Accordo sul trattamento dei dati (DPA/AVV)
ai sensi dell'Art. 28 comma 3 GDPR
Basato sul modello fornito dall'Autorità bavarese per la protezione dei dati (BayLDA). Adattato per il servizio SaaS Tuurio ID.
Responsabile del trattamento (Data Processor): Tuurio GmbH, Muehlenstr. 8a, 14167 Berlin. Amministratori delegati: Marcus Jueptner, Daniel Kraus. HRB 180639, Amtsgericht Berlin-Charlottenburg. USt-IdNr.: DE305850010 (di seguito "Responsabile").
1. Oggetto e durata
Fornitura della soluzione SaaS "Tuurio ID" (id.tuurio.com) per la gestione delle identità e l'autenticazione, incluso: autenticazione e autorizzazione OAuth 2.0/OIDC degli utenti finali del titolare, archiviazione e gestione delle identità degli utenti, fornitura degli endpoint token (Authorize, Token, UserInfo, JWKS), registrazione degli eventi di autenticazione (audit log), fornitura del modulo vault (archiviazione dati crittografata) e fornitura della dashboard di amministrazione per la gestione dei tenant.
Il servizio viene fornito esclusivamente all'interno di uno Stato membro dell'Unione Europea (Hosting: Google Cloud Platform, regione Francoforte/eu-west3, Germania). Qualsiasi trasferimento del servizio o di parti di esso verso un paese terzo richiede il previo consenso del titolare e può avvenire solo se sono soddisfatte le condizioni dell'Art. 44 e seguenti GDPR.
L'accordo è concluso a tempo indeterminato e si applica per la durata dell'utilizzo del servizio Tuurio ID da parte del titolare. Si risolve automaticamente alla cessazione del contratto di servizio.
2. Tipo e finalità, categorie di dati, soggetti interessati
Finalità del trattamento: autenticazione, verifica dell'identità e gestione degli utenti all'interno della piattaforma Tuurio ID per le applicazioni del titolare.
Categorie di dati
| Categoria | Esempi | Conservazione |
|---|---|---|
| Dati anagrafici | Nome, indirizzo email, immagine del profilo, campi profilo personalizzati | Durata del contratto + 30 giorni |
| Dati di autenticazione | Hash delle password (Argon2id), seed MFA, credenziali passkey | Durata del contratto |
| Dati di sessione/token | Access token, refresh token, ID di sessione | Max. 30 giorni (durata del token) |
| Dati di log | Timestamp di accesso, indirizzi IP, stringhe user agent, eventi di autenticazione falliti | 90 giorni |
| Dati del vault | Dati arbitrari crittografati con AES-256 memorizzati dal titolare | Durata del contratto + 30 giorni |
| Dati OAuth | Client ID, URI di reindirizzamento, scope, permessi, ruoli | Durata del contratto |
Soggetti interessati
- Utenti finali delle applicazioni del titolare (persone fisiche che si autenticano tramite Tuurio ID)
- Amministratori e dipendenti del titolare (che gestiscono tenant e configurazioni)
- Contatti tecnici e utenti API
3. Diritti del titolare
Il titolare ha il diritto di impartire istruzioni in merito al trattamento dei dati in qualsiasi momento, verificare la conformità del responsabile al presente accordo (comprese ispezioni in loco con ragionevole preavviso) e richiedere informazioni sulle attività di trattamento. Il responsabile deve informare immediatamente il titolare qualora ritenga che un'istruzione violi le normative sulla protezione dei dati.
4. Obblighi del responsabile
Il responsabile tratta i dati personali esclusivamente sulla base di istruzioni documentate del titolare, assicura che tutte le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza, implementa e mantiene misure tecniche e organizzative ai sensi dell'Art. 32 GDPR, assiste il titolare nell'adempimento delle richieste degli interessati (Art. 12-22 GDPR), assiste nelle valutazioni d'impatto sulla protezione dei dati (Art. 35 GDPR) e nelle consultazioni preventive (Art. 36 GDPR) ove applicabile, e mette a disposizione del titolare tutte le informazioni necessarie per dimostrare la conformità.
5. Obblighi di notifica
Il responsabile notifica al titolare senza indebito ritardo (e in ogni caso entro 24 ore) qualsiasi violazione dei dati personali ai sensi dell'Art. 33 GDPR. La notifica include la natura della violazione, le categorie di dati interessate e il numero approssimativo di persone coinvolte, le probabili conseguenze e le misure adottate o proposte. Contatto: security@tuurio.com.
6. Sub-responsabili del trattamento
Lelenco aggiornato dei sub-responsabili del trattamento è disponibile allindirizzo /public/legal/sub-processors. Il titolare acconsente ai sub-responsabili ivi elencati. Le modifiche vengono notificate con almeno 30 giorni di anticipo via email. Il titolare può opporsi entro 14 giorni per importanti motivi di protezione dei dati.
7. Misure tecniche e organizzative
Il responsabile implementa misure tecniche e organizzative adeguate ai sensi dellArt. 32 GDPR. I dettagli sono descritti nella nostra pagina sulla sicurezza. Le misure principali includono: crittografia AES-256 a riposo, TLS 1.3 in transito, hashing delle password Argon2id (64 MB RAM hardness), isolamento dei tenant tramite separazione a livello di database (filtri Hibernate con scoping tenant_id), backup giornalieri crittografati automatizzati (conservazione 30 giorni), firma JWT RS256 con rotazione delle chiavi specifica per tenant, registrazione completa degli accessi e audit trail.
8. Obblighi alla cessazione
Dopo la cessazione del contratto, il titolare può esportare tutti i dati entro 30 giorni tramite la dashboard in un formato comune e leggibile da macchina (JSON, CSV). Dopo il periodo di esportazione di 30 giorni, tutti i dati personali vengono cancellati in modo irreversibile entro ulteriori 30 giorni, salvo che si applichino obblighi legali di conservazione (ad es. documenti fiscali ai sensi del GoBD: 10 anni). Il responsabile conferma la cancellazione per iscritto su richiesta.
Versione 1.0, 9 marzo 2026