Data Processing Agreement (DPA)

1. Parti

• Titolare del trattamento (Controller): l'agenzia o il professionista che utilizza SocialReply (“Cliente”).
• Responsabile del trattamento (Processor): Andrea C., con sede in Afragola (NA), P.IVA 10912131215 (“SocialReply”).

2. Oggetto e natura del trattamento

SocialReply tratta, per conto del Cliente, i dati personali dei follower/utenti delle pagine Facebook e degli account Instagram Business connessi alla piattaforma. Il trattamento include: ricezione di commenti e DM tramite API Meta, elaborazione tramite AI (OpenAI) per generare risposte, archiviazione temporanea, invio delle risposte e raccolta lead.

3. Tipologie di dati trattati

• Nome utente e ID pubblico del profilo social
• Testo dei commenti e dei messaggi diretti (DM)
• Metadati: timestamp, ID del post/commento, piattaforma
• Dati di lead capture: nome, e-mail, telefono (solo se forniti dall'utente)

Non sono trattati dati particolari ai sensi dell'art. 9 GDPR (salvo che il Cliente non li inserisca volontariamente nei propri contenuti social).

4. Istruzioni del Titolare

SocialReply tratta i dati esclusivamente secondo le istruzioni documentate del Cliente, come configurate nella piattaforma (impostazioni AI, regole di automazione, preset). Il trattamento al di fuori di tali istruzioni è vietato, salvo obbligo di legge.

5. Misure di sicurezza (art. 32 GDPR)

SocialReply adotta le seguenti misure tecniche e organizzative:

• Crittografia TLS 1.2+ per tutti i dati in transito
• Cifratura AES-256 dei token di accesso social a riposo
• Accesso ai dati limitato tramite Row Level Security (RLS) su Supabase
• Autenticazione multi-fattore disponibile per gli account amministratori
• Log di audit per le operazioni critiche
• Backup giornalieri con retention 7 giorni

6. Sub-responsabili (art. 28.2 GDPR)

SocialReply si avvale dei seguenti sub-responsabili, autorizzati dal Cliente mediante accettazione del presente DPA:

Qualsiasi variazione ai sub-responsabili sarà comunicata al Cliente con almeno 14 giorni di anticipo, salvo urgenze di sicurezza.

7. Assistenza al Titolare

SocialReply assiste il Cliente:

• nell'evadere le richieste di esercizio dei diritti degli interessati (accesso, cancellazione, ecc.);
• nel rispetto degli obblighi DPIA (valutazione d'impatto) ove necessario;
• nella notifica dei data breach entro i termini di legge.

Per tali richieste, scrivi a support@socialreply.net.

8. Data breach

In caso di violazione dei dati personali, SocialReply notificherà il Cliente senza ingiustificato ritardo (e comunque entro 48 ore dalla scoperta) tramite e-mail all'indirizzo registrato sull'account, fornendo tutte le informazioni necessarie per adempiere all'obbligo di notifica all'Autorità Garante (art. 33 GDPR).

9. Cancellazione e restituzione dei dati

Alla cessazione del servizio o su richiesta del Cliente, SocialReply eliminerà o restituirà tutti i dati personali entro 30 giorni, salvo obblighi di conservazione imposti dalla legge. Il Cliente può esportare i propri dati (lead, impostazioni, preset) in qualsiasi momento dalla sezione Impostazioni dell'app.

10. Durata e accettazione

Il presente DPA ha la stessa durata del contratto di servizio. L'accettazione avviene in modo inequivocabile mediante spunta del checkbox dedicato durante l'onboarding o, per gli utenti già attivi, tramite la sezione Impostazioni → Legale dell'applicazione.

11. Contatti

Per qualsiasi questione relativa al presente DPA: support@socialreply.net