XFORMANCE GROUP S.r.l. · SELLY®
Premessa
Il presente DPA, ex art. 28 GDPR, si applica a tutti i Clienti di Selly (aziende e agenzie), integra le Condizioni Generali del Servizio ed e accettato unitamente ad esse al momento della registrazione (richiamato dall'Art. 11 delle Condizioni). Per le agenzie si applica inoltre l'Addendum Partner Agenzie.
Xformance Group S.r.l. (sede Castel di Lama AP, P.IVA 02541200446), gestore di Selly. "Cliente": il soggetto (azienda o agenzia) che utilizza il Servizio. Il Cliente, quale Titolare del trattamento dei dati delle persone valutate — o, ove agisca quale Responsabile dei propri clienti (caso tipico delle agenzie), quale Responsabile — nomina Xformance Responsabile del trattamento (rispettivamente sub-Responsabile). Xformance tratta i dati solo per conto e su istruzione documentata del Cliente.
Erogazione del Servizio Selly: raccolta risposte ai questionari, elaborazione automatica delle analisi, generazione di report e documenti, conservazione e messa a disposizione nell'area del Cliente. Natura: raccolta, registrazione, organizzazione, conservazione, elaborazione automatica, consultazione, cancellazione. Durata: per la durata del contratto e fino a cancellazione/restituzione dei dati.
Interessati: candidati, dipendenti, collaboratori e responsabili valutati dal Cliente. Tipi di dati: anagrafici e di contatto; professionali/curriculari; risposte ai questionari ed esiti delle analisi. Il Servizio non richiede dati particolari ex art. 9; il Cliente si impegna a non inserirne salvo base giuridica idonea.
a) trattare i dati solo su istruzione documentata del Cliente, salvo obblighi di legge; b) vincolare a riservatezza il personale autorizzato; c) adottare misure di sicurezza adeguate ex art. 32; d) rispettare le condizioni sui sub-responsabili (sez. 6); e) assistere il Cliente nelle richieste degli interessati (artt. 12-23) e negli obblighi ex artt. 32-36; f) notificare al Cliente ogni violazione di dati (data breach) senza ingiustificato ritardo ed entro 48 ore dalla conoscenza; g) a scelta del Cliente, cancellare o restituire i dati a fine rapporto; h) consentire audit; i) informare il Cliente se un'istruzione viola il GDPR.
Garantisce base giuridica idonea, informativa agli interessati e istruzioni conformi; e responsabile della liceita dei dati inseriti e dell'uso degli esiti.
Il Cliente autorizza in via generale i sub-responsabili: MongoDB Atlas (database), Anthropic (elaborazione automatica delle analisi), Resend (email), Stripe (pagamenti), Emergent (hosting). Google (Google Calendar) — integrazione calendario, attivata solo se il Cliente collega il proprio account (opt-in). Trasferimento extra-UE assistito da SCC. Microsoft (Outlook / Microsoft Graph) — integrazione calendario, attivata solo se il Cliente collega il proprio account (opt-in). Trasferimento extra-UE/UE assistito da SCC o adeguatezza. Xformance impone loro obblighi equivalenti e resta responsabile; comunica modifiche con preavviso ragionevole, con diritto di opposizione del Cliente per motivi legittimi entro 15 giorni.
Alcuni sub-responsabili (in particolare Anthropic, USA) possono trattare dati fuori dallo SEE; i trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (SCC) e/o di decisioni di adeguatezza.
Xformance fornisce, su richiesta scritta e con ragionevole preavviso, le informazioni necessarie a dimostrare la conformita; ispezioni in orari concordati, senza pregiudicare gli altri clienti, max una volta l'anno salvo incidenti.
A fine rapporto, su scelta del Cliente entro 30 giorni, Xformance restituisce (export strutturato) o cancella i dati e le copie, salvo obblighi di legge; in assenza di scelta, cancella.
Ciascuna parte risponde dei danni da proprio inadempimento agli obblighi GDPR ad essa riferiti, nei limiti dell'art. 82 GDPR e delle Condizioni Generali.
Legge italiana; foro esclusivo di Ascoli Piceno.
Allegato sub-responsabili: MongoDB Atlas (regione da confermare), Anthropic (USA, SCC), Resend (email), Stripe (pagamenti), Emergent (hosting). Su attivazione opt-in del Cliente: Google Calendar (USA, SCC), Microsoft Outlook/Graph (UE-USA, SCC o adeguatezza). Misure di sicurezza ex art. 32: cifratura in transito/riposo, controllo accessi per ruoli, isolamento multi-tenant per workspace, autenticazione, backup, soft-delete con cancellazione definitiva, log accessi, gestione data breach.
Versione v1.1 — 24/05/2026