura in cui sono note al responsabile del trattamento.

§ 10 Diritti di controllo e di informazione

Il cliente ha il diritto di controllare il rispetto di questo DPA e delle disposizioni vigenti in materia di protezione dei dati da parte del responsabile del trattamento. Il controllo può avvenire a scelta tramite (a) informazione scritta su domande specifiche, (b) presentazione di certificati / report di audit aggiornati (se disponibili), oppure (c) — in caso di motivo fondato — controllo in loco previo ragionevole preavviso (di norma almeno 14 giorni, al di fuori dell'orario di lavoro, a spese del cliente).

§ 11 Riservatezza

Il responsabile del trattamento si impegna a trattare in modo riservato tutti i dati personali di cui sia venuto a conoscenza nell'ambito di questo DPA. Le persone impiegate per il trattamento sono vincolate alla riservatezza ai sensi dell'art. 28 comma 3 lett. b GDPR, del § 203 StGB (ove applicabile) e di un corrispondente obbligo contrattuale.

§ 12 Cancellazione / restituzione al termine del contratto

Al termine del contratto principale, su istruzione del cliente tutti i dati personali vengono restituiti oppure cancellati. L' opzione standard è la cancellazione dopo 30 giorni dal database di produzione e al più tardi entro ulteriori 30 giorni da tutti i backup (rotazione degli snapshot delle VM IONOS), nella misura in cui non vi ostino obblighi legali di conservazione (in particolare § 257 HGB, § 147 AO per le fatture).

§ 13 Trasferimenti verso paesi terzi

Un trasferimento di dati personali verso paesi terzi avviene solo nella misura in cui sia inevitabile per l'adempimento del contratto — concretamente in particolare verso X Corp. (USA) nonché verso le case madri statunitensi dei subfornitori con sede nell'UE (Google, Meta, Microsoft, Apple, TikTok), nella misura in cui questi trasferiscano dati a livello infragruppo. La tutela avviene sulla base delle clausole contrattuali tipo dell'UE ai sensi della decisione di esecuzione (UE) 2021/914 della Commissione nonché — ove pertinente — di ulteriori misure tecniche e organizzative.

§ 14 Responsabilità

La responsabilità è disciplinata dalle disposizioni del contratto principale (AGB § 10). Resta impregiudicato l'art. 82 GDPR.

§ 15 Disposizioni finali

Modifiche e integrazioni di questo DPA richiedono la forma testuale. Qualora singole disposizioni siano o divengano inefficaci, l' efficacia delle restanti disposizioni resta impregiudicata. Si applica il diritto tedesco; il foro competente è — nei limiti consentiti dalla legge — la sede del responsabile del trattamento (Karlsruhe).

Aggiornato a: 28 maggio 2026 · Versione 1.1 (Threads + Facebook aggiunti nell'oggetto della prestazione)

User-Task (revisione legale): questo modello di DPA è stato generato sulla base di un modello e necessita, prima della prima firma con un cliente, di una revisione da parte di un avvocato specializzato in diritto IT / protezione dei dati. In particolare sono da verificare: (a) l'elenco concreto dei subfornitori, (b) l'adeguatezza degli obblighi di notifica e collaborazione, (c) la disciplina dei controlli in loco rispetto alla capacità di un'impresa individuale, (d) l'interazione con le regole di responsabilità delle AGB.

Allegato: misure tecnico-organizzative

→ Mostra l'allegato TOM Alla pagina iniziale