Contratto di Nomina a Responsabile del Trattamento

Ultimo aggiornamento: 17/04/2026

Versione 1.0

Premesse

Il presente Contratto di Nomina a Responsabile del trattamento (di seguito il "Contratto" o "DPA", Data Processing Agreement) è stipulato tra:

  • la Parrocchia o Unità Pastorale che si registra sulla piattaforma MiaChiesa e vi crea un proprio spazio operativo, indipendentemente dal piano scelto (incluso il piano Gratuito) e dall'eventuale sottoscrizione di un abbonamento a pagamento (di seguito, il "Titolare"), la cui identificazione è riportata nella dashboard della piattaforma e negli eventuali documenti di sottoscrizione;
  • e MiaChiesa S.r.l., società a responsabilità limitata di diritto italiano, con sede legale in Via San Martino 23, 42121 Reggio nell'Emilia (RE), codice fiscale e partita IVA 03141080352, PEC [email protected] (di seguito, il "Responsabile" o "MiaChiesa"),

congiuntamente indicate come le "Parti" e singolarmente come "Parte".

Premesso che:

  1. il Titolare ha accettato (o accetta contestualmente all'accettazione del presente Contratto) le Condizioni Generali di Servizio della piattaforma MiaChiesa, disponibili all'indirizzo /terms-of-service (di seguito, il "Contratto di Servizio"), a prescindere dal piano attivo (Gratuito o a pagamento);
  2. nell'ambito del Contratto di Servizio il Responsabile tratta, per conto del Titolare, dati personali relativi ai fedeli, ai collaboratori e ai terzi che interagiscono con la Parrocchia/UP tramite la piattaforma;
  3. le Parti intendono pertanto disciplinare per iscritto, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (di seguito, il "GDPR"), le modalità, la natura e la durata del trattamento affidato al Responsabile, nonché gli obblighi a suo carico;
  4. il presente Contratto costituisce parte integrante e sostanziale del Contratto di Servizio, di cui ne regola gli aspetti relativi al trattamento dei dati personali effettuato dal Responsabile per conto del Titolare.

Tutto ciò premesso, le Parti convengono e stipulano quanto segue.

1. Definizioni

Ai fini del presente Contratto, i termini "dato personale", "trattamento", "titolare del trattamento", "responsabile del trattamento", "sub-responsabile", "interessato", "autorità di controllo" e ogni altro termine tecnico non espressamente definito avranno il significato loro attribuito dall'art. 4 del GDPR e dal D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), come modificato dal D.Lgs. 101/2018.

Per "Piattaforma" si intende l'insieme dei servizi software resi disponibili dal Responsabile al Titolare tramite il dominio miachiesa.it e relativi sotto-domini.

Per "Dati Trattati" si intendono i dati personali oggetto del presente Contratto, come meglio definiti nella Sezione 3.

2. Oggetto e durata

2.1 Oggetto. Con il presente Contratto, il Titolare nomina MiaChiesa S.r.l. Responsabile del trattamento ai sensi dell'art. 28 GDPR, per il trattamento dei Dati Trattati svolto esclusivamente per conto del Titolare nell'ambito della fornitura dei servizi della Piattaforma previsti dal Contratto di Servizio.

2.2 Accettazione. Il presente Contratto si intende accettato e perfezionato dal momento in cui un soggetto munito dei poteri di rappresentanza del Titolare — ossia Parroco, Vicario, Amministratore o Segreteria autorizzata — completa la procedura di accettazione all'interno della Piattaforma (checkbox di accettazione in fase di configurazione o al successivo accesso). L'accettazione viene registrata con data/ora, identificativo dell'utente accettante e versione del Contratto.

2.3 Durata. Il Contratto ha efficacia dalla data di accettazione e rimane in vigore per tutta la durata del Contratto di Servizio; esso cessa automaticamente al venir meno del Contratto di Servizio per qualsiasi causa, fermi restando gli obblighi che per loro natura sopravvivono alla cessazione (in particolare gli obblighi di cui alle Sezioni 11 e 12).

