Accordo sul Trattamento dei Dati (DPA)

Ultimo aggiornamento: giugno 2026 — revisione 2026-06

Il presente Accordo sul trattamento dei dati ("DPA", Data Processing Agreement) disciplina, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR), il trattamento dei dati personali effettuato da GoBus2 per conto del Cliente. Costituisce parte integrante dei Termini e Condizioni ed è accettato congiuntamente ad essi. In caso di contrasto sui profili di protezione dei dati, prevale il presente DPA.

1. Ruoli delle Parti

  • Titolare del trattamento: il Cliente (azienda utente) che inserisce e gestisce sulla piattaforma dati relativi a propri clienti, autisti, dipendenti e veicoli.
  • Responsabile del trattamento: PCS di Ambrosio Espedito, Via Luigi Maradei 15, 87026 Mormanno (CS), P.IVA 03272650783, email info@gobus.it (di seguito "GoBus2").

GoBus2 tratta i dati personali esclusivamente per conto e su istruzione del Titolare, fornendo gli strumenti tecnici della piattaforma. Per i dati relativi al proprio account, alla fatturazione e alla sicurezza del servizio, GoBus2 agisce invece come autonomo Titolare secondo la Privacy Policy.

2. Oggetto, Durata, Natura e Finalità

  • Oggetto: il trattamento dei dati personali necessario all'erogazione della piattaforma GoBus2 e dei moduli attivati dal Cliente.
  • Durata: per tutta la durata del rapporto contrattuale, oltre ai periodi di conservazione di cui all'art. 8.
  • Natura e finalità: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione e cancellazione dei dati, al solo fine di fornire le funzionalità richieste (gestione flotta, preventivi, documenti, e — se attivi — GPS, tachigrafo, identificazione autisti).

3. Tipi di Dati e Categorie di Interessati

  • Categorie di interessati: clienti e contatti del Cliente, autisti e dipendenti del Cliente, referenti aziendali.
  • Tipi di dati: dati anagrafici e di contatto; dati di viaggio e preventivo; dati dei veicoli; — per i moduli opzionali — dati di geolocalizzazione dei veicoli, eventi di guida, dati del tachigrafo e di identificazione degli autisti.

Il Cliente si astiene dall'inserire categorie particolari di dati (art. 9 GDPR) non strettamente necessarie. Eventuali dati relativi all'attività lavorativa degli autisti sono trattati sotto la responsabilità del Cliente quale datore di lavoro (v. art. 9).

4. Istruzioni del Titolare

GoBus2 tratta i dati personali soltanto su istruzione documentata del Titolare, comprese le istruzioni impartite tramite l'uso delle funzioni della piattaforma e i presenti Termini, salvo che lo richieda il diritto dell'Unione o nazionale. In tal caso GoBus2 informa il Titolare prima del trattamento, salvo divieto di legge. GoBus2 informa il Titolare qualora ritenga che un'istruzione violi la normativa sulla protezione dei dati.

5. Riservatezza

GoBus2 garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e che l'accesso ai dati sia limitato a quanto necessario.

6. Misure di Sicurezza (art. 32 GDPR)

GoBus2 adotta misure tecniche e organizzative adeguate, tra cui:

  • cifratura dei dati in transito (TLS) e a riposo presso l'infrastruttura cloud;
  • autenticazione tramite Firebase Auth e controllo degli accessi basato sul proprietario tramite regole Firestore granulari (isolamento dei dati tra aziende);
  • backup automatici e possibilità di ripristino (point-in-time recovery);
  • segregazione logica dei dati per ciascun account aziendale;
  • registrazione degli accessi e monitoraggio del servizio.

7. Sub-responsabili

Il Titolare autorizza in via generale GoBus2 a ricorrere ai sub-responsabili elencati di seguito. GoBus2 impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta responsabile del loro operato. GoBus2 informa il Titolare di eventuali modifiche (aggiunta o sostituzione) con ragionevole preavviso, dando al Titolare la possibilità di opporsi per motivi legittimi.

Sub-responsabileAttivitàUbicazione
Google Cloud / Firebase (Firestore, Auth, App Hosting/Cloud Run, Cloud Storage)Database, autenticazione, hosting, archiviazione fileUE — europe-west4 (Paesi Bassi)
StripeElaborazione dei pagamenti e fatturazioneUE/USA (clausole contrattuali standard)
OpenRouter / Google (modello AI)Assistente AI, sintesi percorsi e analisi (sui soli testi inviati dal Cliente)USA (clausole contrattuali standard)
ResendInvio email transazionali (documenti, promemoria)UE/USA (clausole contrattuali standard)
Provider VPS dedicato (modulo GPS/Traccar)Ricezione e gestione dei dati di geolocalizzazioneUE

8. Trasferimenti Extra-UE

I dati sono archiviati primariamente nell'Unione Europea. Ove un sub-responsabile comporti un trasferimento verso Paesi terzi, esso avviene sulla base di garanzie adeguate ai sensi del Capo V del GDPR, in particolare le Clausole Contrattuali Standard (SCC) della Commissione Europea. I dati inviati all'assistente AI sono limitati ai contenuti che il Cliente sceglie di sottoporre.

9. Assistenza al Titolare

Tenuto conto della natura del trattamento, GoBus2 assiste il Titolare:

  • con misure tecniche e organizzative adeguate, per dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 12–22 GDPR);
  • nel garantire il rispetto degli obblighi di sicurezza, notifica delle violazioni e valutazione d'impatto (artt. 32–36 GDPR), nei limiti delle informazioni a sua disposizione.

10. Violazioni dei Dati (Data Breach)

GoBus2 informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali, fornendo le informazioni utili affinché il Titolare possa, ove necessario, notificare la violazione all'Autorità di controllo (entro 72 ore) e agli interessati.

11. Conservazione, Restituzione e Cancellazione

Al termine della prestazione dei servizi, su scelta del Titolare, GoBus2 cancella o restituisce i dati personali, salvo che la conservazione sia richiesta dal diritto dell'Unione o nazionale. In coerenza con i Termini e la Privacy Policy:

  • i dati operativi sono cancellati entro 30 giorni dalla cessazione dell'account;
  • i dati fiscali e contabili sono conservati per i termini di legge (fino a 10 anni, art. 2220 c.c.);
  • i backup hanno retention massima di 30 giorni e vengono poi sovrascritti.

12. Audit e Dimostrazione di Conformità

GoBus2 mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA e consente e contribuisce ad attività di revisione (audit), comprese le ispezioni, realizzate dal Titolare o da un soggetto da questi incaricato, con ragionevole preavviso e nel rispetto della riservatezza e della sicurezza degli altri clienti.

13. Legge Applicabile

Il presente DPA è regolato dalla legge italiana e si interpreta in conformità al GDPR. Per le controversie è competente il Tribunale di Cosenza, come previsto dai Termini.

14. Contatti

PCS di Ambrosio Espedito
Via Luigi Maradei 15, 87026 Mormanno (CS)
P.IVA: 03272650783
Email: info@gobus.it

← Torna alla home · Termini e Condizioni · Privacy Policy