SmartCQ

DPA — variante monomandato

Aggiornato al 5 maggio 2026 · Documento opzionale, attivato su richiesta del Cliente

La presente pagina descrive la variante monomandato del Data Processing Agreementdi SmartCQ. Si applica ai Clienti SmartCQ che, in qualità di mediatore creditizio o agente finanziario, operano in regime di mandato esclusivo per una banca o un intermediario finanziario iscritto all'Albo unico ex art. 106 TUB, e in tale veste agiscono come Responsabili del trattamento per conto del Titolare originario (la banca o l'intermediario mandante).

In questo scenario la catena dei ruoli si articola su tre livelli e SmartCQ assume il ruolo di Sub-Responsabile del trattamento (Sub-Processor), ai sensi dell'art. 28 c.4 GDPR.

Quando si applica

La variante si applica quando ricorrono cumulativamente le seguenti condizioni:

  1. Il Cliente SmartCQ opera in regime di mandato esclusivo (monomandato) per un intermediario finanziario o una banca ("Mandante").
  2. Il Mandante ha qualificato il Cliente come Responsabile del trattamento dei dati dei propri clienti finali per le attività delegate.
  3. Il Mandante ha autorizzato espressamente o per categorie il ricorso del Cliente a sub-responsabiliper le finalità tecnologiche, in conformità all'art. 28 c.2 e 4 GDPR.

Catena dei ruoli

SoggettoRuolo GDPRRiferimenti
Consumatore (cliente finale)InteressatoArtt. 15-22 GDPR
Banca / intermediario MandanteTitolare del trattamentoArt. 4 n. 7, Art. 24 GDPR
Cliente SmartCQ (mediatore/agente)Responsabile del trattamentoArt. 28 GDPR + DPA Mandante-Cliente
SmartCQ (Mana Hub Srl)Sub-Responsabile del trattamentoArt. 28 c.4 GDPR + presente variante
Resend, Neon, VercelUlteriori sub-responsabiliVedi /sub-processor

Variazioni rispetto al DPA standard

Le seguenti clausole modificano o integrano il DPA standard; le clausole non espressamente modificate restano in vigore.

Art. 1 — Oggetto e legittimazione del Cliente

Il Cliente dichiara e garantisce a SmartCQ:

  • di essere stato qualificato dal Titolare come Responsabile del trattamento ai sensi dell'art. 28 GDPR;
  • di disporre dell'autorizzazione del Titolare a ricorrere a SmartCQ in qualità di Sub-Responsabile per le finalità descritte all'art. 1 del DPA standard, a condizione che SmartCQ assuma per iscritto i medesimi obblighi di protezione dei dati previsti dall'atto di nomina Titolare-Cliente;
  • di aver fornito al Titolare informativa sulla presente sub-responsabilizzazione e sui sub-responsabili ulteriori elencati su /sub-processor.

Art. 2 — Istruzioni del Titolare

SmartCQ tratta i dati personali esclusivamente sulla base delle istruzioni documentate trasmesse dal Cliente, il quale garantisce che tali istruzioni sono conformi alle istruzioni a sua volta ricevute dal Titolare. In caso di conflitto manifesto tra istruzioni del Cliente e istruzioni del Titolare di cui SmartCQ venga formalmente a conoscenza, SmartCQ informa il Cliente e attende risoluzione, sospendendo se necessario il trattamento controverso.

Art. 4 — Sub-responsabili

Il consenso del Cliente al ricorso ai sub-responsabili elencati su /sub-processorinclude — ai fini della presente variante — il consenso del Titolare originario, nei limiti dell'autorizzazione concessa dal Titolare al Cliente. Le notifiche di modifica dell'elenco saranno trasmesse anche al Titolare se il Cliente fornirà recapiti dedicati.

Art. 6 — Notifica violazione dati personali

SmartCQ notifica al Cliente, senza indebito ritardo e comunque entro 48 oredalla scoperta, ogni violazione di dati personali ai sensi dell'art. 4 n. 12 GDPR. Il Cliente assume l'obbligo di notifica al proprio Titolare nei tempi pattuiti nel DPA Mandante-Cliente, mai successivi alla notifica del Cliente al Titolare. SmartCQ fornisce al Cliente tutte le informazioni necessarie per assistere il Titolare negli adempimenti ex artt. 33-34 GDPR.

Art. 7 — Diritti degli interessati

Le richieste di esercizio dei diritti GDPR sono indirizzate al Titolare. SmartCQ assiste il Cliente — e indirettamente il Titolare — nell'evasione, applicando le procedure tecniche standard della piattaforma (estrazione, rettifica, cancellazione, export). Vedi /diritti.

Art. 9 — Audit

I diritti di audit del Titolare originario sull'attività di SmartCQ in qualità di Sub-Responsabile sono assicurati attraverso il Cliente, che li esercita per conto del Titolare alle condizioni dell'art. 9 del DPA standard. Su richiesta motivata del Cliente e previa autorizzazione di SmartCQ, il Titolare può partecipare direttamente all'audit congiuntamente al Cliente.

Art. 10 — Cessazione del rapporto

Alla cessazione del rapporto contrattuale tra Cliente e SmartCQ, SmartCQ procederà alla cancellazione dei dati ai sensi dell'art. 10 del DPA standard. Se il rapporto Mandante-Cliente cessa prima del rapporto Cliente-SmartCQ, il Cliente è tenuto a comunicarlo a SmartCQ entro 15 giorni per concordare il destino operativo dei dati del Titolare originario (cancellazione, portabilità verso altro Responsabile autorizzato, restituzione).

Documentazione contrattuale

L'attivazione di questa variante richiede:

  1. comunicazione scritta del Cliente a dpa@smartcq.itcon identificazione del Titolare e copia (anche oscurata) dell'atto di nomina del Cliente come Responsabile;
  2. sottoscrizione di un addendum bilaterale al DPA standard tra Cliente e SmartCQ che richiama la presente variante;
  3. se richiesto dal Titolare, sottoscrizione di un atto a tre parti (Mandante, Cliente, SmartCQ) sulla base del modello fornito dal Mandante o concordato.

SmartCQ resta disponibile a integrare clausole specifiche richieste dal Titolare laddove compatibili con l'architettura della piattaforma e con gli obblighi previsti dal proprio DPA standard verso gli altri Clienti.

Documenti collegati

Questo è un documento forward-looking: rappresenta l'impegno di SmartCQ a supportare scenari di monomandato. La sua applicazione concreta richiede sottoscrizione bilaterale e — ove richiesto dal Titolare — addendum a tre parti. Per l'attivazione: dpa@smartcq.it.

← Torna alla home