3. Natura, finalità, categorie di dati e di interessati

3.1 Natura e finalità del trattamento. Il Responsabile tratta i Dati Trattati esclusivamente per le seguenti finalità, strumentali alla fornitura dei servizi della Piattaforma al Titolare:

  • gestione dell'anagrafica dei fedeli, dei gruppi parrocchiali, dei collaboratori e dei volontari;
  • pubblicazione e gestione di eventi, avvisi, bollettini, calendari e contenuti pastorali;
  • raccolta e gestione delle donazioni, emissione delle ricevute e supporto alla contabilità;
  • gestione del catechismo, delle iscrizioni e delle comunicazioni con le famiglie;
  • gestione del coro, dei libretti, delle scalette liturgiche e delle prove;
  • invio delle comunicazioni e notifiche richieste dal Titolare ai fedeli iscritti;
  • sincronizzazione con servizi di calendario e social (su esplicita autorizzazione del Titolare);
  • tutte le attività tecniche necessarie all'erogazione dei servizi, inclusi hosting, backup, monitoraggio, sicurezza e assistenza.

3.2 Categorie di Dati Trattati. Il trattamento riguarda, a titolo esemplificativo e non esaustivo:

  • dati identificativi: nome, cognome, foto, data di nascita;
  • dati di contatto: email, numero di telefono, indirizzo postale;
  • dati relativi alla partecipazione a gruppi, eventi, catechismo, coro, iniziative caritative;
  • dati relativi a donazioni e pagamenti (importi, campagne, ricevute; i dati della carta non sono trattati da MiaChiesa in quanto tokenizzati direttamente da Stripe);
  • dati anagrafici delle famiglie e relazioni di parentela, se censiti dal Titolare;
  • dati appartenenti a categorie particolari (art. 9 GDPR) unicamente nella misura in cui il Titolare li inserisce, quali l'appartenenza religiosa implicita nel contesto parrocchiale e, laddove rilevante, annotazioni sanitarie (es. allergie dei ragazzi del catechismo). Il trattamento di tali dati avviene esclusivamente su istruzione del Titolare e sulla base giuridica che quest'ultimo individua;
  • dati dei defunti, nell'ambito del modulo dedicato, con applicazione dei principi di rispetto e riservatezza richiesti dalla normativa e dal diritto canonico.

3.3 Categorie di interessati. Fedeli che seguono la parrocchia o che aderiscono a gruppi; collaboratori, volontari e staff del Titolare; donatori; partecipanti a eventi; iscritti al catechismo e loro familiari; membri del coro; soggetti i cui nominativi sono inseriti dal Titolare (a titolo esemplificativo nel registro dei defunti).

4. Istruzioni documentate del Titolare

4.1 Il Responsabile tratta i Dati Trattati esclusivamente sulla base di istruzioni documentate del Titolare, che si intendono fornite (i) con la sottoscrizione del presente Contratto e del Contratto di Servizio, (ii) mediante le configurazioni e le azioni che il Titolare compie all'interno della Piattaforma e (iii) con ogni ulteriore istruzione comunicata per iscritto tramite i canali di assistenza.

4.2 Qualora il Responsabile sia tenuto a trattare i Dati Trattati in base al diritto dell'Unione o dello Stato membro cui è soggetto, ne informa preventivamente il Titolare, salvo che tale diritto vieti tale informazione per rilevanti motivi di interesse pubblico (art. 28, par. 3, lett. a, GDPR).

4.3 Il Responsabile informa immediatamente il Titolare qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati.

5. Riservatezza del personale

Il Responsabile garantisce che le persone autorizzate al trattamento dei Dati Trattati — propri dipendenti, collaboratori e consulenti — si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, ricevano una formazione appropriata in materia di protezione dei dati e trattino i Dati Trattati esclusivamente su istruzione documentata del Responsabile stesso.

6. Misure di sicurezza (art. 32 GDPR)

6.1 Il Responsabile adotta misure tecniche e organizzative adeguate, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà degli interessati, a garantire un livello di sicurezza adeguato al rischio.

6.2 Tali misure includono, a titolo non esaustivo:

  • cifratura in transito (TLS ≥ 1.2) e at-rest dei Dati Trattati;
  • autenticazione robusta, gestione centralizzata delle identità e principio del minimo privilegio per gli accessi del personale;
  • segregazione logica dei dati di ogni Titolare mediante politiche di Row-Level Security a livello di database;
  • backup cifrati regolari e procedure di disaster recovery documentate e testate;
  • logging degli accessi sensibili, monitoraggio continuo e sistemi di rilevamento delle anomalie;
  • gestione sicura delle vulnerabilità software (aggiornamenti periodici, test, processi di risposta agli incidenti);
  • formazione periodica del personale in materia di protezione dei dati e sicurezza delle informazioni.

6.3 Il Responsabile si impegna a rivedere e aggiornare nel tempo le misure adottate, tenendo conto dell'evoluzione delle minacce e delle migliori prassi di settore.

7. Sub-responsabili del trattamento

7.1 Autorizzazione generale. Il Titolare autorizza in via generale il Responsabile a ricorrere a sub-responsabili per lo svolgimento di specifiche attività di trattamento connesse all'erogazione dei servizi della Piattaforma, ai sensi dell'art. 28, par. 2, GDPR.

7.2 Elenco aggiornato. L'elenco completo e aggiornato dei sub-responsabili utilizzati dal Responsabile è pubblicato all'indirizzo /sub-processors. Il Titolare riconosce di aver preso visione dell'elenco e di accettarlo al momento dell'accettazione del presente Contratto.

7.3 Preavviso e diritto di opposizione. Il Responsabile informerà il Titolare di ogni modifica significativa dell'elenco dei sub-responsabili (aggiunta o sostituzione) con almeno 30 (trenta) giorni di anticipo tramite aggiornamento della pagina /sub-processors e, ove disponibile, mediante notifica all'interno della Piattaforma. Entro tale termine, il Titolare potrà opporsi per iscritto al nuovo sub-responsabile per motivi fondati di tutela dei dati. In caso di opposizione, le Parti negozieranno in buona fede una soluzione alternativa; in mancanza di accordo, il Titolare potrà recedere dal Contratto di Servizio con effetto alla data di entrata in servizio del nuovo sub-responsabile, senza penali.

7.4 Obblighi dei sub-responsabili. Il Responsabile impone ai propri sub-responsabili, mediante contratto scritto, obblighi in materia di protezione dei dati equivalenti a quelli previsti dal presente Contratto, in particolare in tema di misure tecniche e organizzative ai sensi dell'art. 32 GDPR.

7.5 Responsabilità. Il Responsabile risponde nei confronti del Titolare dell'operato dei sub-responsabili alle condizioni e nei limiti previsti dall'art. 28, par. 4, GDPR.

8. Assistenza al Titolare

8.1 Richieste degli interessati (artt. 12–22 GDPR). Tenuto conto della natura del trattamento, il Responsabile assiste il Titolare, con misure tecniche e organizzative adeguate, nel rispondere alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso). In particolare, la Piattaforma mette a disposizione del Titolare funzioni di esportazione, rettifica e cancellazione dei dati; ove necessario, il Responsabile fornisce assistenza aggiuntiva su richiesta del Titolare tramite i canali di supporto.

8.2 Data Protection Impact Assessment (art. 35) e consultazione preventiva (art. 36). Il Responsabile assiste il Titolare, ove richiesto e tenuto conto delle informazioni a sua disposizione, nell'adempimento degli obblighi relativi alla valutazione d'impatto e alla consultazione preventiva dell'autorità di controllo.

8.3 Sicurezza del trattamento (art. 32). Il Responsabile mette a disposizione del Titolare, su richiesta, tutte le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi in materia di sicurezza del trattamento.

9. Notifica di violazione dei dati personali (data breach)

9.1 Il Responsabile, venuto a conoscenza di una violazione dei dati personali che riguardi Dati Trattati per conto del Titolare, la notifica al Titolare senza ingiustificato ritardo e comunque, ove possibile, entro 72 ore dalla presa di conoscenza, fornendo le informazioni di cui all'art. 33, par. 3, GDPR nella misura in cui siano note o ragionevolmente acquisibili.

9.2 Il Responsabile coopera con il Titolare per consentire a quest'ultimo di adempiere agli obblighi di notifica all'autorità di controllo (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR).

9.3 Le comunicazioni di cui al presente articolo sono effettuate mediante i contatti privacy indicati dal Titolare (privacy_contact_email) e, in mancanza, mediante le credenziali dell'utente leadership che ha accettato il Contratto.

10. Audit e ispezioni

10.1 Il Responsabile mette a disposizione del Titolare, su richiesta scritta, tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR e dal presente Contratto; a tal fine, il Responsabile può fornire rapporti di audit indipendenti, certificazioni applicabili e documentazione delle misure tecniche e organizzative adottate.

10.2 Il Titolare ha inoltre diritto di effettuare, direttamente o tramite un soggetto terzo indipendente vincolato a obblighi di riservatezza, attività di audit e ispezione, con le seguenti modalità: (a) preavviso scritto di almeno 30 (trenta) giorni, salvo in caso di data breach accertato o di richiesta dell'autorità di controllo; (b) ambito limitato a quanto strettamente necessario a verificare il rispetto del presente Contratto; (c) durante l'orario lavorativo, senza pregiudicare la continuità del servizio; (d) nel rispetto degli obblighi di riservatezza verso altri clienti del Responsabile; (e) oneri e costi a carico del Titolare, salvo in caso di accertamento di gravi inadempienze imputabili al Responsabile.

11. Restituzione o cancellazione dei dati a fine rapporto

11.1 Al termine della prestazione dei servizi, per qualsiasi causa, il Responsabile, su scelta del Titolare, restituisce o cancella tutti i Dati Trattati, salvo che il diritto dell'Unione o dello Stato membro ne imponga la conservazione.

11.2 Le modalità operative sono le seguenti: (a) il Titolare può, tramite la Piattaforma, esportare in formato elettronico strutturato i dati di propria competenza per un periodo di 90 (novanta) giorni dalla cessazione; (b) decorso tale periodo, il Responsabile procede alla cancellazione definitiva dei Dati Trattati dai propri sistemi e da quelli dei sub-responsabili, ivi inclusi i backup entro i normali cicli di rotazione degli stessi; (c) resta ferma la conservazione dei dati la cui conservazione è imposta da norme imperative (in particolare gli obblighi fiscali e contabili di cui al D.P.R. 600/1973 per i dati di donazioni ed eventi a pagamento, per la durata di 10 anni).

11.3 Su richiesta, il Responsabile rilascia al Titolare una dichiarazione di avvenuta cancellazione.

12. Trasferimenti di dati extra-UE

12.1 Il Responsabile può trasferire Dati Trattati al di fuori dello Spazio Economico Europeo esclusivamente nel ricorrere di adeguate garanzie ai sensi del Capo V del GDPR, tra cui: (i) decisione di adeguatezza della Commissione europea; (ii) Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea; (iii) adesione al Data Privacy Framework (DPF) laddove applicabile; (iv) altre garanzie previste dagli articoli 46 e 47 GDPR.

12.2 L'elenco dei sub-responsabili di cui alla Sezione 7.2 (/sub-processors) indica, per ciascun sub-responsabile, la base giuridica del trasferimento.

13. Responsabilità

13.1 La responsabilità di ciascuna Parte per violazione del presente Contratto è disciplinata dalle disposizioni generali del Contratto di Servizio e dagli artt. 82 ss. GDPR.

13.2 Resta in ogni caso fermo che la responsabilità del Responsabile nei confronti del Titolare per danni connessi al presente Contratto è limitata, nei limiti consentiti dalla legge applicabile, alle somme complessivamente corrisposte dal Titolare al Responsabile a titolo di canone di abbonamento nei 12 (dodici) mesi precedenti l'evento che ha dato origine al danno. La presente limitazione non si applica in caso di dolo o colpa grave del Responsabile né in caso di violazioni che diano luogo a responsabilità solidale ai sensi dell'art. 82 GDPR.

14. Disposizioni finali

14.1 Modifiche. Il Responsabile si riserva il diritto di aggiornare il presente Contratto per adeguarlo a modifiche normative, a evoluzioni del servizio o a miglior tutela degli interessati. Le modifiche sostanziali sono comunicate al Titolare con almeno 30 (trenta) giorni di anticipo e richiedono l'esplicita riaccettazione tramite la Piattaforma per poter proseguire l'utilizzo dei servizi.

14.2 Prevalenza. In caso di conflitto tra il presente Contratto e il Contratto di Servizio, limitatamente alle clausole relative al trattamento dei dati personali prevale il presente Contratto.

14.3 Legge applicabile e foro competente. Il presente Contratto è regolato dalla legge italiana. Per qualsiasi controversia è competente in via esclusiva il Foro di Roma, salvo diversa disposizione di legge inderogabile.

14.4 Contatti. Per qualsiasi questione relativa al presente Contratto, il Titolare può scrivere a [email protected] o, per comunicazioni formali, via PEC a [email protected].